Cyberschutz wirksam umsetzen

• Kleine und mittlere Unternehmen (KMU) sind immer häufiger von Cyberattacken betroffen.
• Wenn dadurch die Produktion stillsteht oder Kundendaten öffentlich werden, kann der Schaden schnell existenzbedrohend werden.
• Ein umfassender Cyberschutz ist deshalb auch bei KMU unumgänglich.
• Das Managementsystem zur Informationssicherheit CISIS12 wurde speziell auf die Bedürfnisse von KMU zugeschnitten, um den Cyberschutz effektiv zu erhöhen.
• Die Genossenschafts-Treuhand Bayern GmbH (GTB) bietet Unterstützung bei der Einführung von CISIS12 an.
• Die GTB ist eine hundertprozentige Tochter des Genossenschaftsverbands Bayern (GVB).
• Zwölf GVB-Mitarbeiter haben sich als CISIS12-Berater zertifizieren lassen.
• Die Einführung von CISIS12 wird vom Freistaat Bayern gefördert.

Kleine und mittlere Unternehmen (KMU) sollten sich nicht in falscher Sicherheit wiegen: Eine Cyberattacke kann jeden Betrieb treffen, wie der folgenschwere Angriff auf die Softwareschmiede Kaseya Anfang Juli gezeigt hat (siehe Kasten unten). Auch bayerische Genossenschaften waren indirekt schon von Hackerkriminalität betroffen, weil bei einem dritten Unternehmen nach einer Cyberattacke alle Maschinen stillstanden und dadurch die Lieferketten nachhaltig gestört waren.

Die Betriebe sind solchen Hackerangriffen jedoch nicht wehrlos ausgeliefert. So gehört der Aufbau eines Informationssicherheits-Managementsystems (ISMS) zu den grundlegenden Sicherheitsmaßnahmen, um Risiken zu minimieren. Es gibt dabei eine ganze Reihe von solchen Systemen, die speziell auf die Anforderungen von KMU zugeschnitten sind. CISIS12 ist so ein Managementsystem. Es wurde vom IT-Sicherheitscluster speziell für kleine und mittlere Unternehmen, aber auch Organisationen und Kommunen entwickelt. Im IT-Sicherheitscluster haben sich Unternehmen der IT-Wirtschaft mit Anwendern, Forschungs- und Weiterbildungseinrichtungen sowie Juristinnen und Juristen zusammengeschlossen, um Datenschutz, IT-Sicherheit und Informationssicherheit weiterzuentwickeln und zu fördern.

Die Genossenschafts-Treuhand Bayern GmbH (GTB) – eine hundertprozentige Tochter des Genossenschaftsverbands Bayern (GVB) – unterstützt die bayerischen Genossenschaften und andere Unternehmen bei der Einführung von CISIS12. Anfang Juni 2021 legten zwölf Kolleginnen und Kollegen des GVB erfolgreich ihre Prüfung zum „CISIS12 IT Security Officer“ und „ICO CISIS12 Professional“ ab. Sie zählen zu den ersten CISIS12-Beratern bundesweit, die kleine und mittlere Unternehmen sowie Kommunen zu CISIS12 beraten dürfen. Auf der Webseite von CISIS12 findet sich eine Liste der zertifizierten Beraterinnen und Berater.

Es ist nur das jüngste Beispiel von mittlerweile zahllosen Vorfällen: Rund 500 Supermärkte der schwedischen Lebensmittelkette Coop blieben Anfang Juli 2021 für mehrere Tage geschlossen, weil die Kassensysteme durch einen Verschlüsselungstrojaner lahmgelegt worden waren. Dabei hatten die Hacker die Märkte nicht einmal direkt ins Visier genommen. Ziel des Angriffs war das US-Unternehmen Kaseya, das Fernwartungssoftware für IT-Dienstleister anbietet. Die Hacker hatten ein solches Programm von Kaseya gekapert und ein Update manipuliert. Dadurch gelang es ihnen, einen Schadcode auf die Server und Rechner von bis zu 1.500 Unternehmen weltweit zu schleusen und deren Daten zu verschlüsseln. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) heißt es über Kaseya: „Zum Kundenkreis gehören auch viele kleine und mittlere Unternehmen.“

