Internationaler Tag der Computersicherheit am 30. November: Die Wichtigkeit von IT-Sicherheit für alle

Internationaler Tag der Computersicherheit am 30. November: Die Wichtigkeit von IT-Sicherheit für alle

|

Redaktion

Der 30. Novem­ber mar­kiert seit 1988 den Inter­na­tio­na­len Tag der Com­pu­ter­si­cher­heit. Was ursprüng­lich als Sen­si­bi­li­sie­rungs­kam­pa­gne für End­ver­brau­cher begann, hat sich zu einem Pflicht­ter­min für Unter­neh­men und Insti­tu­tio­nen ent­wi­ckelt. Ange­sichts der rasant stei­gen­den Zahl von Cyber­an­grif­fen – von Ran­som­wa­re bis hin zu geziel­ten Phis­hing-Atta­cken – ist die IT-Sicher­heit längst kei­ne rei­ne Fach­ab­tei­lungs­auf­ga­be mehr. Sie betrifft alle Ebe­nen der Orga­ni­sa­ti­on, ins­be­son­de­re dort, wo sen­si­ble Mit­ar­bei­ter- und Geschäfts­da­ten ver­ar­bei­tet wer­den. Für Betriebs­rä­te und Per­so­nal­ver­ant­wort­li­che stellt die Gewähr­leis­tung der Daten­si­cher­heit eine zen­tra­le Für­sor­ge­pflicht dar. Die­ser Arti­kel beleuch­tet, war­um der Inter­na­tio­na­le Tag der Com­pu­ter­si­cher­heit die Gele­gen­heit bie­tet, die eige­nen Schutz­maß­nah­men kri­tisch zu hin­ter­fra­gen und die fun­da­men­ta­le Wich­tig­keit von IT-Sicher­heit für alle zu unter­strei­chen.

Historie und die aktuelle Dringlichkeit der IT-Sicherheit am 30. November

Der Inter­na­tio­na­le Tag der Com­pu­ter­si­cher­heit wur­de 1988 ein­ge­führt. Damals stand vor allem das Bewusst­sein für ele­men­ta­re Sicher­heits­fra­gen und die Abwehr ein­fa­cher Com­pu­ter­vi­ren im Vor­der­grund. Die tech­ni­sche Land­schaft hat sich seit­her dra­ma­tisch gewan­delt. Die heu­ti­gen Cyber-Bedro­hun­gen sind hoch­pro­fes­sio­nell, arbeits­tei­lig orga­ni­siert und pri­mär gewinn­ori­en­tiert.

Die Bedro­hungs­land­schaft wird domi­niert von kom­ple­xen und exis­tenz­be­dro­hen­den Angrif­fen. Anstatt ein­fa­che Viren zu ver­brei­ten, set­zen Kri­mi­nel­le auf maß­ge­schnei­der­te Metho­den wie Ran­som­wa­re. Hier­bei wer­den gesam­te Unter­neh­mens­netz­wer­ke ver­schlüs­selt und hohe Löse­geld­for­de­run­gen gestellt. Wird nicht gezahlt, dro­hen die Angrei­fer oft mit der Ver­öf­fent­li­chung gestoh­le­ner Daten (Dou­ble Extor­ti­on).

Eine wei­te­re erns­te Gefahr sind Sup­p­ly-Chain-Atta­cken. Dabei drin­gen Angrei­fer nicht direkt in das Ziel­un­ter­neh­men ein, son­dern nut­zen weni­ger geschütz­te Dienst­leis­ter oder Soft­ware­lie­fe­ran­ten als Ein­falls­tor. Die Fol­ge ist eine Kas­ka­de von Sicher­heits­vor­fäl­len, die auch hoch­ent­wi­ckel­te Unter­neh­men tref­fen kann. Der 30. Novem­ber bie­tet daher die jähr­li­che Not­wen­dig­keit, die Dring­lich­keit der IT-Sicher­heit neu zu bewer­ten und sie auf die Ebe­ne der Geschäfts­füh­rung zu heben. Die Risi­ken sind nicht mehr tech­ni­scher Natur, son­dern stel­len ein kri­ti­sches Unter­neh­mens­ri­si­ko dar.

Die neue Dimension der Bedrohung: Von Phishing bis Datendiebstahl

Die Mehr­zahl erfolg­rei­cher Cyber­an­grif­fe beginnt nicht mit einem tech­ni­schen Exploit, son­dern mit der Mani­pu­la­ti­on von Mit­ar­bei­tern. Der größ­te Schwach­punkt in vie­len Sicher­heits­sys­te­men bleibt der Fak­tor Mensch. Angrei­fer nut­zen Social Engi­nee­ring – die psy­cho­lo­gi­sche Beein­flus­sung von Per­so­nen – um an sen­si­ble Infor­ma­tio­nen zu gelan­gen.

Die bekann­tes­te Metho­de ist das Phis­hing. Dabei wer­den gefälsch­te E‑Mails, SMS oder Mes­sen­ger-Nach­rich­ten (Smis­hing) ver­schickt, die zur Ein­ga­be von Zugangs­da­ten auf mani­pu­lier­ten Web­sites auf­for­dern. Die­se Metho­de ist hoch­gra­dig effek­tiv, da sie Ängs­te, Neu­gier oder Auto­ri­tät aus­nutzt. Spe­zi­ell gegen Fach­ab­tei­lun­gen gerich­te­te Angrif­fe wer­den als Spear-Phis­hing bezeich­net.

Zuneh­mend kom­plex wer­den Betrugs­ma­schen wie der Fake-Sup­port. Kri­mi­nel­le geben sich als IT-Dienst­leis­ter oder Sup­port-Mit­ar­bei­ter aus, über­zeu­gen die Opfer, Fern­zu­griff auf ihren Arbeits­platz­rech­ner zu gewäh­ren, und lei­ten so den Daten­dieb­stahl ein. Eine wei­te­re Vari­an­te ist das soge­nann­te Post-Phis­hing, bei dem gefälsch­te Benach­rich­ti­gun­gen von Post- oder Kurier­diens­ten ver­sandt wer­den, um die Opfer zur Ein­ga­be von Kre­dit­kar­ten­in­for­ma­tio­nen zu bewe­gen.

Die Fol­gen die­ser geziel­ten Angrif­fe sind gra­vie­rend. Einer­seits droht der Ver­lust von Geschäfts­ge­heim­nis­sen, ande­rer­seits der Dieb­stahl hoch­sen­si­bler Mit­ar­bei­ter­da­ten. Sta­tis­ti­ken bele­gen die enor­me Fre­quenz der Vor­fäl­le: Stu­di­en zufol­ge tre­ten im welt­wei­ten Durch­schnitt 122 Daten­lecks pro Sekun­de auf. Dies unter­streicht die Not­wen­dig­keit robus­ter Abwehr­me­cha­nis­men. Die Siche­rung von Mit­ar­bei­ter­da­ten fällt direkt in den Anwen­dungs­be­reich der Daten­schutz-Grund­ver­ord­nung (DSGVO) und erfor­dert von Unter­neh­men die kon­se­quen­te Umset­zung geeig­ne­ter Schutz­maß­nah­men. Eine gestei­ger­te Sen­si­bi­li­sie­rung der Beleg­schaft ist die ers­te Ver­tei­di­gungs­li­nie gegen die­se Art von Bedro­hun­gen.

Rechtliche Rahmenbedingungen und die Mitbestimmung bei der IT-Sicherheit

Die Absi­che­rung von Unter­neh­mens­da­ten ist eine gesetz­li­che Pflicht. Sie ergibt sich pri­mär aus der Daten­schutz-Grund­ver­ord­nung (DSGVO). Arti­kel 32 DSGVO ver­pflich­tet Orga­ni­sa­tio­nen, ange­mes­se­ne Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men (TOMs) zu imple­men­tie­ren, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten. Die Unter­neh­mens­lei­tung trägt die direk­te Für­sor­ge­pflicht für die Sicher­heit der Mit­ar­bei­ter- und Kun­den­da­ten.

Zukünf­tig ver­schärft die euro­päi­sche NIS-2-Richt­li­nie die Anfor­de­run­gen an die digi­ta­le Resi­li­enz wei­ter. Sie erwei­tert den Kreis der Unter­neh­men, die hohe Sicher­heits­stan­dards ein­hal­ten müs­sen, und ver­langt strin­gen­te Pro­zes­se im Risi­ko­ma­nage­ment. Com­pli­ance ist damit nicht nur eine IT-Auf­ga­be, son­dern eine Füh­rungs­auf­ga­be.

