Digitale Transformation

Digitale Transformation und IT-Sicherheit

Digitale Transformation und das damit verbundene (IT-)Change Management haben sich in den letzten Jahren von Buzzwords zu wichtigen Treibern in Unternehmen entwickelt. Auch der deutsche Mittelstand holt bei diesen wichtigen Entwicklungen auf, wenn auch noch zögerlich. Viele Unternehmer scheuen sich vor großen Umwälzungen in ihren IT-Landschaften. Oftmals stehen sie auch vor der Frage, wie sie diese wichtigen Felder vorantreiben können – ohne dass das wichtige Thema IT-Sicherheit dabei ins Hintertreffen gerät?

Denn durch die zunehmende Vernetzung aller Maschinen sowie Geschäftsprozesse sind ganze IT-Landschaften durch äußere Einflüsse gefährdet. Daher sollte neben einer digitalen Strategie auch eine darauf aufbauende Sicherheitsstrategie im Unternehmen eingeführt werden. Das bedeutet auch, dass die Budgets für die Unternehmens-IT angepasst werden müssen. Denn eine technische Aufrüstung ohne sicherende Maßnahmen im Hintergrund steht auf wackligen Beinen.

Hier einige wichtige Tipps

Bauen Sie Insellösungen ab

IT-Strukturen sind meist gewachsene Lösungen, die erweitert und ergänzt wurden, wann immer dies für das jeweilige Geschäftsmodell nötig war. Diese Insellösungen sind mal besser, mal schlechter über verschiedene Schnittstellen verbunden – manchmal existieren sie aber auch nebeneinander, sodass jede Niederlassung oder Nebengeschäftstelle eine eigene Lösung vorzuweisen hat. Dass nicht nur die Applikationsstruktur unübersichtlich ist, sondern in einer solchen Landschaft auch die Sicherheit der Systeme oftmals eher nebulös sein wird, liegt dabei auf der Hand. Jedes System muss separat geschützt werden und wenn – etwa beim Ausscheiden eines Mitarbeiters – die Netzwerk- und Sicherheitspläne nicht ordentlich dokumentiert und weitergegeben wurden, kann es auch passieren, dass wichtige Schutz- und Sicherheitsmaßnahmen vielleicht nicht ordentlich geprüft und angepasst wurden.

Neben ökonomischen Gründen sollte auch der Sicherheitsaspekt Grund genug für die meisten Firmen sein, diese heterogenen, wenig-vernetzen IT-Landschaften abzubauen und durch eine durchgängige Applikations- und Netzwerklandschaft zu ersetzen. Das spart Kosten und Ressourcen bei Aufbau und Pflege der Firmennetzwerke und sorgt für einheitlich hohe Sicherheitsstandards in Ihrem Unternehmen.

Setzen Sie nicht auf Top-Down-Kommunikation

Wird das Vorgehen deutscher Unternehmen bei der Digitalisierung beschrieben, so begegnen einem oft die Begriffe „zögerlich“, „langsam“ und „risikoavers“. Trotzdem ist festzustellen, dass sich etwas tut – aber eben auch, dass sich insbesondere der Mittelstand schwertut. Ganz besonders damit, neue System einzuführen, die vielleicht auch die Einführung neuer Prozesse mit sich bringen. Insbesondere in der Führungsebene hängt man zu sehr am Alten, das man dann auch ins Neue transformieren möchte. Das funktioniert so nicht! Insbesondere auch deshalb, weil hierbei die Mitarbeiter nicht mit einbezogen werden. Denn die digitale Transformation und das Change Management leben vom Dialog. Und insbesondere auch von der Kommunikation down-top. Ja, Sie haben richtig gelesen. Ihre Mitarbeiter sind der Schlüssel zum Erfolg Ihres digitalen Transformationsprozesses.

Daher: Nehmen Sie Ihre Mitarbeiter mit

Das bedeutet zweierlei: Lernen Sie von Ihren Mitarbeitern. Insbesondere die jüngere, technik- und IT-affine Generation möchte und besonders kann mitmischen. Ideen einbringen. Und noch wichtiger, Wissen bereitstellen und umsetzen. Gleichzeitig gilt es aber auch, diejenigen Mitarbeiter mitzunehmen, die neuer Technologie und dem damit verbundenen Wandel eher kritisch gegenüber stehen. Nehmen Sie ihre Bedenken ernst und greifen Sie diese für Ihr IT- und Sicherheitskonzept auf.

