Cybersicherheit

Ein Unternehmen ist „cybersicher“, wenn es die Risiken, die von Informationen ausgehen, die auf Datenträgern und Netzwerken gespeichert sind, beherrscht. Dazu bedarf es insbesondere einer funktionierenden IT-Infrastruktur und einer hinreichenden Sensibilisierung der IT-Nutzer.

Die Risiken für die IT-Infrastruktur sind vielfältig. Als typische Fälle von Angriffen auf die IT-Infrastruktur von Unternehmen sind der Datendiebstahl, die Verschlüsselung durch Schadsoftware (Ransomware) oder sogenannte DDoS-Attacken (Distributed-Denial-of-Service) zu nennen.

Daneben gibt es Fälle, in denen nicht die IT-Infrastruktur das alleinige Ziel der Angreifer bleibt, sondern (zusätzlich) der hinter dem Rechner agierende Mensch beeinflusst werden muss, damit die Täter an ihr Ziel gelangen (sog. „Social Engineering“). Bekannt geworden sind in diesem Zusammenhang vor allem die sog. „Fake President Frauds“ (auch: „CEO-Frauds“ genannt), die mittlerweile in unterschiedlichen Varianten vorkommen.

Die Corona-Krise hat viele Unternehmen gezwungen, plötzlich umzudisponieren. Millionen Beschäftigte arbeiten derzeit von zuhause aus. Viele von ihnen nutzen dabei ihren Privatrechner und greifen vom Homeoffice aus auf Dateien im Firmennetzwerk zu. Besprechungen finden nicht im Büro, sondern über Videokonferenz statt. Insgesamt betrachtet, sind die Unternehmen derzeit mehr denn je abhängig von einer digitalen Kommunikation.

Das hat die Aufmerksamkeit von Cyberkriminellen geweckt. Denn Heimcomputer sind in der Regel schlechter geschützt als die mit professionellen Schutzprogrammen versehenen Unternehmensnetzwerke. Cyberkriminelle suchen und finden Schwachstellen etwa in einer fehlenden Firewall oder einem fehlenden Virenschutz. Bedingt die Umstellung auf Remote-Arbeit die Installation neuer Software auf den Endgeräten, folgen auch daraus neue Angriffsmöglichkeiten für Cyberkriminelle.

Hinzukommt, dass Nachrichten zu COVID-19 derzeit entweder mit besonderem Interesse oder mit besonderer Nervosität wahrgenommen werden. Beides machen sich die Angreifer zunutze, indem sie Phishing Mails versenden, die falsche Eilmeldungen oder Ratschläge zu COVID-19-Themen (z.B. falsche Schutz- oder Heilmittel- Empfehlungen behördlicher Stellen, Virologen oder Ärzte) beinhalten (sog. „Corona Phishing“). Ein falscher Klick auf einen in der E-Mail angezeigten Link oder eine im Anhang übersendete Datei kann die Installation einer Schadsoftware (z.B. Verschlüsselungstrojaner) auslösen oder dazu führen, dass wichtige Zugangsdaten abgegriffen werden.

Es können sowohl Eigenschäden als auch Drittschäden entstehen. Typische Eigenschäden sind z.B. die Kosten für die Aufklärung einer Cyberattacke und zur Datenwiederherstellung. Daneben stehen Kosten einer Betriebsunterbrechung und damit einhergehendem Produktionsausfall. Wird eine Cyberattacke öffentlich bekannt, leidet zudem die Reputation des betroffenen Unternehmens, was zu Gewinneinbußen führen kann. Schließlich können Bußgelder gegenüber Aufsichtsbehörden drohen. Drittschäden entstehen vor allem, wenn vertragliche Verpflichtungen, wie die Einhaltung bestimmter Lieferfristen, gegenüber dem Geschäftspartner nicht eingehalten werden können und diesem dadurch Schäden entstehen.

Insgesamt können die wirtschaftlichen Schäden, die aus Cyberattacken entstehen, immens sein. Für Unternehmen der produzierenden Industrie beispielsweise, die COVID-19 bedingt bereits auf „Sparflamme“ produzieren müssen, kann ein – auch nur temporärer – Produktionsstopp für das Unternehmen im schlimmsten Fall endgültig die Insolvenz bedeuten.

