IT-Sicherheit muss Chefsache sein
„Warum sich der Chef um IT-Sicherheit kümmern muss“ titelt die FAZ am 10. September. Gerade im Mittelstand sehen viele Chefs Cybersicherheit noch als Kostenfaktor, so Axel Stepken, CEO TÜV Süd. Es gibt sogar einige, die das Thema komplett an ihre IT-Leute abgegeben haben. Dabei sollte das Chefsache sein. Denn nur so können sich Prozesse im Unternehmen auch verändern. Unternehmen suchen händeringend nach unabhängigen Instanzen, denen sie vertrauen können. Denn Angebote zur Cybersicherheit überfordern die Unternehmen zunehmend. Es gibt tausende Angebote gegen die verschiedensten Angriffsmethoden. In Zukunft könnte es für Verbraucher aber ein Siegel geben, das ihnen dabei hilft, sich besser zu orientieren im „Dschungel der Sicherheitsprodukte“. Die TÜVs diskutieren darüber und arbeiteten an einer Lösung.
Nur 0,5 Prozent der Cyberrisiken sind versichert
Das Cyberrisiko ist eine der wirklich globalen Gefahren, so Torsten Jeworrek, Munich Re, in der FAZ am 10. September. 2017 hätten Versicherer, die Folgen von Cyberangriffen decken, 4 Milliarden US-Dollar Prämie weltweit eingenommen. Die wirtschaftlichen Verluste haben dagegen mehr als 600 Milliarden US-Dollar betragen. Nur 0,5 Prozent sind also mit einer Cyberdeckung versichert. Cyberkriminalität ist genauso wie die Folgen von Zusammenbrüchen der Informationstechnik sehr schwer zu bewerten. Vor allem KMU brauchen Schutz. Denn trifft sie eine Cyberattacke, ist der durchschnittliche Schaden verhältnismäßig groß. Einige Felder werden freilich unversicherbar bleiben: Energieversorgung, Telekommunikation, Internetnetze. Hier lassen sich Betriebsunterbrechungen nicht in den Griff bekommen, so Stefan Golling, Münich Re.
Quantencomputer können Kryptoalgorithmen knacken
Quantencomputer machten heutige Verschlüsselungsalgorithmen obsolet, heißt es in der Septemberausgabe des Behördenspiegel. Die leistungsfähigen Rechner stellen die Sicherheit der meisten eingesetzten Kryptotechniken infrage. Besonders gefährdet sind Public Key-Verfahren, insbesondere asymmetrische Verfahren. Symmetrische Verfahren, bei denen die Kommunikationspartner zuvor einen geheimen Schlüssel austauschen, sind etwas robuster. Die Schlüssellängen sollten aber deutlich verlängert werden, damit Quantencomputer schweres Spiel haben. Für Dokumente, für die die Vertraulichkeit über mehrere Jahre garantiert werden muss, besteht schon jetzt Handlungsbedarf.
Neue Welle von E-Mails mit Ransomware
Das LKA Niedersachsen warnt nach einer Meldung von spiegel.de vor einer neuen Welle von E-Mails mit Erpressungstrojanern im Anhang. Die Schreiben sind an Firmen gerichtet und als angebliche Bewerbungs-E-Mails von jungen Frauen getarnt. In der angehängten Zip-Datei soll es alle weiteren Unterlagen geben. Wer sie allerdings entpackt und die darin enthaltene Datei öffnet, startet eine Software, die Daten auf dem Rechner verschlüsselt. Wer den Anhang geöffnet und ausgeführt hat, sollte den Rechner sofort vom restlichen Netz trennen und bei der Polizei Anzeige erstatten. Der beste Schutz vor Erpressungs-Trojanern ist eine sorgfältige Datensicherung.
Banken müssen sich besser gegen Hackerangriffe schützen
Nach einem Bericht in der FAZ am 12. September warnt der Chef von Siemens Deutschland, Uwe Bartmann, vor Cyberangriffen auf Unternehmen und die öffentliche Infrastruktur. Durch Attacken von Hackern sind 2017 weltweit Schäden von rund 500 Milliarden US-Dollar entstanden. Allein bei Siemens, wo 1.275 Fachleute für Cybersicherheit arbeiten, werden täglich rund 1.000 Unregelmäßigkeiten registriert. Bartmann wirbt daher für gemeinsame Regeln für mehr Cybersicherheit. Eine von Siemens initiierte Charta umfasst zehn Felder, in denen Politik und Wirtschaft aus Sicht des Konzerns aktiv werden müssen.
Gleichzeitig hat die Bundesbank von den Banken mehr Anstrengungen gefordert, um sich gegen Hackerangriffe zu schützen. Die Gefahr von Cyberattacken auf Finanzinstitute ist hoch und wird weiter steigen. Der Nachholbedarf deutscher Banken in der Cybersicherheit beunruhigt auch die Bafin. Die Bankenaufseher der EZB haben Melderegister für Cyberangriffe auf Banken eingerichtet. Die Banken müssen Ereignisse melden, wenn sie die Vertraulichkeit, Verfügbarkeit und Integrität wichtiger Daten, Geschäftsprozesse oder IT-Systeme so beeinträchtigen, dass ein Schaden entstehen kann.