Foto: Sabine Starmayr
2021 IT- & DIGITALISIERUNGS-GUIDE 119
Phishing- oder Social-Engineering-Attacken.
Wichtig ist, dass die technischen Sicherheitslösungen
(z. B. Mehrfaktorauthentifizierung für
die Nutzung von Diensten) eingerichtet werden
und die MitarbeiterInnen die Sicherheitsvorkehrungen
kennen und einhalten.
WIE IDENTIFIZIERT MAN DIE EIGENEN
SCHWÄCHEN IN DER IT-SICHERHEIT?
Es bedarf hier eines echten Risikomanagements.
Ich muss meine Unternehmenswerte im ITBereich
(IT-Systeme wie Server, PCs, Smartphones,
Software und Lizenzen, Daten, personelle
Ressourcen etc.) erheben und je nach
Schutzbedarf klassifizieren. Dann schaue ich
mir Schwachstellen und Bedrohungen an. Typische
Bedrohungen wären etwa technische Probleme
wie Hardware- oder Netzwerkausfälle,
organisatorische Mängel wie fehlende Sicherheitsrichtlinien,
ungeklärte Zuständigkeiten
oder auch Bedrohungen durch kriminelle
Handlungen (Datendiebstahl etc.) oder höhere
Gewalt, aber auch fahrlässiges Benutzerverhalten
(z. B. Bedienungsmängel, Nichtbeachtung
von Sicherheitsmaßnahmen). Erst nach einer
Risikoabwägung kann ich in die Planung und
Umsetzung von Sicherheitsmaßnahmen –
natürlich unter Abwägung von Kosten und
Nutzen – gehen. Ein Resultat könnte beispielsweise
sein, regelmäßige Mitarbeiterschulungen
durchzuführen oder in technische Infrastruktur
(z. B. Firewall, Verschlüsselung) zu investieren.
WELCHE MASSNAHMEN WERDEN
BESONDERS OFT VERNACHLÄSSIGT?
Eine der wichtigsten Maßnahmen ist, dass die
Daten im Unternehmen ordentlich gesichert
sind. Datenverlust kann sehr schnell gehen.
Schon ein Hardwaredefekt oder das Öffnen
eines Anhangs mit einem Verschlüsselungstrojaner
in einem Mail kann dafür ausreichen. Die
Wiederherstellung von Daten ist – wenn überhaupt
möglich – oft sehr zeitintensiv und teuer.
Wenn es sich um personenbezogene Daten
Dritter handelt, drohen überdies rechtliche
Konsequenzen.
Eine auf das Unternehmen angepasste Datensicherungsstrategie
und eine funktionsfähige
Rücksicherung sind daher absolut notwendig.
Datensicherungslösungen müssen nicht viel
kosten und können so weit automatisiert werden,
dass diese nicht zur Last, sondern zum
Auffangnetz bei Problemen werden.
KANN MAN ALS UNTERNEHMEN OHNE
EIGENE CYBERSECURITY-SPEZIALISTEN
SELBST FÜR SEINE SICHERHEIT SORGEN?
Cybersicherheit ist auf jeden Fall „Chefsache“.
Das heißt, das Management muss sich überlegen,
wie hoch das Risiko ist und welche Ressourcen
(personell und finanziell) zur Verfügung
gestellt werden müssen. Laut Datenschutzgrundverordnung
ist jedes Unternehmen
verpflichtet, technische und organisatorische
Sicherheitsmaßnahmen zu setzen, um personenbezogene
Daten zu schützen. Es liegt auf der
Hand, dass diese Maßnahmen im eigenen
In teresse für alle betriebsinternen Daten gelten
sollten. Falls es nicht in der Kernkompetenz des
Unternehmens liegt oder Unternehmen nicht
die (personellen) Ressourcen haben, um ITSicherheit
zu gewährleisten, raten wir dringend
dazu, professionelle Experten in Anspruch zu
nehmen.
WO KANN MAN SICH HILFE HOLEN?
Auf unserer Website www.it-safe.at finden Sie
Informationen rund um das Thema Cybersicherheit
(Onlineratgeber, Sicherheitshandbücher,
Erklärvideos usw.). IT-Security-Experten
finden Sie im UBIT Firmen A–Z. Wenn Unternehmen
Opfer eines Cybercrime-Angriffs wurden,
erhalten sie rund um die Uhr bei der
Cybersecurity-Hotline der Wirtschaftskammern
unter 0800 888 133 rasche telefonische Erstinformation
und Notfallhilfe.