Artikel erschienen am 07.01.2014
E-Paper

Portrait: Kriminalität 2.0

Warum IT-Sicherheit wichtig ist

Von Max Gießler, Braunschweig

Neue Technologien werden in immer kürzeren Zyk­len verfügbar. Globale Standards in der Kommunikation entwickeln und ändern sich immer schneller. Immer mehr Menschen haben Zugang zu technischen Produkten, deren Leistungsfähigkeit die der Vorgängergeneration regelmäßig übersteigt. Immer weniger Menschen verstehen diese Produkte und sind sich der Risiken bewusst, die mit deren Nutzung einhergehen.

Kriminelle Organisationen bedienen sich dieser Unkenntnis und verursachen der deutschen Wirtschaft jährlich einen Schaden von ca. 60 Mrd. Euro – Tendenz steigend (Die Welt – 09.06.2014). In ungefähr ähnlicher Höhe siedelt der Verfassungsschutz den Schaden an, welcher der deutschen Wirtschaft durch Wirtschaftsspionage entsteht. Diese Zahlen verdeutlichen das Ausmaß der realen Bedrohung durch die sog. Cyber-Kriminalität.

IT-Sicherheit: die besondere Bedeutung für Stiftungen

Stiftungen verwalten teils beträchtliche Vermögen und stellen damit lukrative Ziele für Kriminelle dar. In öffentlichen Registern, aber vor allem in sozialen Netzwerken können diese sich informieren, wer in einer ausgewählten Stiftung welche Position bekleidet. Mit einfachen Mitteln kann in Erfahrung gebracht werden, welche Interessen eine Person hat und mit wem sie Kontakt hält. So kann mit geringem Aufwand und hoher Erfolgswahrscheinlichkeit versucht werden, Zugang zu Daten und /-oder Computernetzen zu erhalten, z. B. über qualitativ hochwertig präparierte E-Mails mit persönlicher Ansprache und Referenz zu realen Anliegen wie etwa einer Stellenanzeige.

Technische Schutzmaßnahmen wie Datensicherungen, Firewalls und Antiviren-Software gehören zur klassischen Absicherung von Computersystemen, bleiben aber gegen derart raffiniert vorgehende Täter meist wirkungslos. Oftmals sind es die Anwender selbst, die ahnungslos eine Aktion ausführen, die den Virenschutz und die Firewall umgeht. Sicherheitsabfragen wie „Sind Sie sicher, …?“ haben viele Computernutzer schon zu häufig mit „Ja“ beantworten müssen, als dass sie ihnen noch irgendeine Bedeutung zumessen.

Dem kann man durch Aufklärung und Schulung entgegenwirken. Die regelmäßige Sensibilisierung von Anwendern für das Thema IT-Sicherheit erhöht das Wissen um die vorhandenen Risiken und verbessert so die Wirksamkeit der technischen Maßnahmen nachhaltig. Wirtschaftsverbände und Behörden wie der Verfassungsschutz bieten regelmäßig entsprechende Veranstaltungen an, informieren mit praxisnahen Beispielen und geben einen Ausblick auf die aktuellen Entwicklungen.

Ziel, Maßnahme und Wirkung im IT-Risikomanagement

Falls ein Schaden auftritt: die Cybercrime-Versicherung

Wenn ein Schaden erst eingetreten ist, etwa Dateien entwendet oder Konten geplündert wurden, ist es für eine Sensibilisierung oft zu spät. Zum einen sind die Betroffenen nach einem solchen Vorfall i. d. R. in besonderem Maße sensibilisiert, zum anderen ist der eingetretene Schaden oft beträchtlich und selten reparabel. Dennoch ist es möglich, sich abzusichern, denn viele Versicherungsunternehmen bieten mittlerweile eine Cybercrime-Versicherung an.

Je nach Versicherer ist der Leistungsumfang einer solchen Versicherung unterschiedlich; die meisten aber koppeln ihre Leistung an im Vorfeld zu prüfende Bedingungen, z. B. eine vorhandene Datensicherung, Zutrittskontrolle oder Antiviren-Lösung. Da diese Bedingungen normalerweise wenig standardisiert und teilweise schwer zu überprüfen sind, wurde in den letzten Jahren eine Reihe von Richtlinien entwickelt.