Dieser Hinweis sollte die bayerischen Genossenschaften aufhorchen lassen. Denn die Attacke auf Kaseya steht stellvertretend für vier Erkenntnisse:

1. Auch kleine und mittlere Unternehmen werden vermehrt Opfer von Hackerangriffen, selbst wenn sie nicht direkt attackiert werden, sondern zum Beispiel über den Umweg eines IT-Dienstleisters.
2. Der Schaden kann die Existenz bedrohen, wenn lebenswichtige IT-Systeme über Tage lahmgelegt werden, Geschäftsdaten unrettbar verloren gehen oder sensible Kundendaten an die Öffentlichkeit geraten.
3. Angreifer nutzen Schadprogramme zunehmend für ungezielte Massenangriffe auf Unternehmen, Institutionen und Privatpersonen. Solche breiten Schadsoftware-Kampagnen können prinzipiell jeden treffen, wie das BSI in einem Interview mit „Profil“ betont.
4. Die stärkere Vernetzung der Unternehmen vom Zulieferer bis zum Endkunden bedeutet zusätzliche Einfallstore für Angreifer und eine Zunahme potenzieller Gefahren und Risiken.

Managementsysteme zur Informationssicherheit (ISMS) wie CISIS12 begleiten ein Unternehmen bei der täglichen Arbeit mit der IT. Mit ihrer Hilfe lassen sich unterschiedliche Verantwortlichkeiten, Aufgaben, Prozesse und Dokumentationen so aufeinander abstimmen und verzahnen, dass bestimmte, zuvor festgelegte Ziele der Informationssicherheit erreicht werden. „Große Geschwister“ von CISIS12 sind zum Beispiel die Norm ISO 27001 oder die Mindeststandards für Informationssicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die Systematik von CISIS12 folgt dabei einem vorgegebenen Zyklus: Planen („Plan“) – Umsetzen („Do“) – Kontrollieren („Check“) – Reagieren („Act“). Die einzelnen Schritte werden für jede IT-Komponente jeweils mit konkreten Hilfestellungen unterlegt. So erhält der Informationssicherheits-Beauftragte quasi einen Werkzeugkasten mit einer Anleitung, zu welchen Werkzeugen er in einem konkreten Anwendungsfall greifen muss. Soll zum Beispiel eine neue IT-Anwendung eingeführt werden, sind im Vorhinein Maßnahmen für den sicheren Einsatz vorzusehen („Plan“). Anschließend müssen diese umgesetzt („Do“) und ihre Wirksamkeit überprüft werden („Check“). Wenn es bei der Umsetzung beziehungsweise der Wirksamkeit Probleme gibt, müssen die Sicherheitsmaßnahmen verbessert und gegebenenfalls in einem neuen Zyklus implementiert werden („Act“).

In der Ausgabe 02/2021 hat „Profil“ im Topthema beleuchtet, wie sich die bayerischen Genossenschaften gegen Cyberangriffe wehren und warum ein umfassender Schutz der IT absolut notwendig ist.

• Herausforderung: Cyberkriminelle machen auch vor den Volksbanken und Raiffeisenbanken nicht halt. Bei der Abwehr hilft nicht nur Technik, sondern auch gesunder Menschenverstand.
• IT-Management: Die BaFin hat die Bankaufsichtlichen Anforderungen an die IT (BAIT) überarbeitet. Was ist neu? „Profil“ informiert über die wichtigsten Änderungen.
• Interview: Wie das Bundesamt für Sicherheit in der Informationstechnik die Bedrohungslage für Banken einschätzt und wie sich Kreditinstitute wirksam schützen können.

