Wirtschaft im Südwesten - Ausgabe Dezember'22 -Südlicher Oberrhein

ANZEIGE Gunther Schlöffel ist IT-Sicherheits- experte und Vorstand der „pen.sec AG“ in Bad Krozingen. IT und Geschäftsführung brauchen Notfallplan Und nun? Klar, dass bei einem solchen Angriff erst einmal die Nerven blankliegen. Gunther Schlöffel nennt das die Gefahr eines „Headless-Chicken-Mode“, also dass im Unternehmen alle wie aufgeschreckte Hühner kopflos umherrennen. Dabei sei das gezielte Abarbei- ten einer Notfallstrategie jetzt essenziell. Das Bundes- amt für Sicherheit in der Informationstechnik (BSI) hat beispielsweise einen Leitfaden zusammengestellt, wie so ein Notfallkonzept aufgestellt werden kann. „Man kann sich bereits im Vorfeld eines IT-Angriffs Checklis- ten erstellen, wer was zu tun hat“, sagt Schlöffel. Der Systemadministrator zieht beispielsweise den Netz- werkstecker, damit der Täter keine Verbindung mehr zu den Systemen hat. „Das stumpfe Abarbeiten der Checklisten sorgt dafür, dass man sich von den vielen Informationen, die auf einen einprasseln, erst einmal freimachen kann.“ Auch die Geschäftsführung braucht einen Notfallfahr- plan. Sie sollte bereits im Vorfeld wissen, ob sie einer Erpresser-Forderung nachkommen möchte und wie sie mit den Konsequenzen dieser Entscheidung umge- hen soll. Veröffentlichen die Erpresser beispielsweise Kundendaten, müssen die Kunden darüber in Kenntnis gesetzt werden. Ein möglicher Datenschutzverstoß steht im Raum, das gehackte Unternehmen muss dafür im Zweifelsfall geradestehen. Jeder Unternehmer muss selbst abwägen Vollständig verhindern lassen sich solche Angriffe auf die IT-Infrastruktur nicht. Denn die Attacken können sehr perfide sein – vor allem, wenn sie auf die Neugier von Menschen setzen. Auch Firewalls und Virenscan- ner bieten keinen hundertprozentigen Schutz – selbst ein vermeintlich auf dem Firmenparkplatz liegenge- lassener USB-Stick mit der Aufschrift „Urlaubsbilder“ kann bereits das Zugangstor für Hacker sein – wenn ein nichtsahnender Mitarbeiter ihn in den firmeneigenen Rechner steckt. Wieviel Schutz sich ein Unternehmen unter dem Strich leisten muss und will, ist stets eine individuelle Ent- scheidung. Gunther Schlöffel meint dazu: „Die Daten- schutzgrundverordnung reduziert es auf einen einfa- chen Satz: Ich muss ein dem Risiko angemessenes Schutzniveau schaffen, sowohl technisch, physisch, organisatorisch und personenbezogen.“ Am Ende gilt: „Egal, was ich tue, ich muss mich auch darauf vorbe- reiten, wenn es doch nicht gereicht hat, einen Angriff abzuwehren.“ tas