Unsere E-Learning Kurse


Mangelnde Informationssicherheit kann zu großen Schäden für Unternehmen führen

Freitagnachmittag, 17.35 Uhr. Martin Schmidt will gerade Feierabend machen. Die meisten seiner Kollegen haben das Büro schon verlassen. Doch dann, Pling, landet noch eine E-Mail im Postfach des Leiters der Finanzabteilung. Am Rand der Betreffzeile sieht Martin Schmidt zwei rote Ausrufezeichen: Höchste Priorität! Und abgeschickt hat die Mail der CEO höchstpersönlich.

„Lieber Herr Schmidt, ich wende mich an Sie mit einer dringenden Bitte“, steht in der E-Mail. Im weiteren Verlauf des Texts wird der Finanzleiter aufgefordert, schnellstmöglich eine Überweisung auf den Weg zu bringen; das Werk in Greifswald benötige dringend 287.000 Euro, um einen Zulieferer zu bezahlen – ansonsten müsse die Produktion noch am gleichen Tag gestoppt werden.

Informationssicherheit: Daten vor unbefugtem Zugriff schützen

Martin Schmidt ist zwar ein brillanter Finanzexperte. Aber für das Thema Informationssicherheit hat er sich noch nie begeistert. Nur zu Beginn seiner Karriere musste er einmal an einer Schulung zum Thema IT-Sicherheit teilnehmen. In dem Seminar ging es unter anderem darum, wie Daten und Informationen vor unbefugtem Zugriff geschützt werden können. „Das hat mit meiner Arbeit wenig zu tun“, dachte er.

Hätte Martin Schmidt damals bei der Schulung „IT Sicherheit“ besser aufgepasst, wüsste er, dass er durchaus in einem Bereich kritischer Infrastrukturen tätig ist – und dass er für mögliche Betrüger ein lohnenswertes Ziel darstellt. Doch so macht er sich an diesem Freitag an die Arbeit, befolgt die im Mail-Verkehr erteilten Anweisungen seines Chefs und bringt die 287.000-Euro-Überweisung auf den Weg. Er ahnt nicht, welchen Schaden er da gerade angerichtet hat.

IT-Sicherheit beschränkt sich nicht auf Virenscanner und Firewalls

Die fiktive Person Martin Schmidt ist Opfer des sogenannten CEO-Fraud geworden – und mit ihm seine Firma. Weltweit entsteht durch diese Betrugsmasche jedes Jahr ein Gesamtschaden von 24 Milliarden Euro. Kriminelle fälschen dabei E-Mail-Nachrichten hochrangiger Führungskräfte und bringen Mitarbeiter dazu, Gelder zu überweisen. Dabei gehen sie so geschickt vor, dass bei den Opfern keinerlei Zweifel an der Echtheit der Nachrichten entstehen.

Jedes noch so gut geplante System der IT Security hat Schwachstellen. Digitale Daten sind nie zu 100 Prozent sicher. Wenn sich Online-Betrüger richtig ins Zeug legen, wird es ihnen auch gelingen, Zugriff auf sensible Daten zu bekommen. Sei es nun, weil sie Schwachstellen im technischen System entdecken – oder weil sie wie beim CEO-Fraud den Menschen ausnutzen. Dabei ist CEO-Fraud nur eine von vielen weiteren Methoden, um an firmeninternen Informationen zu gelangen.

Unternehmen sollten das Thema Informationssicherheit ernst nehmen

Gut beraten sind Unternehmen, wenn sie das Thema Informationssicherheit im Blick haben. Der Begriff Informationssicherheit ist vielschichtig – das Ziel ist jedoch immer identisch: Informationssicherheit dient dem Schutz vor Gefahren und Bedrohungen, dem Vermeiden von wirtschaftlichen Schäden und der Verringerung von Risiken.

Weit verbreitet im deutschsprachigen Raum ist bei der Informationssicherheit das Vorgehen nach IT-Grundschutz. Dies bezeichnet eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise für die IT-Security. Mit dem Grundschutz sollen Unternehmen einen mittleren, angemessenen und ausreichenden Schutz für ihre IT-Systeme erreichen. Empfohlene Maßnahmen betreffen die Bereiche Infrastruktur, Organisation und Personal.