Für Betriebs­rä­te ist die IT-Sicher­heit ein zen­tra­les Feld der Mit­be­stim­mung. Vie­le tech­ni­sche Maß­nah­men, die der Sicher­heit die­nen – wie Netz­werk­ana­ly­se, Log-Datei­en oder Moni­to­ring-Tools – sind dazu geeig­net, das Ver­hal­ten oder die Leis­tung der Arbeit­neh­mer zu über­wa­chen. In sol­chen Fäl­len greift das zwin­gen­de Mit­be­stim­mungs­recht nach § 87 Abs. 1 Nr. 6 BetrVG.

Der Betriebs­rat hat das Recht und die Pflicht, bei der Ein­füh­rung die­ser Sys­te­me auf die Ver­hält­nis­mä­ßig­keit zu ach­ten. Er muss sicher­stel­len, dass die Sicher­heits­pro­zes­se trans­pa­rent sind und Per­sön­lich­keits­rech­te gewahrt blei­ben. Dies geschieht in der Regel durch den Abschluss einer Betriebs­ver­ein­ba­rung. Nur so kann gewähr­leis­tet wer­den, dass Sicher­heits­maß­nah­men recht­lich fun­diert und akzep­tiert sind.

Technische und organisatorische Schutzmaßnahmen

Digi­ta­le Resi­li­enz basiert auf dem Zusam­men­spiel robus­ter Tech­ni­scher und Orga­ni­sa­to­ri­scher Maß­nah­men (TOMs). Unter­neh­men müs­sen sich gegen den Ver­lust von Daten und die Unter­bre­chung des Geschäfts­be­triebs absi­chern.

Auf tech­ni­scher Ebe­ne ist die Mul­ti-Fak­tor-Authen­ti­fi­zie­rung (MFA) für alle Zugän­ge zum Unter­neh­mens­netz­werk mitt­ler­wei­le uner­läss­lich. Sie bie­tet einen sub­stan­zi­el­len Schutz gegen gestoh­le­ne Zugangs­da­ten. Eben­so kri­tisch ist das kon­se­quen­te Patch-Manage­ment. Das regel­mä­ßi­ge Schlie­ßen von Sicher­heits­lü­cken in Betriebs­sys­te­men und Anwen­dun­gen mini­miert die Angriffs­flä­che, die durch bekann­te Schwach­stel­len ent­steht.

Ein fun­da­men­ta­les orga­ni­sa­to­ri­sches Ele­ment ist die Back­up-Stra­te­gie. Im Fal­le eines Ran­som­wa­re-Angriffs ist die schnel­le Wie­der­her­stel­lung der Sys­te­me ohne Löse­geld­zah­lung ent­schei­dend. Back­ups müs­sen phy­sisch oder logisch vom akti­ven Netz­werk getrennt sein (Off­line-Back­up oder Immu­ta­ble Sto­rage).

Unter­neh­men müs­sen zudem einen kla­ren Inci­dent-Respon­se-Plan eta­blie­ren. Die­ser Plan legt fest, wer bei einem Sicher­heits­vor­fall (z. B. einem erfolg­rei­chen Phis­hing-Angriff) wel­che Schrit­te unter­nimmt, um den Scha­den zu begren­zen und die Mel­de­fris­ten der DSGVO ein­zu­hal­ten.

Abschlie­ßend muss die IT-Sicher­heit die phy­si­sche Sicher­heit ein­be­zie­hen. Unbe­fug­ter Zugang zu Ser­ver­räu­men oder Arbeits­plät­zen stellt ein erheb­li­ches Risi­ko dar. Die Ver­zah­nung von digi­ta­ler und phy­si­scher Zugangs­kon­trol­le ist daher inte­gra­ler Bestand­teil einer umfas­sen­den Sicher­heits­ar­chi­tek­tur.

Der Faktor Mensch: Die wichtigste Verteidigungslinie

Die tech­nisch aus­ge­feil­tes­ten Schutz­me­cha­nis­men kön­nen durch mensch­li­ches Fehl­ver­hal­ten aus­ge­he­belt wer­den. Angrei­fer zie­len nicht mehr pri­mär auf die Fire­wall, son­dern auf den Nut­zer. Der Fak­tor Mensch ist das größ­te Risi­ko in der IT-Sicher­heits­ket­te.

