VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

SuccessUnternehmen in Deutschland sehen sich bestens gegen Gefahren durch Hacker gerüstet – zumindest, was die technische Seite anbelangt. Das ergab der Cyber Security Report 2015 der Deutschen Telekom/T-Systems.

Aber reichen Security-Lösungen alleine wirklich aus, um sich effektiv zu schützen? Leider nein – denn die größte Schwachstelle ist nicht die Technologie, sondern der Mensch. Eine umfassende IT-Security-Strategie muss deshalb neben technischen Aspekten auch immer die organisatorische Seite mit einbeziehen.

Die zunehmende Beliebtheit von Cloud-basierten Services und das Zusammenwachsen von beruflich und privat genutzten Diensten und Geräten macht das Thema IT-Security in Unternehmen immer komplexer. Zum einen wächst die Gefahr der Schatten-IT: Einzelne Anwender oder Abteilungen nutzen Software ohne Kenntnis der IT-Abteilung. So wird es für die Security-Verantwortlichen immer schwieriger, den Wildwuchs zu kontrollieren und für die Umsetzung der Sicherheitsrichtlinien zu sorgen. Zum anderen gehen Mitarbeiter oft sehr sorglos mit sensiblen Daten um. Großer Beliebtheit erfreuen sich zum Beispiel Cloud-Speicher-Dienste wie OneDrive, Dropbox oder Google Drive. Eine aktuelle Studie des Cloud-Security-Anbieters Skyhigh Networks analysiert die aggregierten und anonymisierten Internetprotokolle von über 23 Millionen Unternehmensangestellten weltweit.

Die Ergebnisse zeigen, dass 15,8 Prozent der in Cloud-Dienste hochgeladenen Dokumente vertrauliche Informationen enthalten, darunter oftmals Betriebsgeheimnisse, Business-Pläne, personenbezogene Daten, Kreditkarten- oder Bankkontennummern. Auch mit der Rechtevergabe gehen viele Mitarbeiter sorglos um. Für 5,4 Prozent der geteilten Dokumente reicht ein Link als Zugriffsmittel aus. 2,7 Prozent dieser Links sind sogar öffentlich über eine Suchmaschine auffindbar. Der Studie zufolge finden sich pro Unternehmen zudem mehr als 1.000 Dokumente in Cloud-Speicher-Diensten, bei denen sensible Daten unverschlüsselt und mit sprechenden Dateinamen abgelegt wurden – zum Beispiel in einem Dokument „Password.docx“, um Passwörter zu speichern. So haben Angreifer leichtes Spiel.

Die Gefahr kommt aus dem Internet

Die größten Gefahren lauern heute im Netz. Hacker können von beliebigen Computern von überall auf der Welt aus anonym zuschlagen. Das Risiko, entdeckt zu werden, ist dabei relativ gering. Beliebte Angriffsszenarien sind DDOS-Attacken auf Webshops, der Diebstahl von sensiblen Daten oder Erpressungsversuche mithilfe von Kryptotrojanern. Anfang des Jahres schlug zum Beispiel Locky hohe Wellen: Die Malware schlich sich per E-Mail-Anhang in die Computer der Opfer und verschlüsselte dort unbemerkt Dateien. Erst gegen Lösegeldzahlung gab der Hacker die Daten wieder frei.

Trojaner-Angriffe lassen sich heute mit relativ wenig Aufwand durchführen. So gibt es zum Beispiel im sogenannten Darknet bereits Baukästen für Malware, mit denen Cyber-Kriminelle auch ohne tiefer gehendes Know-how Schädlinge zusammenbasteln können. Primäres Ziel ist dabei meist der Benutzer, denn er ist ein einfacher Angriffspunkt. Viele Mitarbeiter öffnen heute immer noch arglos E-Mails, die mit gefährlichen Schadcodes präpariert sind. Von Virenscannern können diese häufig nicht erkannt werden. Während technische Security-Systeme immer schwieriger zu knacken sind, konzentrieren Kriminelle ihre Bemühungen lieber auf die Schwachstelle Mensch.

Technische Aspekte bilden Grundlage

Um ein Unternehmen effektiv zu schützen, ist immer beides wichtig: ein technisches Sicherheitskonzept und ein organisatorisches, das den Faktor Mensch mit einbezieht. Zu den Standards auf der technischen Seite gehört die Installation von klassischer Security-Systemen wie Firewalls, virtuellen Firewalls, VPN-Gateways, Intrusion-Prevention-Systemen (IPS), Anti-Bot-Systemen, Anti-Viren-Systemen, Lösungen zur Erkennung von Schatten-IT und Application Control, LAN-Segmentierung sowie Network Access Control. Security Information und Event-Management-Lösungen (SIEM) spielen dabei eine bedeutende Rolle. Sie sammeln sicherheitsrelevante Daten und Dokumente und analysieren diese nahezu in Echtzeit. So erkennen die Systeme, ob sicherheitskritische Aktionen durchgeführt werden, und können automatisch geeignete Maßnahmen einleiten.

