Link to header
Cybersecurity: Gegen Gefahr im Netz
Verschlüsselung ist nur ein wichtiger Schritt, um Cyberrisiken zu senken. © Adobe Stock/Dmitri Simakow

Arbeitssicherheit : Cybersecurity: Gegen Gefahr im Netz

Für alle Unternehmen und Einrichtungen ist IT-Sicherheit relevant. Wie Organisationen ­Cybersecurity stärken, sich auf Notfälle vorbereiten und Führungskräfte einbinden.

An Kindertagesstätten denken wahrscheinlich nur wenige, wenn es um mögliche Ziele von Hackerangriffen geht. Doch mit einer steigenden Zahl von Geräten, die mit dem Internet verbunden sind, steigen auch in der Kita die Risiken. So lässt sich dann durch eine Schwachstelle etwa die Höchsttemperatur der neuen Wassertherme online umstellen – und Kinder verbrühen sich beim Hände­waschen.

Ähnliches gilt aber auch in Einrichtungen, die deutlich stärker in Fragen der Cybersecurity im Fokus stehen als Kitas. In Krankenhäusern sind zum Beispiel die Klimaanlagen und Aufzüge zunehmend mit dem Internet verbunden. „Während IT-Systeme wie Router und Server viel Beachtung bekommen, wird an diesen Stellen die Gefahr leicht übersehen“, sagt Jonas Stein, Leiter des Prüflabors für ­Industrial ­Security beim ­Institut für Arbeitsschutz der DGUV (IFA).

Der Einsatz neuer Technik in Kliniken birgt ebenfalls Risiken. Denn auch ­Bettenmobile oder andere selbstfahrende Roboter sind laut Werksein­stellung oft online. „Über das Internet können sie gehackt werden und dann Unfälle verursachen, wenn sie beispielweise mit Angestellten zusammenstoßen“, so Stein.

Securitymanagement aufbauen

Unternehmen und Einrichtungen sollten im eigenen Haus den Schutz vor Hacking verstärken und sich zugleich auf Notfälle durch Sicherheitslücken vorbereiten. „Der wichtigste Schritt ist, ein Security-Management aufzubauen“, sagt Stein. Dazu gehöre es, die Verantwortung im Falle von Cyber­security-Notfällen zu regeln, damit es eine klare Ansprechperson gebe. Außerdem sei es sinnvoll, Strukturen eines Krisenstabs aufzubauen und Prozesse für den Notfall aufzusetzen. Der Experte rät zudem, einen Notfallkontakt nach einem internationalen Standard auf der Unternehmenswebsite zu ­hinterlegen, damit diese Person über größere Risiken informiert werden kann, bevor es zu Notfällen kommt.

IT-Sicherheit stärken

Kontaktinfos für IT-Sicherheits­meldungen:

Ein kurzes Video fasst die zu ergreifenden Schritte zu­sammen, um im Unternehmen einen Notfallkontakt security.txt (RFC 9116) einzurichten.

IT-Schutz in Kommunen:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit den kommunalen Spitzenver­bänden eine Publikation erarbeitet, die Verwaltungen den Einstieg in die Informations­sicherheit erleichtert.

Gesetzliche Regelungen:

Die Vorgaben in Sachen ­Cyber­sicherheit für sicher­heitsrelevante Mess-, Steuer- und Regeleinrichtungen fasst die Technische Regel für Betriebs­sicherheit (TRBS 1115 Teil 1) ­zusammen.

Dazu gehört es, im Schema eines „Was tun, wenn …“ aufzuschreiben, welche Maßnahmen zum Beispiel in Gang ­gesetzt werden, wenn der Aufzug ­gehackt wurde. „Es werden nicht alle möglichen Situationen in so einem Playbook erfasst. Aber die wichtigsten Szenarien durchzuspielen, bildet eine gute Grundlage für künftige Vorkommnisse, denn viele Maßnahmen lassen sich auf andere Fälle übertragen“, so Stein. Führungskräfte können sich ­anhand dieser Playbooks ebenfalls auf den Ernstfall vorbereiten, weil damit ungeklärte Verantwortlichkeiten sichtbar werden und sich verlässlich regeln lassen.

Verschlüsselung und Schulungen

Weitere Schutzmaßnahmen sollten analog zu dem aus der Gefährdungsbeurteilung bekannten TOP-Prinzip aufgestellt werden. E-Mails elektronisch zu signieren und möglichst verschlüsselt zu senden, zählt beispielsweise zu den technischen Lösungen. Zu den organisatorischen Maßnahmen gehört es, Beschäftigte zu schulen, ­damit sie über Sicherheitsrisiken informiert sind und wissen, was in einem Notfall zu tun ist. „Führungskräfte sollten ihre Mitarbeitenden ­außerdem ein­binden und ein offenes Ohr für ihre ­Ideen ­haben“, sagt Stein. Hilfreich kann es auch sein, Tools wie Pass­wort­manager einzusetzen. Wichtig ist, dass sich alle im Team trauen ­dürfen, Schwach­stellen am System oder ­eigene Unsicherheiten anzusprechen und Fehler zu melden. „Dafür braucht es eine gute Fehler­kultur, in der Fehler nicht ­bestraft, sondern dafür genutzt ­werden, aus ihnen zu lernen“, so der IT-Experte.

Eine gute Richtschnur für Maßnahmen bietet das sogenannte minimale Rechteprinzip. Es definiert in der IT, dass nur Personen und Programme Zugriff auf Daten bekommen, die sie auch wirklich brauchen. Nach ­diesem Prinzip kann es zudem sinnvoll sein, Maschinen vom Netz zu nehmen, weil sie auch ohne Internetverbindung funktionieren. Denn welche Kinder­tagesstätte muss schon die Wassertherme aus der Ferne steuern können?