Cybercrime auf Rekordniveau
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt im Lagebericht IT-Sicherheit 2020 die Situation in Deutschland weiterhin als „angespannt“. Der Trend bei Angriffen auf Privatpersonen, Unternehmen und andere Institutionen zeigt aufwärts. Auch der Diebstahl von personenbezogenen Daten nimmt zu.
Sascha Schumann, CEO des Cybersicherheits-Unternehmens Myra Security, bestätigt dies: „Wir sehen in unserem Security Operations Center eine massive Zunahme von Angriffen. Oft richten diese sich gezielt gegen sensible oder kritische Infrastrukturen, deren Ausfall für die Gesellschaft größtmöglichen Schaden erzeugt. Die Komplexität der Angriffe und die erreichten Bandbreiten werden immer größer. Multivektorangriffe sind auf dem Vormarsch und wir sehen immer mehr Erpressungsversuche. Der Digitalisierungsschub über die letzten Monate hat bei vielen Unternehmen neue Flanken für Angriffe aufgemacht“.
Business Continuity zulasten der Sicherheit
In der ersten Zeit ging es vor allem um die Aufrechterhaltung der Geschäftsprozesse. Remote Work, externe Netzwerkzugänge, neue digitale Prozesse, Nutzung von Privatgeräten – vieles, was bis dato undenkbar war, wurde notgedrungen eingeführt, um den Weiterbetrieb zu ermöglichen. Sicherheit war zweitrangig – das hat Folgen.
In den vergangenen Monaten sind massive Cybersecurity- und Datenschutzrisiken entstanden. Die Arbeit über das private und in der Regel weniger abgesicherte WLAN der Beschäftigten bietet eine ideale Angriffsfläche. Richtig heikel wird es, wenn Mitarbeiter im Homeoffice schlecht gesicherte private Geräte nutzen. Die Erfahrung zeigt zudem, dass Angestellte, die täglich von zu Hause aus arbeiten, weniger sicherheitsbewusst sind als im Büro. Spam-, Phishing- oder Social Engineering-Kampagnen haben deshalb Hochkonjunktur.
Die Kombination aus technischen Schwachstellen und menschlicher Unvorsichtigkeit birgt enorme Risiken. In den vergangenen Monaten machten mehrere Fälle Schlagzeilen, in denen diese Schwachstellen gezielt ausgenutzt wurden. Ob Gesundheitswesen, öffentliche Hand, Tourismus, Banken oder Universitäten – etliche Sektoren waren betroffen.
Chefs droht persönliche Haftung
Es wird derzeit häufig vernachlässigt, dass Vorstände und Geschäftsführer haftbar sind, wenn die nötigen IT-Sicherheitsmaßnahmen nicht konsequent umgesetzt werden. Dr. Karsten Krupna, Rechtsanwalt bei Krupna LEGAL und Experte in Sachen Datenschutz, IT-Recht und Cybersecurity, erläutert: „Die Haftungssituation bei einer Vernachlässigung der IT-Sicherheit ist für Betriebe gleichgeblieben – ob Pandemie oder nicht. Aus dem Aktiengesetz und dem GmbH-Gesetz ergeben sich zudem persönliche Haftungsrisiken für Geschäftsführer und Vorstände.
Entsprechend müssen insbesondere die gesetzlichen Rahmen zur IT-Sicherheit beachtet werden. Neben branchenspezifischen Vorgaben, etwa für Banken oder Betreiber kritischer Infrastrukturen, gibt es dabei auch Regelungen, die für alle Unternehmen Anwendung finden dürften. Hierzu gehören die Regelungen der EU-Datenschutzgrundverordnung. Auch wenn die DSGVO technikneutral formuliert wurde und keine konkreten Maßnahmen vorgibt, müssen alle Unternehmen, die personenbezogene Daten verarbeiten, nach Art. 32 DSGVO wirksame technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umsetzen.“
Die Herausforderung: Im Homeoffice müssen die gleichen IT-Sicherheitsrichtlinien umgesetzt werden wie im Büro. Diesen etablierten Standard aufrecht zu erhalten, war für viele Betriebe anfangs nur schwer möglich. Auch waren einige Punkte in Sachen Datenschutzkonformität schwer umsetzbar – so etwa die notfallmäßig eingerichteten Videokonferenz-Tools, deren Nutzung teilweise öffentlich als Sicherheitsrisiko kritisiert wurde. Falls es dadurch zu erfolgreichen Angriffen oder Datenlecks kommt, gibt es trotzdem keine Ausreden. „Hier sind potenziell erhöhte Haftungsrisiken entstanden“, so Krupna.
