Hackerangriffe sind für Finanzchefs ein immer wiederkehrendes Problem. Die Attacken sind zahlreich gesät und für Laien schwer nachzuvollziehen – auch CFOs sind, obgleich sie für das Ressort oft verantwortlich zeichnen, hier oft auf die Einschätzung ihrer Berater angewiesen. Das Schadenspotenzial ist dennoch enorm.
Die Sicherheitsberatung Corporate Trust beziffert den durch Industriespionage in Deutschland entstehenden Schaden auf 11,8 Milliarden Euro jährlich. Dabei können Malware-Infektionen mit relativ einfachen Maßnahmen deutlich reduziert werden. Denn dem Software-Entwickler Qualys zufolge sind viele Hackerangriffe nicht spezifisch auf Unternehmen ausgerichtet und können durch gewisse Sicherheitsstandards abgefangen werden.
Die sogenannte Cyberhygiene setzt auf Prävention anstelle von Reaktion. Hierbei handelt es sich um ein vom Internet-Guru Vint Cerf entwickeltes Konzept, das auf das Einhalten relativ einfacher, aber wichtiger Sicherheitsvorkehrungen setzt. Diese werden dann kontinuierlich in der gesamten Firma angewandt.
Cyberhygiene kann Malware-Infektionen reduzieren
Als Vorbild gelten die von der IT-Sicherheitsorganisation Council on Cybersecurity (CCS) veröffentlichten Critical Security Controls. Hierbei handelt es sich um einen Leitfaden mit zwanzig Punkten, an denen sich IT-Verantwortliche orientieren können. Zu den Vorschriften zählt unter anderem die Übersicht über genutzte Maschinen zu gewinnen. Das bedeutet: Wo stehen die Geräte der Firma und welchen Zugriff auf Ressourcen haben sie? Außerdem empfiehlt die CCS, immer die aktuellsten Patches für die verwendeten Softwares und Applikationen zu installieren.
Das Einhalten der Cybersecurity ist mit dem dramatischen Datenwachstum immer komplexer geworden. Antivirusprogramme (AV) und Firewalls sind nicht mehr in der Lage, alle Angriffe auf ein Unternehmen abzuwehren. Daher sollten diese lediglich noch als Grundsicherung der Systeme dienen.
„Die Industrie hat immer noch die Tendenz, ein fertiges Produkt haben zu wollen, das das Thema IT-Sicherheit zu einem bestimmten Preis komplett abdeckt“, sagt Wolfgang Kandek, CTO bei Qualys. „Antivirusprogramme und Firewalls bieten aber keinen ausreichenden Schutz mehr. Denn die Angreifer haben ihre Kompetenz in den vergangenen Jahren erheblich gesteigert.“ Daher sei es wichtig, einen langfristigen Plan zu entwickeln, wie das Unternehmen gegen Cyberangriffe vorgehen möchte. Trotzdem beschweren sich viele IT-Spezialisten über stagnierende oder gar sinkende Budgets.
Effektive Cyberhygiene kann sogar Kosten und Personal sparen. So geschehen bei der australischen Regierung: Dort wurden 5.000 Maschinen via Cyberhygiene überwacht und die Zahl der Malware-Infektionen um bis zu 90 Prozent reduziert. Der Personalaufwand dafür war überschaubar: Es wurde lediglich eine zusätzliche Person für die sechsmonatige Installationsphase benötigt. Seitdem wird laut Kandek sogar weniger Personal gebraucht, denn Maschinen müssten seltener ausgetauscht oder weggeworfen werden.
Umfassenden Schutz vor Malware-Infektionen bietet aber auch die Cyberhygiene nicht. Bei einem Systembefall greifen weiterhin die altbewährten Mechanismen aus Isolation und gegebenenfalls der Entsorgung befallener Maschinen, sagt Kandek. Unternehmen können die befallenen Geräte jedoch analysieren und so deren Schutz verbessern.
M&A-Deals: Oft Chaos in der IT
Die Cyberhygiene hilft Unternehmen aber auch, den Überblick über das Inventar zu behalten. Dies ist besonders bei M&A-Deals mitunter schwierig. „Wir hatten schon Kunden, die gingen davon aus, dass sie 1.000 Maschinen am Netz hätten“, erklärt Kandek. Tatsächlich seien aber oft 1.100 oder 1.200 Geräte im System. Dabei müssten alle Geräte steuerlich richtig angegeben werden. Zudem verursachen nicht genutzte Laptops und Computer weiterhin teils erhebliche Wartungskosten.
„Die IT ist oft eine der letzten Instanzen, die integriert werden“, wundert sich Kandek. Die Netzwerke würden einfach zusammengeschaltet, dabei wüssten die IT-Verantwortlichen häufig nicht, welche Daten und Softwares tatsächlich enthalten sind.
Bei vielen CFOs ist das Thema Cyberhygiene noch nicht angekommen. Den Unternehmen fehle schlicht oft das Vertrauen, um neue Wege bei der Computersicherheit zu beschreiten, glaubt Kandek.
jakob.eich[at]finance-magazin.de
Jakob Eich ist Redakteur der Fachzeitungen FINANCE und DerTreasurer des Fachverlags F.A.Z Business Media, bei dem er auch sein Volontariat absolviert hat. Eich ist spezialisiert auf die Themen Digitalisierung im Finanzbereich und Treasury. Durch seine Zwischenstation bei der Schwesterpublikation „Der Neue Kämmerer“ ist der 1988 geborene Journalist auch versiert beim Thema Kommunalfinanzen. Erste journalistische Erfahrungen hat der gebürtige Schleswig-Holsteiner in den Wirtschaftsmedien von Gruner+Jahr sowie in der Sportredaktion der Hamburger Morgenpost gesammelt.
