Die derzeitige Corona Krisensituation wird immer mehr zum dynamischen Treiber entsprechender Digitalisierungsmaßnahmen, doch nicht jedes Unternehmen ist bereit für die digitalen Veränderungen. Die Geschwindigkeit der Umstellung hat viele Unternehmen überrascht und vor große Herausforderungen gestellt. Viele Prozesse mussten in kürzester Zeit angepasst oder neu implementiert werden. Die aus der Krise resultierenden veränderten Arbeitsstrukturen führten dazu, dass plötzlich überall, in Unternehmen und in der Verwaltung, Arbeitsprozesse digitalisiert werden mussten. Für viele Unternehmen und Geschäftsbereiche waren die teils erzwungenen Maßnahmen jedoch auch ein weiterer notwendiger Denkanstoß, der nachhaltige Zukunftsperspektiven für Unternehmen und Mitarbeiter eröffnet.
Digitale Tools und Plattformen bildeten dabei die Grundlage, um Arbeitsprozesse ohne persönlichen Kontakt sowie standortunabhängig durchzuführen. Lösungen wie Videokonferenzen, Webinare, Collaboration-Plattformen und weitere digitale Angebote wurden als Substitute für die, aufgrund des Virus, nicht mehr mögliche Präsenz der Mitarbeiter eingesetzt, um eine reibungslose Durchführung der Arbeitsprozesse zu gewährleisten. Neben dem verstärkten Einsatz von digitalen Kommunikationsmitteln wurden mittels RPA zudem ganze Prozesse automatisiert und digitalisiert. Maßnahmen wie die Nutzung von digitalen Kommunikationsmitteln oder automatisierten Softwarerobotern steigern zwar Effizienz und bieten neue Chancen, setzen allerdings auch eine funktionsfähige und vor allem sichere IT-Infrastruktur voraus.
Ein Blick auf IT Sicherheit
Für Unternehmen erhöht sich die Gefahr von Cyberangriffen jetzt deutlich, wie das Bundesamt für Sicherheit in der Informationstechnik warnt. Dies betrifft insbesondere das verstärkte Arbeiten von zu Hause und die durch die Pandemie bedingte, schnelle Digitalisierung von Arbeitsstrukturen, wobei eine hohe Auslastung der entsprechenden IT-Infrastrukturen und Plattformen entsteht.
Fälle wie der Ransomware-Angriff auf das deutsche Healthcare-Unternehmen Fresenius stehen im Mittelpunkt der steigenden Zahl von Cyber-Attacken. Beim deutschen Medizintechnik-Konzern war eine Schadsoftware entdeckt worden, welche vorübergehend die gesamte Nutzung der IT- und Kommunikationseinrichtungen des Unternehmens einschränkte. Das Unternehmen ist Opfer eines groß angelegten Cyberangriffs geworden, der mit einer sogenannten Snake-Ransomware auf eine Vielzahl von Unternehmen und Branchen verübt wurde. Auch das japanische Unternehmen Honda, das unter anderem Autos, Motorräder und Rasenmäher herstellt, musste wegen eines Schadsoftware-Befalls Teile seiner Produktion stoppen. Nach einem Hackerangriff gab es Probleme, auf interne Server, E-Mails und andere Dienste zuzugreifen. Als Konsequenz waren Verkauf, Entwicklung und Produktionssysteme stark betroffen.
Verantwortung für Risiken im Cyber-Bereich rückt in den Vordergrund
Durch eine verstärkte Nutzung der IT-Infrastruktur in der Corona-Zeit hat die Komplexität der Netzwerke in vielen Unternehmen zwar zugenommen, die Sicherheit ist aber nicht in dem gleichen Maße gewachsen. Die Nutzung eigener mobiler Endgeräte von Mitarbeitern bietet viele Vorteile – aber leider noch mehr Gefahren. Insbesondere mit dem Umzug ins Home Office, wurden Terminalserver oder Sharepoints frei im Internet verfügbar gemacht, um Business Continuity zu gewährleisten. Damit verbundene Gefahren oder allgemeine Sicherheitsmängel werden für die Realisierung der Remote-Funktionalität in Kauf genommen. Technik und Arbeitsmaterialien können aus Zeitmangel meist nicht adäquat vorbereitet werden.
Cyberkriminelle haben grade hier mehr Einstiegspunkte als je zuvor, da alles, was mit dem Netzwerk verbunden ist, ein potentielles Ziel darstellt. Vor allem Mittelständler sind dabei ein attraktives Ziel – viele investieren erhebliche Summen in Forschung und Entwicklung und halten daher zahlreiche Patente oder andere vertrauliche Informationen – das macht sie vor allem interessant für Datenspionage oder Ransomware-Attacken.
