Nicht mehr allein Tresore, Eingangstüren, Aktenschränke gilt es im Jahr 2022 zu schützen, wenn es um die Sicherheit von unternehmenseigenen Daten geht. Cyber-Kriminelle suchen nach Schlupflöchern in IT-Systemen, um Firmen anzugreifen und diesen so zu schaden. Wir möchten Sie, ohne in Alarmismus zu verfallen, für diesen wichtigen Aspekt in turbulenten Zeiten sensibilisieren.
Die Rechnung ist recht einfach: Je mehr Daten im Digitalzeitalter auf Serverstrukturen oder in einer Cloud gespeichert werden, desto größer ist der Schaden, wenn diese dort nicht mehr zu finden sind. Das betrifft Privatpersonen und beispielsweise die komplett digital entstandenen fotografischen Erinnerungen an den vergangenen Familienurlaub, die beim Festplattencrash verlorengehen könnten und die aus immaterieller Sicht eigentlich nicht zu ersetzen sind. Bei Unternehmen berührt das möglicherweise wertvolle Kundendaten oder ein gegenüber der Konkurrenz vorhandenes Alleinstellungsmerkmal der eigenen Produktpalette, heute gerne als Unique Selling Proposition, oder kurz USP, bezeichnet.
Selbstverständlich trifft solch ein immens schwer zu verkraftender Datenverlust unter unglücklichen Umständen auch einmal durch eine unsachgemäße Nutzung von Hard- oder Software im eigenen Hause auf. Leider sehen es aber vermehrt Cyber-Kriminelle auf die nicht selten als „Öl des 21. Jahrhunderts“ charakterisierten Daten von Firmen ab. Ab und an steckt in solch einem Versuch die Idee eines Kräftemessens mit den vorhandenen Abwehrmaßnahmen und den für sie verantwortlichen Personen auf Unternehmensseite – gerade, wenn man sich durch das Hacken bekannter Unternehmen in der eigenen Community Renommee verschaffen will. In aller Regel jedoch steht aber ein klares Motiv zum Auslösen eines Schadens oder das Verlangen eines Lösegeldes für gekaperte Informationen hinter diesen Attacken. Ersteres rückte gerade zu Beginn des Ukraine-Konfliktes und der Rückkehr von zwischenstaatlichen Konflikten auf dem europäischen Kontinent wieder verstärkt ins öffentliche Bewusstsein, weil die kritische Infrastruktur beziehungsweise deren avisierte Zerstörung in der Gegenwart eben nicht mehr allein durch Angriffe mit analogen Waffen realisierbar ist.
Wachsamkeit von immenser Bedeutung
„Wer sich in Gefahr begibt, kommt darin um“ und „Vorsicht ist die Mutter der Porzellankiste“ sind zwei bekannte Aussagen im deutschen Sprachgebrauch, wenn es um das Thema Sicherheit sowie das Eingehen oder Vermeiden von Risiken geht. Auch bezogen auf die Gefährdungen, die von Cyber-Kriminellen ausgehen, sollte in den Unternehmen eine hohe Wachsamkeit vorherrschen. Diesem Aspekt bei der Ausrichtung des eigenen unternehmerischen Handelns keine Beachtung zu schenken, mag sich im konkreten Fall als existenzgefährdend erweisen.
Unabhängig, ob das Heil in Top-5- oder Top-10-Listen, wie sie immer wieder von Experten zusammengestellt werden, zu finden ist, bleibt Informationssicherheit eine Leitungsaufgabe. In der Geschäftsführung sollte sie eine hohe Priorität besitzen – und Notfallpläne für den Angriffsfall und eine Offline-Struktur existieren.
Nach Bedrohungsanalyse nächste Schritte einleiten
Der Speiseplan für die Kantine genießt im Vergleich zum Bauplan für eine entscheidende Komponente des eigenen Premiumproduktes selbstredend nicht den identischen Schutzfaktor. Sicherheitslücken und die daraus erwachsenden Einstiegsmöglichkeiten für Hacker generell zu schließen und nach einer Bedrohungsanalyse enorm wertvolle Unternehmensdaten vor ihrer Zerstörung oder dem vorrübergehenden Kidnappen besonders zu schützen sind jedoch zwei Seiten derselben Medaille. Übertragen aus der analogen Welt: Auch ein geöffnetes Fenster im Sanitärtrakt einer Bank kann Räuber über kurz oder lang in den Tresorraum führen.
Ein umfassender Blick auf die Bedrohungslage – vielleicht ausgehend von der Frage, wo das eigene Unternehmen hart getroffen werden kann? – hilft dabei Schwachstellen zu identifizieren und deren Beseitigung anzugehen. Die oft mit dem Vogel Strauß assoziierte Politik, den Kopf in den Sand zu stecken, scheint keinesfalls eine tragfähige Alternative zur ernsthaften Beschäftigung mit dieser Herausforderung zu sein.