Technische Absicherung und klare Verhaltensregeln
Was müssen Verantwortliche tun, um bei der IT-Sicherheit nachzuziehen und Haftungsszenarien zu minimieren? Insgesamt plädieren die beiden Experten – in Orientierung an den gesetzlichen Vorgaben – für eine geeignete Mischung aus technischen und organisatorischen Maßnahmen.
Schumann nennt die Prioritäten auf der Technikseite: „Unabhängig vom Homeoffice müssen Firmen ihre Netzwerke und Web-Anwendungen vor Angriffen aus dem Internet besser schützen. Gerade jetzt, wo viel mehr Geschäfte und Prozesse digital laufen, erzeugt Downtime von Servern oder Netzwerken noch höhere Umsatz- und Reputationseinbußen als sonst.
Im Bereich Homeoffice müssen sichere VPN-Clients eingerichtet werden, Zugangsgeräte und Netzwerke müssen alle Sicherheitsstandards des Unternehmens erfüllen, Zwei-Faktor-Authentifizierung ist Pflicht, und Datensparsamkeit sollten Standard sein. Tools, die datenschutzrechtlich bedenklich sind, müssen durch DSGVO-konforme Anwendungen ersetzt werden. Diese zusätzlichen Prozesse sind für Mitarbeiter unter Umständen aufwendiger – die Verantwortlichen müssen also auch die Tendenz zur Schatten-IT in den Griff kriegen.“
Krupna ergänzt: „Verhaltensregeln für den sicheren Heimgebrauch von Firmen-IT sind zwingend. Hier bietet sich eine Homeoffice-Richtline an, die klare Regeln in Sachen Datenschutz und Security vorgibt. Dies kann mit Schulungen und Trainings verbunden werden. Auf der Haftungsseite sollten Firmen zudem ihre Versicherungspolicen prüfen. Ergeben sich Änderungen durch den Einsatz von Remote Work? Sind die neu entstandenen Risiken abgedeckt und sind die Deckungssummen ausreichend?“
Wie steht es insgesamt um das IT-Sicherheitsbewusstsein von Entscheidern in Zeiten von Corona? Krupna erklärt: „Die Verantwortlichen haben das Thema zunehmend auf dem Radar, denn die Gefährdungslage ist deutlich gestiegen“. Schumann ergänzt: „Wir sehen, dass dem gestiegenen Bewusstsein für Cyberrisiken auch Taten folgen. Besonders im Bereich Kritische Infrastrukturen und Großunternehmen wird mehr in Cybersicherheit investiert. Bei den kleinen und mittleren Unternehmen (KMU) ist dieser Trend langsamer – dabei bestätigen die Statistiken, dass die Mehrheit der befragten KMU in den letzten Monaten angegriffen wurde. Jetzt bei der Sicherheit zu sparen, kann den mühsam erkämpften Erfolg einer Firma in dieser kritischen Zeit komplett zunichtemachen.“
Versicherungsschutz prüfen
Die Pandemie hat Lücken im Sicherheitskonzept vieler Betriebe offengelegt. Der erhöhte Druck bietet die Chance, jetzt Maßnahmen umzusetzen, um digitale Sicherheit zu schaffen und Haftungsrisiken zu minimieren. Lösungen, die zu Beginn der Krise für die Business Continuity implementiert wurden, müssen hinsichtlich IT-Sicherheit und Datenschutz geprüft und gegebenenfalls ersetzt werden. Sichere Verhaltensregeln müssen auch im Homeoffice für alle Mitarbeiter gelten. Die Unternehmen sollten ihren Versicherungsschutz prüfen und im Bedarfsfall auf die neue Situation anpassen.