Während neue Maschinen getestet werden, bevor sie ans System angeschlossen werden, ist das bei neuen IT-Lösungen nicht immer der Fall. Dabei bietet jede neue Soft- oder Hardware-Komponente Cyberkriminellen neue Einfallstore in ein Unternehmen. Trotzdem kaufen einige Unternehmen zum Beispiel eine neue Firewall, ohne genau zu prüfen, was sie kann und was nicht. Hier setzen Experten wie Sascha Herzog, technischer Geschäftsführer der NSIDE ATTACK LOGIC GmbH an. Sein Unternehmen veranstaltet Live-Hacking-Seminare, um Firmen zu sensibilisieren: „Wir versetzen uns in die Lage des Angreifers: Wo kommen wir rein und welchen größtmöglichen Schaden können wir anrichten“.

Neutraler System-Check
Externe Sachverständige spielen alle möglichen Angriffsszenarien durch, die ein Betrieb erfahren könnte. Als Hacker greifen die IT-Berater im Rahmen umfassender Sicherheitstests einzelne IT-Systeme an: Gelingt es zum Beispiel, die Kesselsteuerung eines Chemieunternehmens unter Kontrolle zu bekommen? Wie aufmerksam sind die Mitarbeiter: Wird zum Beispiel in der Personalabteilung die gefälschte Bewerbungs-E-Mail mit einem Computervirus im Anhang geöffnet?
Aber IT-Sicherheit hängt auch davon ab, wie der Unternehmensstandort im Ganzen gesichert ist. Schaffen es die IT-Berater, sich nachts Zugang zum Gelände zu verschaffen und den Server zu stehlen, oder auch tagsüber Zutritt zu sensiblen Bereichen zu erhalten?
Auch wenn sich kleine Betriebe komplexe Angriffssimulationen oft nicht leisten können, so sollten sie sich die Methodik zunutze machen: Jeder Betrieb sollte sich kontinuierlich fragen, wo Angreifer die besten Einfallschancen haben und dort sofort Abhilfe schaffen.

Vorsorge für den Ernstfall
Sind die Schwachstellen erkannt, können Unternehmen besser vorsorgen. Dabei kommt auch der internen Sicherheit große Bedeutung zu: Nicht jeder Mitarbeiter braucht Zugang zu allen Daten! Je spezifischer Zugriffsberechtigungen gestaltet sind, desto komplexer wird es für Cyberkriminelle, sich etwa mit einem Virus an den „richtigen“ Mitarbeiter im Unternehmen zu wenden.