Daneben bedeutet es aber auch, dass Sie in das Wissen Ihrer Mitarbeiter in Sachen IT-Sicherheit investieren sollten. Wichtig dabei: Aller Mitarbeiter, die in Ihrem Netzwerk arbeiten und auf mindestens eines Ihrer Systeme oder eine Ihrer eingesetzten Applikationen zugreifen. Denn egal wie gut Ihre Firma, was IT-Sicherheit angeht, technisch aufgestellt ist, der größte Schwachpunkt in ihrem Sicherheitsnetzwerk ist der Faktor Mensch: Phishing- und Social Engineering-Angriffe werden immer ausgefeilter. Daher sollten Sie Ihre Mitarbeiter durch Schulungen und Tests optimal auf einen solchen Ernstfall vorbereiten. Um so Lücken für Angreifer proaktiv bestmöglich zu schließen.

Seien Sie proaktiv

Viele Firmen, aber auch Privatpersonen, unterschätzen noch immer, wie wichtig die Investition in präventive Sicherheitsmaßnahmen ist. Daher ist das Budget für den digitalen Wandel in Firmen oftmals groß, das Budget für die zugehörigen Sicherheitsmechanismen jedoch ungleich geringer. Diese „was-soll-uns-schon-schlimmes-passieren“-Mentalität kann sehr schnell sehr teuer werden. Auch wenn es erst mal nicht so scheint: Vorabinvestitionen in Sicherheit sind sehr viel günstiger, als auf einen entstandenen Schaden zu reagieren.

Sie wurden gehackt? Das bedeutet: Stillstand, möglicherweise Datenverlust, aber noch viel schlimmer: Reputationsverlust und im Worstcase schwindende Auftragszahlen aufgrund von verspäteten Lieferungen oder aufgrund mangelnden Vertrauens Ihrer Kunden in Sie und Ihre Compliance.

Sie sehen: Aktion zahlt sich aus. Reaktion kann daher nur der letzte Weg sein.

Ihre Benefits einer auf IT-Sicherheit fußenden Digitalen Transformation

 Applikations- und Datensicherheit sowie Verfügbarkeit

Durch hohe Sicherheitsstandards sorgen Sie dafür, dass Ihre Mitarbeiter immer Zugriff auf die nötigen Applikationen haben. Nur so können Geschäftsabläufe reibungslos funktionieren. Gleichzeitig schützen Sie die Daten ihres Unternehmens sowie Ihrer Kunden. Neben dem Betriebsablauf ist dies auch hinsichtlich rechtlicher Verordnungen mehr als notwendig.

Beste User Experience, erstklassiges Compliance-Management und Kosteneffizienz

Vernetzte Systeme erlauben es Ihren Mitarbeitern, schnell und einfach zwischen Anwendungen mit ähnlichen Benutzeroberflächen zu wechseln. Dadurch sparen Sie viel Zeit beim Erlernen neuer Programme, aber auch beim täglichen Arbeitsablauf. Gleichzeitig ist es bei einer solchen Vernetzung überaus wichtig, dass diese Systeme ausreichend geschützt sind, damit diese nicht kompromittiert werden können. Das klingt zunächst aufwendig, aber stellen Sie sich mal den Aufwand vor, wenn Sie die Sicherheitsmechanismen auf demselben hohen Level bei jeder einzelnen Applikation installieren und pflegen müssten. So erleichtern Sie Ihrer IT das Arbeiten, ebenso wie dem Enduser am Arbeitsrechner. Und können für ein geringeres Budget einen höheren Sicherheitsstandard liefern.

