WannaCry?

Einer Studie des Bundesamtes für Sicherheit in der Informationstechnik zufolge wurden rund 70 Prozent der deutschen Unternehmen in den vergangenen beiden Jahren Opfer von Cyberangriffen. So hat die Ransomware WannaCry 2017 die Videoüberwachung der Deutschen Bahn an Bahnhöfen infiziert oder ein Werk von Renault lahmgelegt. Ende 2018 war es der Trojaner Emotet, der weltweit enorme Schäden verursachte. Im Visier sind genauso Medienunternehmen, die Chemiebranche oder Energieunternehmen, wie Warnungen von Bundesbehörden belegen. ¹⁾

Oft setzen Attackierende auf Mitarbeiter als Schwachstelle. Sie öffnen Anhänge, führen Dateien aus oder sichern Computer nicht richtig. Das zeigt, dass jedes Unternehmen sich damit auseinandersetzen sollte, ob es vorbereitet ist. Denn die Systeme werden zunehmend komplexer und verlangen einen umfassenden Schutz, ansonsten tun sich Schwachstellen und damit Angriffsflächen für Cyberkriminelle auf.

Mit der zunehmenden Digitalisierung wird Security auch für den Mittelstand ein immer wichtigeres Thema. Es geht nicht mehr darum, ob eine Firma ins Visier einer Attacke gerät. Es geht eher um das Wann. Einzig ein umfassendes Sicherheitskonzept schafft echten Schutz und erlaubt es, voll von den Chancen der Digitalisierung zu profitieren. Konica Minolta ist in der Lage, dank seines umfassenden Portfolios und der langjährigen Expertise die sicherheitsrelevanten Bereiche in Unternehmen professionell zu bewerten, und kann für alle Facetten die richtigen Sicherheitslösungen und Services anbieten.

Schwache Passwörter machen Angreifer stark 

Um einen Überblick über potenzielle Sicherheitslücken und die Stellen zu erhalten, die abzusichern sind, reicht der Blick auf das Netzwerk und die IT-Security nicht aus. Das Multifunktionssystem im Flur, das Außendienst-Tablet oder die IP-Sicherheitskamera – sie alle sind als vernetzte Geräte Teil der Systemlandschaft. Sie alle bieten Angriffsfläche.

Allerdings unterschätzen Unternehmen häufig, dass sie einen ganzheitlichen strategischen Sicherheitsansatz implementieren müssen. Ohne diesen fehlt die Grundlage, um abgesichert zu sein. Unternehmen haben dann entweder keine Sicherheitslösungen oder eine für sie ungeeignete. Ein anderes Phänomen in der Praxis: Sie sind zwar technisch richtig ausgestattet, setzen die Sicherheitslösungen aber aufgrund fehlenden Fachwissens nicht richtig ein. Gefahrenquellen, die den Experten von Konica Minolta bei ihren Analysen immer wieder begegnen, sind fehlende Zugangskontrollen zum Netzwerk oder unzureichende Passwortrichtlinien.

Wenn bei Systemen der Passwortschutz fehlt oder leicht überwindbar ist, sind sie leichte Beute. Das gilt auch für Systeme, bei denen nicht jeder daran denkt, dass sie als digitale Systeme Teil des Netzwerks sind, sodass über sie ein Eindringen möglich werden kann. Und dass sie über Festplatten verfügen, deren Daten geschützt sein müssen. Von Webcams bis Videosystemen – in den letzten Jahren gab es zahlreiche Fälle, bei denen vermeintliche Standardgeräte von Cyberangreifern infiziert und für Attacken genutzt wurden. So wurden 2016 zum Beispiel fast 150.000 Sicherheitskameras gehackt und als Teil des bekannten Botnetzes Mirai für Cyberattacken missbraucht. ²⁾ 

Auch den eigenen Mitarbeitern kommt bei der Unternehmenssicherheit eine wichtige Rolle zu. Nur mit richtiger Schulung sind Mitarbeiter sensibilisiert, um weniger empfänglich für Social Engineering zu sein – oder für Attacken, die darauf setzen, dass Mitarbeiter E-Mail-Anhänge anklicken.

Nur rundum ist wirklich sicher 

Umfassende Sicherheit lässt sich nur durch ein umfassendes Konzept für Informationssicherheit erreichen. Daher setzt Konica Minolta auf eine 360-Grad-Strategie, die alle schützenswerten Bereiche eines Kunden berücksichtigt und abdeckt. Die Experten analysieren zunächst durch eine Ist-Analyse den aktuellen Sicherheitsstand. Dabei werden Grundsicherheit, zum Beispiel durch Firewall und Antiviruslösungen, Zugang zum Netzwerk, mobile Systeme, Verschlüsselungskonzept, die Zugriffs- und Datensicherheit von MFPs, der Schutz des Gebäudezutritts und sicherheitsrelevanter Gebiete, organisatorische Grundlagen und der Sensibilisierungsgrad der Mitarbeiter untersucht.

