Georg Beham - 10 Strategien gegen Hackerangriffe

6.4 CLOUD SECURITY

6.4.1 Risiken der Cloud

6.4.2 Sicherheit in der Cloud

6.5 SYSTEMHÄRTUNG UND SICHERE KONFIGURATION

6.6 PATCH-MANAGEMENT

6.6.1 Planen der Patches

6.6.2 Testen der Patches

6.6.3 Ausrollen der Patches

6.7 NETZWERKSICHERHEIT

6.8 SCHUTZ VOR SCHADSOFTWARE

6.9 REGELMÄSSIGE ÜBERPRÜFUNGEN UND ÜBUNGEN

6.9.1 Awareness-Trainings

6.9.2 Schwachstellen-Scans

6.9.3 Penetration-Tests

6.9.4 Red-Team-Assessments

7 STRATEGIE 7: Physische Sicherheit etablieren

7.1 EINLEITUNG

7.2 SICHERHEITSZONEN

7.2.1 Firmengelände

7.2.2 Besprechungsräume

7.2.3 Verteilerschränke/-räume

7.2.4 Büros

7.2.5 Kritische Bereiche

7.3 ÜBERGREIFENDE SICHERHEITSMASSNAHMEN

7.3.1 Bauliche Maßnahmen

7.3.2 Zutrittskontrolle

7.3.3 Brandschutz

7.3.4 Stromversorgung

7.3.5 Weitere Schutzmaßnahmen

7.4 AGIEREN STATT REAGIEREN

8 STRATEGIE 8: Mitarbeiter begeistern

8.1 EINLEITUNG

8.2 TRAINING

8.2.1 Inhalte

8.2.2 Methoden

8.2.3 Herausforderung

8.3 MOTIVATION

8.3.1 Updates

8.3.2 Personalisierung

8.3.3 Gamification und Serious-Gaming

8.3.4 Belohnungssystem

9 STRATEGIE 9: Sicher im Homeoffice

9.1 EINLEITUNG

9.2 GOVERNANCE

9.3 IT-SECURITY

9.3.1 Device-Management

9.3.2 Bring-Your-Own-Device

9.3.3 Verschlüsselung bei Mobile Computing

9.3.4 Zugriffsschutz

9.3.5 Netzwerksicherheit

9.3.6 IT-Operations & Technology

9.4 PHYSISCHE SICHERHEIT

9.5 AWARENESS

9.5.1 Sichere Kommunikation

9.5.2 Phishing-Attacken

9.6 DATENSCHUTZ

9.7 KOMMUNIKATION IM HOMEOFFICE

9.8 ZUKUNFT IM HOMEOFFICE

10 STRATEGIE 10: Qualität steigern

10.1 DER KVP-PROZESS

10.2 MESSEN DER INFORMATIONSSICHERHEIT

10.2.1 KPIs entwickeln

10.2.2 Daten sammeln und analysieren

10.2.3 Massnahmen identifizieren und umsetzen

10.3 REPORTING

Ausblick

Literatur- und Normenverzeichnis

DIE AUTOREN

Abbildungsverzeichnis

ABBILDUNG 1: SCHEMATISCHE DARSTELLUNG DES PROZESSES

ABBILDUNG 2: BEISPIELHAFTE MATRIX ZUR BEWERTUNG VON BEDROHUNGEN

ABBILDUNG 3: ZUSAMMENWIRKEN VON BEDROHUNG, SCHWACHSTELLE UND RISIKO

ABBILDUNG 4: BEISPIEL GANTT-DIAGRAMM

ABBILDUNG 5: DREI DIMENSIONEN IN DER PROJEKTSTEUERUNG ALS DREIECK

ABBILDUNG 6: BEISPIEL FÜR SICHERHEITSZONEN

AV Antivirus

BCM Business Continuity Management

BSI Bundesamt für Sicherheit in der Informationstechnik

BIA Business-Impact-Analyse

BYOD Bring Your Own Device

CISO Chief Information Security Officer

CEO Chief Executive Officer

CFO Chief Financial Officer

DoS Denial-of-Service-Attacken

DDoS Distributed-Denial-of-Service-Attacken

DSGVO Datenschutz-Grundverordnung

EDR Endpoint Detection and Response

IDS Intrusion-Detection-System

IEC International Electrotechnical Commission

IKT Informations- und Kommunikationstechnik

IoT Internet of Things

IPS Intrusion-Prevention-System

ISB Informationssicherheitsbeauftragter

ISMS Informationssicherheits-Managementsystem

ISO International Organization for Standardization

KPI Key-Performance-Indicator

KMU Kleine und mittlere Unternehmen

KVP Kontinuierlicher Verbesserungsprozess

NIST National Institute of Standards and Technology

PDCA Plan-Do-Check-Act

SLA Service Level Management

SOC Security Operations Center

ToD Test of Design

ToE Test of Effectiveness

TOMs Technische und organisatorische Maßnahmen

USV Unterbrechungsfreie Stromversorgung

VPN Virtual Private Network

WBT Web-Based-Training

Georg Beham

