Glücklicherweise sind sich Mitarbeiter, Manager und Unternehmensvorstände heute in der Regel darüber im Klaren, dass Informations-, Daten- und Cybersicherheit ein unternehmenskritisches Thema ist. Vielleicht liegen bereits Strategien dafür vor. Viele Unternehmen entwickeln derzeit bereits robuste Managementsysteme für Informationssicherheit, aber andere hinken auch noch hinterher. Selbst für Organisationen, die glauben, dass sie alles im Griff haben, gibt es Fallstricke. Sobald das Fortbestehen eines Unternehmens durch etwas Konkreteres wie beispielsweise die Abnahme des Kundenstamms oder steigende Kosten bedroht wird, verlagert sich der Fokus möglicherweise.
Und das kann verhängnisvolle Folgen haben. Warum?
Weil, was auch immer der Grund für einen Cyberangriff ist – sei es Online-Vandalismus, die Erpressung von Bargeld, der Diebstahl von Kundendaten, Spionage aus kommerziellen, industriellen oder politischen Gründen oder ein anderer böswilliger Zweck – das Ergebnis mit ziemlicher Sicherheit eine schwerwiegende Beeinträchtigung sein wird, für deren Beseitigung die begrenzten Ressourcen benötigt werden.
Die Folgen können wirtschaftlicher, sozialer oder technischer Art sein oder eine Kombination davon. So erfordert beispielsweise ein Angriff, der Schwachstellen in einem Informationsnetzwerk ausnutzt, technische Maßnahmen, um das Problem zu beseitigen und eine Wiederholung zu verhindern. In manchen Fällen kann der Aufwand so groß sein, dass es besser ist, alle betroffenen Geräte auszutauschen, um sicherzustellen, dass die Bedrohung nicht wieder vorkommt.
Diese Lösung wählte eine führende Containerlinien-Reederei nach einem Ransomware-Angriff. Der wochenlange Ausfall des Buchungssystems des Unternehmens führte zu Umsatzeinbußen, und die Neukonfiguration des IT-Netzwerks erforderte den Austausch von 4.000 Servern, 45.000 PCs und 2.500 Anwendungen. Die Gesamtkosten wurden auf etwa 300 Millionen US-Dollar beziffert.
Die rufschädigende Wirkung erfolgreicher Angriffe sollte nicht unterschätzt werden. Kunden legen Wert auf die Sicherheit ihrer Daten, wo auch immer diese gespeichert sind, und können durchaus zu dem Schluss kommen, ihre Geschäftsbeziehung mit Unternehmen, die diese Daten nicht schützen können, zu beenden und zu einem Konkurrenten zu wechseln.
Als sehr großes Unternehmen ist die Containerlinien-Reederei enorm auf ihr IT-Netzwerk angewiesen, um die Buchungen von vielen Millionen Containern und den Einsatz von fast eintausend Schiffen zu gewährleisten. Für ein kleineres Unternehmen sorgen die Auswirkungen vielleicht nicht für große Schlagzeilen, aber selbst in kleinerem Maßstab könnten sie ein Unternehmen ruinieren.
Jeder ist ein Ziel
Heutzutage sind alle Wirtschaftsunternehmen ein mögliches Ziel, nicht nur IKT-Unternehmen. Sogar Einrichtungen der Gesundheitsbildung und des Gesundheitswesens wurden bereits angegriffen. Das Gesundheitswesen ist derzeit eines der am stärksten betroffenen Bereiche, vielleicht wegen der großen Anzahl der dort gespeicherten personenbezogenen Daten.
Im August 2022 war die Notrufnummer 111 des britischen National Health Service (NHS) von einem Ransomware-Angriff betroffen. Die Notrufnummer 111 ist eine zusätzliche Notrufnummer neben der Hauptnotrufnummer 999 und ist für weniger dringende medizinische Hilfe außerhalb der üblichen Sprechzeiten gedacht. Der Angriff führte dazu, dass Patienten keine medizinische Hilfe erhielten und andere zu Hausärzten verwiesen wurden, obwohl dies nicht nötig gewesen wäre. Dies war nicht der erste Angriff. 2017 erfolgte ein Ransomware-Angriff durch Kriminelle, der den NHS über 20 Millionen Pfund gekostet haben soll.
