Mit Plan zur IT-Sicherheit

Unternehmen sehen sich immer größeren Gefahren der Cyberkriminalität gegenüber. Mittlerweile haben Angriffe auf die Unternehmens-IT geradezu industrielle Ausmaße angenommen. Sie nutzen alle möglichen und ihnen sich bietenden Schwachstellen aus.

So reicht auf Unternehmensseite ein Administrator, der sich nebenbei auch um die Sicherheit der IT-Infrastruktur kümmern, lange nicht mehr aus. Wer seine IT selbst betreibt, muss nicht nur in Schutzmechanismen, sondern auch in mehr Personal investieren.

Anzeige

Ohne Sicherheitskonzept läuft nur wenig

Bei der Einführung von Sicherheitsmaßnahmen ist stets darauf zu achten, dass diese konzertiert erfolgen. Purer Aktionismus und eine eher zufällige Wahl der Schritte zur Absicherung der Unternehmens-IT bergen die Gefahr, dass bestimmte Schwachstellen zwar beseitigt werden, an anderer Stelle sich aber neue bilden. So muss zuerst eine unternehmensweite und effiziente Gesamtstrategie für die IT-Sicherheit entwickelt werden. Dabei sind diese Maßnahmen kein Selbstzweck. IT-Verantwortliche sollten nicht vergessen, dass letztendlich der Sinn der IT-Sicherheit die Gewährleistung eines reibungslosen Betriebs ist. Daher sollte stets abgewogen werden, welche Maßnahmen wichtig sind, damit die IT-Sicherheit nicht zu einem Flaschenhals der IT-Infrastruktur wird und die Gesamtperformance empfindlich schmälert. So kommt es bei der Konzeptionierung mehr als nur einmal zu einer Entscheidung zwischen der erwünschten Leistung und der Abwehr von Gefahren.

Da es im Unternehmen zu verschiedenen Standpunkten zwischen den jeweiligen Akteuren kommen kann, liegt es am IT-Experten, der Geschäftsführung und den Mitarbeiter für das Thema Sicherheit zu sensibilisieren – das heißt beispielsweise, dass diese achtsam mit ihrem Equipment und ihren Daten umgehen, nur unternehmensgeprüfte Software einsetzen und nach den im Awareness-Training vermittelten Praktiken agieren. Dabei ist es auch wichtig, die vorhandenen IT-Strukturen insgesamt schlanker zu gestalten und die verarbeiteten Daten überschaubarer darzustellen.

Perspektivwechsel hilft

Was können IT-Verantwortliche nun generell unternehmen, um sich gegen Cyberangriffe zu wappnen? Zunächst hilft es, den Angreifer besser zu verstehen, um seine Schritte vorauszusehen. Hier sollten Sicherheitsbeauftragte die Perspektive des Cyberkriminellen einnehmen. Welche Ziele verfolgen sie, welche Methoden bieten sich an und mit welchem Vorgehen ist am ehesten zu rechnen? Daraus können auch Schlüsse über die eigenen Schwachstellen gezogen und Fragen nach den zuerst zu sichernden Systemen beantwortet werden. So lassen sich entscheidende Schwachstellen rechtzeitig identifizieren und beheben.

Zu den Vorbeugungsmaßnahmen gehören zweifelsohne eine grundsätzliche IT-Sicherheitsüberprüfung der im Unternehmensnetzwerk vorhandenen Geräte sowie der Software, die auf ihnen ausgeführt wird. Unternehmen aller Segmente sollten genau überprüfen, welche Daten in ihren Systemen erfasst und verarbeitet werden. Diese gilt es zu schützen, etwa durch Verschlüsselung auf Speicher-Ebene, regelmäßige Software-Updates, Virenscanner, Firewalls und die Verwendung eines wirksamen und effizienten Berechtigungskonzepts, wie etwa ein zentrales Identity- und Accessmanagement-System von Anbietern wie Thales in Zusammenarbeit mit A1 Digital.