Auch die Gesetzgebung sieht Handlungsbedarf aufgrund neuer Gefahrenpotenziale. Sie sieht im Rahmen des kürzlich erlassenen Verbandssanktionengesetzes vor, Compliance Maßnahmen zu fördern sowie Anreize für unternehmensinterne Untersuchungen im Bereich IT-Sicherheit zu bieten. Das Gesetz beabsichtigt ein Verfahren gegen den Verband unter anderem dann einzuleiten, wenn unterhalb der Leitungsebene Straftaten begangen werden und diese durch angemessene Vorkehrungen hätten verhindert werden können – wie zum Beispiel bei (unbewusst) fahrlässigem Umgang mit Kundendaten seitens der Mitarbeiter. Es ist daher wichtiger denn je, auch die interne Sicherheit des Unternehmens zu stärken und somit Sanktionen vorzubeugen. Denn neben einem Cyberangriff von außen kann auch die Fahrlässigkeit von Mitarbeitern schnell zu weiteren Konsequenzen führen.
Was es zu beachten gilt
Gerade der angemessene Schutz sensibler Daten ist nötig, um Verlusten von Geschäftsgeheimnissen vorzubeugen. Dabei haben sich im Zuge der Krise eine Reihe neuer Fragestellungen ergeben, die es bezüglich organisatorischer und IT-technischer Maßnahmen zu beachten gilt: Sind durch die veränderten Arbeitsweisen beispielsweise zusätzliche Sicherheitslücken entstanden? Inwieweit können Geräte, die in unternehmensfremden Netzwerken eingesetzt wurden, problemlos zurück integriert werden? Können auch Daten, die auf unternehmensfremden System bearbeitet wurden, unbekannte Risiken darstellen?
Wenn die Covid-19 Pandemie eines mit aller Deutlichkeit gezeigt hat, ist es, dass man Krisen nicht voraussagen kann. Daher ist es enorm wichtig, aus den gesammelten Erfahrungen zu lernen und Prozesse zu entwickeln, die sowohl zum Ausstieg aus der derzeitigen Krise verhelfen, als auch vor der nächsten schützen können. Ein gestärktes Cyberrisikobewusstsein und entsprechende Maßnahmen sollten hier den ersten Schritt darstellen.
Disaster Recovery und Business Continuity
Fast alle Geschäftsprozesse sind heutzutage über IT-gestützte Systeme miteinander verbunden. Sollte einer dieser Bereiche zum Stillstand kommen, kann der Ausfall des gesamten Geschäftsbetriebs die Folge sein. Um daraus resultierenden wirtschaftlichen Schäden vorzubeugen, ist eine geeignete wirtschaftliche Notfallplanung sowie ein effektiver Disaster Recovery Plan von Bedeutung. Dieser sollte verlässliche Hochverfügbarkeitslösungen bieten, um zu vermeiden, dass sich Fehler einzelner Komponenten auf das gesamte System auswirken (Single Points of Failure). Hohen Kosten, möglichen Verzugsstrafen, aber auch allgemeinen Vertrauensverlusten in Unternehmen kann so vorgebeugt werden. Die Basis für ein effizientes und ganzheitliches Cyber Security System ist die Einführung allgemeiner Sicherheitsstandards, beispielsweise in Form eines geeigneten Informationssicherheit Management Systems (ISMS) oder auch eines Business Continuity Management Systems (BCMS). Bei der Aufstellung eines BCMS werden kritische Geschäftsprozesse ausfindig gemacht und definiert. Anschließend werden die damit in Verbindung stehenden Risiken anhand einer Risikoanalyse identifiziert und bewertet. Nach Beurteilung des Ist-Zustandes, werden geeignete Vorsorgemaßnahmen und Kontinuitätsstrategien erarbeitet, sodass bei einem Notfall die bereits im Vorfeld implementierten Pläne Handlungsoptionen vorgeben und kritische Geschäftsprozesse somit nicht vollständig zum Erliegen kommen.
