Sobald Hacker in Ihrem Unternehmen datenschutzrelevante Daten entwenden, tragen Sie die Verantwortung für die Folgen – auch rechtlich. Dennoch ist Cybersicherheit in Unternehmen immer noch nicht so selbstverständlich wie ein ordentliches Schloss an der Haustür. Und das, obwohl dieses Thema genauso viel Aufmerksamkeit verdient.
Wer fängt uns, warum sollten wir für Hacker von Interesse sein? Die Vorstellung, dass anderswo immer größere Fische im Meer schwimmen, führt bei kleineren Unternehmen oft zu Trägheit. Aber täuschen Sie sich nicht: Selbst die kleinste Datei mit persönlichen Daten ist für Hacker einen Einbruch wert. Und Unternehmen, die böswilligen Akteuren den roten Teppich ausrollen, indem sie die Cybersicherheit auf der Prioritätenliste ganz unten ansiedeln, sind genauso gefährdet wie die großen Fische, die auf einer Goldmine von Daten sitzen.
Gute Sicherheitspolitik ist eine Frage des Bewusstseins
Edward van Egmond ist Senior Manager IT Audit bei Noordbeek und hilft Unternehmen, Schwachstellen in der Online-Sicherheit zu erkennen. Unter anderem führt er PCI- und 3DS-Audits für Online-Zahlungstransaktionen durch und ist ein „registrierter IT-Auditor“ für Assurance-Aufträge. In der Praxis sieht er regelmäßig, wie sich gute Cybersicherheitsmaßnahmen auswirken, aber auch, welche Folgen es haben kann, wenn sie noch mehr oder weniger fehlen. „Wie oft erlebe ich, dass jemand ein neues Modem bekommen hat und den Benutzernamen und das Passwort auf ‚admin-admin‘ belassen hat“, sagt van Egmond. „Bei einer guten Cybersicherheitspolitik geht es vor allem um das Bewusstsein, sowohl auf Unternehmens- als auch auf individueller Ebene.“
Sicherheitsbewusstsein ist der Beginn der Vorbeugung
Prävention beginnt also mit der Sensibilisierung, fährt Van Egmond fort. „Es ist zum Beispiel enorm wichtig, die Mitarbeiter regelmäßig zu sensibilisieren. Nicht die übliche Routine der offenen Tür einmal im Jahr, sondern innovatives Material, das regelmäßig und auf anregende Weise wiederholt wird. Vereinbaren Sie z. B., dass das Thema Cybersicherheit alle vier Wochen bei einer Arbeitssitzung besprochen wird. Sie können die Personen, die während einer solchen Besprechung eine kurze Präsentation zu einem Unterthema halten, rotieren lassen, damit sie ihr eigenes Steckenpferd zur Sprache bringen können. Indem Sie das Thema aktuell halten, sorgen Sie dafür, dass es nicht in den Hintergrund gerät. Die Risiken liegen wirklich in einer kleinen Ecke: Die meisten Menschen verwenden dieselbe E-Mail-Adresse und dasselbe Passwort auf vielen Websites. Dadurch werden die Folgen schnell erheblich. Wenn sie ihre Daten auf nicht vertrauenswürdigen Websites eingeben, können Hacker auf einer solchen Website das Passwort mit einem einfachen Skript „stehlen“. Damit können sie sich Zugang zu vielen anderen Websites verschaffen.
Gute Informationspolitik oft nicht vorhanden
Anständige Cybersicherheit hängt von einer guten Informationspolitik ab, argumentiert Van Egmond. Die Informationspolitik ist die Vision einer Organisation von starker Sicherheit, um u.a. die Risiken des unbefugten Zugriffs zu verringern. In der Praxis sieht er jedoch oft, dass es genau daran mangelt. „Ich sehe oft, dass Webshops, die gehackt wurden, danach einen schnellen Website-Sicherheitsscan durchführen, z. B. nach PCI. Es stellt sich dann heraus, dass sie die gefundenen Schwachstellen zwar nach eigenem Ermessen bewertet und behoben haben, aber nicht in eine Informationspolitik umgesetzt haben. Sie denken dann, dass alles in Ordnung ist, nur um später herauszufinden, dass die Sicherheit doch nicht auf dem neuesten Stand ist. Eine korrekte Informationspolitik ist daher sehr wichtig. Wenn die Mitarbeiter nicht wissen, welche Verfahren sie zu befolgen haben, wie soll man dann ein Bewusstsein schaffen?“
Eine gute Politik festlegen und entsprechend handeln
Also: gute Politik machen und danach handeln, lautet die Devise. Sensibilisierungsschulungen können dann dafür sorgen, dass die Politik tatsächlich gelebt wird und die Mitarbeiter sich ihrer Bedeutung bewusst bleiben. Aber woher weiß man als Unternehmen, ob die Richtlinie noch angemessen ist und ob die getroffenen Maßnahmen noch ausreichen? „Vorbeugende Website-Sicherheitsscans sind dabei sehr hilfreich“, meint Van Egmond.
Mit präventiven Scans ein zusätzliches Auge auf die Dinge werfen
„Durch regelmäßiges Scannen Ihrer Website, Webanwendungen und Webserver auf Sicherheitslücken und Schwachstellen sorgen Sie dafür, dass ein zusätzliches Auge auf die Dinge geworfen wird. Sehr schön, wenn man denkt, dass man seine Sicherheit im Griff hat: Ein Scan prüft jede Woche, ob das tatsächlich noch der Fall ist. Bei jeder technischen Änderung und/oder Aktualisierung wird wöchentlich überprüft, ob noch alles in Ordnung ist oder ob Anpassungen notwendig sind.
Vorbeugende Scans sind nicht mehr und nicht weniger als eine Wartungsmaßnahme für Ihre Cybersicherheitspolitik. Dafür sind Sie verantwortlich, nicht der Website-Betreiber. Denken Sie an eine TÜV-Inspektion: auch dafür sind Sie verantwortlich, nicht der Hersteller des Autos. Ein Scan ist ein kleiner Aufwand mit großer Wirkung.
Möchten Sie erfahren, wie ein Sicherheitsscan funktioniert und Ihre Website auf einige grundlegende Sicherheitsaspekte überprüfen?