Auch Penetrationstests, in denen ein Angriff simuliert wird, gehören dazu. Denn das ist der beste Weg, IT-Sicherheitsvorkehrungen einer praktischen Prüfung zu unterziehen und Schwachstellen zu ermitteln. Dennoch nutzen nach einer Umfrage des Branchenverbands Bitkom nur 17 Prozent der deutschen Unternehmen diese Option. Auch Audits durch externe Spezialisten lässt nur jedes vierte Unternehmen durchführen. ³⁾

Konica Minoltas 360-Grad-Ansatz beinhaltet die Informationssicherheit sowie die technischen und organisatorischen Lösungen rund um IT-Security, Multifunktionssysteme und Videoabsicherung im Bereich Gelände-, Gebäude- und Prozesssicherheit bis hin zur Schaffung von Awareness und Schulungen. Natürlich legt das Unternehmen hierbei auch ein großes Augenmerk auf datenschutzrelevante Themen.

Bei der Konzeptentwicklung geht Konica Minolta von der Prämisse aus, dass umfassende Informationssicherheit nur dann möglich ist, wenn Bereiche wie beispielsweise IT-Security, Datensicherheit, der Schutz von Multifunktionssystemen und die Sicherheit von etwaigen Videosicherheitssystemen sowie Gebäude- und Perimeterschutz gemeinsam betrachtet werden. Basierend auf der Ist-Analyse, erstellen die Experten ein Konzept, das auf die komplette Informationssicherheit des jeweiligen Kunden und seine individuellen Sicherheitsanforderungen ausgelegt ist.

Die Gefahr, die aus dem Drucker kommt 

Moderne Multifunktionssysteme sind nicht einfach nur Drucker oder Kopierer. Die MFPs, kurz für Multi-Funktions-Printer, stellen zentrale Dokumentenverarbeitungsknoten im Netzwerk eines Unternehmens dar. Daher ist es wichtig, entsprechende Zugriffskontrollen/-rechte zu haben beziehungsweise zu vergeben, um sensible Informationen in Form von gedruckten Dokumenten oder im System gespeicherten Daten vor Diebstahl zu schützen. Denn MFPs sind nicht nur Teil des Netzwerks, ihre eigenen Festplatten und Hauptspeicher enthalten ebenfalls potenziell vertrauliche und personenbasierte Daten.

Wenn Unternehmen keine Sicherheitsstrategie und keine Schutzfunktionen für ihre MFPs haben, können diese Daten zur leichten Beute für Cyberkriminelle werden. Denn dann sind diese schlimmstenfalls weder durch Passwörter gesichert, noch sind vertrauliche Informationen, die temporär auf dem System zwischengespeichert werden, verschlüsselt. Ohne Löschregeln können sich sensible Daten zudem über einen längeren Zeitraum auf der Festplatte ansammeln. Auch herrenlos in der Druckausgabe liegende Dokumente stellen ein nicht zu vernachlässigendes Sicherheitsrisiko dar.

Die Sicherheitsrisiken liegen nicht nur im digitalen Raum: Die Bitkom-Befragung „Wirtschaftsschutz in der digitalen Welt“ aus dem Jahr 2017 zeigt, dass bei 17 Prozent der befragten Unternehmen physische Dokumente, Bauteile oder Maschinen gestohlen wurden. Weitere 14 Prozent der Unternehmen vermuten, dass sie betroffen waren, wissen es aber nicht sicher. IT- und Telekommunikationsgeräte wurden bei 30 Prozent der Befragten entwendet. ⁴⁾ 

Für ein ganzheitliches Security-Konzept für MFPs bietet Konica Minolta eine Vielzahl an Sicherheitsfunktionen im Rahmen von bizhub SECURE an. Sie decken drei Bereiche ab: Zugriffssteuerung/ Zugriffssicherung, Sicherheit der Festplattendaten und Netzwerksicherheit. Der erste und wichtigste Schritt besteht darin, den Zugriff Unbefugter auf das System zu verhindern. Dies geschieht über Kennwörter oder das Einlesen von ID-Karten der Mitarbeiter. Ein ganz entscheidender Punkt: Sicherheitsmaßnahmen sollten stets Schutz gewähren, ohne die Benutzerfreundlichkeit einzuschränken. Das dient nicht nur dazu, Nutzern keine neuen Hindernisse in den Weg zu stellen, die ihre Produktivität beeinträchtigen.

