Cybersicherheit in Firmen steht und fällt mit dem Management

Wien (APA) - Praktisch jede Firma muss digitalisieren und wird damit durch Cyber-Angriffe verwundbar. Wie gut sich ein Unternehmen dagegen wappnen kann, steht und fällt mit der Rückendeckung durch das Management, sagt Roman Hohl, Country Manager für Österreich bei Palo Alto Networks. Denn nur wenn die Chefs Ressourcen aufbringen und dem Thema hohe Priorität einräumen, entstehen wirksame Sicherheitssysteme.

Natürlich müssen Firmen in moderne Technik und Software investieren, eine große Schwachstelle bleibt aber der Mensch. Und zwar nicht nur der frustrierte oder böswillige Mitarbeiter, oder ein schlecht geschulter Angestellter. Gerade die Chefs sind oft eine Schwachstelle: "Auslöser von Cyberproblemen sind oft die Chefs, die sich an die eigenen Vorgaben nicht halten", weiß Hohl. Und Yorck Reuber von AXA schreibt in einem von Palo Alto herausgegebenen Ratgeber für Führungskräfte: "Insbesondere Führungskräfte neigen dazu, solche Angriffe zu unterschätzen, beziehungsweise halten sich für hinreichend clever, im Zweifelsfall nichts zu verraten. Beides sind gefährliche Irrtümer."

Hundertprozentige Sicherheit gibt es nicht, aber man kann es den Angreifern so schwer machen, dass die meisten sich einfacheren Zielen zuwenden, sagte Hohl im Gespräch mit der APA. Vorsorge alleine ist aber noch kein Konzept. "Unwirtschaftlich und unrealistisch" wäre es, das ganze Sicherheitsbudget in die Prävention zu stecken, schreibt dazu Andreas Rohr von der Deutsche Cyber-Sicherheitsorganisation GmbH (DCSO) in dem Ratgeber, der auf 155 Seiten Beiträge verschiedenster Experten vereint. "Ein relevanter Teil des Geldes sollte in Mechanismen zur Erkennung erfolgreicher Angriffe und Nachsorgemaßnahmen investiert werden", empfiehlt Rohr. Und schon in guten Zeiten sollten Strukturen für einen großen Ernstfall installiert werden. Denn in der Krise sei es dafür zu spät.

Oft sind es einfache Fehler, die für einen Angriff genutzt werden. "Ich schätze, dass in 20 Prozent der Unternehmen Leute noch Zugang haben, die schon längst nicht mehr in der Firma sind", sagt Hohl. Oder jemand hat mit dem Firmen-PC daheim gesurft und bringt so einen Trojaner ins Netzwerk. Vor zehn Jahren mag noch eine Firewall gereicht haben, heute sicher nicht mehr. "Die Fotos von der Firmenfeier liefern auf dem Silbertablett, welcher Mitarbeiter welche Kollegen kennt und wie diese heißen. Dies genügt unter Umständen schon, um die Spear-Phishing-E-Mail hinreichend zu personalisieren und so den fatalen Klick zu provozieren", schreibt Reuber.

Ein großer Irrtum wäre es auch, zu glauben, dass nur Firmen mit sensiblen Kundendaten gefährdet sind. Hohl verweist auf eine Keksfabrik, in der per Cyberattacke die Teigsteuerung außer Kraft gesetzt wurde. Die Folge war, dass alle Rohre, über die Teig verteilt wurden verstopft wurden und ausgetauscht werden mussten, der Schaden lag bei 2,5 Mio. Euro und die Produktion stand vier Wochen still.

Zwei Kapitel in dem Buch widmen sich der ab 25. Mai 2018 gültigen EU-Verordnung zum Umgang mit Personendaten (EU-Datenschutzgrundverordnung/DSGVO). Das neue Gesetz spricht jedem, dessen Daten gestohlen werden, Schadenersatz zu und bedroht Firmen mit Strafen bis zu 20 Millionen Euro bei schwerwiegenden Verstößen. Die Verordnung schreibt Systeme und Prozesse vor. Nur notwendige Kundendaten dürften gesammelt werden, sie sind rasch zu löschen, wenn sie nicht mehr nötig sind. Zugang zu heiklen Daten in der Firma ist einzuschränken und alle Eingriffe sind laufend zu dokumentieren. Eines der wichtigsten Elemente der EU-Verordnung ist die Meldung jeder Verletzungen des Datenschutzes innerhalb von 72 Stunden an die Behörden. Firmen sind gut beraten, rasch über die Umsetzung der DSGVO nachzudenken, empfiehlt die Rechtsanwältin Carmen De la Cruz Böhringer in ihrem Beitrag. Und Reto Häni von PwC Schweiz schreibt: "Das Erfüllen der EU-Datenschutzgrundverordnung darf nicht als Pflichtübung für die Compliance- und Rechtsabteilungen gesehen werden, sonst wird das Projekt misslingen." Tatkräftiger Einsatz der Firmenspitze ist gefragt.

S E R V I C E: "Wegweiser in die digitale Zukunft - Praxisrelevantes Wissen zur Cyber-Sicherheit für Führungskräfte", Hrsg Palo Alto Networks, Verlag Planet c, ISBN 978-3-937596-921

Davos/Moskau (APA/AFP) - Russlands Regierungschef Dmitri Medwedew hat mit einem Boykott des Weltwirtschaftsforums in Davos im Jänner gedroht, sollten wichtige russische Geschäftsleute dort nicht willkommen sein. Er reagierte damit am Dienstag auf einen Pressebericht. Demnach sollen auf Druck der USA mehrere russische Geschäftsleute gebeten worden sein, im kommenden Jahr nicht an der Konferenz in Davos teilzunehmen.
 

Newsticker

Russland droht mit Boykott des Weltwirtschaftsforums

Wien (APA) - Am vierten Tag des Telekom/Valora-Prozesses gegen die Ex-Lobbyisten Peter Hochegger und Walter Meischberger sowie den Ex-Telekom-Austria-Vorstand Rudolf Fischer ging es heute viel um einen Mann, der gar nicht angeklagt ist: Ex-Finanzminister Karl-Heinz Grasser (ÖVP/FPÖ), für den die Telekom beispielsweise Umfragen zu seinem Image und Privatleben bezahlte.
 

Newsticker

Telekom/Valora - Privatflug mit Grasser, Weitflug mit Hühnern

Brüssel (APA/AFP) - Die EU-Kommission hat einen Notfallplan für den Fall eines Scheiterns der Brexit-Verhandlungen verabschiedet. Er enthält "eine begrenzte Zahl von Notfallmaßnahmen in vorrangigen Bereichen", wie die EU-Behörde am Dienstag mitteilte.
 

Newsticker

EU veröffentlicht Notfallplan für Scheitern von Brexit-Verhandlungen