Seit einigen Jahren ist das Thema IT-Sicherheit nun auch in der deutschen Politik angekommen. Nach diversen Hacks, die mitunter auch international Schlagzeilen gemacht haben, wurde 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) verabschiedet, um das Schutzniveau der deutschen Wirtschaft und des Staates zu erhöhen, wobei besonderes Augenmerk auf dem Schutz der Bevölkerung liegt.
Aber gegen was genau soll man sich denn da eigentlich schützen? Es existieren im Dark-Net internationale Handelsplattformen, auf denen jede interessierte Person einschlägige Software und Anleitungen erhalten kann, um verwundbare Netze zu finden und anzugreifen. Darum ist die Bedrohung so groß, wie nie zuvor, dass Schwachstellen in der eigenen IT ausgenutzt werden. Die Motivationen der Täter unterscheiden sich dabei ebenso stark, wie die Auswirkungen, die solche Angriffe haben können. Mal wird eine Website mit Werbebannern zu pornographischen Inhalten zugeparkt, mal Benutzerdaten gestohlen und veröffentlicht, mal werden sämtliche Daten, an die die Täter herankommen können, verschlüsselt und so vollkommen unbrauchbar gemacht. Mal geht es darum, die Verwundbarkeit aufzuzeigen, mal um persönlichen Profit, manchmal bloß darum zu sehen, ob „man es draufhat“.
Kritisch wird es, im wahrsten Sinne des Wortes, wenn die Sicherheit vollkommen unbeteiligter Personen gefährdet wird. Dies ist bei den sogenannten KRITIS-Unternehmen mit besonderer Wahrscheinlichkeit der Fall. Diese Unternehmen bieten Dienstleistungen mit einem besonderen Stellenwert in Hinblick auf dir öffentliche Versorgung an. Darauf ergeben sich auch entsprechend schwerwiegende Auswirkungen, wenn diese Leistungen wegfallen, bis hin zur Störung der öffentlichen Ordnung.
Etwa, wenn die Pumpensteuerung eines Klärwerkes über eine Web-Oberfläche im Internet steht und ungeschützt oder mit (im Netz verfügbarem) Standard-Passwort versehen ist. Dann kann jeder, der durch Zufall darüber stolpert, Messwerte der Anlage und Schaltzustände ablesen, und in manchen Fällen sogar Schalthandlungen vornehmen.
Oder wenn das Laborsystem Patienten-Daten unverschlüsselt durch die Leitungen schickt und diese mit ein bisschen Kreativität abgefangen und verändert weitergeleitet werden können, mit den entsprechend schwerwiegenden potenziellen Auswirkungen für Patienten.
Oder wenn aufgrund manipulierter Messdaten ein Kraftwerk heruntergefahren wird und plötzlich eine ganze Stadt ohne Strom dasteht, was in schlimmsten Fall zu Kettenreaktionen und dem Zusammenbruch der Stromversorgung weitaus größerer Gebiete führen kann.
Der Schaden, der in solchen Fällen entstehen kann, ist, auch laut Gesetzgeber, mit Geld nicht aufzuwiegen oder abzuschätzen. Entsprechend aufwändig sind die Maßnahmenkataloge, die solche Vorfälle verhindern sollen.
Dabei liegt hier tatsächlich der immer wieder unterschätzte Faktor der IT-Sicherheit, der eigene Mitarbeiter. Ob es nun aus Fahrlässigkeit, Böswilligkeit oder Unwissenheit geschieht, immer wieder öffnet das eigene Personal die Tore für die Schadprogramme dieser Welt. Das fängt beim Öffnen dubioser E-Mail-Anhänge an und geht über das Aufrufen verseuchter Webseiten bis hin zu Mitarbeitern, die auf dem Parkplatz gefundene USB-Sticks bedenkenlos an ihre Arbeitsplatzrechner anschließen.
Damit die Maßnahmen, die solche Vorfälle verhindern können, in die Unternehmenskultur eingehen, soll ein Informationsmanagementsystem (ISMS) nach anerkanntem Standard her. Dieser aufwändige Prozess benötigt viele Ressourcen und ist zudem davon abhängig, dass die Unternehmensleitung ihn anstößt und die gesamte Belegschaft ihn unterstützt.
Mit einem verlässlichen Partner und einer digitalen Plattform zur Dokumentation, wie zum Beispiel der Compliance Suite der S&L, kann dieser Prozess erheblich vereinfacht werden.