Schlagzeilen über NSA-Lauschangriffe und Cyberattacken füllen derzeit die Medien. Kaum ein Tag vergeht, an dem nicht über Internetspionage berichtet wird.
Beim aktuellen Hype über diese Form von Angriffen auf vertrauliche Daten werden Risiken, die aus anderen IT-Schwächen resultieren, etwas in den Hintergrund gedrängt. Dabei werden Betriebsgeheimnisse auch von den eigenen Mitarbeitern ganz einfach über Social Media verbreitet und vor den schon fast als zur „old economy“ zählenden EDV-Ausfällen, die durch fehlerhafte System- oder Softwareupdates hervorgerufen werden, ist man noch immer nicht gefeit.
Zu den Autoren
Roland Weilguny ist Group Audit Director bei der Prinzhorn-Holding in Wien
Peter Brauch war Leiter der Konzernrevision bei EADS (heute: Airbus)
Eine missglückte Softwareaktualisierung führte im April 2015 bei den Bundesarbeitsagenturen zu einem stundenlangen Systemausfall. Da die Software zentral betrieben wird, konnten bundesweit in den Jobcentern keine Stellenanzeigen abgerufen werden. Nicht einmal die Terminwahrnehmung der Arbeitssuchenden konnte elektronisch dokumentiert werden.
Schwache interne, automatisierte Kontrollen waren sicher mit ein Grund dafür, dass Jérôme Kerviel der Société Générale in 2008 einen Schaden von EUR 4,8 Milliarden zufügen konnte.
Firmengeheimnisse gibt es auch auf Twitter
Der spektakuläre Fall von Gene Morphis, der 2012 in den USA von seinem Posten als CFO bei Francesca’s Holding Corp. entlassen wurde, weil er Informationen über Board Meetings und Ergebnisse per twitter und Facebook veröffentlicht hat, zeigt, dass nicht unbedingt aufwendige Spionagetechniken notwendig sind, um an Firmengeheimnisse zu gelangen.
Im Juni 2015 wurde ein Hackerangriff auf den Bundestag bekannt, der einfach darauf basierte, dass Angreifer einen schadhaften Link per E-Mail verschickt hatten. Der Link führte zu einer präparierten Webseite, die einen Trojaner im Netzwerk des Bundestags installierte.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Diese Beispiele zeigen, dass IT-Schwächen und mangelhaftes Wissen im Umgang mit modernen Medien zum Nachteil von Organisationen ausgenutzt werden. Dies passiert absichtlich oder unabsichtlich und sowohl von eignen Mitarbeitern als auch durch Externe. In vielen Fällen kann der entstandene Schaden nicht einmal direkt bewertet werden, da der Grad der Ausnutzung beziehungsweise des Missbrauchs von gestohlenen, vertraulichen Informationen entweder gar nicht oder nicht sofort bekannt wird. Mitarbeiter, die fahrlässig handeln, müssen mit Konsequenzen rechnen.
Eine IT-Nutzer-Richtlinie ist unbedingt notwendig
Es steht außer Diskussion, dass IT-Schwächen abgesichert werden müssen, um solche Vorfälle, die Organisationen nicht nur Reputationsschäden, sondern auch finanziellen Verlust zufügen, zu vermeiden. Aber welches organisatorische Umfeld muss geschaffen werden und wie können IT-Risiken erkannt werden, um überhaupt adäquate Maßnahmen ergreifen zu können?
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Richtlinien zum Umgang mit IT sollten als Basis jeden Handelns von Mitarbeitern dienen. Eine IT-Nutzer-Richtlinie, in der unter anderem auf die Gefahren im achtlosen Umgang mit EDV hingewiesen wird, sowie eine Social-Media-Richtlinie, in der zum Beispiel die Veröffentlichung von Firmeninformationen geregelt wird, sind unabdingbar. Konkret sollte es darauf Hinweise geben, dass Links und Anhänge von unbekannten Absendern gar nicht oder nur mit äußerster Vorsicht geöffnet werden sollten.
Private Software, ob per E-Mail oder auf USB-Stick mitgebracht, darf auf keinem Firmencomputer installiert werden. Ferner hat kein nicht explizit dafür autorisierter Mitarbeiter Firmeninformationen zu veröffentlichen, es sei denn, sie sind sowieso bereits offiziell bekannt gemacht. Solche Anweisungen mögen zwar trivial anmuten, die Praxis zeigt jedoch, dass sich Mitarbeiter nicht immer entsprechend verhalten.
