Cybercrime weiterhin auf einem Rekordhoch – „Der Weg in die Basisabsicherung“

Umso mehr ist Unternehmen nun anzuraten, Maßnahmen gegen Cyberkriminalität zu ergreifen. Insbesondere kleine und mittelständische Unternehmen sind hier häufig noch sehr defizitär aufgestellt, sehen sich bei dem Thema IT- und Informationssicherheit regelmäßig mit großen Herausforderungen konfrontiert. Ihnen fehlen oftmals finanzielle, personelle oder zeitliche Ressourcen, um ihre Systeme gegen Cyberangriffe abzusichern und entsprechende Notfallmaßnahmen für den Angriffsfall vorzuhalten. Umfangreiche und kostenintensive Zertifizierungen (z.B. ISO 27001) kommen daher oft vorerst nicht in Betracht. Dabei zeigen Erfahrungen aus der Beratungspraxis, dass bereits ein niederschwelliges Sicherheitskonzept geeignet sein kann, Risiken zu mini­mieren und Schäden im Ernstfall zu begrenzen. Dies gilt für finanzielle Einbußen die direkt aus einem Cyber­angriff resultieren ebenso wie für alle mittelbaren Schäden wie etwa DSGVO Bußgelder oder Schadens­er­satz­for­derungen.  

  

Die Bedrohungslage Cybercrime mussten nicht zuletzt auch deutsche Kommunen in jüngerer Vergangenheit schmerzlich feststellen. Die erfolgreichen und teils folgenschweren Angriffe auf kommunale IT Infrastruktur hat das BSI offenbar zum Anlass genommen, ein Projekt zur Unterstützung der Kommunen beim Aufbau eines IT-Basisschutzes ins Leben zu rufen. Der „Weg in die Basis-Absicherung“ soll den Kommunen den nach wie vor oft als Hürde empfundenen Einstieg in den Basisschutz erleichtern und Hilfestellung bei der Konzeption und dem praktischen Aufbau leisten. Ausgangspunkt des Projekts sind 18 im August zunächst als sog. Community Draft veröffentlichte Checklisten. Die Entwürfe können noch bis zum 15. September kommentiert werden; die Veröffentlichung einer finalen Version ist im Oktober 2023 beabsichtigt.

  

Mittels der Listen sollen Kommunen in die Lage versetzt werden, ihren jeweils aktuellen Status Quo zu erfassen und etwaig umzusetzende Maßnahmen zu identifizieren. Die Themenbereiche der Checklisten reichen von Mobile Working, Backup, Berechtigungskonzepte und Vorbereitung für Sicherheitsvorfälle und decken somit alle IT-sicherheitsrelevanten Bereiche ab. 

    

Obwohl das Projekt des BSI zunächst ausdrücklich Kommunen in den Fokus nimmt, eignen sich die Check­lis­ten größtenteils auch für KMU (ausdrücklich ausgenommen sind KRITIS-Betreiber). Zwar mögen einige Gesichts­punkte auf die speziellen Umstände und Anforderungen der Kommunen angepasst werden. Im Übrigen umfassen die Checklisten jedoch wesentliche Aspekte einer allgemeinen IT-Basissicherung die für Kommunen wie auch privatwirtschaftliche agierende Unternehmen gleichermaßen relevant sind. 

    

Kernstück der Checklisten bilden jeweils umfangreiche Prüffragen, die die wesentlichen Anforderungen an einen IT-Basisschutz abbilden. Konkretisiert und erläutert werden diese durch Bearbeitungshinweise, die Anhaltspunkte liefern, wie die Anforderung der jeweiligen Frage umgesetzt werden kann. Neben der Orien­tierungshilfe zur Durchführung einer IT-Sicherheits-Bestandaufnahme anhand der Fragen beinhalten die Checklisten zudem jeweils praxisrelevante Hinweise und verweisen auf Hilfsmittel zur Umsetzung und weiterführende externe Dokumente. Schließlich wird für jede Prüffrage eine grobe Aufwandsschätzung anhand von vier verschiedenen Aufwandskategorien prognostiziert. 

   

Sofern bei der Verwendung der Listen auch von dem enthaltenden Notizfeld Gebrauch gemacht wird, können die Checklisten zudem insgesamt als ein erstes rudimentäres Dokumentationstool zur Nachhaltung bereits getroffener Prüfungen und Umsetzung von Maßnahmen dienen. Nach durchgeführter Bestandsaufnahme können Unternehmen im Anschluss auf Grundlage der mithilfe der Checklisten identifizierten „offenen Flanken“ Maßnahmen zur Absicherung definieren und priorisieren. Ferner eignen sich die Checklisten auch zur laufenden Auditierung umgesetzter Maßnahmen. 

   

Selbstverständlich ersetzen die veröffentlichten Checklisten keinesfalls anerkannte Zertifizierungsstandards der Informationssicherheit wie die ISO 27001 oder den BSI IT-Grundschutz. Gerade für kleine Unternehmen bieten sie jedoch einen niederschwelligen, praxisorientierten und nicht zuletzt vor allem auch kostenlosen Einstieg in den Aufbau eines IT Schutzes, der zumindest grundlegende Sicherheitsrisiken berücksichtigt und minimiert. 

    

Die Errichtung fundamentaler IT Sicherheitsmaßnahmen auf Grundlage der Checklisten kann häufig einen positiven Nebeneffekt mit sich bringen: Angesichts der anhaltenden Bedrohungslage erwägen immer mehr Unternehmen den Abschluss einer – immer populärer werdenden – Cyber-Risiko Versicherung. Die regelmäßig sehr kostenintensiven Policen lassen sich zum Teil im Rahmen einer zuvor seitens der Versicherer oft durch­geführten Risikoerfassung durch den Nachweis dokumentierter IT-Sicherheitsmaßnahmen reduzieren. Abhän­gig vom Versicherer und dem Unternehmen können hierbei bereits Maßnahmen zum Basisschutz kosten­sen­kend Berücksichtigung finden. 

   

Der „Weg in die Basisabsicherung“ und vergleichbare Ansätze (z.B. die IT-Sicherheitsberatung für kleine und Kleinstunternehmen gemäß der DIN SPEC 27076) dürften bei einer Gesamtbetrachtung somit geeignet sein, das allgemeine Schutzniveau auch kleiner Unternehmen in Deutschland zu heben. Dies schützt einerseits die konkret von Cybercrime betroffenen Unternehmen selbst, vermag jedoch möglicherweise auch einen signi­fi­kan­ten Beitrag zur Steigerung der Wettbewerbsfähigkeit des Innovations-Standorts Deutschland zu leisten.