Organisatorische Prävention von Cyber-Angriffen

Viele Unternehmen denken bei der Prävention von Cyber-Angriffen in erster Linie an technische Schutzmaßnahmen wie Netzwerksicherheitseinstellungen, Firewalls, Antivirenprogramme und Passwortsicherheit. Um sich effektiv gegen Cyber-Bedrohungen zu schützen, braucht es darüber hinaus aber auch organisatorische Präventionsmaßnahmen.

Welche administrativen Schritte können Unternehmen ergreifen, um ihre Netzwerke, Systeme und Daten gegen digitale Bedrohungen zu schützen? Welche Rolle spielt die organisatorische Prävention in der Cyber-Sicherheitsstrategie eines Unternehmens? Dieser Artikel bietet einen Überblick.

Es gibt mehrere Gründe, warum Unternehmen sich in puncto Cyber-Sicherheit nicht ausschließlich auf technische Sicherheitsmaßnahmen verlassen sollten. Zum einen bieten selbst die besten IT-Sicherheitsmaßnahmen keinen lückenlosen Schutz - vor allem dann nicht, wenn die Mitarbeitenden nicht ausreichend im richtigen Umgang mit Geräten und Anwendungen geschult werden. Bedienfehler wie falsch eingestellte Server- und Netzwerkkonfigurationen machen die Systeme schnell angreifbar.

Zum anderen gilt der Mensch nach wie vor als größte Schwachstelle im Schutz gegen Cyber-Kriminalität. Um zu verhindern, dass bspw. Social-Engineering-Angriffe zu verheerenden finanziellen Verlusten führen, müssen alle Mitarbeitenden in regelmäßigen Abständen für die Gefahren von Phishing, Ransomware-Attacken und anderen Arten von Cyber-Angriffen sensibilisiert werden.

Aus diesen Gründen müssen die technischen Aspekte der Cyber-Sicherheit durch verschiedene organisatorische Aspekte ergänzt werden, um ein umfassendes Sicherheitskonzept zu entwickeln, das einen möglichst hohen Schutz bietet. Die organisatorischen Präventionsmaßnahmen umfassen dabei sowohl präventive Maßnahmen, die die Eintrittswahrscheinlichkeit von Cyber-Angriffen senken, als auch solche Maßnahmen, die mögliche Auswirkungen und Schäden im Falle eines tatsächlichen Angriffs begrenzen. Schauen wir uns die verschiedenen Maßnahmen einmal im Detail an.

Unternehmen können eine Reihe von Maßnahmen ergreifen, um das Risiko zu minimieren, Opfer eines Cyber-Angriffs zu werden. Hier ist eine Übersicht der administrativen Schutzmaßnahmen, die das Risiko von Cyber-Attacken senken können.

1.   Entwicklung von klaren IT-Sicherheitsrichtlinien

Eine IT-Sicherheitsrichtlinie bildet das Rahmenkonzept der Cyber-Sicherheit in einer Organisation. Sie legt fest, wie sich Mitarbeitende und andere zugriffsberechtigte Benutzer zu verhalten haben, wenn sie die IT-Infrastruktur oder damit verbundene Geräte nutzen.

Eine solche Richtlinie sollte sich an den drei Kernzielen der IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) orientieren und Verhaltensregeln und Vorschriften definieren, die das Erreichen dieser Ziele unterstützen. Zu den Aspekten, die in der Regel von einer IT-Sicherheitsrichtlinie abgedeckt werden, gehören unter anderem Netzwerksicherheit, Passwortmanagement und Nutzungsverhalten.

2.   Aktive Benutzerverwaltung und Zugriffsrechtemanagement

Zugriffsrechte und autorisierte Benutzer aktiv zu verwalten ist eine weitere wichtige Maßnahme in der administrativen Prävention von Cyber-Angriffen. Zur Benutzerverwaltung gehört das Erstellen, Anpassen und Löschen von Benutzerkonten, zum Beispiel zur Vermeidung von Insider-Bedrohungen durch ehemalige Mitarbeitende.

