Finanzchef 24 rät Unternehmen zu einem gut entwickelten und regelmäßig getesteten IT-Notfallplan. Auch vor dem Hintergrund, dass eine bereits funktionierende IT-Sicherheit eine Voraussetzung zum Abschluss einer Cyber-Versicherung ist. Die zunehmend digitalen Bedrohungen und komplexer werdenden Risikoszenarien erfordern eine systematische Vorgehensweise bei einer unternehmenskritischen Notfallsituation, ist das Unternehmen überzeugt.
Diese Aspekte sollte ein Cyber-Notfallplan enthalten:
- Effektive Kommunikation:
Ein Notfallkommunikationsplan, der sicherstellt, dass alle betroffenen Parteien schnell und klar informiert werden. Im Vorfeld: Stakeholder identifizieren, Kommunikationskanäle festlegen, Nachrichten für verschiedene Szenarien vorbereiten. Dabei sind Meldepflichten zu beachten. Zum Beispiel: Datenschutzbehörde, Bundesamt für Sicherheit in der Informationstechnik, Schadensmeldung an Versicherung. - Umfassendes Notfallkontaktbuch:
Alle relevanten internen und externen Kontakte, die im Notfall benötigt werden. Das Kontaktbuch sollte regelmäßig aktualisiert und sowohl an einem anderen Ort separat digital als auch in physischer Form sicher aufbewahrt werden. - Bereitstellung eines Notfallkoffers:
Ersatzrechner, -telefone, -server und wichtige Software, um den Geschäftsbetrieb aufrechtzuerhalten. Handbücher und Anweisungen in physischer Form für die schnelle Inbetriebnahme und Fehlerbehebung der Ersatzausrüstung. - IT-Notfallkarte:
Hinweisschild in physischer Form sichtbar positioniert im Stil „Verhalten im Brandfall“ bietet Beschäftigten wichtige Verhaltenshinweise bei IT-Notfällen. Die Notfallkarte soll an zentralen Orten platziert werden und erzeugt einen unmittelbaren Beitrag zur Security Awareness in der Organisation. Sie gibt Beschäftigten wichtige Verhaltenshinweisen bei IT-Notfällen, damit sie vom ersten Moment an richtige Entscheidungen treffen können. Die Karte beinhaltet die Ansprechpartner für IT-Notfälle und deren Erreichbarkeit, sowie die ersten Schritte zur Durchführung von Gegenmaßnahmen. Diese dürfen nur nach Absprache mit den Verantwortlichen durchgeführt werden. - Regelmäßige Überprüfungen und Übungen:
Schulungen und Sensibilisierungsmaßnahmen im Unternehmen: Sicherstellen, dass der Notfallplan aktuell bleibt und alle Beteiligten wissen, was im Ernstfall zu tun ist.
Vertrauen von Kunden, Partnern und Mitarbeitenden nicht aufs Spiel setzen
Da Cybervorfälle die Existenz eines Unternehmens gefährden, ist Cyber-Sicherheit laut Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef 24, Chefsache. „Auch wenn die Aufstellung eines solchen Plans zunächst aufwendig erscheint, ist dies eine Investition in die Zukunftssicherheit des Unternehmens. Es geht nicht nur um die Wiederherstellung von Systemen und Daten, sondern um das Vertrauen von Kunden, Partnern und Mitarbeitern und die Unternehmenszukunft,“ betont Rezvanian. Die Vorbereitung sollte regelmäßig überprüft, getestet und aktualisiert werden. Schulungen und Weiterbildungen der Mitarbeiter seien essenziell, wodurch die Belegschaft zu einem wesentlichen Bestandteil der Cyber-Sicherheit wird.
Meist sei das Problem die Kombination von technischen Lücken und Fehlverhalten der Mitarbeiter. „Die IT kann noch so gut sein, der Mensch bleibt auch im Jahr 2024 das Problem. Die Bedrohung durch Cyberkriminalität nimmt kontinuierlich zu, und Unternehmen jeder Größe müssen sich darauf einstellen“, sagt Payam Rezvanian.
Ein überlebenswichtiges Muss: Aktuelle Updates und eine funktionierende Systemsicherheit
Aber gerade kleine und mittlere Unternehmen würden oft ihre IT-Sicherheit überschätzen und die Risiken eines Hackerangriffs unterschätzen. Die Basis seien meist Bugs in der Software und fehlerhafte oder fehlende Updates, die von Internet-Bots ausspioniert würden. „Hacker greifen die kleinen und mittleren Unternehmen in der Regel nicht gezielt an. Die Cyberkriminellen verwenden dazu besondere Software, die alle verfügbaren Rechner und Homepages auf bekannte Sicherheitslücken absuchen,“ ist Rezvanian überzeugt.
Üblicherweise durchsuchten Bots das Internet wie eine Suchmaschine nach Lücken. Jeder Anschluss, der gerade online sei, werde geprüft. Es werde gesucht, wo das letzte Update noch nicht installiert wurde und welche Software Sicherheitslücken aufweise. Deswegen sollten Firmen auf aktuelle Updates und Systemsicherheit achten.
Quelle: Finanzchef 24
Autor(en): versicherungsmagazin.de