Warum IT-Security jedes Unternehmen betrifft
Immer öfter geraten Unternehmen in das Visier von Angreifenden aus dem Internet. Dabei werden die Bedrohungen permanent ausgefeilter und größer. Entscheidungstragende stehen somit vor der großen Herausforderung, ihr Unternehmen möglichst sicher gegen Hackerangriffe, Schadprogramme und Sicherheitsvorfälle im Betrieb aufzustellen. Wir haben mit Claus Bueck, dem Chief Information Security Officer (CISO) der Aareon Gruppe (www.aareon.de), darüber gesprochen, wie Unternehmen sich bestmöglich absichern können.
Herr Bueck, immer wieder berichten die Medien von Cyberattacken auf Unternehmen. Trotz dieser Sensibilisierung in der Öffentlichkeit sind die Angreifenden weiterhin erfolgreich. Warum ist das so?
Claus Bueck: Zunächst möchte ich auf die unterschiedlichen Arten der Bedrohung eingehen, mit denen Unternehmen es zu tun haben können. Es gibt einzelne Agierende oder Gruppen, die IT-Systeme von Unternehmen angreifen, um daraus finanziellen Nutzen zu ziehen oder den Geschäftsbetrieb zu unterbrechen. Weiterhin sehen wir (politisch motivierte) illegale Versuche der Informationsbeschaffung – sowie den Versuch, das Internet dazu zu nutzen, einen möglichst hohen Schaden, Panik und Angst zu erzeugen.
Aber nun konkret zu Ihrer Frage. Unabhängig von der Art der Bedrohung war die Cybergefährdungslage im Jahr 2022 so hoch wie nie zuvor. Dabei dienen Angreifenden meist Schwachstellen in Soft- oder Hardware-Produkten als Einfallstor. Laut dem BSI-Lagebericht 2022 des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden „über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 % gegenüber dem Vorjahr“. Insbesondere Ransomware-Angriffe, bei denen die Daten eines Unternehmens verschlüsselt werden, gelten für viele Unternehmen und Behörden als derzeit größte Bedrohung. Hier wird das Opfer im Anschluss erpresst: für den Erhalt des Krypto-Schlüssels wird eine hohe Geldsumme gefordert.
Das klingt nicht gerade ermutigend. Gerade die Immobilienwirtschaft verfügt ja über umfangreiche und hochsensible Daten. Wie können sich denn diese Unternehmen aus Ihrer Sicht am besten vor Cyberkriminalität schützen?
Claus Bueck: Das ist in der Tat ein kritischer Punkt. Gehen in einem Immobilienunternehmen Daten verloren beziehungsweise werden diese von Cyberkriminellen verschlüsselt, um das Unternehmen zu erpressen, kann dies nicht nur für dieses selbst, sondern auch für dessen Kundschaft und Geschäftspartner negative Auswirkungen haben. Um sich vor solchen Gefährdungen bestmöglich zu schützen, bedarf es eines mehrstufigen und umfangreichen Sicherheitskonzepts – und das muss laufend aktualisiert und an neue Bedrohungslagen angepasst werden. Für ein Wohnungs- oder Immobilienunternehmen, das seine Software auf eigenen Servern betreibt, ist ein solches Sicherheitskonzept, das ständig optimiert werden muss, allerdings sehr aufwendig. Denn neben der Investition in die IT-Infrastruktur, ist nicht nur ein zusätzliches Budget erforderlich, sondern vor allem auch Know-how von IT-Fachleuten sowie Trainings von Mitarbeitenden.
Effizienter und sicherer kann es für ein Immobilienunternehmen sein, wenn es die Software as a Service (SaaS) aus der zertifizierten Cloud eines erfahrenen Branchen-IT-Dienstleistungsunternehmens wie Aareon nutzt. Ein professionelles Cloud-Dienstleistungsunternehmen kann deutlich höhere Datensicherheit sowie besseren Datenschutz bieten als ein Unternehmen, das nicht auf IT spezialisiert ist. Denn wie schon erwähnt, Serverräume selbst einzurichten und Systeme nach neuesten Standards abzusichern sowie stets aktuell zu halten, ist für Immobilienunternehmen mit einigem finanziellem und personellem Einsatz verbunden.
