IT-Sicherheit Wie Unternehmen Sicherheitslücken aufdecken

Die IT von Unternehmen ist nicht nur durch Hacker in Gefahr. Probleme und Pannen haben oft andere Auslöser. Der internen Revision fällt bei der Suche nach Schwachstellen in den IT-Systemen eine Schlüsselrolle zu.

Die Verbreitung von Firmengeheimnissen kann zu Millionenschäden führen. Doch das passiert nicht nur durch Hacker, sondern auch auf Twitter Quelle: dpa

Schlagzeilen über NSA-Lauschangriffe und Cyberattacken füllen derzeit die Medien. Kaum ein Tag vergeht, an dem nicht über Internetspionage berichtet wird.

Beim aktuellen Hype über diese Form von Angriffen auf vertrauliche Daten werden Risiken, die aus anderen IT-Schwächen resultieren, etwas in den Hintergrund gedrängt. Dabei werden Betriebsgeheimnisse auch von den eigenen Mitarbeitern ganz einfach über Social Media verbreitet und vor den schon fast als zur „old economy“ zählenden EDV-Ausfällen, die durch fehlerhafte System- oder Softwareupdates hervorgerufen werden, ist man noch immer nicht gefeit.

Zu den Autoren

Eine missglückte Softwareaktualisierung führte im April 2015 bei den Bundesarbeitsagenturen zu einem stundenlangen Systemausfall. Da die Software zentral betrieben wird, konnten bundesweit in den Jobcentern keine Stellenanzeigen abgerufen werden. Nicht einmal die Terminwahrnehmung der Arbeitssuchenden konnte elektronisch dokumentiert werden.

Schwache interne, automatisierte Kontrollen waren sicher mit ein Grund dafür, dass Jérôme Kerviel der Société Générale in 2008 einen Schaden von EUR 4,8 Milliarden zufügen konnte.

Firmengeheimnisse gibt es auch auf Twitter

Der spektakuläre Fall von Gene Morphis, der 2012 in den USA von seinem Posten als CFO bei Francesca’s Holding Corp. entlassen wurde, weil er Informationen über Board Meetings und Ergebnisse per twitter und Facebook veröffentlicht hat, zeigt, dass nicht unbedingt aufwendige Spionagetechniken notwendig sind, um an Firmengeheimnisse zu gelangen.

Im Juni 2015 wurde ein Hackerangriff auf den Bundestag bekannt, der einfach darauf basierte, dass Angreifer einen schadhaften Link per E-Mail verschickt hatten. Der Link führte zu einer präparierten Webseite, die einen Trojaner im Netzwerk des Bundestags installierte.

Forum IT-Sicherheit

Diese Beispiele zeigen, dass IT-Schwächen und mangelhaftes Wissen im Umgang mit modernen Medien zum Nachteil von Organisationen ausgenutzt werden. Dies passiert absichtlich oder unabsichtlich und sowohl von eignen Mitarbeitern als auch durch Externe. In vielen Fällen kann der entstandene Schaden nicht einmal direkt bewertet werden, da der Grad der Ausnutzung beziehungsweise des Missbrauchs von gestohlenen, vertraulichen Informationen entweder gar nicht oder nicht sofort bekannt wird. Mitarbeiter, die fahrlässig handeln, müssen mit Konsequenzen rechnen.

Eine IT-Nutzer-Richtlinie ist unbedingt notwendig

Es steht außer Diskussion, dass IT-Schwächen abgesichert werden müssen, um solche Vorfälle, die Organisationen nicht nur Reputationsschäden, sondern auch finanziellen Verlust zufügen, zu vermeiden. Aber welches organisatorische Umfeld muss geschaffen werden und wie können IT-Risiken erkannt werden, um überhaupt adäquate Maßnahmen ergreifen zu können?

Verbrechen 4.0 - das ist möglich

Richtlinien zum Umgang mit IT sollten als Basis jeden Handelns von Mitarbeitern dienen. Eine IT-Nutzer-Richtlinie, in der unter anderem auf die Gefahren im achtlosen Umgang mit EDV hingewiesen wird, sowie eine Social-Media-Richtlinie, in der zum Beispiel die Veröffentlichung von Firmeninformationen geregelt wird, sind unabdingbar. Konkret sollte es darauf Hinweise geben, dass Links und Anhänge von unbekannten Absendern gar nicht oder nur mit äußerster Vorsicht geöffnet werden sollten.

Private Software, ob per E-Mail oder auf USB-Stick mitgebracht, darf auf keinem Firmencomputer installiert werden. Ferner hat kein nicht explizit dafür autorisierter Mitarbeiter Firmeninformationen zu veröffentlichen, es sei denn, sie sind sowieso bereits offiziell bekannt gemacht. Solche Anweisungen mögen zwar trivial anmuten, die Praxis zeigt jedoch, dass sich Mitarbeiter nicht immer entsprechend verhalten.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%