Cybersicherheit in Firmen steht und fällt mit dem Management

Wien (APA) - Praktisch jede Firma muss digitalisieren und wird damit durch Cyber-Angriffe verwundbar. Wie gut sich ein Unternehmen dagegen w...

Wien (APA) - Praktisch jede Firma muss digitalisieren und wird damit durch Cyber-Angriffe verwundbar. Wie gut sich ein Unternehmen dagegen wappnen kann, steht und fällt mit der Rückendeckung durch das Management, sagt Roman Hohl, Country Manager für Österreich bei Palo Alto Networks. Denn nur wenn die Chefs Ressourcen aufbringen und dem Thema hohe Priorität einräumen, entstehen wirksame Sicherheitssysteme.

Natürlich müssen Firmen in moderne Technik und Software investieren, eine große Schwachstelle bleibt aber der Mensch. Und zwar nicht nur der frustrierte oder böswillige Mitarbeiter, oder ein schlecht geschulter Angestellter. Gerade die Chefs sind oft eine Schwachstelle: „Auslöser von Cyberproblemen sind oft die Chefs, die sich an die eigenen Vorgaben nicht halten“, weiß Hohl. Und Yorck Reuber von AXA schreibt in einem von Palo Alto herausgegebenen Ratgeber für Führungskräfte: „Insbesondere Führungskräfte neigen dazu, solche Angriffe zu unterschätzen, beziehungsweise halten sich für hinreichend clever, im Zweifelsfall nichts zu verraten. Beides sind gefährliche Irrtümer.“

Hundertprozentige Sicherheit gibt es nicht, aber man kann es den Angreifern so schwer machen, dass die meisten sich einfacheren Zielen zuwenden, sagte Hohl im Gespräch mit der APA. Vorsorge alleine ist aber noch kein Konzept. „Unwirtschaftlich und unrealistisch“ wäre es, das ganze Sicherheitsbudget in die Prävention zu stecken, schreibt dazu Andreas Rohr von der Deutsche Cyber-Sicherheitsorganisation GmbH (DCSO) in dem Ratgeber, der auf 155 Seiten Beiträge verschiedenster Experten vereint. „Ein relevanter Teil des Geldes sollte in Mechanismen zur Erkennung erfolgreicher Angriffe und Nachsorgemaßnahmen investiert werden“, empfiehlt Rohr. Und schon in guten Zeiten sollten Strukturen für einen großen Ernstfall installiert werden. Denn in der Krise sei es dafür zu spät.

Oft sind es einfache Fehler, die für einen Angriff genutzt werden. „Ich schätze, dass in 20 Prozent der Unternehmen Leute noch Zugang haben, die schon längst nicht mehr in der Firma sind“, sagt Hohl. Oder jemand hat mit dem Firmen-PC daheim gesurft und bringt so einen Trojaner ins Netzwerk. Vor zehn Jahren mag noch eine Firewall gereicht haben, heute sicher nicht mehr. „Die Fotos von der Firmenfeier liefern auf dem Silbertablett, welcher Mitarbeiter welche Kollegen kennt und wie diese heißen. Dies genügt unter Umständen schon, um die Spear-Phishing-E-Mail hinreichend zu personalisieren und so den fatalen Klick zu provozieren“, schreibt Reuber.

Ein großer Irrtum wäre es auch, zu glauben, dass nur Firmen mit sensiblen Kundendaten gefährdet sind. Hohl verweist auf eine Keksfabrik, in der per Cyberattacke die Teigsteuerung außer Kraft gesetzt wurde. Die Folge war, dass alle Rohre, über die Teig verteilt wurden verstopft wurden und ausgetauscht werden mussten, der Schaden lag bei 2,5 Mio. Euro und die Produktion stand vier Wochen still.

Zwei Kapitel in dem Buch widmen sich der ab 25. Mai 2018 gültigen EU-Verordnung zum Umgang mit Personendaten (EU-Datenschutzgrundverordnung/DSGVO). Das neue Gesetz spricht jedem, dessen Daten gestohlen werden, Schadenersatz zu und bedroht Firmen mit Strafen bis zu 20 Millionen Euro bei schwerwiegenden Verstößen. Die Verordnung schreibt Systeme und Prozesse vor. Nur notwendige Kundendaten dürften gesammelt werden, sie sind rasch zu löschen, wenn sie nicht mehr nötig sind. Zugang zu heiklen Daten in der Firma ist einzuschränken und alle Eingriffe sind laufend zu dokumentieren. Eines der wichtigsten Elemente der EU-Verordnung ist die Meldung jeder Verletzungen des Datenschutzes innerhalb von 72 Stunden an die Behörden. Firmen sind gut beraten, rasch über die Umsetzung der DSGVO nachzudenken, empfiehlt die Rechtsanwältin Carmen De la Cruz Böhringer in ihrem Beitrag. Und Reto Häni von PwC Schweiz schreibt: „Das Erfüllen der EU-Datenschutzgrundverordnung darf nicht als Pflichtübung für die Compliance- und Rechtsabteilungen gesehen werden, sonst wird das Projekt misslingen.“ Tatkräftiger Einsatz der Firmenspitze ist gefragt.

S E R V I C E: „Wegweiser in die digitale Zukunft - Praxisrelevantes Wissen zur Cyber-Sicherheit für Führungskräfte“, Hrsg Palo Alto Networks, Verlag Planet c, ISBN 978-3-937596-921