Die Gesamtkosten
Die meisten Angriffe erfolgen online, oft durch Phishing unter Nutzung von E-Mail-Systemen, kompromittierten oder gestohlenen Geräten, wie Laptops oder mobilen Geräten, die mit einem Netzwerk verbunden sind. Auch USB-Sticks können dazu verwendet werden. In einer aktuellen Studie gab etwa die Hälfte (49 %) aller Unternehmen an, Opfer eines webbasierten Angriffs geworden zu sein. Dabei handelte es sich bei 43 % um Phishing, bei 35 % um allgemeine Malware und bei 26 % um SQL-Injection. Bei dieser Art von Angriff werden Datenbanken infiltriert und Fehler verursacht oder sogar die gesamte Datenbank auf den Computer des Hackers heruntergeladen. Bei jedem fünften Unternehmen kam es zu DoS-Angriffen.
Letztes Jahr forderte eine globale Allianz von Technologieunternehmen und Strafverfolgungsbehörden, darunter das FBI, Microsoft und Amazon, „aggressive und dringende“ Maßnahmen gegen Ransomware. Laut der Ransomware Task Force (RTF) hat sich Ransomware zu einer ernsthaften Bedrohung für die nationale Sicherheit sowie die Volksgesundheit und öffentliche Sicherheit entwickelt. Dies hat enorme Auswirkungen auf die Wirtschaft und den Zugang der Bevölkerung zu kritischen Diensten. Schätzungen zufolge beliefen sich die weltweiten Kosten von Ransomware, einschließlich Betriebsunterbrechungen und Lösegeldzahlungen, allein im Jahr 2020 auf 42 bis 170 Milliarden US-Dollar. Die genaue Summe bleibt jedoch im Dunkeln, da viele Opfer es vorziehen, die Auswirkungen auf ihre Organisation geheim zu halten.
Erhöhen Sie Ihre Anstrengungen
Da so viel auf dem Spiel steht, ist es nicht verwunderlich, dass Unternehmen Maßnahmen ergreifen, um die Risiken zu verringern. Manchen fällt es jedoch schwer, zu wissen, wo sie anfangen sollen. Der wohl sinnvollste Weg, die tatsächlichen Risiken zu erfassen, Mittel zur Verhinderung von Sicherheitsverletzungen einzusetzen und Prozesse für den Umgang mit etwaigen Vorfällen zu entwickeln, ist die Entwicklung eines Managementsystems für Informationssicherheit auf der Grundlage internationaler Best Practices wie ISO/IEC 27001, der wohl anerkanntesten Norm für Managementsysteme für Informationssicherheit.
Diese Norm bietet ein strukturiertes Rahmenwerk für die Entwicklung und Umsetzung von Prozessen und Sicherheitskontrollen und gewährleistet beispielsweise das Engagement des Managements sowie die Schulung der Mitarbeiter.
Viele Organisationen verfügen bereits über Qualitäts-, Umweltschutz- oder Managementsysteme für die Sicherheit und Gesundheit bei der Arbeit. Das Konzept und der Ansatz sind identisch und die neue Version von ISO/IEC 27001 ist an der Harmonisierten Struktur (HS) ausgerichtet, um die Integration zu erleichtern.
Die zusätzliche Zertifizierung nach ISO/IEC 27001 durch eine unabhängige Zertifizierungsstelle gibt Ihnen die nötige Sicherheit, und schafft Vertrauen bei Ihren Stakeholdern, dass Sie über solide Systeme zum Management von Informations-, Daten- und Cybersicherheitsrisiken verfügen.