Die für CISIS12 zertifizierten GVB-Mitarbeiterinnen und Mitarbeiter sind mit dem komplexen Thema der Informationssicherheit durch ihre langjährige Beratertätigkeit für Banken und Versicherungen bestens vertraut.  In der Finanzbranche gelten strenge Vorgaben zur Informationssicherheit. Durch die Zertifizierung als CISIS12-Berater können die GVB-Fachleute nun zielgerichtet auch kleine und mittlere Organisationen betreuen oder die Funktion als externer Informationssicherheits-Beauftragter übernehmen. Dies können Genossenschaften sein, aber auch nicht-genossenschaftliche Unternehmen oder Kommunen. Die Ausbildung und der hohe Wissensstandard der CISIS12-Beraterinnen und Berater werden durch das IT-Sicherheitscluster gewährleistet. Der Verein informiert darüber hinaus regelmäßig zur Informationssicherheit, sensibilisiert für die Wichtigkeit des Themas und bietet Zugang zu beratenden Firmen.

Ein hoher Schutz gegen digitale Bedrohungen ist für jedes Unternehmen elementar. Doch was ist, wenn doch einmal etwas passiert? Dann kann ein guter Versicherungsschutz das Unternehmen möglicherweise vor schlimmerem Schaden bewahren. Darum dreht sich auch die aktuelle Firmenkunden-Kampagne der bayerischen Volksbanken und Raiffeisenbanken, die noch bis Mitte November 2021 läuft. Ziel der Kampagne ist es, die Firmenkunden über die Risiken und Folgen von Internetkriminalität aufzuklären und sie auf die Angebote der Versicherungspartner der bayerischen Volksbanken und Raiffeisenbanken aufmerksam zu machen. Zentrale Kampagnen-Motive werden bayernweit durchgängig in verschiedenen Online-Medien wie Google, Xing oder LinkedIn geschaltet. Media-Schaltungen im Hörfunk sowie in ausgewählten Print-Publikationen verstärken die Kampagne im September und Oktober. Die bayerischen Volksbanken und Raiffeisenbanken haben die Möglichkeit, die Cyberschutz-Kampagne über ihre eigenen Kanäle (Online, Funk und Print) lokal zu verlängern. Weitere Infos dazu gibt es im MuV-Manager.

Der Freistaat Bayern fördert die Einführung von CISIS12. Hierfür gibt es das Programm „Digitalbonus Bayern“ für kleine Unternehmen bis 50 Mitarbeitenden sowie ein spezielles Förderprogramm zur Erhöhung der Informationssicherheit in bayerischen Kommunen. Unternehmen und Kommunen, die CISIS12 erfolgreich eingeführt haben, erhalten auf Wunsch ein Gütesiegel, das zum Beispiel in der Öffentlichkeitsarbeit verwendet werden kann.

Manuela Feese-Zolotnitski ist Spezialistin für das Beauftragtenwesen im Datenschutz und in der Informationssicherheit beim Genossenschaftsverband Bayern.

Die Genossenschafts-Treuhand Bayern GmbH Wirtschaftsprüfungsgesellschaft (GTB) hat ihren Sitz in den Räumen des Genossenschaftsverbands Bayern (GVB) in München, Türkenstraße 22-24. Kontakt: gtb(at)gv-bayern.de oder 089 / 2868-3580.

• Das Angebot der Genossenschafts-Treuhand Bayern GmbH (GTB)
• Das Informationssicherheits-Managementsystem CISIS12 des IT-Sicherheitsclusters
• Das IT-Sicherheitscluster
• Informationen zum Förderprogramm „Digitalbonus Bayern“ für kleine Unternehmen bis 50 Mitarbeiter
• Informationen zum Förderprogramm der Bayerischen Staatsregierung zur Erhöhung der Informationssicherheit in bayerischen Kommunen