Hinzu kommt, dass auf der Schattenseite des Internets eine bis vor kurzem nahezu unbemerkte Evolution stattgefunden hat: Nach den Hackern der ersten Stunde, die sich von einer Art Abenteuersinn leiten ließen, und den gewinnorientierten Botnet-Betreibern der zweiten Generation sehen wir nun die ersten Blüten politisch motivierten Hackens. Mehr als eine Regierung wird verdächtigt, spezielle Behörden für Cyber-Spionage und -Sabotage eingerichtet zu haben. Und manche Hacker verstehen sich selbst als Cyber-Söldner, die ihre Fähigkeiten meistbietend verkaufen, oder folgen mit ihren Taten ihrer eigenen politischen Überzeugung.

Unternehmen stehen also ganz neuen Bedrohungen gegenüber. Allerdings verfügt nur eine Minderheit über ein ganzheitliches Sicherheitskonzept, das auch noch Lücken aufweist und von Mitarbeitern kaum umgesetzt wird – das belegt die IDC-Studie “IT Security in Deutschland 2010” (PDF). Ohne breit aufgestellte Schutzmaßnahmen wird es jedoch schnell brenzlig – Wie gut ist Ihr allgemeines Sicherheitslevel, wenn Sie den Haupteingang durch Stahltüren und Zahlenschlösser schützen, aber Ihre Fenster Tag und Nacht geöffnet sind? Die Sicherheit eines Unternehmens ist immer nur so stark wie ihr schwächstes Glied.

Wenn man sich die Sicherheit eines Unternehmens als eine Mauer vorstellt, dann besteht diese aus sechs Bausteinen, die miteinander verzahnt sind. Damit der Schutzwall stabil ist, darf kein Bereich vernachlässigt werden.

  • Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter zum Thema IT-Sicherheit und geben Sie einfache Richtlinien zur Internetnutzung vor. Ein gutes Beispiel ist die Nutzung von USB-Sticks: Meist per Richtlinie verboten, aber aufgrund mangelnder Kontrollmöglichkeiten toleriert. Dringend nötig ist in so einem Fall die technische Unterstützung einer solchen Verbots-Policy!
  • Endpoints: Schützen Sie alle Computer (Notebooks, Tablets und Smartphones) gegen Verlust und Infektion. Kommt ein Endgerät abhanden, ist es aufgrund des geringen Materialwerts schnell ersetzt, aber die darauf gespeicherten Daten sind von unschätzbarem Wert.
  • Datenverkehr: Analysieren Sie den Traffic in Ihrem Netzwerk und filtern und verschlüsseln Sie, wo notwendig. Wissen Sie, welche Anwendungen im Unternehmen laufen, und welche davon Verbindung ins Internet hat? Weiß das ihr Administrator? Ein wichtiger Punkt ist hier die Sicherstellung der Mitarbeiterproduktivität, ein anderer, den Abfluss von Daten durch absichtliches oder unabsichtliches Fehlverhalten der Mitarbeiter zu verhindern. Wer zum Beispiel auf E-Mail-Verschlüsselung verzichtet, kann genauso gut eine Postkarte an eine Litfaßsäule kleben. Und bei internetbasierten Anwendungen wie Salesforce oder Facebook, das inzwischen ja schon zum Handwerkszeug einer guten Marketingabteilung gehört, ist unbedingt HTTPS zu nutzen.
  • Server: Sichern Sie den Zugriff auf Daten und Dienste auf Ihren Servern. Wichtig ist hier zuerst die physische Sicherheit: Wer darf den Serverraum betreten und Backup-Bänder mitnehmen? Leider sieht man immer noch Serverräume, die eher einem Kabuff gleichen und deren Lüftung aus offener Tür und Ventilator besteht, oder die im Keller untergebracht und über das Marketinglager zu betreten sind. Zweiter wichtiger Punkt ist die Regelung des elektronischen Zugriffs mit Hilfe von Berechtigungen, Authentifizierung und Protokollierung. Und drittens sind eine Backup- und eine Hochverfügbarkeitslösung erforderlich.
  • Prozesse: Definieren Sie klare IT-Prozesse unter Einbeziehung aller Beteiligten und sorgen Sie für deren Einhaltung. Hier geht es vor allem darum, durch Kommunikation ein Bewusstsein für die Wichtigkeit des Themas zu schaffen. Und darum, die Prozesse technisch zu unterstützen. Kontrolle heißt hier aber nicht Misstrauen und Überwachung, sondern proaktive Vorsorge: Es gilt, Prozessbeteiligte vor Fehlern zu schützen und zu entlasten.
  • Management: Verwalten und überwachen Sie alle IT Systeme von zentraler Stelle aus. Dabei ist ein Monitoring-System unabdingbar, das automatisch Alarm schlägt, sobald es Unregelmäßigkeiten feststellt. Aber das Wissen über Sicherheitsprobleme ist nur der erste Schritt – über zuverlässiges Patch Management müssen die Lücken auch geflickt werden.

Anstelle sich auf einen Baustein zu konzentrieren und diesen bis zur Perfektion auszubauen, ist es wichtig, in allen gleichmäßig aktiv zu sein. Außerdem sollte man sich stets bewusst sein, dass Sicherheit kein Zustand, sondern ein fortlaufender Prozess ist, und dementsprechend die Systeme pflegen, zum Beispiel durch Einspielen von aktuellen Updates und Patches. Wer das tut, ist in Sachen IT-Sicherheit dem durchschnittlichen Unternehmen weit voraus.

Silicon-Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

8 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

8 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago