Eine sichere IT… haben wir bestimmt, oder?

FragezeichenBerichte zu Hackerangriffen oder Cyberbedrohungen sind fester Bestandteil aktueller Berichterstattung geworden. Das Thema IT-Sicherheit ist und bleibt eine allgegenwärtige Herausforderung. Doch sind Unternehmen bereits ausreichend dafür gerüstet?

Verfügen sie über Experten, die sich einzig und allein um das Thema Informationssicherheit kümmern?

Anzeige

Unternehmen sind zunehmend global vernetzt. Die allumfassende Digitalisierung bzw. Smartifizierung, mit der eine ständige Kommunikation zu jeder Zeit und an jedem Ort möglich ist, verdeutlicht den Verantwortlichen jedoch auch, wie viele Informationen auf diesen Wegen verfügbar sind. Mehr und mehr werden sich Unternehmen der steigenden digitalen Sicherheitsbedrohungen bewusst, nicht zuletzt durch den NSA-Skandal.

Insbesondere für den Mittelstand besteht beim Thema IT- und Informationssicherheit weiterhin dringender Handlungsbedarf, so die Ergebnisse der Security Bilanz Deutschland. Das Bewusstsein für digitale Schutzmaßnahmen sei zwar gestiegen, die Unternehmen haben allerdings mit der Umsetzung der Sicherheitskonzepte noch diverse Probleme. Zum Teil werden bestimmte Sicherheitsmaßnahmen einfach nicht konsequent durchgeführt, beispielsweise wenn Updates und Patches bei Software-Schwachstellen nicht regelmäßig eingespielt werden. Selbst einfache Schritte wie die Einrichtung von Passwortregeln konnten 52 Prozent der Unternehmen nicht Erfolg versprechend realisieren.

Umfassende Aufklärung und Investition in ganzheitliche IT-Security-Konzepte

Rüdiger KolpWarum Firmen die notwendigen Maßnahmen noch nicht umsetzen können, liegt unter anderem auch daran, dass sie nicht über die erforderlichen Ressourcen verfügen – sei es in Form von Personal, technischer Ausstattung oder Know-how. Rüdiger Kolp, Geschäftsführer des System- und Beratungshauses circular, erklärt dazu: „Zahlreiche Unternehmen wissen, dass sie hinsichtlich ihrer IT-Sicherheit noch großen Nachholbedarf haben. Einige reagieren allerdings erst, wenn sie bereits Opfer von Hackern oder Computerviren geworden sind.“ Die Folgen, die zielgerichtete Cyberangriffe haben können, werden oft unterschätzt. Neben Reputationsschäden übersteigen die Kosten solcher Attacken meist die Investitionen, die für eine optimale IT-Sicherheitstechnik nötig gewesen wären.

„Diese Rechnung ist einigen nicht klar. Denn viele Unternehmen sehen IT-Sicherheitsmaßnahmen immer noch als Kostenpunkt, den es abzuarbeiten gilt. Nach dem Kauf einer technischen Lösung glauben sie, dass sie geschützt sind“, so Kolp. „Es geht nicht darum, die Sicherheitsstandards und -funktionen bis auf das Äußerste auszureizen, sondern vielmehr darum, praktikable und angemessene Sicherheitslösungen individuell auf den Kunden abzustimmen. Hier möchten unsere Sicherheitsexperten ansetzen und aufklären. Wir empfehlen unseren Kunden, sich frühzeitig damit auseinanderzusetzen und in ganzheitliche IT-Security-Konzepte zu investieren, bevor ein Angriff stattfindet. Denn IT-Sicherheit macht nicht bei der Technik halt, auch Mitarbeiter müssen für die Gefahren sensibilisiert werden. Auf Wunsch betreuen wir unsere Kunden auch nach der Implementierung im Rahmen eines Managed-Security-Service weiter. Dieser beinhaltet nicht nur Wartung und Service, sondern stellt auch sicher, dass die Infrastrukturen zuverlässig und sicher arbeiten – das ganze Jahr hindurch.“

