Anzeige

Superheld mit Schild

Die Sicherheit der IT-Systeme wird in Unternehmen nicht immer so ernst genommen, wie es sein sollte. Dabei helfen technische und organisatorische Maßnahmen sowie ein IT-Sicherheitskonzept, Kosten zu sparen. Denn die fallen in aller Regel geringer aus als der Schaden, der durch Cyber-Attacken, Datendiebstahl oder -verlust entsteht.

„Das Problem ist, dass der Begriff Informationssicherheit für Viele nicht greifbar ist. Dabei geht es im Wesentlichen darum, Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten“, macht Christian Heutger, IT-Sicherheitsexperte, aufmerksam.

Der Geschäftsführer der PSW GROUP Consulting hat aus diesem Grund die wichtigsten IT-Systeme sowie ihre Probleme und Gefahrenquellen, die einen Einfluss auf die Sicherheit haben, zusammengestellt:

Rechenzentrum

Im Rechenzentrum befinden sich wichtige IT-Systeme wie Server, E-Mail-Server, Backup-Server oder Clients. Um deren Sicherheit zu verbessern und IT-Security richtig zu leben, kommt es auf wesentliche Faktoren an:

Verfügbarkeit und Ausfallsicherheit: Mit der Verfügbarkeit, beziehungsweise der Ausfallsicherheit, steht und fällt die Qualität eines Rechenzentrums. Der so genannte „Tier“-Standard gibt dabei Auskunft über die Qualitätsklasse. Auf der niedrigsten Stufe, Tier 1, sind jährliche Ausfallzeiten von etwa 29 Stunden möglich. Hingegen erlaubt die höchste Stufe, die Tier 4-Klassifizierung, eine Ausfallzeit von nur 0,4 Stunden pro Jahr. Das BSI beispielsweise definiert die höchste Verfügbarkeit mit 99,999 %, was einer Ausfallzeit von maximal 26 Sekunden monatlich oder 6 Minuten jährlich entspricht. „Nur eine redundant ausgelegte Infrastruktur liefert hohe Ausfallsicherheit. Redundanz bedeutet, dass Ressourcen, die funktional vergleichbar sind, doppelt vorgehalten werden. So können durch Schaffung von Überkapazitäten Hardware-Ausfälle ausgeglichen und eine maximale Funktionsfähigkeit des IT-Systems garantiert werden. Beispiele für eine solche Überkapazität sind zwei Firewalls, mehrere Netzteile oder Cluster von Terminals“, informiert Heutger.

Stromversorgung: Die Sicherung der Energieversorgung des Rechenzentrums ist ebenfalls von zentraler Bedeutung. Kurzzeitige Ausfälle sowie Netzschwankungen können durch batteriegepufferte USB-Anlagen gesichert werden. Idealerweise arbeitet die Anlage aber mit einer modularen Architektur. „So wird verhindert, dass die Gesamtanlage vollständig redundant ausgelegt werden muss. Mithilfe eines automatischen Transferschalters wird die aktive Energiequelle automatisiert auf den Strompfad geschaltet, sodass die Stromversorgung jederzeit gesichert ist“, rät Heutger.

Kühlung: Ohne Kühlsysteme können Server überhitzen und Schaden nehmen. Deshalb muss eine permanente Kühlung sichergestellt sein. Um höchste Ausfallsicherheit zu gewährleisten, kann die IT-Kühlung durch eine USV-Anlage ergänzt werden. Um im akuten Fall eine Notkühlung herzustellen, können die Türen der IT-Racks geöffnet werden, um Hitzestau zu verhindern. Jedoch soll es beim Ausfall der Kühlung primär darum gehen, die Server zügig und möglichst ohne Datenverlust herunterzufahren.

Monitoring: Mit einem Monitoring-System wird die Infrastruktur überwacht. Es sollte deshalb durch eine redundante Stromversorgung gesichert sein. Zu einem regulären Stromkreis kann das System über Power over Ethernet abgesichert werden. Komplett gespiegelte Monitoring-Plattformen bieten höchste Sicherheit.

IT-Anwendungen

IT-Anwendungen sind überall in Unternehmen vertreten: Die Lohn- und Finanzbuchhaltung, die Personalzeiterfassung, Telefonsysteme, Überwachungsanlagen, die Internetseite, Datenbanken und vieles mehr. „Unzureichende Sicherheit macht diese IT-Systeme anfällig für cyberkriminelle Aktivitäten oder Ausfälle. Funktioniert etwa die Website eines Unternehmens aufgrund einer IT-Attacke nicht, fällt dies auf das Unternehmen selbst zurück. In einer Zeit, in der Dienstleister genauso austauschbar sind wie Produkte, ist die Nicht-Erreichbarkeit von IT-Anwendungen fatal“, mahnt Christian Heutger.

Büroarbeitsplätze

Cyber-Attacken können jeden treffen – und wenn Cyberkriminelle im Rechenzentrum nicht weiterkommen, nehmen sie höchstwahrscheinlich die Büroarbeitsplätze ins Visier. „Schutzmaßnahmen wie Virenscanner, Firewalls, Spamfilter für E-Mails sowie die regelmäßige Aktualisierung von Betriebssystemen und der Sicherheits-Software schließen die Einfallstore für Cyber-Kriminelle und erhöhen damit die Sicherheit“ so Heutger. Sinnvoll ist es zudem, Prozesse und Netze mit unternehmenskritischen Daten und jene mit niedrigem Sicherheitsniveau voneinander zu trennen.

„Immer hilfreich ist das elektronische Signieren von E-Mails. Eine solche Signatur wird an digitalen Dokumenten angebracht, damit die Identität des Signaturerstellers belegt ist. Weiter beweist die Signatur, dass nachträglich keine Daten manipuliert wurden. Damit sorgt die elektronische Signatur für Integrität und Authentizität“, rät der IT-Sicherheitsexperte.

Wenn externer Zugriff auf das Firmennetzwerk nötig ist, etwa wenn Mitarbeiter im Home-Office arbeiten, muss sichergestellt sein, dass ein solcher Zugriff nicht zum Einfallstor für Hacker wird. Ein sorgfältiges Zugriffsmanagement sorgt dafür, dass Mitarbeiter ausschließlich jene Daten einsehen und bearbeiten können, die auch für sie bestimmt sind.

Schatten-IT

Plug-and-Play ist bequem, kann aber zu einem großen Problem werden: Werden fremde Geräte an die Firmeninfrastruktur angeschlossen, können die Daten nicht mehr vom Unternehmen kontrolliert werden. „Während mit viel Aufwand und teurer Technik versucht wird, Schädlinge und Eindringlinge fernzuhalten, öffnen unsichere IT-Systeme die Schleusen für Angriffe und lassen Sicherheits-Lecks entstehen, die nur schwer zu stopfen ist“, bringt es Heutger auf den Punkt. Sein Rat: „Das Mitbringen von USB-Sticks, externen Festplatten, CDs oder ähnlichem sollte mindestens eingeschränkt, oder besser ganz unterbunden werden. Besser ist es, Angestellten Alternativen zu schaffen und abgesicherte Tools bereitzustellen.“

www.psw-consulting.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!