Sinnvolle Maßnahmen zur Erhöhung der IT-Sicherheit
Der Satz, dass Daten heute eine wichtige Rolle spielen, ist weder neu noch besonders originell. Der Wahrheitsgehalt und die Tragweite dieses Satzes sind jedoch enorm. Kaum jemand bestreitet, dass sensible Daten geschützt werden müssen und dass Bedrohungen durch Cyberkriminalität rasant wachsen. Doch wie begegnet man dem Thema IT-Sicherheit, das auf der einen Seite so wichtig und auf der anderen Seite so komplex ist?
Sensible Daten müssen heutzutage vor unbefugten Zugriffen geschützt werden. In Anbetracht der jüngsten Angaben des Bundeskriminalamtes, dass die Zahl der Verbrechen im Internet weiter gestiegen ist auf rund 64.500 Fälle, steht der Schutz der Vertraulichkeit der Daten im Fokus. Aber auch die Integrität der Daten spielt eine wichtige Rolle. Daten müssen korrekt und unversehrt sein und es muss ausgeschlossen werden, dass sie unerlaubt verändert worden sind. Und trotzdem müssen Daten verfügbar sein.
Geht es um sinnvolle Maßnahmen zur Erhöhung der IT-Sicherheit, sollten sich diese im Rahmen der drei genannten Kategorien Vertraulichkeit, Integrität und Verfügbarkeit bewegen.
Zehn wirksame Maßnahmen für Ihre IT-Sicherheit
Die Fülle der möglichen Maßnahmen kann Unternehmen, die sich dem Thema IT-Sicherheit neu zuwenden, organisatorisch und finanziell überfordern. Im Folgenden werden zehn wirksame Maßnahmen vorgestellt, die die eigene Angriffsfläche signifikant reduzieren. Natürlich wird dadurch kein umfassendes Management zur IT-Sicherheit ersetzt. Es bietet jedoch konkrete Ansatzpunkte, von denen aus gestartet werden kann.
1. Sensibilisierung der Mitarbeiter und Schulung
Informierte und geschulte Mitarbeiter sind Voraussetzung dafür, dass ein Unternehmen seine Ziele erreichen kann. Nur durch Information und Schulung kann sichergestellt werden, dass alle Mitarbeiter die Folgen und Auswirkungen ihrer Tätigkeit im beruflichen (und privaten) Umfeld einschätzen können. Ziel der Sensibilisierung für Informationssicherheit ist es, das Bewusstsein der Mitarbeiter für Sicherheitsprobleme zu schärfen und entsprechende Handlungsempfehlungen herauszugeben.
2. Zwei-Faktor-Authentifizierung
Eine Authentifizierung allein mit Nutzername und Passwort ist heute nicht ausreichend. Schadprogramme wie Trojanische Pferde oder Keylogger greifen unmittelbar die Passwörter ab, sodass auch komplexe Passwörter oder ein häufiger Passwortwechsel keinen hinreichenden Schutz bieten. Wirksam abgewehrt werden solche Angriffe erst mittels eines zweiten, außerhalb des Systems liegenden Faktors wie z.B. eines Hardwaretokens.
3. VPN
Mit einem VPN (Virtual Private Network) verschlüsseln Sie die Kommunikation und sichern das Netzwerk ab, auch wenn von außen darauf zugegriffen wird. Ihre Kommunikation bewegt sich sozusagen in einem Tunnel und ist von außen nicht einsehbar. Doch auch ein VPN ist angreifbar, weshalb ein zweiter Faktor zur Authentifizierung unbedingt sinnvoll ist.
4. Klassifizierung der Daten
Analysieren Sie, welche Daten welchen Grad an Vertraulichkeit haben. Wie wertvoll und damit schützenswert ist die Kundenliste ihres Unternehmens? Wie sieht es mit der Gehaltliste ihrer Mitarbeiter aus? Konstruktionspläne, Daten im Einkauf und in der Buchhaltung – wie vertraulich sind diese Daten? Empfehlenswert ist, die Vertraulichkeit in einer Skala – zum Beispiel von eins bis zehn – zu definieren.
5. Berechtigungskonzept
Haben Sie die Daten nach ihrem Grad der Vertraulichkeit klassifiziert, schließt sich daran die Frage an, wer aus dem Unternehmen Zugang zu diesen Daten haben sollte. Nicht jeder Mitarbeiter muss alle Daten zur Verfügung haben – welche Daten der einzelne Mitarbeiter in seiner täglichen Arbeit benötigt und auf welche Systeme Mitarbeiter Zugriff haben müssen wird in einem Berechtigungskonzept festgehalten.
6. Datensicherung
Die Datensicherung (Backup) ist in regelmäßigen Abständen einzurichten. Empfohlen wird, den aktuellen Datenbestand mindestens einmal täglich zu sichern und ein wöchentliches Gesamtbackup durchzuführen. Eine Sicherungskopie ist wenig wert, wenn sie nicht dem aktuellen Stand eines Dokuments entspricht.
7. Update-Management
IT-Sicherheit gewährleisten heißt auch: Anwendungen mit Updates aktuell halten. Software-Updates schließen Sicherheitslücken, korrigieren Fehler und erweitern Funktionen. Das Einspielen der Software-Updates sollte nach einem klaren Plan vonstattengehen. Es ist auch zu entscheiden, ob man die automatischen Funktionen des Betriebssystems verwendet oder ob sich jemand regelmäßig oder bei Bedarf um Softwareupdates kümmert.
8. Penetrationstest zur Schwachstellenanalyse
Stellen Sie Ihr Netzwerk auf die Probe! Ein Penetrationstest prüft die Sicherheit eines Netzwerk- oder Softwaresystems mit den Mitteln und Methoden, die ein Hacker anwenden würde, um unautorisierten Zugriff in das System zu erlangen. Der Penetrationstest ermittelt somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe.
9. Risikoabschätzung
Um ein Risiko sinnvoll abzuschätzen, sollten Angriffsszenarien durchgespielt und die Folgen bedacht werden. Stehen die Maßnahmen in Relation zu den potentiellen Verlusten? Was kann im allerschlimmsten Fall – im "worst case“ – passieren?
10. Notfallpläne erstellen
Was tut man, wenn wirklich etwas passiert ist? Für diesen Fall sollte man einen Notfallplan in der Hinterhand haben. Und wie wird im Zweifel mit betroffenen Kunden umgegangen? Viele Unternehmen haben Angst vor dem Imageverlust, der sich aus der Veröffentlichung eines Angriffs ergeben könnte. Verheimlicht man allerdings einen Angriff und Kunden erfahren von einem Vorfall aus der Presse, könnte der Imageverlust ungleich größer sein.
IT-Sicherheit – wo anfangen?
Die Wichtigkeit des Themas ist angesichts der fast täglichen Meldungen zu Cyberkriminalität unumstritten. Aussagen wie „Das wird uns schon nicht betreffen“ oder „unsere Daten sind uninteressant“ machen in Anbetracht der Statistiken des Bundesamts für Verfassungsschutz keinen Sinn. Demnach verliert die deutsche Wirtschaft jährlich 30-60 Milliarden Euro durch Wirtschaftsspionage. Doch wie genau fasst man dieses wichtige, aber auch komplexe Thema an? Angesichts der Vielzahl von Möglichkeiten, die zum Teil tiefgreifende Eingriffe in die IT-Architektur beinhalten, schrecken viele vor dem Thema und ersten konkreten Handlungen zurück. Und nicht zuletzt spielt der finanzielle Rahmen eine Rolle: Ein groß angelegtes IT-Sicherheitskonzept lässt sich nicht einfach mal aus der Portokasse bezahlen.
Auf der anderen Seite wächst der Druck angesichts der neuen Bedrohungen der Cyberkriminalität: Software zur Dekodierung von Passwörtern ist legal im Internet erhältlich, der Trojaner-Bausatz wirbt mit einer 24-Stunden-Hotline und Botnetze werden aufgebaut und zur Vermietung angeboten. Die Zahl der Verbrechen im Internet steigt. Das Bundeskriminalamt registrierte im vergangenen Jahr rund 64.500 Fälle von sogenannter Cyberkriminalität. In den letzten fünf Jahren ist diese Zahl damit um mehr als 20 Prozent gestiegen.
Parallel nimmt die Nutzung mobiler Geräte für berufliche und private Zwecke immer weiter zu. Unter dem Begriff BYOD (Bring your own device) wird es durch ungesicherte Privatgeräte Cyberkriminellen leicht gemacht, Zugriff auf ein Firmennetzwerk zu bekommen. Von kommerziellen Firewalls und herkömmlichen Virenscannern, die im privaten Gebrauch überhaupt nur teilweise eingesetzt werden, wird Schadsoftware häufig übersehen, die auf Unternehmensdaten spezialisiert ist.
Angesichts dieser Bedrohungen kann es mitunter schwer fallen, die erste oder überhaupt eine Entscheidung zum Thema IT-Sicherheit zu treffen. Wo fange ich an? Und woher weiß ich, ob es die richtige Entscheidung ist? Und wäre es nicht besser, wie ein Strauß den Kopf in den Sand zu stecken und darauf zu vertrauen, dass das eigene Unternehmen von einem Angriff verschont bleibt?
Nein! IT-Sicherheit ist ein Thema, dass weder verdrängt noch ausschließlich theoretisch behandelt werden sollte. Passivität und „Wegducken“ ist hier fehl am Platz. Unsere dringende Empfehlung: Die erste, kleine Entscheidung treffen und im Nachgang auf der Basis der Erfahrungswerte weitere Überlegungen anstellen.
Die Auflistung der zehn Sofortmaßnahmen gibt Ihnen verschiedene Ansatzpunkte, innerhalb derer Sie erste Entscheidungen treffen können. Geht es zum Beispiel darum, das VPN des Unternehmens abzusichern, dann ist der Einsatz von einem Hardwaretoken eine sinnvolle Lösung, die in ihren Konsequenzen für das Unternehmen überschaubar bleibt. Die notwendige Software kann direkt mittels Server mit einer einzigen Schnittstelle in die bestehende Systemlandschaft integriert werden.
Erfahrung macht klug
Erste persönliche Erfahrung macht Wissen anwendbar. Und auf der Basis dieser Erfahrung können dann weitere Entscheidungen getroffen werden. So spielen sich Schritt für Schritt Maßnahmen zur Erhöhung der IT-Sicherheit ein, Wissen und Erfahrung steigern sich und Lösungen können sinnvoll bewertet werden.
Ausgangspunkt ist und bleibt aber die Identifikation der Schwachstelle. Habe ich diese erkannt – zum Beispiel die Gefahr, dass mein Firmennetzwerk nicht ausreichend gesichert ist und ein Zugang für Unbekannte möglich ist – folgt eine Analyse der Möglichkeiten. Wie kann ich mein Firmennetzwerk schützen? Durch einen zweiten Faktor. Wie kann dieser aussehen? Smartphone, USB-Stick oder Hardwaretoken. Bei der genaueren Analyse werden Sie feststellen, dass Smartphones und USB-Sticks unsicher, benutzerunfreundlich und unwirtschaftlich sind. Bleibt der Hardwaretoken – ein unabhängiger zweiter Faktor ohne Einsatz von Anschlussadaptern, der mit jeder Hardware und jedem Betriebssystem kompatibel ist.
Um noch einmal auf die anfangs unterschiedenen Kategorien Vertraulichkeit, Integrität und Verfügbarkeit zu sprechen zu kommen: Sind die beiden Kategorien Vertraulichkeit und Integrität als hoch einzustufen, sollte ein Zwei-Faktor-Mechanismus im Rahmen der Authentifizierung verwendet werden. Eine Authentifizierung allein mit Nutzername und Passwort ist angesichts der heutigen Bedrohungen nicht mehr ausreichend.