Ein umfassender Schutz gegen Cyber-Bedrohungen darf nie auf nur eine Technologie setzen, sondern muss immer vielschichtig aufgebaut sein. Entscheidend ist ein sorgfältig zusammengestellter Mix aus unterschiedlichen Anwendungen. Dabei müssen alle Elemente gut zusammenarbeiten und aufeinander abgestimmt sein. Denn Hacker finden immer wieder neue Tricks und ihre Angriffsmethoden und -möglichkeiten ändern sich schnell. Genauso wichtig ist es daher, stets über die neuesten Entwicklungen auf dem Laufenden zu bleiben. Dies zu gewährleisten, wird für IT-Teams immer schwieriger. Sie stehen vor wachsenden Aufgaben, verfügen aber häufig nicht über ausreichende personelle oder finanzielle Ressourcen. Die Auslagerung auf einen Dienstleister für Managed Security Services kann helfen, die nötige Sicherheitsinfrastruktur zu schaffen.

Organisatorische Sicherheit für den „Faktor Mensch“

Parallel zur technologischen Absicherung müssen Sicherheitsprozesse im Unternehmen auch gelebt werden. Dazu gehört, dass Mitarbeiter für Gefahren sensibilisiert werden. In vielen Unternehmen gibt es keine festgeschriebenen IT-Prozesse – das Know-how, wie Mitarbeiter im Stör- oder gar Angriffsfall vorgehen sollten, steckt meist in den Köpfen weniger Spezialisten. Sind diese einmal nicht sofort verfügbar, verstreicht wertvolle Zeit. Für die organisatorische IT-Sicherheit sollten die Abläufe deshalb standardisiert, vereinfacht und vor allem so weit wie nötig dokumentiert werden. Ziel ist es, einheitliche Regelungen und Richtlinien für alle Mitarbeiter zu schaffen. Auch Arbeits- und Dienstanweisungen für Dienstleister oder Richtlinien für Kunden und Gäste fallen in diesen Bereich.

Eine wichtige Rolle spielt zudem der Aufbau eines Informations-Sicherheits-Management-Systems (ISMS). Hinter dieser technisch anmutenden Bezeichnung steckt nicht etwa eine weitere Software, sondern ein abgestimmtes Paket aus Prozessen, Verfahren, Regeln und Verantwortlichkeiten. Es dient in erster Linie dazu, dem Management gegenüber die IT-Security im Unternehmen transparenter zu machen. Ein ISMS zeigt den Erfolg der Sicherheitsmaßnahmen auf, stellt abgewehrte Angriffe dar, identifiziert bestehende IT-Risiken und gibt der Geschäftsleitung entsprechende Einschätzungen und Handlungsempfehlungen mit. Denn häufig herrscht auf Entscheider-Ebene zu wenig Security-Know-how, um notwendige Maßnahmen zu verstehen und voranzutreiben. Ein ISMS kann IT-Abteilungen helfen, Genehmigungen für dringend benötigte Budgets zu bekommen und erforderliche Sicherheits-Projekte durchzuführen. Übergeordnet über allem sollte eine IT Security Policy stehen – ein Dokument, in dem die generellen Sicherheitsziele und Strategien des Unternehmens festgeschrieben sind.

Die Mischung macht‘s

Die IT Security-Landschaft verändert sich schnell. Hacker entwickeln immer wieder neue Angriffsmethoden und finden neue Sicherheitslücken. Trotz aller dafür vorgesehenen Technik sollte man nie vergessen, dass Menschen Fehler machen und ein leichtes Ziel darstellen. Nur ein vielschichtiger Ansatz, der sowohl einen sorgfältig aufeinander abgestimmten Technologie-Mix als auch weitreichende organisatorische Maßnahmen umfasst, kann dem erfolgreich die Stirn bieten. Eine hundertprozentige Absicherung gegen Cyber-Bedrohungen wird es nie geben. Mit einer umfassenden Sicherheitsstrategie nach neuestem Stand lassen sich die unvermeidlichen Restrisiken aber auf ein wirtschaftlich erträgliches Niveau reduzieren.

Olaf NiemeitzOlaf Niemeitz ist Geschäftsführer der Crocodial IT-Security GmbH in Hamburg.

www.crocodial.de

 

GRID LIST
Tb W190 H80 Crop Int 9168b2ba3e6259e0f1fd673ee066a7c3

Airlock WAF 7.1: Automatisierung der IT-Security

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Cloud Account Defense: Sicherheit bei Office-365-Accounts

Proofpoint, Inc. (NASDAQ: PFPT), gab die Verfügbarkeit von Proofpoint Cloud Account…
Security Concept

Compliance ist nur Teilaspekt der IT-Sicherheit

IT-Sicherheit ist primär Compliance-getrieben, vor allem im Finanzbereich, in dem…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

DATEV setzt auf E-Mail-Verschlüsselung mit SEPPmail

Wer heute noch Wirtschaftsdaten unverschlüsselt per E-Mail versendet, der handelt grob…
Tb W190 H80 Crop Int 49c3e436909bd934ea51fdf9eac53ce9

Die neue Micro Focus File Governance Suite gegen Ransomware

Mit der neuen Micro Focus File Governance Suite können Unternehmen wertvolle Daten…
Tb W190 H80 Crop Int 82d555974c4301765fa077eca273fcb3

Neue IoT Identity Plattform von GlobalSigns

GlobalSign führt seine IoT Identity Plattform ein, die wichtige Sicherheitsanforderungen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security