Die Verwaltung der Zugriffsrechte geht damit Hand in Hand. Um die internen Systeme und Netzwerke besser zu schützen, sollten Unternehmen und Organisationen hier das Prinzip der minimalen Rechtevergabe verfolgen. Dementsprechend sollten Mitarbeitende nur Zugriff auf die Systemkomponenten haben, die sie für die Erfüllung ihrer Aufgaben brauchen. Dadurch wird verhindert, dass sich Angreifer ungehindert im System bewegen und ausbreiten können, sollten sie es schaffen, die Zugangsdaten von Mitarbeitenden zu stehlen.

3.   Förderung des Sicherheitsbewusstseins durch Mitarbeiterschulungen

Cyber-Kriminelle können sich nicht nur über technische Sicherheitslücken Zugriff auf die Systeme von Organisationen verschaffen, sondern setzen auch zunehmend darauf, menschliche Unachtsamkeit auszunutzen.

Um das Risiko zu minimieren, dass Mitarbeitende versehentlich einen mit Malware infizierten Anhang öffnen oder auf einen Phishing-Versuch hereinfallen, sollten Organisationen regelmäßig Schulungen anbieten, die Mitarbeitende für verschiedene Cyber-Angriffsarten und die damit einhergehenden Risiken sensibilisieren. Ein Beispiel ist das IT-Sicherheitstraining für Mitarbeitende, das von CyberDirekt angeboten wird.

Darüber hinaus ist es wichtig, Mitarbeitende auf Cyber-Sicherheitsaspekte wie den richtigen Umgang mit vertraulichen Daten, die Nutzung von sicheren Verbindungen und Netzwerken und die Risiken der Nutzung eigener Geräte im betrieblichen Umfeld aufmerksam zu machen.

4.   Durchführung von Sicherheitsaudits und Penetrationstests

Penetrationstests (kurz: Pentests) und Sicherheitsaudits sitzen an der Schnittstelle zwischen organisatorischen und technischen Präventionsmaßnahmen gegen Cyber-Angriffe. Penetrationstests sind dazu da, technische Schwachstellen und Sicherheitslücken in der IT-Architektur eines Unternehmens aufzuspüren, indem ein Cyber-Angriff auf das System simuliert wird.

Ein Penetrationstest kann in ein umfassendes IT-Sicherheitsaudit eingebettet werden, bei dem nicht nur Schwachstellen, Sicherheitslücken und Prozesse analysiert werden, sondern auch die organisatorischen IT-Sicherheitsmaßnahmen überprüft werden. Ein solches Audit hilft, Verbesserungspotenziale aufzuzeigen und konkrete Maßnahmen abzuleiten, um diese Verbesserungen umzusetzen und ein höheres Cyber-Sicherheitslevel zu erreichen. Regelmäßige Risiko- und Sicherheitsanalysen ergänzen die organisatorische Planung der notwendigen Verbesserungen.

5.   Bewertung von Cyber-Risiken, die von Drittanbietern ausgehen

Supply-Chain-Angriffe (auch bekannt als Angriffe auf Drittanbieter) stellen ein besonderes Cyber-Risiko für Unternehmen dar, die mit einer Vielzahl an Lieferanten oder externen Dienstleistern zusammenarbeiten. Diese Angriffe nutzen die Abhängigkeit von digitalen Dienstleistern aus, indem sie versuchen, über weniger gut geschützte Systeme von Drittanbietern auf das System des eigentlichen Zielunternehmens zuzugreifen.

Die tatsächliche Cyber-Sicherheit eines Unternehmens hängt in diesem Fall von den Sicherheitsmaßnahmen der jeweiligen Dienstleister ab. Eine sorgfältige Überprüfung der Sicherheitsstandards von Drittanbietern und Geschäftspartnern sowie das Formulieren von konkreten Anforderungen an die Cyber-Sicherheit in Verträgen und SLAs (Service Level Agreements) sind daher weitere wichtige Maßnahmen im Rahmen der organisatorischen Prävention von Cyber-Angriffen.

6.   Einhaltung gesetzlicher Vorschriften

Cyber-Sicherheit ist für Unternehmen nicht nur eine Frage der eigenen Sicherheit, sondern in mehrfacher Hinsicht auch eine rechtliche Notwendigkeit. Es gibt mehrere gesetzliche Anforderungen, darunter die DSGVO, das IT-Sicherheitsgesetz und die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2), die Unternehmen dazu verpflichten, bestimmte Maßnahmen zu ergreifen, um ihre Daten- und IT-Sicherheit zu verbessern.