Der Schlüs­sel zur Risi­ko­mi­ni­mie­rung liegt in der Inves­ti­ti­on in die Beleg­schaft. Secu­ri­ty-Awa­re­ness-Schu­lun­gen dür­fen kei­ne ein­ma­li­ge Pflicht­übung sein. Sie müs­sen kon­ti­nu­ier­lich, inter­ak­tiv und pra­xis­nah gestal­tet wer­den. Bei­spie­le hier­für sind simu­lier­te Phis­hing-Tests und Trai­nings zu aktu­el­len Social-Engi­nee­ring-Metho­den.

Ziel ist die Eta­blie­rung einer pro­ak­ti­ven Sicher­heits­kul­tur. Mit­ar­bei­ter müs­sen in die Lage ver­setzt wer­den, ver­däch­ti­ge E‑Mails, unplau­si­ble Anfra­gen oder unge­wöhn­li­che Sys­tem­mel­dun­gen sofort zu erken­nen und zu mel­den. Wird ein Klick­feh­ler nicht aus Angst, son­dern schnellst­mög­lich gemel­det, kann das Sicher­heits­team den Scha­den oft noch abwen­den.

Der Betriebs­rat spielt eine akti­ve Rol­le bei der Gestal­tung die­ser Schu­lungs­pro­gram­me. Er hat gemäß § 96 BetrVG ein Initia­tiv­recht bei der Berufs­bil­dung und kann dar­auf hin­wir­ken, dass Schu­lun­gen zur IT-Sicher­heit flä­chen­de­ckend und qua­li­fi­ziert durch­ge­führt wer­den. Nur wenn Mit­ar­bei­ter ihre Rol­le als Digi­ta­le Ver­tei­di­gungs­li­nie ver­ste­hen und wahr­neh­men, kann die Anfäl­lig­keit für Social Engi­nee­ring nach­hal­tig redu­ziert wer­den.

Fazit: IT-Sicherheit als kontinuierlicher Prozess

Der Inter­na­tio­na­le Tag der Com­pu­ter­si­cher­heit am 30. Novem­ber erfüllt sei­ne ursprüng­li­che Auf­ga­be: Er dient als jähr­li­cher Weck­ruf, der die Rele­vanz von IT-Sicher­heit über die Fach­ab­tei­lun­gen hin­aus in das Bewusst­sein aller trägt. IT-Sicher­heit ist kei­ne ein­ma­li­ge Inves­ti­ti­on oder ein abschließ­ba­res Pro­jekt, son­dern ein dyna­mi­scher, kon­ti­nu­ier­li­cher Pro­zess. Ange­sichts der stän­dig kom­ple­xer wer­den­den Bedro­hungs­land­schaft und der stren­ge­ren gesetz­li­chen Anfor­de­run­gen, ins­be­son­de­re durch die DSGVO und die bevor­ste­hen­de NIS-2-Richt­li­nie, ist eine pas­si­ve oder reak­ti­ve Hal­tung nicht mehr trag­bar.

Die digi­ta­le Resi­li­enz eines Unter­neh­mens hängt von dem sta­bi­len Fun­da­ment Tech­ni­scher und Orga­ni­sa­to­ri­scher Maß­nah­men (TOMs) ab, aber eben­so von der akti­ven Betei­li­gung der gesam­ten Beleg­schaft. Für Betriebs­rä­te und Per­so­nal­ver­ant­wort­li­che ist die Kon­trol­le der Sicher­heits­stra­te­gie und die Ein­hal­tung der Mit­be­stim­mungs­rech­te bei tech­ni­schen Über­wa­chungs­mög­lich­kei­ten (gemäß § 87 Abs. 1 Nr. 6 BetrVG) eine Pflicht­auf­ga­be.

Die zen­tra­le Leh­re des Akti­ons­tags lau­tet: Jeder Mit­ar­bei­ter ist ein inte­gra­ler Bestand­teil der Sicher­heits­stra­te­gie. Nur durch das Zusam­men­spiel von robus­ter Tech­nik, kla­rer Com­pli­ance und einem kon­ti­nu­ier­lich geschul­ten Per­so­nal kön­nen Unter­neh­men ihre sen­si­blen Daten und damit ihre Funk­ti­ons­fä­hig­keit nach­hal­tig schüt­zen. Die Gewähr­leis­tung der Com­pu­ter­si­cher­heit ist somit eine unver­zicht­ba­re Kern­auf­ga­be der moder­nen Unter­neh­mens­füh­rung.

Weiterführende Quellen

Das könnte auch interessant sein:

Schlagwörter:

, , , , , , , ,

Das könnte Sie auch interessieren: