Der Begriff IT-Risiko beinhaltet alle Ereignisse oder Handlungen, die die Unversehrtheit der IT beeinträchtigen oder verantwortliche Personen davon abhalten, ihre Arbeit ordnungsgemäß zu verrichten. In der Summe entsteht durch IT-Risiken immer auch ein geschäftliches Risiko. Aber welche Risiken gibt es? Wie sieht die Bedrohungslage für deutsche Unternehmen aus? LINK11 bietet einen schnellen Überblick der häufigsten IT-Risiken.
Um möglichen Szenarien und Schwachstellen vorzubeugen, müssen viele Unternehmen zunächst die möglichen Risiken ihrer IT kennen und identifizieren.
Zu den gefährlichsten externen Bedrohungen zählen gezielte oder willkürliche Cyber-Attacken. Das gilt sowohl für abgeschlossene IT-Systeme als auch für solche, die in Cloud-Lösungen integriert sind. Die häufigsten Bedrohungen in der Zusammenarbeit von Menschen, Maschine und Technik sind laut Bundesamt für die Sicherheit in der Informationstechnik (BSI) die folgenden:
Diese Liste ist nicht abschließend und zeigt nur einen Ausschnitt der externen Gefahrenquellen, denen die IT-Sicherheit im Unternehmen im Ernstfall standhalten muss. Wie schnell ein anonymer Angriff ganze Staatsorgane, Bildungseinrichtungen oder Großkonzerne lähmen kann, können Sie im LINK11 Jahresrückblick zu den relevantesten DDoS-Attacken 2019 nachlesen. Wer Cyber-Kriminellen keine Chance geben will, muss das eigene IT-Budget auf die konstante und dynamische Absicherung aller Systeme ausrichten.
Aktueller Link11 DDoS-Report als Download
Externe Bedrohungen sind ein omnipräsentes Thema, wenn es um Risikoanalysen geht. Auf Platz 2 der häufigsten und schadenintensivsten Angriffe für Unternehmen liegen Angriffe von Insidern, wie eine Accenture Studie verdeutlichet. Die Studie von 2018 zeigt außerdem, dass die Anzahl der internen Attacken steigt. Ob dabei Rache, Gier oder das Spiel mit dem Feuer der Hauptmotivator ist, spielt keine geringe Rolle. Unzufriedene Mitarbeiter mit dem nötigen Know-how können eine schlafende Gefahr darstellen, die in vielen Unternehmen unterschätzt wird. Aus diesem Grund sollten bei einer gründlichen Risikoanalyse auch die internen (menschlichen) Schwachstellen genau betrachtet und berücksichtigt werden.
Egal, ob die Informationstechnik im Haus oder extern verwaltet wird, technische Ausfälle sind ein dauerhaftes IT-Risiko. Dazu zählen unter anderem Stromausfälle, Systemfehler, Datenverluste oder wartungsbedingte Ausfälle. Angenommen Sie nutzen ein Content Management System der führenden globalen Anbieter, dann basiert die Sicherheit Ihres Systems leider auch auf den Sicherheitsbemühungen des Drittanbieters. Noch komplexer wird dieses Netz, wenn Plugins oder Anwendungen weiterer Drittanbieter verwendet und nicht regelmäßig Updates mit Patches durchgeführt werden. Technische Pannen (Glitches) oder mangelnde Konfigurationen sind außerdem eng verbunden mit dem nächsten Punkt.
Sicherheitscodes werden versehentlich weitergegeben, Systeme nicht ordnungsgemäß gewartet oder Passwörter für jeden zugänglich aufbewahrt – die Liste der versehentlichen Fehler oder Missachtungen von Sicherheitsreglements ist lang. Betrügerische Support-Anrufe (Social Engineering) sind ebenfalls eine beliebte Methode für Kriminelle, sich über den Risikofaktor Mensch Zugang zur Unternehmens-Systemen zu verschaffen. Beinahe altmodische Betrugsmaschen können trotz Sicherheitsprotokollen immer noch dazu führen, dass ein einzelner Mitarbeiter die Integrität eines gesamten IT-Systems zerstören kann. Dies geschieht in dem Moment, in dem Dritte (extern und intern) unberechtigt Zugriffe erhalten. Auch zu häufige Security Alerts bzw. „alert fatigue“ stellen ein Sicherheitsrisiko dar, da oft nicht genügend Zeit vorhanden ist, um alle Alarmmeldungen ausreichend zu prüfen. Fehlende Dokumentation oder Kontrollen können ebenfalls dazu führen, dass die gesamte IT-Sicherheit ins Wanken gerät.
Ein Brand oder eine Überflutung am Server-Standort oder Unwetter stellen IT-Risiken dar, die ebenfalls kalkuliert werden müssen. Wer in einem der genannten Katastrophenszenario die Oberhand behalten will, benötigt Notfallpläne. Maßnahmen, mit denen sich Unternehmen gegen physische Ausfälle wie Naturkatastrophen vorbereiten, zählen zum Bereich der Cyber-Resilienz.