Laut dem Data Breach Investigations Report (DBIR) von Verizon betreffen 80% der Hackerangriffe nach wie vor unzureichende Anmeldeinformationen und 29% aller Sicherheitsvorfälle, unabhängig von der Art des Angriffs, auf die Nutzung gestohlener Credentials. Diese könnten durch den Einsatz von Zwei-Faktor-Authentifizierung (2FA) und Identitätsmanagement leicht verhindert werden. Neben der Verschlüsselung der Daten auf Speicher-Ebene sollten die Daten natürlich auch transportverschlüsselt werden. Dies bedeutet die Verwendung von den, idealerweise, neuesten Verschlüsselungsmethoden und dem Erzwingen von HTTPS auf jedem System.

Außerdem müssen verwendete Anwendungen – die Soft- sowie Hardware – ständig auf mögliche Schwachstellen untersucht werden, Disaster Recovery Tests sollten regelmäßig durchgeführt werden sowie Berechtigungen neu bewertet und gegebenenfalls entzogen werden. Ein gutes Beispiel hierfür sind Penetration Testing beziehungsweise Whitehack-Lösungen wie Offensity von A1 Digital. Diese arbeitet automatisiert mit denselben Tools, die auch Hacker für ihre Einbruchsversuche benutzen. Damit sind permanente Tests möglich, die Unternehmen ständig herausfordern und so zu einem höheren Sicherheitsniveau beitragen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Mehr Sicherheit durch externe Partner

Mit wachsenden Bedrohungen stehen die IT-Verantwortliche nun vor dem Problem, die Sicherheit der Informationsinfrastruktur gewährleisten zu müssen, währenddessen sie auf immer weniger Ressourcen zurückgreifen können. Hier bieten sich externe Dienstleister an, die beispielsweise zertifizierte Cloud-Lösungen zusammen mit IT-Security anbieten. 

Grundsätzlich muss man sich im Klaren sein, dass die Sicherheitsanforderungen in der Cloud ähnlich bis gleich sind wie jene im lokalen Rechenzentrum. Es ist weiterhin unumgänglich, Maßnahmen wie Verschlüsselung, starke Authentisierung und Protokoll-Stack-Härtungen vorzunehmen, um den Zugriff auf kritische Systeme abzusichern sowie Daten zu schützen. Speziell KMU haben jedoch den Vorteil, relativ schnell und ohne Detailwissen über die Technologie vorhandene Sicherheitskontrollen des Cloud-Providers zu verwenden, welche in derselben Qualität und Komplexität im lokalen Rechenzentrum oft sehr schwer zu realisieren wären. Viele Unternehmen gehen mittlerweile soweit, die Cloud als Security Layer für ihre on-Premises Applikationen zu verwenden, wo die Vorteile der Skalierung in der Cloud mit dem Vorteil der Datenspeicherung on-Premises vereint werden können. Sichere Verbindungen wie MPLS, SD-WAN oder IPSEC VPN zwischen Cloud und lokalem Rechenzentrum sind in diesem Fall zwingend notwendig. Auch werden immer mehr unternehmenskritische Anwendungen und Systeme wie Microsoft Active Directory oder Microsoft Exchange in die Cloud verlagert, um einerseits flexiblere und kostengünstigere Lösungen zu bekommen, aber auch um das allgemeine Sicherheitsniveau bei diesen kritischen Anwendungen zu erhöhen. 

Zusammen mit dem Cloud-Anbieter können IT-Verantwortliche dann Compliance-Regeln für die IT-Sicherheit entwickeln und deren Einhaltung kontrollieren. Natürlich sollten unternehmensweite Anforderungen bei der Konzeptionierung und Einbindung der Cloud-Dienste oberste Priorität genießen. Sind Projekte im Unternehmen international ausgelegt, müssen etwaige länderspezifische Anforderungen, etwa beim Datenschutz, berücksichtigt werden.

Auf Nummer sicher gehen

Auf lange Sicht kommen viele Unternehmen an der Einbindung externer Dienstleister, die sowohl Cloud- als auch IT-Security-Services anbieten, kaum vorbei. Neben der flexiblen Ressourcenplanung, die das IT-Budget nachhaltig schont, da weniger eigene Infrastruktur angeschafft werden muss, können Unternehmen so auch dem Gefahren begegnen, die sich aus der wachsenden Cyberkriminalität sowie der zunehmenden Personalknappheit bei IT-Experten ergeben.
 

Tremmel Daniel

A1 Digital -

Security Solutions Architect

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.