21,99 €
Unternehmen werden immer häufiger Opfer von Hacker- und Cyberangriffen. Diese werden oft fälschlicherweise als rein technische Bedrohungen gesehen. Tatsächlich richten sich solche Angriffe gegen das Unternehmen selbst – meist mit dem Ziel; Lösegeld zu erpressen und somit einen immensen finanziellen Schaden anzurichten. Cybersecurity ist daher Chefsache! Die kompakte QuickInfo erklärt Ihnen; wer hinter den Angriffen steht; welche Motivation Angreifer haben und wie Sie als verantwortliche Geschäftsführerin und verantwortlicher Geschäftsführer bzw. als verantwortliches Management die notwendigen Strategien und Schutzmaßnahmen setzen. „10 Strategien gegen Hackerangriffe“ hilft Ihnen; das Risiko für Ihr Unternehmen zu kontrollieren; zu steuern und somit erfolgreich zu minimieren. Nutzen Sie die Digitalisierung; aber geben Sie Hackern keine Chance!
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Impressum
ISBN 978-3-85402-395-1
Auch als Buch verfügbar:
ISBN 978-3-85402-394-4
1. Auflage 2021
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahmeauf oder in sonstige Medien oder Datenträger,auch bei nur auszugsweiser Verwertung, sind nur mit ausdrücklicher Zustimmung der Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr und eine Haftung der Herausgeber, der Autoren oder des Verlages ist ausgeschlossen.
Aus Gründen der besseren Lesbarkeit wird in vorliegendem Werk die Sprachform des generischen Maskulinums angewendet. Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.
© Austrian Standards plus GmbH, Wien 2021
Die Austrian Standards plus GmbH ist ein
Unternehmen von Austrian Standards International.
