Wahrscheinlich haben Sie mittlerweile auch schon mehrfach gehört oder gelesen, dass „Unternehmen sich jetzt auf eine abstrakt höhere Gefahrenlage einstellen müssen“. Teilweise ist die verschärfte Bedrohungslage im Cyberraum auch schon spürbar: Laut Bitkom gaben 17 Prozent der Unternehmen in einer Umfrage an, bereits konkrete Anzeichen für einen Angriff erkannt zu haben. Von daher ist es nun also angebracht zu handeln. Das heißt einerseits zu sichten, inwieweit das eigene Unternehmen gegen Cyberangriffe gerüstet ist sowie andererseits alle IT-Schutzmaßnahmen, die sich schnell umsetzen lassen, tatsächlich schleunigst zu realisieren.

Doch über eines müssen sich die Verantwortlichen im Klaren sein: Perspektivisch gesehen hat diese Vorgehensweise keinen Bestand, denn grundlegende Entscheidungen über Maßnahmen zur Erhöhung der IT-/Cyber-Sicherheit lassen sich nicht ad hoc treffen. Das bedeutet, Sie dürfen nicht nur reagieren, sondern müssen agieren. Denn hier bedarf es einer strukturierten Analyse, um den tatsächlichen Schutzbedarf zu ermitteln und diese Erkenntnisse in die Sicherheitsstrategie entsprechend zu adaptieren. Oder wie es im Fact Sheet herausgegeben von “The White House” formuliert wird: “bake it in, don’t bolt it on” – mit „einbacken, nicht anschrauben“ bringt der Verfasser des Fact Sheets die Anforderungen exakt auf den Punkt.

Angriffsvektoren

Nach wie vor gibt es in der Hauptsache zwei Angriffsvektoren: Phishing und Ransomware. Um hier die Effektivität zu erhöhen, wird über Social Engineering die anvisierte Zielperson geschickt mithilfe von Phishing-Mails manipuliert, etwa um Informationen preiszugeben oder bestimmte Handlungen auszuführen, die im Weiteren einen Angriff ermöglichen – beispielsweise das Platzieren von Malware. Auch wenn Ihnen diese Angriffsmethoden und -mechanismen allgemein geläufig sein mögen, so müssen Sie bedenken, dass die Cyberkriminellen diese natürlich kontinuierlich verändern. Mehr Informationen dazu finden Sie im Glossar der aktuellen Kolumne.