Angriffe werden in zunehmendem Maß professioneller

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2015, dass die Anzahl der Schwachstellen in IT-Systemen weiterhin auf einem hohen Niveau liegt. Laut BSI war das Jahr 2015 geprägt durch zahlreiche IT-Sicherheitsvorfälle, die eine fortschreitende Professionalisierung der Angriffsmittel und -methoden aufzeigen. Vermehrt wurden Übergriffe festgestellt, die als Advanced Persistent Threat (APT) bezeichnet werden. Der Cyber-Angriff auf den Deutschen Bundestag im Mai 2015 zählte beispielsweise zu dieser Kategorie. Ebenso im Lagebericht des BSI zur Sprache gekommen ist die Kritik an den Herstellern. Laut Bundesinnenminister Thomas de Maizière tendieren einige IT-Hersteller dazu, für die weniger schwerwiegenden Lecks in ihren Produkten keine Sicherheitsupdates mehr bereitzustellen. „Das verschärft die Gefährdungslage unnötig“, so de Maizière. Doch nicht nur Hersteller haben die Pflicht, für IT-Sicherheit zu sorgen, auch Anwender müssen Verantwortung übernehmen. Denn an dem nötigen Bewusstsein für mögliche Attacken und Manipulationsversuche mangelt es häufig.

Um Übergriffe von Cyberkriminellen besser und vor allem schneller erkennen zu können, sollten Unternehmen daher zum einen bestehende digitale Prozesse korrigieren und zum anderen neue Konzepte für die gemeinsame Zusammenarbeit entwickeln, um Mitarbeiter in das IT-Sicherheitskonzept einzubeziehen. Durch unvorsichtiges Verhalten, wie etwa das Öffnen von E-Mail-Anhängen, das unbedachte Klicken auf einen Link oder das Verwenden von externen Datenträgern wie USB-Sticks, können sie leicht Opfer von Angriffen werden. Um das zu verhindern, bieten sich neben der Sensibilisierung hinsichtlich diverser Gefahrenquellen zudem kontinuierliche Schulungen zum richtigen Umgang mit Geschäftsdaten an. Des Weiteren sind Richtlinien empfehlenswert, die klar geregelte Zugriffsberechtigungen beinhalten. Darin zu definieren ist, wer wann und mit welchem Device auf welche Inhalte zugreifen kann.

Nicht zuletzt eignen sich Systeme zum Schutz der IT, die nicht nur für Administratoren, sondern auch für Endanwender transparent und leicht zu bedienen sind. Hiermit sind Authentifizierungsmethoden gemeint, die ihrer Position und ihrem Sicherheitsprofil am ehesten entsprechen. Beispiele sind etwa:

  • die OTP-Technologie: Generierung von One-Time-Passwörtern
  • die zertifikatbasierte Authentifizierung (CBA): Authentifizierung unter Verwendung eines öffentlichen und privaten Verschlüsselungssystems, das für das Authentifizierungsmittel und die Person, die es besitzt, eindeutig ist; Gemalto beispielsweise stellt die zertifikatbasierte Authentifizierung über USB-Token und Smartcards bereit
  • die kontextbasierte Authentifizierung: Mit kontextspezifischen Informationen wird ermittelt, ob die Identität eines Benutzers authentisch ist oder nicht; hierbei handelt es sich um eine Ergänzung zu anderen Technologien für eine starke Authentifizierung

„Fakt ist, dass Unternehmen all ihre Zugriffspunkte berücksichtigen müssen. Sie sollten sicherstellen, dass der Zugriff auf alle vertraulichen Informationen auch authentifiziert wird, egal ob sich die Informationen On-Premise oder in der Cloud befinden. Es empfiehlt sich, dieselben Sicherheitsmechanismen für Cloud-Ressourcen zu implementieren, die sie für den Remote-Zugriff auf das Unternehmensnetzwerk einsetzen würden. Zudem ist es möglich, diese Sicherheitsmechanismen auch für mobile Geräte zu aktivieren, um eine sichere Authentifizierung der Benutzer zu gewährleisten“, so Rüdiger Kolp.

www.circular.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.