Wenn Sicherheitsmaßnahmen sie gefühlt behindern, sind Nutzerinnen und Nutzer weniger gewillt, sie einzuhalten. Passwörter und Benutzerkonten erlauben Unternehmen nicht nur die Zuweisung unterschiedlicher Rechte an Anwender, sie sichern auch das System gegen Unbefugte. Funktionen, die den Dokumentendruck erst nach Authentifizierung starten, sorgen zudem dafür, dass Dokumente auch nur der erhält, der dazu berechtigt ist.

Checkliste Multifunktionssysteme

1. Zugriffssteuerung: Passwörter einrichten
2. Festplatte verschlüsseln
3. Temporäre Daten regelmäßig löschen
4. Nutzerkonten mit individuellen Rechten einrichten
5. Festplatte auch bei Ausbau gegen unbefugten Zugriff sichern
6. Netzwerksicherheitsstandards kontrollieren

Wer nicht schult, bleibt dumm 

Zu einer umfassenden Informationssicherheit gehört auch eine durchdachte IT-Security, um digitale Informationssysteme zu schützen. Natürlich kann man IT-Security nicht ohne Netzwerksicherheit denken. Für einen vollständigen Schutz muss aber viel mehr betrachtet werden – von organisatorischen und technischen Grundlagen über die Integration von IoT-Geräten oder mobilen Devices bis hin zum Faktor Mensch. Denn oft stellt fehlendes Wissen oder falsches Verhalten von Mitarbeitern eine der größten Schwachstellen dar. Hier sollten Unternehmen ansetzen – doch Bitkom-Daten aus dem Jahr 2017 zufolge schulen 47 Prozent der deutschen Unternehmen ihre Mitarbeiterinnen und Mitarbeiter nicht zu Sicherheitsmaßnahmen. ⁴⁾ 

Eine weitere erforderliche Grundvoraussetzung ist auch das Risikobewusstsein auf der Ebene der Entscheider. Unternehmen muss bewusst sein, dass sie Angriffsflächen bieten, sodass ein Schutzkonzept nötig ist. Zudem sollte klar sein, dass es immer zu Sicherheitsverletzungen kommen wird. Darauf gilt es vorbereitet zu sein. Risikoanalysen und Notfallpläne erhöhen das Risikobewusstsein und senken die Gefahren möglicher Schäden. Immerhin 58 Prozent der Unternehmen haben einer Deloitte-Studie zum Thema Cybersecurity aus dem Jahr 2017 zufolge einen entsprechenden Notfallplan. ⁵⁾

Konica Minolta hat, basierend auf fast 20 Jahren Erfahrung, ein spezielles Analysekonzept entwickelt. Dieses Konzept stellt die Grundlage seiner IT-Security-Analysen dar. Im direkten Dialog mit dem Kunden wird individuell definiert, was während der Analyse betrachtet wird. Denn niemand kennt die Daten und Anforderungen so gut wie das Unternehmen selbst. Zum Start führen die Experten ausführliche Ist-/Soll-Analysen durch, um nicht nur die gegebenen Bedingungen, sondern auch die individuell notwendigen Sicherheitsmaßnahmen zu erkennen.

Checkliste IT-Security

1. Risiko- und Schutzbedarfsanalyse durchführen
2. Sicherheitsstrategie erstellen oder überarbeiten
3. Informationssicherheitsprozesse einführen
4. Technologische Maßnahmen etablieren oder ausbauen wie z. B. Berechtigungsmanagement, Verschlüsselung oder Mobile Device Control
5. Mitarbeiter sensibilisieren – Awareness-Kampagne
6. Technische Lösungen durch Penetrationstests verifizieren

Video: Absicherung oder Verunsicherung? 

Zum modernen Perimeter- und Gebäudeschutz gehören IP-Videosysteme selbstverständlich dazu. Sie stellen zum einen einen wesentlichen Baustein der physischen Absicherung dar, die der Studie „Digitalisierung und IT-Sicherheit in deutschen Unternehmen“ der Bundesdruckerei zufolge den virtuellen Schutzmaßnahmen noch immer hinterherhinkt. ⁶⁾ 

Zum anderen können sie einen reibungslosen Ablauf in der Produktion unterstützen, indem sie Unregelmäßigkeiten bei Prozessen oder Überhitzungen bei Maschinen erkennen und daraufhin eine Meldung veranlassen oder Abläufe automatisch stoppen. Doch bei ihrer Einrichtung gibt es einige Aspekte zu beachten. Zum einen: Vernetzte Videokameras sind als Teil des Unternehmensnetzwerks auch vernetzte Geräte, für sie müssen also die gleichen Sicherheitsmaßnahmen wie für alle anderen IoT-Devices gelten. Das Gleiche gilt für etwaige Speicher oder Festplatten, erst recht, wenn Personen aufgezeichnet werden.