Welche Datensicherheits- und Datenschutzmaßnahmen treffen Sie bei Aareon, um Ihre Kundschaft zu schützen?
Claus Bueck: Wir betreiben unsere exklusive Aareon Cloud in einem mehrfach zertifizierten Rechenzentrum an zwei redundanten Standorten. Unser Rechenzentrum ist TÜV-geprüft und wird regelmäßig nach dem Prüfungsstandard PS 951 des Instituts der Wirtschaftsprüfer e.V. (IDW) zertifiziert. Damit erfüllen wir die höchsten Anforderungen für Ausfallsicherheit. Unser Netzwerk schützen wir außerdem mit mehrstufigen Technologien, die verdächtige Aktivitäten detektieren können. Wir sorgen für Offline-Backups an verschiedenen Standorten und implementieren umfassende Sicherheitskonzepte für die physische und digitale Absicherung. Unser Informationssicherheitsmanagementist gemäß ISO/IEC 27001:2013 zertifiziert.
Und wie sensibilisieren Sie Ihre eigenen Mitarbeitenden für das Thema IT-Sicherheit?
Claus Bueck: Für ein erfolgreiches Eindringen in Unternehmenssysteme nutzen Angreifende sehr oft sogenannte „Social Engineering“-Methoden – meist in Form von E-Mails, die Empfangende geschickt dazu verleiten sollen, einen Link anzuklicken oder einen Mailanhang zu öffnen. Die Sensibilisierung unserer Mitarbeitenden und deren Sicherheitsbewusstsein spielen für uns daher eine zentrale Rolle.
Regelmäßige Trainings stehen daher quasi auf der Tagesordnung: Etwa fördern wir durch simulierte Phishing Mails an interne Mail-Accounts die Achtsamkeit im Haus. Mitarbeitende können diese über einen Button in Microsoft® Office Outlook® unserer IT-Security melden. Sollten Mitarbeitende dem Link in der simulierten E-Mail folgen oder deren Anhang öffnen, gelangen sie damit automatisch zu einer Seite, die Ihnen anhand der simulierten Nachricht zeigt, woran Phishing Mails erkannt werden können. Des Weiteren informieren wir alle Mitarbeitenden über aktuelle mögliche Gefahrenquellen. Selbstverständlich gelten auch bei unseren Produkten höchste Sicherheitsstandards. Ein großes Team von IT-Sicherheitsfachleuten führt regelmäßige interne und externe Audits sowie Testangriffe zum Überprüfen der Systeme und Anwendungen durch, um sicherzustellen, dass diese auf dem neuesten Sicherheitsstand sind. Schließlich gehört für uns als Cloud-betreibenden Unternehmen Datensicherheit zu unserem zentralen Leistungsversprechen und hat höchste Priorität.
Gibt es noch darüber hinaus etwas, dass Sie Immobilienunternehmen gerne an die Hand geben möchten?
Claus Bueck: Ich möchte noch einmal betonen, dass Daten bzw. Informationen zu den zentralen Vermögenswerten eines Unternehmens gehören. Daher sollte deren Schutz immer Priorität haben. Dabei kann der Wechsel von den eigenen Servern in ein Rechenzentrum eines qualifizierten Softwareanbieters für ein Immobilienunternehmen der vielleicht wichtigste Schritt auf dem Weg zur bestmöglichen IT-Sicherheit sein. Aber der Datenschutz fängt bereits im Kleinen an: Rechner bzw. Laptop beim Verlassen des Arbeitsplatzes sperren, komplexe Passwörter wählen, eingesetzte Software immer aktuell halten, sorgsam mit Daten umgehen, die Mitarbeitenden hinsichtlich allgemeiner, aber auch aktueller IT-Bedrohungen sensibilisieren - insbesondere ein geschärfter Blick für potenziell riskante E-Mails und Dateien - leisten schon einen wichtigen Beitrag.