IT-Sicherheit im Ingenieurbüro: Herausforderungen und Lösungen
Cyberangriffe betreffen nur große Konzerne und staatliche Institutionen? Kleinere Unternehmen sind es nicht wert gehackt zu werden? Die Antwortet lautet (leider): Nein! Die in 26 Ländern durchgeführte Sophos Studie The State of Ransomware 20201 ergab etwa, dass 2019 und 2020 jedes zweite Unternehmen einer Ransomware-Attacke zum Opfer gefallen ist. Dabei wurden durchschnittlich 730.000$ Lösegeld für die Entschlüsselung sensibler Daten gefordert. Cyberkriminelle scheinen außerdem keinen Unterschied zu machen zwischen großen oder kleinen Organisationen, sondern wissen vielmehr, wo wie viel zu holen ist.
Da die Bedeutung digitaler Infrastruktur in allen Branchen zunimmt, müssen sich auch Ingenieurbüros mit der Frage beschäftigen, wie sie sich vor der Bedrohung schützen und eine zuverlässige IT-Security etablieren können.
Warum IT-Sicherheit im Ingenieurbüro so wichtig ist
Jedes Ingenieurbüro verarbeitet tagtäglich sensible Daten, etwa bei der Ressourcenplanung oder Angebotserstellung. Überall dort, wo Daten ausgetauscht werden, besteht zugleich die Gefahr, dass unbefugte Dritte sich Zugriff verschaffen und Schaden in Form von Verschlüsselung, Datendiebstahl oder Unternehmensspionage anrichten.
Am Modern Workplace nimmt dieses Risiko aufgrund von ortsunabhängigem Arbeiten und Konzepten wie BYOD (Bring Your Own Device) noch zu. Die umfängliche Sicherung aller Geräte stellt Ingenieurbüros vor gewisse Herausforderungen aufgrund des administrativen und kostspieligen Aufwands.
Datenschutz ist von höchster Bedeutung
Zugleich stellt die DSGVO hohe Anforderungen an den Umgang mit Kundendaten, wie etwa die Aufbewahrungspflicht aller Projektdaten. Sie verpflichtet Unternehmen außerdem zu aufwändigen Maßnahmen, die den Datenschutz zu jedem Zeitpunkt sicherstellen. Bei nachweislichem Verstoß, der zu einem erfolgreichen Cyberangriff geführt hat, drohen empfindliche Strafen.
Die Bedeutung von Daten für zukünftige Geschäftsmodelle und moderne Formen virtueller Zusammenarbeit werden weiter zunehmen. Dabei wächst auch die Notwendigkeit eines tragfähigen Konzepts für die IT-Sicherheit, denn die potenziellen Folgen eines Datendiebstahls oder -verlustes können existenziell sein: beschädigtes Vertrauensverhältnis zu Kunden und evtl. irreparables Image der Unternehmensmarke in der Öffentlichkeit.
Die Herausforderungen für Ingenieurbüros
- Unternehmen jeder Größe stellen ein potenzielles Ziel dar:
Trotz der Bedrohungslage wähnen sich kleinere Ingenieurbüros in trügerischer Sicherheit: “Wie sollte ein Cyberkrimineller ausgerechnet auf unser kleines Unternehmen aufmerksam werden - es gibt doch viel interessantere Ziele?”.
- Cyberkriminalität läuft systematisch ab:
Moderne Cyberkriminelle haben es selten auf ein Unternehmen abgesehen. Stattdessen arbeiten Sie systematisch Listen aus dem Darknet ab oder werfen wie Fischer ein Netz aus und verbreiten Ransomware - Schadsoftware, die den betroffenen PC sperrt und den Nutzer auffordert, Geld an eine anonyme Zahlungsadresse zu schicken.
- Fehlende Ressourcen erschweren die Entwicklung tragfähiger Konzepte:
Ingenieurbüros, die das Thema IT-Sicherheit angehen wollen, sind in der Umsetzung mit zahlreichen Herausforderungen konfrontiert. Ihnen fehlen ausgebildete Spezialisten, die ein Konzept für die IT-Sicherheit erarbeiten könnten. Gibt es IT-Verantwortliche, erfüllen sie diese Funktion meistens zusätzlich zu ihrem Hauptaufgabengebiet. Sie besitzen keine spezielle Ausbildung, um die komplexer werdenden Anforderungen an die IT-Sicherheit zu bewältigen. Hinzu kommen knappe Budgets, die den Handlungsspielraum weiter einschränken.
