Wie mache ich mein Unternehmen halbwegs sicher? Das ist die Kernfrage, die sich viele IT-Verantwortliche immer wieder aufs Neue stellen. Die Antwort kann entweder kurz (Stichwort: Anbieterempfehlung) oder lang (Grundschutzkatalog etc.) sein.
Versuchen wir es mal mit dem Mittelweg. Aus unserer Sicht ist erforderlich, IT-Sicherheit anhand verschiedener Themenblöcke regelmäßig “abzuklopfen”. Diese verschiedenen Themenblöcke sollten sich immer im Kontext Basisanforderungen, Entwicklungstendenzen und Ad-hoc Ereignisse bewegen.
Unterziehen Sie die Sicherheitslage in Ihrem Unternehmen regelmäßig einer Bestandsaufnahme. Das ist keine Aufgabe, die nur auf die IT-Organisation begrenzt ist. Hier müssen IT, Management, Fachbereiche und Verantwortliche aus den Bereichen Compliance, Risiko-Management usw. zusammenarbeiten. Holen Sie sich hier gegebenenfalls externe Expertise ins Haus.
Jedes Unternehmen hat seine ganz spezifischen Sicherheitsanforderungen. Diese Anforderungen müssen so umgesetzt werden, dass sie die Vielschichtigkeit und Variantenvielfalt der möglichen Angriffe auf die IT-Sicherheit effektiv beherrschen. Dabei müssen insbesondere die individuellen Gefährdungspotenziale der Unternehmen berücksichtigt werden. Prüfen Sie also welche Unternehmensbereiche und welche Daten ein besonders interessantes Ziel sind. Und schützen Sie diese Bereiche entsprechend. Dabei geht es nicht nur um Technologie, sondern auch um Personen und Prozesse.
Es ist sehr empfehlenswert, gängige Standards, Richtlinien und Regelwerke zu nutzen. Damit setzen Sie auf erprobte Methoden. Zudem fordern sehr häufig Partner oder Kunden den Nachweis über die Umsetzung solcher Regelwerke.
Hier gilt es, Risiken und umgesetzte Schutzmaßnahmen gegeneinander abzuwägen. Schaffen Sie sich ein realistisches Bild über die Gefahrenlage in Ihrem Unternehmen, Ihrer Branche und bei Ihren Wettbewerbern. Oftmals scheint das Bewusstsein für die Komplexität der Bedrohungsszenarien in den Unternehmen noch nicht ausreichend vorhanden zu sein. Eine Änderung des Bewusstseins der Mitarbeiter im Umgang mit den Bedrohungsszenarien ist unerlässlich. Das umso mehr, da das Business immer häufiger selbst IT-Ressourcen in Form von Services bezieht, entweder mit oder ohne Wissen der IT-Abteilung.
Auf der Angreiferseite sind neue Formen von Angriffsszenarien entstanden. Kriminelle Geschäftsmodelle haben sich etabliert und werden permanent verfeinert. Technologische Entwicklungen werden auch immer dahingehend evaluiert, anderen einen möglichst hohen Schaden zuzufügen oder umfangreiche Vorteile aus dem Einsatz von Schadsoftware und Schadcode zu ziehen. Neben Attacken mit nicht spezifizierten Angriffszielen werden immer häufiger zielgerichtete Kompromittierungsversuche auf definierte Einzelziele verzeichnet.
Besonders kleine und mittlere Unternehmen vertreten häufig die Ansicht, mit Malwareschutz und Co. ausreichend abgesichert zu sein. Das ist ein Irrtum. Der in vielen Unternehmen ausschließlich vorhandene Basisschutz reicht nicht aus, um gegen komplexe Angriffe geschützt zu sein. Vielmehr besteht die Herausforderung darin, Schutzmaßnahmen individuell und intelligent an besonders neuralgischen Punkten im Netzwerk zu platzieren und damit zugleich einen umfassenden Schutz zu gewährleisten. Prüfen Sie, wo die besonders kritischen Punkte in Ihrem Unternehmen sind.
Neben Angriffen von außerhalb der Firewall stellen auch die eigenen Mitarbeiter potenzielle Gefahrenquellen dar, entweder bewusst oder unbewusst. Gefahr für Ihre Daten kommt also nicht nur von außen. Auch in Ihrem Unternehmen selbst ist Gefährdungspotenzial vorhanden:
Der Mitarbeiter wird häufig nicht in ausreichendem Maße als Risikofaktor wahrgenommen. Vernachlässigen Sie diesen Aspekt nicht, sondern begreifen Sie alle Personen in Ihrem Unternehmen sowohl als gefährdet als auch als Aktivposten für eine hohe Sicherheit.
Cloud Computing, Mobile Enterprise, Soziale Netzwerke und Big Data sind Themen, die die betriebliche Informationstechnologie schrittweise aber nachhaltig verändern. Daher ist es notwendig, hier IT-Sicherheit von Anfang an zu positionieren. Angreifer suchen bei Themen, die noch nicht so stark verbreitet oder umgesetzt sind, nach Lücken. Wenn diese unerkannt bleiben, potenziert sich das Schadensrisiko. Weitere Angriffspunkte ergeben sich, wenn die genannten Technologien und Lösungen aus herkömmlicher IT-Security-Sicht angegangen werden. Das ist sehr gefährlich für Unternehmen, da viele neue Konstellationen und Stellschrauben (Layer, Prozesse und Abläufe, Berechtigungen etc.) zu berücksichtigen sind.
Gehen Sie solche Themen immer auch unter dem Aspekte IT-Sicherheit und gemeinsam mit den Endanwendern an. Auf der Fachebene geht es längst nicht mehr nur noch um Endpoint-Security. Die umfassende Integration in den Unternehmen auf horizontaler und vertikaler Ebene und die Vernetzung von Unternehmen mit Partnern und Kunden erfordern neben der Lösungs-Sicherheit auch einen umfassenden Blick auf Compliance und Risiko-Management.
IT Security wird immer komplexer und aufwendiger. Das gilt sowohl für Angriffstechniken und Angriffsmotive als auch für alle Facetten der Schutzes, der Abwehr und des Krisenmanagements. Hohe Sicherheit erfordert Aufmerksamkeit, Aktualität und aktives Handeln. Absolute Sicherheit ist unmöglich. Ihr vorrangiges Ziel muss daher sein, Angriffspunkte in Ihrem Unternehmen so weit wie möglich zu minimieren. Darum geht es letztendlich.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.