IT-Sicherheitsmaßnahmen
Um die IT-Sicherheit zu gewährleisten und einen vorbeugenden Schutz aufzubauen, bieten sich außerdem IT Security Audits und Cyber Health Checks an. Hierbei werden durch so genannte Vulnerability Scans mögliche Sicherheitslücken im System ausfindig gemacht, um diese anschließend effektiv zu beheben. Penetrationstests, bei denen durch einen simulierten Cyberangriff versucht wird, in die Systeme einzudringen, können zusätzlich helfen, weitere Schwachstellen ausfindig zu machen, die im schlimmsten Fall von Cyberkriminellen ausgenutzt werden. Doch oftmals stellen nicht nur die IT-technischen Aspekte Sicherheitslücken dar. Auch menschliches Versagen oder schlicht Unwissenheit können genügend Spielraum für Cyberkriminelle bieten. Dabei versuchen diese gezielt, beispielsweise durch klassische Phishing Mails, ihre Opfer dazu zu bringen, gefälschte Links zu öffnen, um eine Schadsoftware zu verbreiten, durch die wichtige Daten abhandenkommen können. Des Weiteren können sich Cyberkriminelle dem so genannten Social Engineering bedienen. Hierbei werden Mitarbeiter von Unternehmen über Social Media Kanäle ausspioniert und es wird auch auf diesem Wege versucht, sensible Daten abzugreifen. Für solche Fälle können Red Teaming Übungen – von Sicherheitsexperten ausgeführte, simulierte Social Engineering Angriffsszenarios –, dazu beitragen, ein klares Bewusstsein über die vorherrschenden Gefahren zu schaffen. Auch Mitarbeiter Schulungen rund um Cybersicherheit können bereits gute Beiträge leisten. In so genannten Cyber Awareness Schulungen werden Mitarbeiter gegenüber all diesen Gefahren sensibilisiert.
Incident Response Management und Datenschutz
Ist letztlich trotz Vorbereitung ein Schaden entstanden, ist unter anderem ein geeignetes Incident Response Management von Bedeutung, um den Verlust weiterer Daten zu verhindern. Für ein solches Krisenmanagement ist es zentral, dass Handlungsmaßnahmen und Verantwortlichkeiten klar definiert sind, damit schnell und effektiv reagiert werden kann. Die Identifizierung der Schadensquelle ist hierbei der erste Schritt. Ist diese einmal ausgemacht, kann mit der Schließung der Sicherheitslücken begonnen und mit der Wiederherstellung angegriffener Systeme abgeschlossen werden. Auch forensische Sonderuntersuchungen können an dieser Stelle angeknüpft werden, um digitale Beweisdaten zu sichern und anhand der Analyse das Ausmaß des Schadens zu definieren. Sollte hierbei außerdem ein Täter ausfindig gemacht werden, können zivil- und strafrechtliche Verurteilungen die Möglichkeit bieten, Schadensersatz geltend zu machen und etwaige Reputationsschäden zu mindern. Insbesondere der Verlust sensibler Daten kann immensen Schaden verursachen. Da rechtliche Rahmenbedingungen auf nationaler und EU-Ebene regelmäßig erneuert und ausgeweitet werden, sollten Unternehmen sich stetig über bereits bestehende Rechtsbestimmungen oder Neuerungen informieren. Angesichts der strengen Datenschutz Auflagen nach EU-DSGVO und damit verbundenen hohen Sanktionszahlungen, sollte umso mehr dafür gesorgt werden, dass Cybersicherheit gewährleistet wird sowie, dass effektive Compliance Maßnahmen als Standard gelten.
Zusammenfassend ist festzuhalten, dass die COVID-19-Krise innerhalb der Unternehmenslandschaft ein starkes Umdenken bezüglich Digitalisierung und IT-Sicherheit mit sich gezogen hat. Es hat sich gezeigt, dass viele Unternehmen unzureichend auf die verstärkte Nutzung der IT-Infrastruktur vorbereitet waren. Neben dem wachsenden Aufbau von Risikomanagementmaßnahmen, ist auch die Cybersicherheit in den Fokus gerückt und sollte mittlerweile wichtiger Bestandteil unternehmenseigener IT-Strategien sein. Eine im Vorfeld ausgearbeitete Cybersicherheitsstrategie kann dazu beitragen, dass Unternehmen im Ernstfall schnell genug und effektiv reagieren können. Eine fortlaufende Weiterentwicklung nötiger Sicherheitsmaßnahmen sollte außerdem angestrebt werden, um auf eine Vielzahl möglicher Gefahren vorbereitet zu sein. Der allgemeine Trend wachsender Investitionen in die IT-Sicherheit bestätigt zumindest , dass einige Unternehmen die Relevanz erkannt haben, aus Erfahrungen zu lernen und einen im Notfall auftretenden Schaden schnell und effektiv eindämmen zu können. Nichtsdestotrotz herrscht auch weiterhin Handlungsbedarf, denn selbst wenn einzelne Unternehmen sich für die Implementierung von Cybersicherheitsmaßnahmen entscheiden, können weniger gut geschützte Glieder der Wirtschaftskette, beispielsweise durch M&A Transaktionen, Sicherheitslücken darstellen, die diese Bemühungen nichtig machen. Die Einführung einer Cybersicherheitsstrategie und angemessener Compliance Maßnahmen sollte daher von keinem Unternehmen vernachlässigt werden.
GUT INFORMIERT!
Abonnieren Sie unsere kostenlosen Newsletter und Webinare