Cybersicherheit ist „Chefsache“. Überlassen Sie sie deshalb nicht dem Systemadministrator oder dem IT-Chef.

Der richtige Umgang mit Cybersicherheit erfordert eine ernsthafte Bestandsaufnahme zur Analyse des Risikos und des Bedarfs. Durch geeignete Maßnahmen ist dann für eine (dauerhafte) Gewährleistung einer funktionierenden IT-Infrastruktur zu sorgen. Hierzu gehört die Einrichtung eines funktionierenden Risikomanagements. Diese Vorkehrungen sind bereits aus der allgemeinen gesetzlichen Pflicht des Geschäftsleiters abzuleiten, bei seiner Geschäftsführung die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ anzuwenden (§ 93 Abs. 1 Satz 1 AktG; § 43 Abs. 1 GmbHG).

Bei Unterhaltung einer unzureichenden IT- Infrastruktur können Ansprüche des geschädigten Unternehmens gegen ihre Geschäftsleitung in Betracht kommen: Eine Pflichtverletzung kann z.B. gegeben sein, wenn elementare Sicherheitsstandards nicht befolgt werden, die nach dem Stand der Technik und der gängigen Unternehmenspraxis zu erwarten gewesen wären. In einem Schadensersatzprozess müsste der in Anspruch genommene Geschäftsleiter die fehlende Pflichtwidrigkeit seines Handelns darlegen und beweisen. Eine sorgfältige Dokumentation der IT-Risikoanalyse und der getroffenen Maßnahmen ist deshalb unabdingbar.

Die Anforderungen, die an die Cybersicherheit zu stellen sind, hängen von Art, Größe und Bedarf des Unternehmens ab. Eine „Musterlösung“, die für jedes Unternehmen gilt, gibt es nicht. Generell ist für die Prüfung der Frage, welche Schutzmaßnahmen für mein Unternehmen erforderlich sind, eine Vorgehensweise in zwei Stufen zu empfehlen:

a) Analyse

Nehmen Sie eine Bewertung vor, in welchem Maße sie ihr eigenes Unternehmen als von Cyberrisiken angreifbar ansiedeln, um in einem zweiten Schritt sich dann mit den konkreten Risiken und Sicherungsmaßnahmen zu befassen. Generell gilt: Je abhängiger ein Unternehmen von seinen IT-Systemen ist, desto höher ist der Bedarf an Cybersicherheit.

b) Implementierung der erforderlichen Maßnahmen

Ist die Analyse abgeschlossen, sind die erforderlichen organisatorischen und technischen Maßnahmen zur Sicherstellung der Cybersicherheit zu ergreifen (präventiv wie reaktiv). Eine Orientierungshilfe bieten in technischer Hinsicht die von der International Organisation for Standardisation (ISO) und der International Electrotechnical Commission (IEC) herausgegeben internationalen Standards zur Informationssicherheit (ISO/IEC 2700x-Reihe). Zu empfehlen ist darüber hinaus die Beachtung der im Internet abrufbaren Informationen und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das BSI hat u.a. einen „IT-Grundschutzkatalog“ sowie einen Leitfaden „Basismaßnahmen der Cyber-Sicherheit“ (nebst Checkliste) formuliert, die eine Hilfestellung zur Überprüfung und Eruierung der notwendigen (auch organisatorischen) Maßnahmen bieten können.

Neben diesen grundlegenden Aufgaben ist in Zeiten der COVID-19-Pandemie der Mitarbeitersensibilisierung besondere Aufmerksamkeit zu widmen. E-Mails mit allgemeinen Informationen über COVID-19, Links sowie E-Mails mit Anhängen sind besonders kritisch zu hinterfragen: Hierzu kann etwa die Kennzeichnung unternehmensexterner E-Mails, der Abgleich von E-Mail-Domain mit dem Absender oder die Verfolgung des Ziels eines Links (mit der Maus über den Link fahren, ohne diesen anzuklicken) gehören. Das BSI hat auf ihrer Internetseite unter der Rubrik „Service“ eine „Liste potentieller Bedrohungen“ erstellt, die es gerade in der derzeitigen Corona-Krise zu beachten gilt.