Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor dem neuen Schädling „Ryuk“. Das BSI geht davon aus, dass die Verschlüsselungssoftware bereits mehrere deutsche Unternehmen infiziert hat.
Ryuk, der sich zweier älterer Trojaner bedient, ermöglicht maßgeschneiderte Erpressungsversuche und ist deshalb besonders effektiv. Vier von zehn VDE-Mitgliedsunternehmen und Hochschulen waren nach einer Umfrage bereits vor Ryuk von Cyber-Attacken betroffen. Weitere 40 Prozent wissen noch nicht einmal, ob sie angegriffen worden sind. Der VDE geht daher davon aus, dass die Dunkelziffer weitaus höher ist.
Sicherheitsdefizite in der eigenen Organisation machten es den Angreifern leicht: 75 Prozent sagen, dass es den Mitarbeitern an Sensibilität für das Risiko von Cyber-Attacken fehlt. 45 Prozent geben zu, dass ihre IT-Systeme nicht ausreichend geschützt sind und den Angriffen nicht standhalten können.
Mittelstand besonders hart getroffen
Das größte Problem sind die Ressourcen. 79 Prozent der Befragten sind davon überzeugt, dass viele Unternehmen aufgrund der wachsenden Anforderungen an die IT-Sicherheit finanziell und personell überfordert sind. Vor allem der Mittelstand tut sich schwer, genügend IT-Experten zu finden. Viele verfügen nicht über die Ressourcen und Fähigkeiten für eigene Computer Emergency Response Teams (CERTs).
Aus diesem Grund hatte der VDE bereits 2017 mit CERT@VDE die erste anonyme Plattform zur Koordination von IT-Security-Problemen im Bereich Industrieautomation geschaffen, der mittlerweile maßgebliche Mittelständler der Elektroindustrie angehören.
Der VDE hat nun sein Portfolio im Bereich IT-Security erweitert und das „Competence Center for Information and Corporate Security“ gegründet. Neben dem CERT unterstützt der VDE mit seinem neuen Kompetenzzentrum Unternehmen bei der Analyse, Verbesserung und Umsetzung ihrer Cyber Security Strategie und bei der Einhaltung gesetzlicher und regulatorischer Anforderungen.
Gesetzliche Anforderungen belasten Mittelstand zusätzlich
Neben der Abwehr von Cyber-Angriffen müssen die Unternehmen die Anforderungen der EU-Datenschutzverordnung (DSGVO), des IT-Sicherheitsgesetzes und der Governance-Risk-Compliance einhalten, was den Unternehmen zusätzliches Budget abverlangt und personelle Aufstockung aus einem bereits fast leergefegten Expertenmarkt bedeutet.
Viele Unternehmen sind schlichtweg überfordert. Einerseits bedrohen Cyber-Kriminelle ihre Existenz, auf der anderen Seite schwebt das Damoklesschwert der DSGVO über ihnen. Für beides sind oftmals keine Ressourcen verfügbar. Gemäß seiner Satzung sei der VDE der Sicherheit verpflichtet und unterstützt daher den Mittelstand dabei, die Informationssicherheit auf allen Ebenen zu erfüllen.
Die VDE Experten führen eine GAP-Analyse auf Grundlage des BSI Basis Cyber Security Check und des ISO27001 Security Check und optional weiter darüber hinaus durch und bewerten so das bestehende Sicherheitsniveau nach international anerkannten Rahmenwerken und Standards.
Das Thema Informationssicherheit endet längst nicht mehr bei der Implementierung technischer Maßnahmen. Eine mindestens ebenso wichtige Rolle spielen hierbei die Aspekte Governance, Risk und Compliance.