Informationssicherheit: Vorbeugen ist besser als Lösegeld zahlen zu müssen
Was war passiert? Ein Angriff hatte Anfang Juni große Teile der Produktion in Nordamerika und Australien lahmgelegt. Hierbei wurden Daten und Systeme so verschlüsselt. Um die Systeme wieder lauffähig zu machen, zahlte man nun 11 Mio. US-Dollar in Kryptowährung und bekam den Schlüssel zur Entschlüsselung. „Dies passiert aber nicht immer“, so Informationssicherheitsexperte Dr. Jörn Voßbein, „oftmals kann man die Daten auch nach der Zahlung nicht wieder entschlüsseln. So hat man nicht nur Geld gezahlt, sondern muss einen noch höheren Preis für die Nicht-Verfügbarkeit des IT-Systems zahlen.“
Wie kann man solchen Attacken vorbeugen? Tatsächlich können Unternehmen schon heute viel für die Datensicherheit tun und somit Prävention gegen Cyber-Kriminalität leisten. Der Aufbau eines Informationssicherheits-Managements ist ein wichtiger Baustein zu einer deutlich verbesserten IT-Sicherheit im Unternehmen. Dieses Vorgehensmodell kann sich an den gängigen Normen zum Informationssicherheits-Managementsystem (ISO/IEC 27001 und 27002) orientieren und ist seit Jahren aufgrund seiner Praktikabilität anerkannt. Im Ergebnis entsteht ein Managementsystem, durch das sichergestellt werden kann, dass die Informationssicherheit im Unternehmen gelebt wird, dass sie auf die Bedürfnisse des Unternehmens angepasst ist und dass alle wichtigen Aspekte erfasst werden.
Was kann ich als Sofortmaßnahme tun? Ein in letzter Zeit immer wichtiger werdender Bereich ist die Schulung und Sensibilisierung der eigenen Belegschaft für das Thema IT-Sicherheit und der richtige Umgang mit ihr. Die Erfahrung zeigt, dass Vorgaben nur eingehalten werden, wenn die Mitarbeiter die Hintergründe verstehen. Andernfalls werden entweder bewusst Regeln umgangen, weil sie als „lästig“/unsinnig empfunden werden, oder es wird unbewusst aus mangelndem Wissen gegen Vorgaben verstoßen.
Der Fall JBS werde hoffentlich eine Diskussion über die eigenen IT-Sicherheitsmaßnahmen in Gang setzen, an deren Ende dann Verbesserungen auch wirklich vorgenommen werden, so UIMC-Geschäftsführer Dr. Jörn Voßbein. „Nur darüber reden, bringt nichts und erleichtert den Cyber-Kriminellen ihr schmutziges Handwerk weiter zu betreiben – es müssen Taten folgen“, fordert Dr. Voßbein ein höheres Maß an IT-Sicherheit in Unternehmen, „was nicht nur börsennotierte Konzerne, sondern auch für den Mittelstand/für KMU gilt.“
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de