AUSTRIAN STANDARDS PLUS GMBH
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-818
www.austrian-standards.at/fachliteratur
PROJEKTBETREUUNG
Lisa Maria Heiderer
LEKTORAT
Johanna Zechmeister
COVER – FOTOCREDIT
© iStockphoto.com/alengo
GESTALTUNG
Alexander Mang
DRUCK
Prime Rate Kft., H-1044 Budapest
Inhalt
Abkürzungsverzeichnis
Vorwort
Vom Hacker zum Cyberkrieger
1 STRATEGIE 1:Den Hacker kennen
1.1 WER GREIFT UNS AN?
1.1.1 Kein Angriff ohne Motiv
1.1.2 Kein Angriff ohne die notwendige Fähigkeit
1.1.3 Erst die Angriffsfläche ermöglicht den Angriff
1.2 SIND WIR VOR DEM ANGREIFER SICHER?
2 STRATEGIE 2:Security ist Chefsache
2.1 COMMITMENT
2.2 VORBILDWIRKUNG
2.3 PLANUNG UND LENKUNG
2.3.1 Sicherheitsziele & Risikopolitik
2.3.2 Management-Review und Reporting
2.3.3 Rollen und Ressourcen
3 STRATEGIE 3:Schutz der Kronjuwelen
3.1 ÜBERSICHT ZUR VORGANGSWEISE
3.2 IDENTIFIKATION VON INFORMATIONSWERTEN
3.2.1 Herangehensweise: Top-down und Bottom-up
3.2.2 Gruppieren von Informationswerten
3.2.3 Erhebung der Systeme
3.3 IDENTIFIKATION DES SCHUTZBEDARFS
3.3.1 Definition von Schutzzielen
3.3.2 Bewertung des Schutzbedarfs
3.3.3 Klassifizierung von Informationswerten
3.4 SCHUTZMASSNAHMEN ZUR SICHERUNG DER INFORMATIONSWERTE
3.4.1 Risikoanalyse
3.4.2 Auswahl von Schutzmaßnahmen
3.4.3 Effektivitätsprüfung und Überwachung von Risiken
3.5 GRUNDHYGIENE IN DER CYBERSECURITY
4 STRATEGIE 4:Das Projekt aufsetzen
4.1 WARUM EIN PROJEKT?
4.2 WIE PLANE ICH DAS PROJEKT?
4.2.1 Projektziele festlegen
4.2.2 Das Projekt abgrenzen
4.2.3 Darstellung des Projektkontextes
4.2.4 Die Tätigkeiten strukturieren
4.2.5 Die Projektorganisation einsetzen
4.3 DIE PROJEKTARBEIT
4.3.1 Zusammenarbeit fördern
4.3.2 Projektmarketing gestalten
4.3.3 Projektfortschritt messen und Risiken aufzeigen
5 STRATEGIE 5:Organisationsstruktur aufbauen
5.1 INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEM
5.2 DIE WICHTIGSTEN ROLLEN IM ISMS
5.2.1 Die Leitung
5.2.2 Informationssicherheitsbeauftragter
5.2.3 Schlüsselpersonal
5.3 STRUKTUREN SCHAFFEN
5.3.1 Logging- und Monitoring-Konzept
5.3.2 Verwaltung von Werten
5.3.3 Compliance-Management
5.4 AUF DEN ERNSTFALL VORBEREITET SEIN
5.5 WAS IST NOTWENDIG, UM RICHTIG REAGIEREN ZU KÖNNEN?
5.5.1 Notfallmanagement
5.5.2 Krisenmanagement
5.5.3 Üben und Testen
5.6 INTEGRIERTER ANSATZ DER BEWÄLTIGUNG
6 STRATEGIE 6:IT-Betrieb sichern
6.1 EINLEITUNG
6.2 WERTEMANAGEMENT
6.2.1 Informationswert
6.2.2 Physischer Wert
6.2.3 Personen
6.3 BACKUPS UND DATENSICHERUNG
6.4 CLOUD SECURITY
6.4.1 Risiken der Cloud
6.4.2 Sicherheit in der Cloud
6.5 SYSTEMHÄRTUNG UND SICHERE KONFIGURATION
6.6 PATCH-MANAGEMENT
6.6.1 Planen der Patches
6.6.2 Testen der Patches
6.6.3 Ausrollen der Patches
6.7 NETZWERKSICHERHEIT
6.8 SCHUTZ VOR SCHADSOFTWARE
6.9 REGELMÄSSIGE ÜBERPRÜFUNGEN UND ÜBUNGEN
6.9.1 Awareness-Trainings
6.9.2 Schwachstellen-Scans
6.9.3 Penetration-Tests
6.9.4 Red-Team-Assessments
7 STRATEGIE 7:Physische Sicherheit etablieren
7.1 EINLEITUNG
7.2 SICHERHEITSZONEN
7.2.1 Firmengelände
7.2.2 Besprechungsräume
7.2.3 Verteilerschränke/-räume
7.2.4 Büros
7.2.5 Kritische Bereiche
7.3 ÜBERGREIFENDE SICHERHEITSMASSNAHMEN
7.3.1 Bauliche Maßnahmen
7.3.2 Zutrittskontrolle
7.3.3 Brandschutz
7.3.4 Stromversorgung
7.3.5 Weitere Schutzmaßnahmen
7.4 AGIEREN STATT REAGIEREN
8 STRATEGIE 8: Mitarbeiter begeistern
8.1 EINLEITUNG
8.2 TRAINING
8.2.1 Inhalte
8.2.2 Methoden
8.2.3 Herausforderung
8.3 MOTIVATION
8.3.1 Updates
8.3.2 Personalisierung
8.3.3 Gamification und Serious-Gaming
8.3.4 Belohnungssystem
9 STRATEGIE 9: Sicher im Homeoffice
9.1 EINLEITUNG
9.2 GOVERNANCE
9.3 IT-SECURITY
9.3.1 Device-Management
9.3.2 Bring-Your-Own-Device
9.3.3 Verschlüsselung bei Mobile Computing
9.3.4 Zugriffsschutz
9.3.5 Netzwerksicherheit
9.3.6 IT-Operations & Technology
9.4 PHYSISCHE SICHERHEIT
9.5 AWARENESS
9.5.1 Sichere Kommunikation
9.5.2 Phishing-Attacken
9.6 DATENSCHUTZ
9.7 KOMMUNIKATION IM HOMEOFFICE
9.8 ZUKUNFT IM HOMEOFFICE
10 STRATEGIE 10: Qualität steigern
10.1 DER KVP-PROZESS
10.2 MESSEN DER INFORMATIONSSICHERHEIT
10.2.1 KPIs entwickeln
10.2.2 Daten sammeln und analysieren
10.2.3 Massnahmen identifizieren und umsetzen
10.3 REPORTING
Ausblick
Literatur- und Normenverzeichnis
DIE AUTOREN
Abbildungsverzeichnis
ABBILDUNG 1:SCHEMATISCHE DARSTELLUNG DES PROZESSES
ABBILDUNG 2:BEISPIELHAFTE MATRIX ZUR BEWERTUNG VON BEDROHUNGEN
ABBILDUNG 3:ZUSAMMENWIRKEN VON BEDROHUNG, SCHWACHSTELLE UND RISIKO
ABBILDUNG 4:BEISPIEL GANTT-DIAGRAMM
ABBILDUNG 5:DREI DIMENSIONEN IN DER PROJEKTSTEUERUNG ALS DREIECK
ABBILDUNG 6:BEISPIEL FÜR SICHERHEITSZONEN
AV Antivirus
BCM Business Continuity Management
BSI Bundesamt für Sicherheit in der Informationstechnik
BIA Business-Impact-Analyse
BYOD Bring Your Own Device
CISO Chief Information Security Officer
CEO Chief Executive Officer
CFO Chief Financial Officer
DoS Denial-of-Service-Attacken
DDoS Distributed-Denial-of-Service-Attacken
DSGVO Datenschutz-Grundverordnung
EDR Endpoint Detection and Response
IDS Intrusion-Detection-System
IEC International Electrotechnical Commission
IKT Informations- und Kommunikationstechnik
IoT Internet of Things
IPS Intrusion-Prevention-System
ISB Informationssicherheitsbeauftragter
ISMS Informationssicherheits-Managementsystem
ISO International Organization for Standardization
KPI Key-Performance-Indicator
KMU Kleine und mittlere Unternehmen
KVP Kontinuierlicher Verbesserungsprozess
NIST National Institute of Standards and Technology
PDCA Plan-Do-Check-Act
SLA Service Level Management
SOC Security Operations Center
ToD Test of Design
ToE Test of Effectiveness
TOMs Technische und organisatorische Maßnahmen
USV Unterbrechungsfreie Stromversorgung
VPN Virtual Private Network
WBT Web-Based-Training
Georg Beham
In den letzten Jahren haben mein Team und ich viele Cyberangriffe für Kunden abgewehrt. In den meisten Fällen werden Angriffe, in denen beispielsweise Lösegelder für das Entschlüsseln von widerrechtlich verschlüsselten Dateien das Ziel sind, nicht mehr nach dem Prinzip von Postwurfsendungen[1] durchgeführt. Unternehmen werden immer häufiger ganz gezielt von Cyberkriminellen ausgewählt. Besonders Unternehmen, die niedrige Einstiegshürden aufgrund von Sicherheitslücken aufweisen bzw. deren Geschäftsfeld eine hohe Digitalisierung und somit eine Abhängigkeit der Wertschöpfung von der IT vermuten lässt, werden zum Opfer.
Den Grad der Digitalisierung kann ein Unternehmen heutzutage nicht reduzieren. Im Gegenteil, ist doch die Digitalisierung einer der Erfolgsfaktoren für die Zukunft. Die Hürde für Cyberkriminelle, nämlich eine funktionierende Cybersecurity, kann jedoch sehr wohl beeinflusst werden. Das Beispiel Ransomware[2] ist nur eine von vielen Varianten, wie sich Cyberkriminelle zu Lasten ihrer Opfer bereichern.
Wenn Sie nun als verantwortlicher Geschäftsführer oder als Teil des Managements in Ihrem Unternehmen dieses Buch lesen, dann sollten Sie sich die Frage stellen: „Wie hoch ist meine Hürde?”. Auch sollten Sie sich überlegen: „Wer kümmert sich für mich um dieses Risiko?” „Wer ist verantwortlich, wenn meine Produktion aufgrund einer Ransomware ausfällt?”