Laut des Deloitte Cyber Security Reports 2019 sind Unternehmen besorgt wegen neuer Schlüsseltechnologien wie 5G und deren Bedeutungen für die IT-Sicherheit. Der Grund ist einfach: Die Komponenten, auf denen die neue Technologie basiert, wird zu großen Teilen außerhalb der EU produziert und stellt somit ein Sicherheitsrisiko dar. 71 % der Top-Manager würden daher Hersteller mit Sitz in Deutschland oder EU bevorzugen. Darüber hinaus steht das Management unter einem hohen zeitlichen Digitalisierungsdruck. Das kann dazu führen, dass Technologien und Projekte im Unternehmen zur Nutzung freigegeben werden, ohne die Schwachstellen und Sicherheitsrisiken gründlich geprüft zu haben. Die Balance zwischen agiler Wettbewerbsfähigkeit und IT-Sicherheit muss jedes Unternehmen für sich finden.
Der rechtlichen Vorgaben, die für Online-Diensteanbieter oder Betreiber kritischer Infrastrukturen gelten, stellen an sich kein IT-Risiko dar. Allerdings ist die Umsetzung der gesetzlichen Anforderungen eine Herausforderung, die finanzielle Risiken birgt und somit Investitionen (personell und technisch) erfordert. Gleichzeitig drohen hohen Bußgelder, wenn Verstöße gegen die Datenschutzgrundverordnung (EU-DSGVO) oder das IT-Sicherheitsgesetz (IT-SiG) vorliegen: Datenleaks, Diebstahl oder Sicherheitsverletzungen müssen den Behörden und Geschädigten gemeldet werden. Neben Behördenauflagen zählen auch Änderungen von Gesetzen zu Rechtsrisiken.
Jetzt vor DDoS-Attacken schützen
Um IT-Risiken zu kalkulieren, müssen im ersten Schritt Ressourcen (z. B. Kundendatenbanken, Cloud), Bereiche (z. B. interne Kommunikationskanäle) und Prozesse (z. B. Verschlüsselung, Berechtigungsmanagement) festgelegt werden, deren Integrität einen höheren Schutz benötigen. Danach sollte zum Schutz dieser möglichen Ziele eine Strategie entwickelt und dokumentiert werden. Der Standard 100-4 des Bundesministeriums für Sicherheit in der Informationstechnik bietet einen Rahmen für Risikoanalysen und die weiteren Schritte:
Viele Unternehmen setzen für die Analyse ihrer individuellen IT-Risiken auf externe Hilfe. Dies ermöglicht einerseits eine objektive Perspektive bei der Bewertung möglicher Risiken, anderseits bieten Experten wie LINK11 jahrelange Erfahrung, die aus der Arbeit mit Kunden aus unterschiedlichsten Sektoren stammt.
Nicht jedes Unternehmen unterliegt allen Faktoren der oben gelisteten Bedrohungslage. Daher ist eine individuelle Analyse in regelmäßigen Abständen die Basis für alle weiteren Entscheidung bezüglich der Sicherheit.
Der Lagebericht zur IT-Sicherheit 2019 des BSI macht deutlich, dass die Bedrohungslage besonders für Betreiber kritischer Infrastrukturen wie auch im Vorjahr auf hohem Niveau liegt. Die 1.500 KRITIS-Anlagen meldeten 252 Ereignisse – 73 % mehr als noch 2018. Laut BSI wurden jedoch keine Sicherheitsgefährdungen gemeldet, die nicht auch andere Unternehmen betroffen haben. Weiterhin wurden 2019 rund 114 Millionen neue Varianten von Schadprogrammen und bis zu 110.000 Bot-Infektionen pro Tag in deutschen Systemen registriert. Weiterhin stellen Cloud-Umgebungen sind bei der Bewertung von Sicherheitsrisiken eine besondere Herausforderungen dar.
Einen Beitrag zur Eindämmung der IT-Risiken leistet seit dem Inkrafttreten des IT-Sicherheitsgesetzes auch verstärkt der Staat selbst. Durch die gesetzlichen Vorgaben, wie zum Beispiel die Einhaltung von Mindestsicherheitsstandards und verpflichtende Nachweise zum Status der IT-Sicherheit werden nunmehr viele Unternehmen in die Pflicht genommen, die betriebsinterne Sicherheit neu auszurichten. Branchenspezifische Aufsichtsbehörden (die bekannteste in Deutschland ist die BaFin) definieren darüber hinaus Anforderungen an die IT-Sicherheit und kontrollieren diese.
Der Deloitte Report zeigt, dass 58% der befragten Unternehmensvertreter die rechtlichen Rahmenbedingen der IT-Sicherheit als gut einschätzen. Dass Staat und Politik Cyber-Risiken aktiv bekämpfen, bewerten neun von zehn Befragten positiv.
Wie man auf die wachsenden Bedrohungen aus dem Internet, aber auch den eigenen Reihen am erfolgreichsten reagiert, muss jedes Unternehmen für sich individuell beantworten. Investitionen werden in jedem Fall vermehrt nötig, um mit dem Stand der Technik Schritt zu halten. Darüber hinaus muss entweder in geschultes Fachpersonal oder externe Dienstleister investiert werden. Beide Lösungen sind mit weiteren Kosten verbunden. Der Preis, den Betriebe ohne zeitgemäße IT-Absicherung im Falle eines Angriffs und Ausfalls zahlen, kann diesen allerdings bei Weitem übersteigen.
