Clevere IT-Sicherheit berücksichtigt den Faktor Mensch

Die Digitalisierung hat den menschlichen Erfindergeist beflügelt – leider auch bei Kriminellen, die den IT-Abteilungen erheblichen Mehraufwand bescheren. Mit Ransomware, Phishing und Datendiebstahl haben sie lukrative «Geschäftsmodelle» entwickelt. Um ihre Effizienz zu steigern, setzen sie sogar zunehmend auf Automatisierung.

Die Motivation hinter der digitalen Kriminalität lässt sich jedoch nicht nur auf Geld reduzieren, sie ist komplexer. Daten sind wertvolle Informationen und somit Ziel von Wirtschaftsspionage. Hacker können ausserdem nachhaltigen Schaden anrichten, um konkurrierende Unternehmen vom Markt zu drängen.

Die häufigsten Gründe für Cyberangriffe

Expertinnen und Experten gehen davon aus, dass Geld der häufigste Grund für Cyberangriffe ist, am dichtesten gefolgt von Wirtschaftsspionage. Weitere, wenn auch nicht so häufige Gründe, werden als FIG zusammengefasst: fun, ideology and grudge (Spass, Ideologie und Groll). Ideologisch äussert sich Cyberkriminalität als Angriff auf Staaten, politische Gegner, sensible Informationen und kritische Infrastrukturen. Dabei geraten Einrichtungen, die entsprechende Daten verwalten oder Infrastrukturen betreiben, ebenfalls in die Schusslinie von machtpolitischen Kämpfen.

Kriminelle nutzen Innovation

Cyberkriminalität ist in mancher Hinsicht typisch für die IT-Branche. Sie ist geprägt von hoher Professionalität und kontinuierlicher Innovation. Hacker setzen die gleichen Prioritäten wie legal tätige Chief Information Officers: Sie optimieren, automatisieren und skalieren.

Für Unternehmen steht viel da auf dem Spiel. Sicherheit gehört somit zur Geschäftsstrategie und kriminelles Denken zum Alltag des CIO. Denn wer weiss, wie Kriminelle vorgehen, weiss auch, welche Massnahmen ergriffen werden müssen. Dies fängt mit der physischen Sicherheit von Geschäftsräumlichkeiten und Datenstandorten an und weitet sich aus auf die IT-Infrastruktur und Software-Lösungen.

Sicher ist gut, gesichert ist besser

Auf virtueller Ebene haben sich Lösungen für Netzwerksicherheit bewährt. Firewall und DDoS-Schutz sind eine Herausforderung für Kriminelle, die diese Systeme nach Schwachstellen absuchen. Eine Herausforderung sind sie jedoch auch für Sicherheitsverantwortliche, die den Schutz richtig konfigurieren und stets auf dem neusten Stand halten müssen. Patchmanagement ist dabei mehr als ein notwendiges Übel. Nur Updates und neue Funktionen helfen, Kriminellen stets einen Schritt vorauszubleiben.

Ein Klassiker der Datensicherheit ist und bleibt zudem das Backup. Und auch dieses hat sich weiterentwickelt: Unterdessen haben sich Lösungen etabliert, die Daten sowie Datenumgebung sichern und über zentralisierte Management-Plattform verwaltet werden.

Die beste Strategie gegen Cyberangriffe

Ein Gespür für Kriminalität und Menschlichkeit

IT-Sicherheit setzt ein Bewusstsein für mögliche Angriffsziele sowie für die Schwachstellen der eigenen Systeme voraus. Es braucht zudem ein Gespür für kriminelles Denken: Für welche Daten und Systeme können sich potenzielle Angreifer interessieren? Welche Daten sind besonders schützenswert? Sind die Sicherheitsmassnahmen auf dem neusten Stand?

Ob sämtlicher Gefahren und Lösungen darf eines nicht vernachlässigt werden: der Mensch. Ein Sicherheitssystem ist nur so gut, wie die Menschen, die damit arbeiten. Betrüger nutzen mit Social Engineering nicht zuletzt menschliche Schwächen gezielt aus, um sich Zugriff auf Daten und Systeme zu beschaffen. Das Sicherheitsbewusstsein der einzelnen Mitarbeiterinnen und Mitarbeiter gehört somit ebenfalls in die Sicherheitsstrategie eines Unternehmens. Damit Angreifer die Menschen nicht hacken, als wären sie Maschinen.