Die Broschüre "Cyber-Sicherheit für KMU – Die TOP 14 Fragen" des Bundesamts für Sicherheit (BSI) in der Informationstechnik betont, dass die Situation in vielen kleinen und mittelständischen Unternehmen, darunter auch Architektur- und Ingenieurbüros, besorgniserregend ist.
Ein wesentlicher Faktor in der Cybersicherheit von Planungsbüros ist der "Faktor Mensch". Die unzureichende Schulung und Sensibilisierung der Mitarbeiter bezüglich IT-Sicherheitsrisiken sind als Schwachstellen identifiziert. Die Verwendung schwacher Passwörter sowie das Teilen von Zugangsdaten zwischen Mitarbeitern stellen zusätzliche Risiken dar. Auch Phishing-Angriffe, bei denen Mitarbeiter auf betrügerische E-Mails hereinfallen, werden als potenzielle Gefahr erkannt.
Im technischen Bereich werden Schwachstellen im Patchmanagement und in der generellen IT-Sicherheitsarchitektur identifiziert. Nicht aktualisierte Software und unsichere Konfigurationen an der Schnittstelle zwischen Internet und internem Netzwerk können Einfallstore für Cyberangriffe darstellen. Besondere Bedeutung wird der Verschlüsselung bei der Übertragung sensibler Informationen beigemessen.
Als ersten Schritt empfiehlt man die regelmäßige Überprüfung der IT auf Schwachstellen, um Risiken zu minimieren. Eine umfassende Schulung der Mitarbeiter sowie die Implementierung von Sicherheitsmaßnahmen, wie Firewalls und Antiviren-Software, werden als grundlegend betrachtet. Zusätzlich sollten regelmäßige Software-Updates durchgeführt und die Zwei-Faktor-Authentifizierung aktiviert werden.
Ein zentraler Punkt zur Identifizierung von Schwachstellen ist das IT-Sicherheitsassessment. Hierbei wird eine technische Prüfung durchgeführt, bei der Angriffe auf IT-Systeme simuliert werden. Die Ergebnisse dieser Analyse können als Grundlage für Penetrationstests dienen, bei denen Sicherheitslücken gezielt ausgenutzt werden, um Empfehlungen zur Verbesserung der Sicherheit zu geben.
Die Wichtigkeit einer Cyber-Versicherung als Bestandteil eines umfassenden Sicherheitskonzepts wird betont. Jedoch allein sei sie nicht ausreichend. Unternehmen sollten sich aktiv um die Erhöhung der IT-Sicherheit bemühen und regelmäßig Sicherheitsassessments durchführen.
Für Unternehmen, die ein IT-Sicherheitsassessment durchführen wollen, wird die Auswahl des richtigen Dienstleisters betont. Die Bedeutung von Erfahrung, Zertifizierungen und maßgeschneiderten Lösungen wird hierbei hervorgehoben.
Ein erfolgreiches IT-Sicherheitsassessment ist ein erster wichtiger Schritt, um die IT-Landschaft vor Bedrohungen zu schützen. Es wird darauf hingewiesen, dass Schwachstellen oft Symptome eines mangelhaften Managements von IT-Sicherheitsprozessen sind. Eine kontinuierliche Zusammenarbeit mit erfahrenen IT-Sicherheitsdienstleistern und die Sensibilisierung aller Beteiligten im Büro sind entscheidend, um die IT-Sicherheit nachhaltig zu verbessern. So können Planungsbüros effektiv Schwachstellen aufspüren und sich auf ihre zentralen Geschäftsprozesse konzentrieren, ohne in die Kategorie von KMU zu fallen, die besorgniserregend für das Bundesamt für Sicherheit in der Informationstechnik sind.
Broschüre des BSI „Cyber-Sicherheit für KMU“ (PDF)
Informationen des BSI für Unternehmen und Organisationen
Quelle: Brandenburgische Ingenieurkammer