Zu überprüfen, welche rechtlichen Rahmenbedingungen für das Unternehmen relevant sind und welche Maßnahmen zur Erfüllung der gesetzlichen Anforderungen notwendig sind, fällt ebenfalls in den Bereich der organisatorischen Prävention von Cyber-Angriffen.

7.   Dokumentation und Protokollierung von Sicherheitsprozessen

Eine sorgfältige Dokumentation ist ein wichtiger Bestandteil der administrativen Prävention von Cyber-Attacken. Darunter fällt nicht nur das Protokollieren von Sicherheitsprozessen, sondern auch eine detaillierte Dokumentation der IT-Infrastruktur mit allen Systemen, Netzwerken, Anwendungen und Schnittstellen.

8.   Festlegung der Rollenverteilung und Verantwortlichkeiten

Damit alle Aufgaben, die mit der Cyber-Sicherheit des Unternehmens in Verbindung stehen, abgedeckt sind, braucht es eine gut strukturierte Rollenverteilung und eine klare Definition der Verantwortlichkeiten der einzelnen Mitglieder des Cyber-Sicherheitsteams.

Nur wenn alle Teammitglieder ganz genau wissen, um welche Aufgabenbereiche sie sich kümmern müssen, kann sichergestellt werden, dass alle Aufgaben und Prozesse lückenlos abgedeckt sind. Dazu gehört es auch zu definieren, wer für welche Prozesse und Aufgaben im Falle eines IT-Vorfalls zuständig ist und wie die Eskalationskette gestaltet ist (mehr dazu im nächsten Abschnitt).

Zu den organisatorischen Präventionsmaßnahmen, um die potenziellen Schäden im Ernstfall zu minimieren, gehören alle Vorsichtsmaßnahmen, die in den Bereich Incident Response (Reaktion auf einen IT-Vorfall) fallen. Hier ist ein Überblick.

• Krisenstabsteam (Incident Response Team) ernennen und Verantwortlichkeiten klären
• Situationsbezogene Schulungen für die einzelnen Mitglieder des Krisenstabs durchführen
• Krisenstabsprozesse implementieren und Krisenstabsübungen durchführen, um zu überprüfen, dass die entwickelten Strukturen im Ernstfall funktionieren
• Krisenkommunikationstraining aufsetzen und durchführen
• Business Impact Analyse durchführen, um die kritischen Geschäftsprozesse und Ressourcen zu ermitteln
• Notfallplan für die Reaktion auf Cyber-Angriffe und Business-Continuity-Pläne für den Ernstfall ausarbeiten
• IT-Checklisten für verschiedene Angriffsszenarien erstellen
• Wiederherstellungsmaßnahmen entwickeln, vorbereiten und dokumentieren und parallel Pläne für das Anfertigen von Sicherungskopien und Backups aufstellen, um die Disaster Recovery im Ernstfall zu vereinfachen
• Cyberversicherung abschließen, um bestehende Restrisiken abzudecken und im Schadensfall abgesichert zu sein

Detaillierte Einblicke in die Themen Incident Response Plan, Krisenmanagement, IT-Notbetrieb und vieles mehr bietet das Kapitel Reaktion auf Cyberangriffe.

Die administrativen Aspekte von Cyber-Sicherheit sind angesichts der wachsenden Bedrohung durch Cyber-Kriminalität nicht zu vernachlässigen. Um sich effektiv vor Cyber-Angriffen zu schützen, müssen Unternehmen eine Cyber-Sicherheitsstrategie entwickeln, die technische und organisatorische Präventionsmaßnahmen kombiniert.

Die zentralen Aspekte der organisatorischen Prävention von Cyber-Attacken sind das Erstellen von Sicherheitsrichtlinien und -verfahren, die konsequente Verwaltung von Zugriffsrechten und Benutzerzugängen, das Schaffen eines ausgeprägten Sicherheitsbewusstseins bei den Mitarbeitenden durch spezielle Schulungen und das regelmäßige Durchführen von umfassenden Sicherheitsaudits.

Als komplementäre Absicherungsmaßnahme können Unternehmen darüber hinaus eine Cyberversicherung abschließen, die im Schadensfall einspringt, um die finanziellen Auswirkungen eines Cyber-Angriffs abzufangen, und sofortige Unterstützung bei Cyber-Vorfällen bietet, um im Ernstfall schnell handeln zu können.