Corona vaccine

Daten zum Corona-Impfstoff im Visier von Hackern

Bereits am Mittwochabend ist es unbekannten Hackern gelungen, in das System der Europäischen Arzneimittel-Behörde EMA einzudringen. Dabei konnten sie einzelne Informationen zu einem sich in der Zulassung befindlichen Corona-Impfstoff erbeuten. Denn die Behörde prüft gerade die Zulassung des von der Mainzer Firma Biontech und des US-Pharmariesen Pfizer entwickelten Impfstoffs. Um wie viele und welche Daten es sich dabei genau handelt, gab EMA bislang nicht bekannt.

Wer hat ein Interesse an Daten zum Corona-Impfstoff?

Noch ist zudem unklar, wer für den Angriff verantwortlich ist. Experten vermuten hinter dem Angriff Geheimdienste, etwa aus Russland oder China. Nachweisen lässt sich dies jedoch bislang nicht. Trotzdem spricht einiges dafür, dass es sich hierbei um einen von einem Staat iniziierten Angriff handelt: Die Erstzulassung eines wirkungsvollen und risikoarmen Corona-Impfstoffs  ist nämlich mehr als ein Prestige-Projekt für eine Nation – sie ist von hohem ökonomischen Wert. Zum einen wirken sich Patentumsätze direkt auf die Volkswirtschaft aus. Zum anderen können mit einem wirksamen Impfstoff die Lockdown-Regelungen gelockert werden, was die Volkswirtschaft zusätzlich schneller genesen lässt.

Biontech und Pfizer betonen, dass keine Daten gestohlen wurden, die Rückschlüsse auf einzelne Testpersonen erlauben. EMA gibt zudem bekannt, dass der Vorfall keine Auswirkungen auf das weitere Zulassungsverfahren habe.

Kann man solche Angriffe in Zukunft verhindern?

Dennoch zeigt der Cyber-Angriff, wie wichtig erhöhte IT-Sicherheitsstandards bei allen Organisationen in einer Kette sind: Die IT-Systeme von Biontech und Pfizer sind nach Expertenangaben sehr gut gesichert. Das Unternehmen betont, dass sie keine Aktivität auf ihre Systeme bemerken konnten. Das zeigt, dass die Hacker nicht die gut gesicherten privatwirtschaftlichen Systeme in den Fokus genommen haben, sondern die weniger gut gesicherten der EU-Behörde.

Datenschützer haben schon zuvor besonders für das Gesundheitswesen beanstandet, dass wichtige Daten oftmals nur im eigenen System sicher sind. Davon auszugehen, dass vor- und nachgeschaltete Systeme denselben Sicherheitsanforderungen entsprechen, sei nicht ratsam. Das hat der aktuelle Vorfall erneut bewiesen. Die Einführung eines einheitlich hohen Sicherheitsstandards auch in öffentlichen Einrichtungen wäre daher von Vorteil.

Weitere Informationen zu Datenschutzproblemen der IT im deutschen Gesundheitswesen können Sie hier nachlesen.

Warum das Gesundheitswesen besonders in Zeiten der Pandemie in den Blick von Hackern gerät haben wir Ihnen in diesem Blogartikel zusammengefasst.

Kritische Infrastruktur

Kritische Infrastruktur – kritische IT-Sicherheit

Kritische Infrastruktur ist in Deutschland aktuell besonders gefährdet, wenn es um das Thema IT-Sicherheit geht. Laut der Frankfurter Allgemeinen Sonntagszeitung wurden bis Anfang November 2020 141 erfolgreiche Cyberangriffe gemeldet. Davon 43 auf Gesundheitsdienstleister. Im vergangenen Jahr waren es im Berich der kritischen Infrastruktur noch 121, 2018 sogar lediglich 62 erfolgreiche Versuche.

Neben dem Gesundheitswesen sind auch u.a. Energie- und Wasserversorger, Banken und Versicherungen betroffen. Meist handelt es sich bei derartigen Vorfällen um sog. Ransomware-Angriffe, die eine Lösegeldforderung zur Entschlüsselung von Daten nach sich ziehen.

Experten geben als eine der Ursachen für die gestiegene Anzahl an Cyberangriffen auf Unternehmen der sog. kritischen Infrastruktur die Krise in Folge der Corona-Pandemie an. Besonders medizinische Einrichtungen haben noch einen erhöhten Handlungsbedarf beim Thema IT- und Cybersicherheit. Mindestens 15 Prozent der IT-Investitionen sollten für IT- und Cybersicherheit aufgewendet werden.