In den letzten Jahren haben mein Team und ich viele Cyberangriffe für Kunden abgewehrt. In den meisten Fällen werden Angriffe, in denen beispielsweise Lösegelder für das Entschlüsseln von widerrechtlich verschlüsselten Dateien das Ziel sind, nicht mehr nach dem Prinzip von Postwurfsendungen[1] durchgeführt. Unternehmen werden immer häufiger ganz gezielt von Cyberkriminellen ausgewählt. Besonders Unternehmen, die niedrige Einstiegshürden aufgrund von Sicherheitslücken aufweisen bzw. deren Geschäftsfeld eine hohe Digitalisierung und somit eine Abhängigkeit der Wertschöpfung von der IT vermuten lässt, werden zum Opfer.

Den Grad der Digitalisierung kann ein Unternehmen heutzutage nicht reduzieren. Im Gegenteil, ist doch die Digitalisierung einer der Erfolgsfaktoren für die Zukunft. Die Hürde für Cyberkriminelle, nämlich eine funktionierende Cybersecurity, kann jedoch sehr wohl beeinflusst werden. Das Beispiel Ransomware[2] ist nur eine von vielen Varianten, wie sich Cyberkriminelle zu Lasten ihrer Opfer bereichern.

Wenn Sie nun als verantwortlicher Geschäftsführer oder als Teil des Managements in Ihrem Unternehmen dieses Buch lesen, dann sollten Sie sich die Frage stellen: „Wie hoch ist meine Hürde?”. Auch sollten Sie sich überlegen: „Wer kümmert sich für mich um dieses Risiko?” „Wer ist verantwortlich, wenn meine Produktion aufgrund einer Ransomware ausfällt?”

Sie sehen, worauf ich hinaus möchte: In den 1990er Jahren wurden IT-Bedrohungen vom IT-Verantwortlichen durch technische Maßnahmen abgewehrt. Ransomware ist zwar Software, dahinter stehen allerdings Cyberkriminelle, deren Ziel die Einnahme von Lösegeld ist. Es handelt sich hierbei nicht mehr um eine reine IT-Bedrohung, sondern um eine Unternehmensbedrohung. Auch die Maßnahmen, die das Risiko in Bezug auf derartige Bedrohungen minimieren, sind nur zum Teil technischer Herkunft. Ein Cyberangriff richtet sich nicht gegen die IT Ihres Unternehmens, sondern direkt gegen Ihr Unternehmen, für welches Sie haften.

Cybersecurity ist daher definitiv Chefsache! Übernehmen Sie selbst diese Verantwortung und delegieren Sie dieses Risiko nicht an die IT.

Als leidenschaftlicher Segler möchte ich die Kernaussage des vorliegenden Werks mit einem an ein Zitat von Aristoteles angelehnten Satz zusammenfassen:

„Wir können den Wind nicht ändern, aber die Segel richtig setzen.“

Cyberangriffen werden wir immer wieder ausgesetzt sein. In diesem Buch zeigen wir Ihnen, wie Sie Ihr Unternehmen mit höchstmöglicher Sicherheit für solche Turbulenzen rüsten bzw. es durch diese hindurch steuern können.

Georg Beham

Geschäftsführer

PwC Advisory Services GmbH Österreich

1Das massenhafte Versenden von Post an Empfängergruppen.

2Mittels Ransomware können Daten widerrechtlich verschlüsselt werden.

Georg Beham

An dieser Stelle möchte ich Ihnen das Thema Cybersecurity anhand meiner Erfahrungen und einer kurzen Geschichte dazu näherbringen.

Seit 1989 arbeite ich in der IT-Branche und konnte so die Digitalisierung österreichischer Unternehmen hautnah miterleben. In den frühen 1990er Jahren gab es nur wenige vereinzelte Computersysteme in Unternehmen. Ich selbst war zu dieser Zeit IT-Leiter einer Reisebürokette. EDV, so hieß die Disziplin dazumal, umfasste hauptsächlich das Auftragsbearbeitungssystem; E-Mails gab es keine. Es wurden Briefe geschrieben und Faxe versendet. Flüge und Pauschalreisen wurden zwar vereinzelt schon über vernetzte Software gebucht, fiel diese aus, dann war der Griff zum Telefonhörer eine rasche und effektive Backup-Lösung. Die kritischen Geschäftsprozesse liefen also entweder gar nicht über die IT und wenn, dann konnte ein Ausfall durch manuelle Verfahren ausgeglichen werden.

Diese Zeiten sind in fast allen Unternehmen, ob KMU oder Konzern, längst vorbei. Die wertschöpfenden Geschäftsprozesse sind weitestgehend IT-abhängig. Ein manuelles Verfahren gibt es im Regelfall nicht mehr.