- Die Wahl des passenden IT-Anbieters fällt schwer:
Auch das Auslagern der IT-Security an spezialisierte Anbieter gestaltet sich schwierig. Der Markt ist kaum überschaubar. Ohne tiefgreifende Fachkenntnisse lassen sich Angebote nicht bewerten und vergleichen. - Der Mensch zählt weiterhin zu den größten Sicherheitslücken:
Die ausgefeiltesten Sicherheitskonzepte greifen nur dann, wenn Sie von der gesamten Belegschaft verinnerlicht und angewendet werden. Bis heute ist dieses Sicherheitsbewusstsein unter Arbeitnehmern nicht sehr ausgeprägt, wie beispielsweise die beliebtesten Passwörter der Deutschen zeigen: 123456, passwort, ichliebedich. - Die fortschreitende Digitalisierung schafft neue Datenlecks:
Remote Work ist durchaus vorteilhaft, bringt jedoch aufgrund unsicherer Netze oder unbefugten Zugriffsmöglichkeiten auf die Geräte der Mitarbeiter auch zahlreiche neue Sicherheitslecks mit sich. - Mangelhafte Datensicherungskonzepte bergen verheerende Risiken:
Gerade in kleinen und mittelgroßen Unternehmen fehlen bis dato verlässliche Datensicherungskonzepte, sodass unregelmäßige Backups und Datenspeicherung in einem lokalen Serverraum an der Tagesordnung sind. Nach einem Brand oder Cyberangriff wären die aktuellen Daten beschädigt bzw. verloren.
IT-Sicherheit im Ingenieurbüro umsetzen
IT-Sicherheit im Ingenieurbüro ist ein Marathon und kein Sprint. Aber mit dem Aufbau einer Cloud-basierten Infrastruktur können auch kleine Ingenieurbüros einen langen Atem beweisen.
- IT-Outsourcing:
Statt die gesamte IT-Kompetenz ins Unternehmen zu holen, lohnt sich ein Blick auf die Managed Services des IT-Providers Ihres Vertrauens. Dank individuell passender Pakete greifen Sie auf ein breites Fachwissen zu vergleichsweise überzeugenden Preisen. - Einfache, zentrale Business Software:
Die IT in kleineren Unternehmen wächst organisch mit dem Unternehmen. Nach und nach kommen neue Tools hinzu, um den wachsenden Anforderungen gerecht zu werden. Das Ergebnis ist ein Flickenteppich, der die Umsetzung eines Sicherheitskonzepts schwierig macht. Mit einer digitalen Businesslösung wie ingo365 vereinen sie all diese Funktionen und verwalten alle Projekte und Kundendaten in einem einheitlichen System. Die Lösung für Ingenieurbüros erlaubt die Steuerung und Verwaltung all Ihrer Geschäftsprozesse (etwa die Abrechnung nach HOAI) in einer Umgebung, die in der Microsoft Azure-Cloud in Europa gehostet wird und hohe Sicherheitsstandards erfüllt - Bewährter Cloud-Anbieter:
Bei der Wahl des Cloud-Anbieters ist günstig nicht immer gut. Besonders preiswerte Angebote gehen oft auf Kosten zusätzlicher Sicherheitsmaßnahmen, da sie zum Beispiel auf georedundante Rechenzentren verzichten. Erst im März 2021 machte ein spektakulärer Fall in Frankreich Schlagzeilen: Ein Rechenzentrum fing Feuer und beschädigte die meisten Server. Da sich die Backupserver im gleichen Gebäude befanden, wurden auch die Sicherungskopien großteils unwiederbringlich zerstört. Betroffen waren vor allem Unternehmenskunden, die auf eine zusätzliche Sicherung ihrer Daten verzichteten und nun mit dem Totalverlust umgehen müssen.
- Regelmäßige Penetrationstests durchführen
Technik ist laufend in Bewegung. Ein heute sicheres System kann morgen durch einen Exploit kompromittiert werden. Gleichzeitig sind moderne IT-Lösungen so komplex, dass niemand alle Interaktionen überblicken kann. Wie sicher ein System ist, zeigt sich also in der Praxis. Mit einem Pentest machen Sie die Probe aufs Exempel. Hält die aufgebaute Infrastruktur einem echten Angriffsversuch stand?
- Mitarbeiter schulen und sensibilisieren
Neben der Identifikation von technischen Sicherheitslücken erfüllt der Pentest eine weitere Funktion: Er sensibilisiert Mitarbeiter für IT-Sicherheit - ein Thema, das im Alltag sonst ein abstraktes Konzept bleibt. Zusätzliche Schulungen können daran anknüpfen, das Problembewusstsein vertiefen und wichtige Handlungskompetenzen für den Arbeitsalltag vermitteln.
Fazit: IT-Sicherheit im Ingenieurbüro forcieren
Enge Budgets, ein komplexes Arbeitsfeld und interne Widerstände machen die Verankerung von IT-Sicherheit im Unternehmen mitunter zur Mammutaufgabe. Trotz der Schwierigkeiten führt für Ingenieurbüros kein Weg an einem durchdachten Konzept für IT-Sicherheit vorbei. Eine zentrale Business Lösung wie ingo365 ist durchaus attraktiv, denn sie basiert auf der bewährten Microsoft Standard ERP-Lösung “Dynamics 365 Business Central” und wird auf sicheren Microsoft Azure Cloud Rechenzentren in Europa betrieben.
Allein auf dieser Basis entsteht bereits ein hohes Sicherheitsniveau für Unternehmen jeder Größe. Am Modern Workplace wird IT-Security auch in Zukunft einen essentiellen Teil des modernen Büros ausmachen. Selbst wenn die Organisation nur aus wenigen Mitarbeitern besteht, brauchen Unternehmen daher ein sinnvolles Sicherheitskonzept.