Bei der Einrichtung eines Videosicherheitssystems sollte zunächst geklärt werden, was für Bilder erforderlich sind – denn hochauflösende Aufnahmen bringen eine ungleich höhere Datenmenge mit sich, für die das Netzwerk vielleicht gar nicht ausgelegt ist. Daraus ergibt sich, ob die Kameras in das bestehende Produktivnetzwerk integriert werden sollten oder ein separates Parallelnetzwerk aufgebaut werden sollte.

Darüber hinaus gelten die gleichen Aspekte wie für vernetzte Geräte: Die angeschafften Systeme sollten auf jeden Fall Konfigurations- und Sicherungstools besitzen, um diese bei entsprechender Anwendung zu härten und so vor Fremdzugriffen zu schützen. Und die Datenübertragung sollte verschlüsselt erfolgen. Sonst können Unbefugte diese Daten unter Umständen abgreifen – oder auch über schlecht gesicherte IP-Kameras in das Unternehmensnetzwerk eindringen. 

Bei der Einrichtung der Videoabsicherung sind auch Aspekte des Datenschutzes zu beachten: Welche Bereiche sollen gesichert werden? Wie lange werden Daten gespeichert – und wer hat darauf Zugriff? Konica Minolta empfiehlt zur Auswahl und Implementierung einen Ansatz, in dem in Beratungsworkshops die Anforderungen festgelegt, Betriebsrat und Datenschutzbeauftragter frühzeitig auf den aktuellen Stand der Technik gebracht und gemeinsam die Betriebsanforderungen sowie Zweck und Begründung beschrieben werden.

Schützen Sie Ihren Datenschatz 

Der Schutz der Informationen im Unternehmen – ob es nun die eigenen oder die von Kunden sind – ist eines der Hauptziele von Informationssicherheitskonzepten. Denn diese Informationen stellen die Kronjuwelen dar, die Angreifer ins Visier nehmen. 23 Prozent der deutschen Unternehmen wurden der Bitkom-Erhebung „Wirtschaftsschutz in der digitalen Welt“ zufolge in den letzten beiden Jahren Opfer von Datendiebstahl. Weitere 18 Prozent vermuten, dass sie betroffen waren. Die Ziele dabei reichen von Kommunikationsdaten (48 Prozent) über Kunden- (20 Prozent) und Finanzdaten (20 Prozent) bis zu geistigem Eigentum oder Mitarbeiterdaten. ⁷⁾

Informationssicherheit und Datenschutz sind zentrale Werte, die für Geschäftserfolg, Wettbewerbsfähigkeit und Reputation außerordentlich relevant sind. Hinzu kommt, dass auch rechtliche Regelungen wie die EU-Datenschutz-Grundverordnung (DSGVO) sie verlangen – inklusive konkreter Schutzmaßnahmen, die zu treffen sind. 75 Prozent der Unternehmen verfügen laut der Studie „Digitalisierung und IT-Sicherheit in deutschen Unternehmen“ der Bundesdruckerei zumindest über Regeln für den Umgang mit schützenswerten Informationen, 81 Prozent haben Zugriffsrechte für sensitive Informationen festgelegt. Der Rest ist in Verzug. ⁶⁾

Auch hier geht es für Unternehmen darum, dass ihre Mitarbeiterinnen und Mitarbeiter für das Thema sensibilisiert werden müssen – das Bewusstsein für die Gefahren und die Folgen im Fall eines Sicherheitsverstoßes sind nicht immer klar. Unternehmen sollten dabei zunächst feststellen, welchen Schutzbedarf sie haben. Diesen definiert Konica Minolta durch entsprechende Analysen. Der davon abgeleitete Soll-Zustand wird neben dem Einsatz technischer Lösungen durch gezielte Schulungen und Workshops der Mitarbeiterinnen und Mitarbeiter hinsichtlich Sensibilität und Relevanz des Themas Informationssicherheit erreicht.