Sie sehen, worauf ich hinaus möchte: In den 1990er Jahren wurden IT-Bedrohungen vom IT-Verantwortlichen durch technische Maßnahmen abgewehrt. Ransomware ist zwar Software, dahinter stehen allerdings Cyberkriminelle, deren Ziel die Einnahme von Lösegeld ist. Es handelt sich hierbei nicht mehr um eine reine IT-Bedrohung, sondern um eine Unternehmensbedrohung. Auch die Maßnahmen, die das Risiko in Bezug auf derartige Bedrohungen minimieren, sind nur zum Teil technischer Herkunft. Ein Cyberangriff richtet sich nicht gegen die IT Ihres Unternehmens, sondern direkt gegen Ihr Unternehmen, für welches Sie haften.
Cybersecurity ist daher definitiv Chefsache! Übernehmen Sie selbst diese Verantwortung und delegieren Sie dieses Risiko nicht an die IT.
Als leidenschaftlicher Segler möchte ich die Kernaussage des vorliegenden Werks mit einem an ein Zitat von Aristoteles angelehnten Satz zusammenfassen:
„Wir können den Wind nicht ändern, aber die Segel richtig setzen.“
Cyberangriffen werden wir immer wieder ausgesetzt sein. In diesem Buch zeigen wir Ihnen, wie Sie Ihr Unternehmen mit höchstmöglicher Sicherheit für solche Turbulenzen rüsten bzw. es durch diese hindurch steuern können.
Georg BehamGeschäftsführerPwC Advisory Services GmbH Österreich
1Das massenhafte Versenden von Post an Empfängergruppen.
2Mittels Ransomware können Daten widerrechtlich verschlüsselt werden.
Georg Beham
An dieser Stelle möchte ich Ihnen das Thema Cybersecurity anhand meiner Erfahrungen und einer kurzen Geschichte dazu näherbringen.
Seit 1989 arbeite ich in der IT-Branche und konnte so die Digitalisierung österreichischer Unternehmen hautnah miterleben. In den frühen 1990er Jahren gab es nur wenige vereinzelte Computersysteme in Unternehmen. Ich selbst war zu dieser Zeit IT-Leiter einer Reisebürokette. EDV, so hieß die Disziplin dazumal, umfasste hauptsächlich das Auftragsbearbeitungssystem; E-Mails gab es keine. Es wurden Briefe geschrieben und Faxe versendet. Flüge und Pauschalreisen wurden zwar vereinzelt schon über vernetzte Software gebucht, fiel diese aus, dann war der Griff zum Telefonhörer eine rasche und effektive Backup-Lösung. Die kritischen Geschäftsprozesse liefen also entweder gar nicht über die IT und wenn, dann konnte ein Ausfall durch manuelle Verfahren ausgeglichen werden.
Diese Zeiten sind in fast allen Unternehmen, ob KMU oder Konzern, längst vorbei. Die wertschöpfenden Geschäftsprozesse sind weitestgehend IT-abhängig. Ein manuelles Verfahren gibt es im Regelfall nicht mehr.
Zudem drehte sich die Geschäftswelt in den 1990er Jahren viel langsamer. Gerade die fehlende IT-Durchdringung und die vielen Medienbrüche durch manuelle Tätigkeiten wirken im Rückblick geradezu entschleunigend. Zu dieser Zeit machten sich KMUs keine Gedanken über „Business-Kontinuität”. In großen Unternehmen wurden zumindest regelmäßig Datensicherungen durchgeführt und jährlich wurde die Wiederherstellung von Daten und Systemen nach einem Notfall geübt. Die Sicherheitsmaßnahmen fanden hauptsächlich auf technischer Ebene statt. Die größten Bedrohungen in dieser Zeit waren defekte Festplatten und dadurch verursachter Datenverlust oder Naturereignisse wie Überschwemmungen im Serverraum. Diese Bedrohungen wurden von den meisten IT-Abteilungen identifiziert und die Risiken durch technische Maßnahmen mitigiert. Dass die Informationssicherheit in der alleinigen Verantwortung der IT-Abteilung liegt, hat niemand bezweifelt.