Informationssicherheit allein schon aus Gründen des Eigenschutz beachten

Die Informationssicherheit ist für jedes Unternehmen eine Herausforderung, der es sich aber zwangsläufig stellen muss. Um den Grund dafür zu verstehen, muss man sich vor Augen führen, dass Informationen zu den größten Vermögenswerten eines Unternehmens zählen. Da Informationen in vielen Fällen über den wirtschaftlichen Erfolg eines Unternehmens entscheiden, sind Daten und Informationen besonders schützenswert. Zugleich sind Unternehmen per Gesetz in der Pflicht, für Informationssicherheit zu sorgen. So regelt etwa der Datenschutz den Umgang mit personenbezogenen Daten.

Wie gut ein Unternehmen im Hinblick auf die Informationssicherheit aufgestellt ist, zeigen drei sogenannte Schutzziele. Werden sie erfüllt, ist ein Unternehmen vergleichsweise gut gegen Angriffe geschützt. Sie möchten nun wissen, welche konkreten Schutzziele Informationssicherheit erreichen soll? Die Antwort beinhaltet drei Schlagworte: Vertraulichkeit, Integrität und Verfügbarkeit. Und die gilt es jetzt, näher zu betrachten.

Schutzziele Informationssicherheit: Vertraulichkeit, Integrität, Verfügbarkeit

Die Vertraulichkeit von Daten beschreibt im Kontext der Informationssicherheit, dass Daten und Informationen ausschließlich von Menschen bearbeitet werden können, die dazu berechtigt sind.

Das Schutzziel Integrität beschreibt im Zusammenhang mit der Informationssicherheit, dass digitale Daten im technischen System nicht unerkannt verändert werden können. Da es im Unternehmensalltag aber praktisch unmöglich ist, Datenveränderungen zu verhindern, liegt das Hauptaugenmerk auf der Rückverfolgbarkeit der Änderungen.

Die Verfügbarkeit beschreibt, dass im Rahmen der Informationssicherheit der Zugriff auf sämtliche IT-Systeme zu jeder Zeit gewährleistet sein soll. Logisch, eigentlich – denn das Gegenteil der Verfügbarkeit ist der Systemausfall. Und der gilt wegen der damit verbundenen wirtschaftlichen Schäden zurecht als Schreckensszenario.

Mangelnde Informationssicherheit führt zu großen Schäden für das Unternehmen

Erinnern wir uns nun an den eingangs erwähnten Finanzchef Martin Schmidt. Als er auf den CEO-Fraud hereingefallen ist, hat sein Unternehmen viel Geld verloren. Dass die Betrüger den CEO-Fraud als Angriffsmasche gewählt haben, war Zufall. Sie hätten sich auch mit einer Spear-Phishing-E-Mail an Martin Schmidt wenden können. Oder mit anderen Methoden des sogenannten Social Engineering. Vielleicht hätten sie auch einfach gut gefälschte Rechnungen geschickt, die Martin Schmidt kurzerhand bezahlt hätte. Gegen all diese Techniken helfen weder eine Firewall noch ein Virenscanner – sie setzen einzig und allein darauf, dass Menschen Fehler machen.

Aus diesem Grund ist es wichtig, die Menschen, die in einem Unternehmen tätig sind, für das Thema Informationssicherheit zu sensibilisieren. Wer sich bislang noch nicht oder nur oberflächlich mit dem Thema beschäftigt hat, wird staunen, mit welcher Kreativität und Präzision die Betrüger ans Werk gehen. Oft verbringen sie Monate damit, ihren Angriff bis ins letzte Detail zu planen. Dann schlagen sie zu – und richten innerhalb kürzester Zeit einen gewaltigen Schaden an.

Wissen über Informationssicherheit im E-Learning auffrischen und vertiefen

Nur wer gängige aber auch die neuesten Bedrohungen und Betrügereien kennt, kann sich und sein Unternehmen schützen. Auch der eigenverschuldete Informationsverlust und dessen Prävention ist zu beachten. Neben etablierten, internen Richtlinien und Verfahren zur Informationssicherheit, sollten auch Mitarbeiter umfassend über mögliche Gefahren aufgeklärt werden. Die E-Learning Kurse von Security Island schulen Beschäftigte anhand praktischer Beispiele, interaktiver Elemente und medial spannend aufbereiteter Informationen, um die Awareness unternehmensweit zu steigern.