Die Informationssicherheit umfasst zum Beispiel Lösungen zur Zugriffssicherung: Je sensitiver und sensibler Daten sind, desto wichtiger ist die Einschränkung des Personenkreises, der Zugriff zu ihnen hat. Dafür reichen Passwörter allein nicht aus. Wertvolle Informationen sollten unter Umständen auch verschlüsselt werden. Nicht erst seit Inkrafttreten der DSGVO empfiehlt es sich zudem, einen Überblick zu haben, welche personenbezogenen Daten ein Unternehmen erfasst hat. Zudem gilt es, sicherzustellen, dass es nur einen zentralen, aktuellen Datensatz gibt und nicht etwa über das Netzwerk verteilte unterschiedliche Versionen.

Ebenfalls gehört zu Informationssicherheit auch der geschützte Transport dazu – Informationen müssen Ende zu Ende verschlüsselt sicher übertragen werden. Für den Fall von Verstößen ist es zudem entscheidend, Protokolldaten zur Hand zu haben, um diese auch zur Verfügung stellen zu können. Mit ihnen werden Verstöße nicht nur schnell erkennbar, Protokolldaten sind auch für die Schadenseinschätzung und Schadensbegrenzung erforderlich.

Checkliste Videoabsicherung

1. Bedarf festlegen: Welche Kameraleistung ist erforderlich?
2. Netzwerkkapazität überprüfen
3. Betriebsanforderungen, Zweck und Begründung festlegen
4. Daten und Datenübertragung durch Verschlüsselung sichern
5. Sicherstellen, dass die Aufzeichnung datenschutzkonform gehandhabt wird

Checkliste Information Security Consulting

1. Risiko- und Schutzbedarfsanalyse durchführen und schützenswerte Informationen definieren
2. Informationssicherheitskonzept mit Richtlinien festlegen
3. Informationssicherheitsprozesse einführen
4. Technologische Maßnahmen etablieren oder ausbauen wie z. B. Berechtigungsmanagement, Endgeräte-Sicherheitslösungen, Verschlüsselung oder Mobile Device Control
5. Lösungen verwenden, die Übersicht über personenbezogene Daten geben und den Berichtspflichten der DSGVO entsprechen
6. Mitarbeiter zum sicheren Umgang mit Informationen sensibilisieren: Awareness-Kampagne
7. Technische Lösungen durch Penetrationstests verifizieren

Der Starke Partner an Ihrer Seite

Moderne IT bietet für Unternehmen große Potenziale. Um diese ungefährdet erschließen zu können, benötigen sie eine durchdachte, umfassende Sicherheitsstrategie. Ein Partner wie Konica Minolta steht dafür als Berater an ihrer Seite. Denn gerade kleine und mittelständische Unternehmen verfügen meist nicht über die Ressourcen, um selbst die Komplexität ihrer Infrastruktur und potenzielle Schwachstellen permanent im Blick zu halten. Ein starker Partner hilft ihnen, mit fundierter Beratung und durchdachten Lösungen ein individuelles Sicherheitskonzept für umfassenden Schutz zu definieren und umzusetzen.

Auch dessen Betrieb und Wartung sowie regelmäßige Schulungen der Mitarbeiter kann Konica Minolta übernehmen. Mit seinem 360-Grad-Ansatz steigert Konica Minolta die effektive Sicherheit für Unternehmensinformationen, IT, Multifunktionssysteme sowie für Gebäude und Produktion. Unternehmen profitieren zudem von Ressourcen- und Kosteneinsparungen, da sie von Konica Minolta eine auf ihre Ansprüche maßgeschneiderte Lösung erhalten, die ganz gezielt ihre Sicherheitsanforderungen abdeckt und damit Mehraufwand und Mehrkosten vermeidet.

Auf Wunsch können Unternehmen auch die Rolle ihres Chief Information Security Officers (CISO) durch Mitarbeiterinnen und Mitarbeiter von Konica Minolta erfüllen lassen. Ein derartiges Outsourcing ist gerade für kleine und mittlere Unternehmen interessant, die nicht zu viele eigene Ressourcen für ihre Informationssicherheit aufbauen wollen.

^{1) Lage der IT-Sicherheit in Deutschland 2017} 

^{2) New Jersey Cybersecurity and Communications Integration Cell, Mirai Botnet 2016} 

^{3) Sind deutsche Unternehmen auf Cyberangriffe vorbereitet?, Handelsblatt 2018}

^{4) Wirtschaftsschutz in der digitalen Welt, Bitkom 2017}

^{5) Cybersecurity Report Teil 2, Deloitte 2017} 

^{6) IT-Sicherheit im Rahmen der Digialisierung, Bundesdruckerei 2018} 

^{7) Wirtschaftsschutz in der Industrie, Bitkom 2018}