Weshalb das Gesundheitswesen so gefährdet ist und wie genau eine solche Investition aussehen kann, haben wir Ihnen in diesem Beitrag zusammengefasst: Viren im Krankenhaus –IT-Sicherheit während der Corona-Pandemie

Denn natürlich gelten für die kritischen Einrichtungen ähnliche Schutz-Szenarien wie für das Gesundheitswesen.

KRITIS als lohnendes Angriffsziel

Das Voranschreiten der Digitalisierung eröffnet auch potenzielle SIcherheitlücken für Angriffer. Waren Anfangs besonders Staaten daran interessiert, die Sicherheitsmechanismen „gegnerischer“ Staaten auszuhebeln, ist dies nun auch vermehrt von privaten Gruppen zu beobachten. Die Absicherung der IT-Systeme von KRITIS-Betreibern ist dabei kein leichtes Unterfangne. Zum einen handelt es sich um privat-wirtschaftliche Unternehmen von verschiedener Größe. Zum anderen haben die genutzten IT-Strukturen einen langen Lebenszyklus, weshalb sie häufig nicht oder nicht zeitnah über die nötigen Sicherheitsupdates verfügen. Seit 2016 sind alle Betreiber von Unternehmen, die zur KRITIS zählen, zu einem 2-jährigen Sicherheitsnachweis ihrer Infrastruktur gezwungen. Betrachtet man jedoch die Frequenz, mit der Schadsoftware weiterentwickelt wird, ist dringend angeraten, relevante Sicherheitsupdates öfter durchzuführen. Und tiefgehende präventive Maßnahmen zur Absicherung Ihrer Systeme einzuleiten.

Insbesondere auch die Absicherung des Angriffsziels „Mensch“ gehört zu einem validen Sicherheitskonzept. Denn oftmals sind zwar die technischen Sicherheitsmaßnahmen hoch und stark, doch schützen diese nicht vor dem Eingriff des (unbedarften) Users. Hierzu zählen insbesondere erfolgreiche Phishing-Angriffe, insbesondere sog. Speer-Phishing-Kampagnen, die zielgerichtet Social Engineering-Techniken einsetzen. Wir raten daher zu regelmäßigen und tiefgreifenden Mitarbeiterschulungen. Sowie zur Einrichtung von starken Multi-Faktor-Authentifikationsregelungen, um Ihre System bestmöglich vor dem Faktor Menschen zu schützen.

Webinar

Webinar – IT Security für den „Faktor Mensch“ im Mittelstand

Sicherlich sind Ihnen die Begriffe „Social Engineering“, „Phishing“ oder „CEO Fraud“ bereits begegnet und Sie haben eine ungefähre Vorstellung von den Konsequenzen derartiger Angriffe auf Ihr Unternehmen. Doch wie gehen Hacker dabei vor? Wie akut ist die Bedrohungslage durch Social Engineering für deutsche KMUs? Und vor allem: Welche Maßnahmen sollten Sie ergreifen, um Ihre IT Security zu erhöhen?

In unserem Webinar geben wir Ihnen einen Überblick über die Gefahren, damit Sie eine realistische Risikobeurteilung durchführen können. Insbesondere der Faktor Mensch, ohne den Cyberattacken heute kaum noch auskommen, steht hierbei im Mittelpunkt.

Wir zeigen Ihnen typische manipulative Vorgehensweisen sowie einfache und unkomplizierte Maßnahmen zur Prävention und zum Schutz. Denn es gilt: Proaktives Handeln vor einer Cyberattacke spart Ihnen Zeit, Kosten und Nerven!

 

Datum: 11.12.2020

Zeit: 11:00 Uhr

Ort: online

Referent: Marc Pantalone, Business Development Manager, HWS Informationssysteme GmbH

Zur Anmeldung schreiben Sie bitte eine E-Mail an

Das Webinar wird auf deutsch gehalten.

 

Wir freuen uns auf Ihre Teilnahme!