“IT-Sicherheit: Es kommt auf jeden Einzelnen an”
Von Dr. Klaus Schäfer, VP Technology – F24 Group
Malware, Hackerangriffe, Datenklau – die Gefahr eines Angriffs auf die IT-Systeme ist nicht nur gefühlt größer geworden. Laut dem Threat Landscape Report der European Union Agency for Network and Information Security (ENISA) ist der Umfang fast aller Bedrohungen im IT IT-Umfeld 2017 angestiegen.
Accenture beziffert das Plus aufgrund von Cyberkriminalität in ihrer Cost-of-Cyber-Crime-Studie sogar mit 27,2%, in Zahlen ausgedrückt sprechen wir hier von 11,7 Mio. USD. Zur Abwehr all dieser Gefahren gibt es entsprechende Schutzmaßnahmen, aber längst dürfte klar sein, dass es keine vollkommene Sicherheit gibt. Wir haben mit Dr. Klaus Schäfer, Head of IT bei F24, darüber gesprochen, worauf es im Falle eines IT-Angriffs ankommt und warum der Mensch für die IT-Sicherheit mindestens ebenso wichtig ist, wie die Technik an sich.
Verschiedene Studien machen deutlich, dass die Gefahr, von einem Cyberangriff betroffen zu sein, stark gestiegen ist. Wie kommt das und welche Konsequenzen hat das für Unternehmen?
Klaus Schäfer: „IT Security betrifft heute jedes Unternehmen. Grund dafür ist die immer weiter fortschreitende Digitalisierung der Geschäftswelt. Ein Worstcase besteht für viele Unternehmen heute in einem sogenannten DDoS: Distributed Denial of Service. In so einem Fall ist der Dienst des Unternehmens durch Überlastung nicht mehr bzw. nur noch eingeschränkt verfügbar. Auch Hackerangriffe, die primär auf das Abgreifen oder Verschlüsseln von Daten aus sind, können einen DDoS bewirken. Und wenn das eigene Angebot nicht mehr verfügbar bzw. ein Unternehmen nicht mehr arbeitsfähig ist, kann das richtig viel Geld kosten.
Gleichzeitig ist die Innovationsfrequenz gerade in der IT heute extrem hoch. Sich gegen Angriffe technisch abzusichern, wird immer schwieriger, da der Schutzmechanismus schon bald wieder überholt ist. Dem können IT-Verantwortliche nur Herr werden, indem die Prozesse zur ständigen Prüfung des Sicherheitsstatus ohne Kompromisse eingehalten werden.“.
IT Security betrifft heute jedes Unternehmen.
Dr. Klaus Schäfer, VP Technology – F24 Group
Wie sieht das in der Praxis konkret aus?
Klaus Schäfer: „Bei der Sicherheit im prozessualen Sinn spielt der Mensch – und damit jeder einzelne Mitarbeiter – eine wichtige Rolle. Erfolgreich sind in den meisten Fällen nicht die direkten (technischen) Angriffe von außen, sondern über irgendeinen bestehenden Zugang, wie beispielsweise einen Mitarbeiter. Und das soll kein Fingerzeig auf die Mitarbeiter sein, aber der Mensch ist per se (und zum Glück) ja nicht vollumfänglich steuer- und kontrollierbar. Vor allem ist nicht jeder immer auf die IT-Sicherheit, sondern in der Regel auf seine eigentliche Aufgabe fokussiert. Eine kleine Unachtsamkeit, ein USB-Stick fremder Herkunft, und es kann passiert sein. Wichtig ist es deshalb, dass die Mitarbeiter sensibilisiert und regelmäßig trainiert werden. Gerade in kleinen und mittelständischen Unternehmen gerät das leider oft in den Hintergrund.“
Unternehmen müssen sich heute quasi darauf gefasst machen, irgendwann und in irgendeiner Weise von einem Cyberangriff betroffen zu sein. Worauf kommt es im Ernstfall an?
Klaus Schäfer: „Bei einem Angriff auf die IT muss es das Ziel sein, einerseits den Schaden zu begrenzen und andererseits die Systeme schnellstmöglich wieder zum Laufen zu bringen.
Der entscheidende Faktor ist hier die Kommunikation – sei es mit den Mitarbeitern, um eine Ausbreitung des Angriffs zu vermeiden, sei es mit den Kunden oder Geschäftspartnern oder auch gegenüber der Öffentlichkeit. Beispielsweise können Außenstehende mit einer separaten Infohotline informiert und auf dem Laufenden gehalten erfahren.
Auch die Kommunikation mit und unter Expertenteams, die an der Problemlösung arbeiten, sollte sichergestellt sein. Grundsätzlich gilt, dass Kommunikation immer möglich sein muss – natürlich im besten Fall so schnell wie möglich. Da bei Angriffen auf die IT häufig auch Telefonverbindungen – Stichwort: Voice-over-IP – betroffen sind, ist es besonders wichtig, in solchen Fällen unabhängig von der hauseigenen IT und Kommunikationsinfrastruktur agieren zu können.“
Die Systeme von F24 unterliegen demnach genauso der Gefahr eines Angriffs wie jedes andere Unternehmen. Wie schützt sich F24 gegen solche Angriffe?
Klaus Schäfer: „FACT24 ist explizit für solche Fälle konzipiert und stellt eine Art Parallelwelt zur eigenen IT-Infrastruktur unserer Kunden dar. Im Unterschied zu den meisten anderen Unternehmen ist es unser Kerngeschäft im Hinblick auf Sicherheit und Verfügbarkeit immer auf dem bestmöglichen und neuesten Stand zu sein – das lohnt sich für die meisten Unternehmen hinsichtlich zeitlicher, personeller und finanzieller Ressourcen nicht. Und wir setzen hier auf prozessuale und technische Maßnahmen. Was bedeutet, dass wir nicht nur in technischer Hinsicht auf dem neuesten Stand sind – Stichwort: Sicherheitsupdates, Firewalls – auch unsere Mitarbeiter sind entsprechend sensibilisiert, geschult und werden auch außerhalb von Zertifizierungs-Audits regelmäßig trainiert. Das alles bildet für uns die Grundlage und steht täglich auf unserer Agenda.
Darüber hinaus ist die F24 AG und die Mehrheit Ihrer Tochtergesellschaften nach der ISO/IEC 27001 zertifiziert, die deutlich über die ISO27001 auf Basis des IT-Grundschutzes hinausreicht. Wir lassen unsere Systeme außerdem regelmäßig mit Hilfe professioneller Penetrationstests auf Herz und Nieren von innen und außen prüfen. Und zu guter Letzt sind unsere Systeme mehrfach komplett redundant angelegt: Selbst, wenn einmal eines unserer Rechenzentren z.B. durch einen DDoS betroffen sein sollte, können unsere Kunden FACT24 weiter in vollem Umfang nutzen. So können wir eine Verfügbarkeit von 99,50% vertraglich garantieren.“
