Wie nun herauskam, wurde der weltgrößte Fleischkonzern JBS Opfer eines Hackerangriffs und zahlte 11 Mio. US-Dollar Lösegeld. Der Konzernchef spricht von einer schwierigen Entscheidung. Für den erfahrenen IT-Sicherheits- und Datenschutzexperten Dr. Jörn Voßbein ist der Fall ein Weckruf mit vielen Fragen für Unternehmen: „Ist das eigene Unternehmen optimal vor solchen kriminellen Cyber-Attacken geschützt? Was kann und muss in Unternehmen verbessert werden?“ Der Fall aus den USA erfordert eine genaue Betrachtung, um die richtigen Lehren zu ziehen.
Was war passiert? Ein Angriff hatte Anfang Juni große Teile der Produktion in Nordamerika und Australien lahmgelegt. Hierbei wurden Daten und Systeme so verschlüsselt. Um die Systeme wieder lauffähig zu machen, zahlte man nun 11 Mio. US-Dollar in Kryptowährung und bekam den Schlüssel zur Entschlüsselung. „Dies passiert aber nicht immer“, so Informationssicherheitsexperte Dr. Jörn Voßbein, „oftmals kann man die Daten auch nach der Zahlung nicht wieder entschlüsseln. So hat man nicht nur Geld gezahlt, sondern muss einen noch höheren Preis für die Nicht-Verfügbarkeit des IT-Systems zahlen.“
Wie kann man solchen Attacken vorbeugen? Tatsächlich können Unternehmen schon heute viel für die Datensicherheit tun und somit Prävention gegen Cyber-Kriminalität leisten. Der Aufbau eines Informationssicherheits-Managements ist ein wichtiger Baustein zu einer deutlich verbesserten IT-Sicherheit im Unternehmen. Dieses Vorgehensmodell kann sich an den gängigen Normen zum Informationssicherheits-Managementsystem (ISO/IEC 27001 und 27002) orientieren und ist seit Jahren aufgrund seiner Praktikabilität anerkannt. Im Ergebnis entsteht ein Managementsystem, durch das sichergestellt werden kann, dass die Informationssicherheit im Unternehmen gelebt wird, dass sie auf die Bedürfnisse des Unternehmens angepasst ist und dass alle wichtigen Aspekte erfasst werden.
Was kann ich als Sofortmaßnahme tun? Ein in letzter Zeit immer wichtiger werdender Bereich ist die Schulung und Sensibilisierung der eigenen Belegschaft für das Thema IT-Sicherheit und der richtige Umgang mit ihr. Die Erfahrung zeigt, dass Vorgaben nur eingehalten werden, wenn die Mitarbeiter die Hintergründe verstehen. Andernfalls werden entweder bewusst Regeln umgangen, weil sie als „lästig“/unsinnig empfunden werden, oder es wird unbewusst aus mangelndem Wissen gegen Vorgaben verstoßen.
Der Fall JBS werde hoffentlich eine Diskussion über die eigenen IT-Sicherheitsmaßnahmen in Gang setzen, an deren Ende dann Verbesserungen auch wirklich vorgenommen werden, so UIMC-Geschäftsführer Dr. Jörn Voßbein. „Nur darüber reden, bringt nichts und erleichtert den Cyber-Kriminellen ihr schmutziges Handwerk weiter zu betreiben – es müssen Taten folgen“, fordert Dr. Voßbein ein höheres Maß an IT-Sicherheit in Unternehmen, „was nicht nur börsennotierte Konzerne, sondern auch für den Mittelstand/für KMU gilt.“
Was war passiert? Ein Angriff hatte Anfang Juni große Teile der Produktion in Nordamerika und Australien lahmgelegt. Hierbei wurden Daten und Systeme so verschlüsselt. Um die Systeme wieder lauffähig zu machen, zahlte man nun 11 Mio. US-Dollar in Kryptowährung und bekam den Schlüssel zur Entschlüsselung. „Dies passiert aber nicht immer“, so Informationssicherheitsexperte Dr. Jörn Voßbein, „oftmals kann man die Daten auch nach der Zahlung nicht wieder entschlüsseln. So hat man nicht nur Geld gezahlt, sondern muss einen noch höheren Preis für die Nicht-Verfügbarkeit des IT-Systems zahlen.“
Wie kann man solchen Attacken vorbeugen? Tatsächlich können Unternehmen schon heute viel für die Datensicherheit tun und somit Prävention gegen Cyber-Kriminalität leisten. Der Aufbau eines Informationssicherheits-Managements ist ein wichtiger Baustein zu einer deutlich verbesserten IT-Sicherheit im Unternehmen. Dieses Vorgehensmodell kann sich an den gängigen Normen zum Informationssicherheits-Managementsystem (ISO/IEC 27001 und 27002) orientieren und ist seit Jahren aufgrund seiner Praktikabilität anerkannt. Im Ergebnis entsteht ein Managementsystem, durch das sichergestellt werden kann, dass die Informationssicherheit im Unternehmen gelebt wird, dass sie auf die Bedürfnisse des Unternehmens angepasst ist und dass alle wichtigen Aspekte erfasst werden.
Was kann ich als Sofortmaßnahme tun? Ein in letzter Zeit immer wichtiger werdender Bereich ist die Schulung und Sensibilisierung der eigenen Belegschaft für das Thema IT-Sicherheit und der richtige Umgang mit ihr. Die Erfahrung zeigt, dass Vorgaben nur eingehalten werden, wenn die Mitarbeiter die Hintergründe verstehen. Andernfalls werden entweder bewusst Regeln umgangen, weil sie als „lästig“/unsinnig empfunden werden, oder es wird unbewusst aus mangelndem Wissen gegen Vorgaben verstoßen.
Der Fall JBS werde hoffentlich eine Diskussion über die eigenen IT-Sicherheitsmaßnahmen in Gang setzen, an deren Ende dann Verbesserungen auch wirklich vorgenommen werden, so UIMC-Geschäftsführer Dr. Jörn Voßbein. „Nur darüber reden, bringt nichts und erleichtert den Cyber-Kriminellen ihr schmutziges Handwerk weiter zu betreiben – es müssen Taten folgen“, fordert Dr. Voßbein ein höheres Maß an IT-Sicherheit in Unternehmen, „was nicht nur börsennotierte Konzerne, sondern auch für den Mittelstand/für KMU gilt.“