Einfach sicher: Umsetzung und Auditierung von VdS-Richtlinien zur IT-Sicherheit

Diese VdS-Richtlinien sind kostenlos im Internet verfügbar und ermöglichen es kleinen und mittelständischen Unternehmen, zu denen auch die meisten Stiftungen zählen, eine angemessene Informationssicherheit zu etablieren und diese nach festen Regeln regelmäßig überprüfen zu lassen. Darüber hinaus ermöglichen sie Versicherern eine neutrale Beurteilung des Risikos und eine solide Kalkulation des Versicherungsschutzes. Ob sich eine Stiftung für oder gegen eine Cybercrime-Versicherung entscheidet, ist immer eine Einzelfallbetrachtung. Wichtiger für eine Eingrenzung der Kriminalität 2.0 ist letztlich die Beschäftigung mit der Informationssicherheit und die damit einhergehende Sensibilisierung. Erst durch diese Transparenz ist es den Entscheidern möglich, angemessene Maßnahmen zu definieren, die zur Erreichung eines akzeptierten Restrisikos sinnvoll sind.

Die Planung und Umsetzung der VdS-Richtlinien sowie deren regelmäßige Auditierung ist für kleine und mittelständische Unternehmen eine empfehlenswerte Annäherung an das Thema IT-Sicherheit. Wer weitergehen will, findet mit den BSI-Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik und der ISO 27001 umfangreiche Regelwerke zur Sicherung seiner IT-Umgebung und der zugehörigen Prozesse. Der hiermit verbundene Aufwand rentiert sich i. d. R. allerdings nur für Organschaften, die entsprechenden Sicherheits- und Geheimhaltungspflichten unterliegen.

White Hacking: Schwachstellenanalyse durch IT-Sicherheitsspezialisten

Will man die getroffenen Schutzmaßnahmen nicht nur auf dem Papier, sondern in der eigenen IT-Umgebung überprüfen, kann man auf Sicherheitsspezialisten zurückgreifen, die im Auftrag des Unternehmens in dessen eigene IT-Umgebung einbrechen. Dieses sog. Penetration Testing liefert häufig für den IT-Verantwortlichen sehr überraschende Ergebnisse, indem Sicherheitslücken an Stellen aufgedeckt werden, die bisher nicht als potenzielle Gefahrenquelle wahrgenommen wurden.

Auch auf diesem Wege kann somit eine Sensibilisierung erreicht werden, die dazu beiträgt, potenzielle Gefahren im Vorfeld zu vermeiden. Das Risikobewusstsein und die Kenntnis der entsprechenden Maßnahmen sind die wesentlichen Voraussetzungen, um dem immer schneller werdenden technologischen und gesellschaftlichen Wandel durch Digitalisierung sicher begegnen zu können.

Ähnliche Artikel

Gesundheit

Digitalisierung im Gesundheitswesen

Die Digitalisierung hat unser Leben verändert und wird es zukünftig immer weiter beeinflussen. Beeindruckende Entwicklungen eröffnen in diesem Bereich ständig neue Möglichkeiten. Der renommierte Philosoph Thomas Metzinger, der in seinen Forschungsarbeiten Chancen und Auswirkungen digitaler Welten untersucht, sagt dazu im „Spiegel“: „Möglich ist fast alles, sogar Roboter, die wirklich leiden.“

Braunschweig 2016/2017 | Dr. med. Mohammad-Zoalfikar Hasan, Königslutter am Elm

Finanzen Steuern Recht

Rechtliche Fallstricke für Versicherungsvermittler in der digitalen Kundenansprache

Bei Nutzung der unterschiedlichen Kanäle sind dabei die jeweils geltenden rechtlichen Vorgaben zu berücksichtigen. In Bezug auf die immer wichtiger werdende Ansprache von Kunden über digitale Kanäle stellen die Vorgaben aus der Umsetzung der Europäischen Versicherungsvertriebsrichtlinie („IDD“) eine große Herausforderung dar.

Düsseldorf 2019 | Anne Fischer, Düsseldorf | Dr. Jan Schröder, Düsseldorf