Ein Cyberangriff ist weit mehr als ein Böser-Buben-Streich, wie Hackerattacken auf Behörden, öffentliche Verwaltungen und Krankenhäuser immer wieder beweisen. Einer der zuletzt publik gewordenen spektakulären Fälle ist die Cyberattacke auf das Universitätsklinikum Düsseldorf im Jahr 2020, die immense Folgen hatte: die Notaufnahme musste schließen, Operationen konnten nicht stattfinden, wochenlang gab es keinen geregelten Betrieb. Womöglich kostete der Angriff ein Menschenleben. Der Grund: Die Hacker verschlüsselten 30 Server des Klinikums. In das IT-System eingedrungen waren die Kriminellen scheinbar über eine Schwachstelle in einem häufig genutzten Programm.
„Security-by-design“ als Grundsatz
Feststeht, dass Qualitätsmängel in Soft- und Hardwareprodukten die Angriffsmöglichkeiten für Cyber-Kriminelle erhöhen. Das Bundesamt für Sicherheit in Informationstechnik (BSI) appellierte daher in der vergangenen Woche an die Hersteller von IT-Produkten, Sicherheitsaspekte bereits bei der Entwicklung stärker zu berücksichtigen und die Geräte in einer sicheren Konfiguration auszuliefern. Gemeinsam mit seinen internationalen Partnerbehörden veröffentlichte die Behörde Empfehlungen an IT-Hersteller, die Grundsätze „security-by-design“ und „security-by-default“ in ihre Produktentwicklung zu implementieren.
Schutzbedarf systematisch analysieren
Doch nicht nur Produkthersteller sind beim Thema IT-Sicherheit gefordert. Auch Anwender können durch umsichtiges Handeln zur Sicherheit einer IT-Infrastruktur beitragen. Der Weg zu einem professionellen IT-Sicherheitskonzept beginnt mit einer systematischen Schutzbedürftigkeitsanalyse, um mögliche Schwachstellen zu erkennen. Der Check fängt bei der Hardware inklusive aller (!) im Einsatz befindlichen mobilen Endgeräte an, geht über die verwendete Software, prüft die ins Netzwerk eingebundenen Komponenten und führt bis zu den Kommunikationskanälen. Ist ein detaillierter Überblick vorhanden, wird die bestmögliche Lösung gemeinsam mit einem versierten IT-Systemhaus (wie dem unsrigen) entwickelt, mit der die gesamte IT dauerhaft auf dem neuesten Stand von Sicherheit und Technik ist und vor allem: bleibt.
Risikofaktor Mensch minimieren
Doch das beste IT-Sicherheitskonzept taugt wenig, wenn Mitarbeitende im Home Office nicht im sicheren Umgang mit der Technik geschult oder zumindest gut gebrieft sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu eine Checkliste erstellt, die anhand von neun Punkten aufzeigt, was Mitarbeitende im Heimbüro beachten müssen, damit die IT-Sicherheit auch am heimischen Arbeitsplatz gewährleistet ist.
IT-Sicherheit ist Chefsache
In Anbetracht der Zunahme von Cyberattacken dürfte ein professioneller Managed IT-Service, mit dem aktiv Datensicherheit betrieben wird, zukünftig ein Qualitätsmerkmal von Unternehmen sein, nach dem Kunden, Auftraggeber und Lieferanten fragen werden. Immerhin hat die IT-Sicherheit laut einer Studie von Deloitte in 58 Prozent der kleinen und mittleren Unternehmen eine hohe bis sehr hohe Priorität. Das lässt darauf schließen, dass sich der Mittelstand seiner Verantwortung für die Datensicherheit wohl bewusst ist und zunehmend entsprechende Maßnahmen für deren Gewährleistung ergreift. Dennoch bleibt eine Menge für die höchstmögliche Datensicherheit zu tun, wie wir aus unserer täglichen Praxis nur zu gut wissen.