Ransomware, Trojaner und Malware – häufig halten Unternehmen Hackerangriffe für das größte Sicherheitsrisiko. Eine aktuelle Studie des Branchenverbandes Bitkom scheint dies zu bestätigen: Demnach sind in den vergangenen drei Jahren 69 Prozent der deutschen Industrieunternehmen Opfer von Datendiebstahl, Spionage oder Sabotage geworden. Weitere internationale Studien kommen zu ähnlichen Ergebnissen. Doch in einem Großteil der Fälle sind es nicht Angreifer von außen, die Lücken im Firmennetzwerk ausnutzen.
Der Angriff auf die wertvollen Unternehmensdaten erfolgt in 65 Prozent der Fälle über aktuelle oder ehemalige Mitarbeiter. Sei es der Verlust eines Smartphones mitsamt Passwörtern und wichtigen E-Mail-Anhängen oder der bewusste Diebstahl von Unternehmensdaten – die Konsequenzen für das Unternehmen können fatal sein.
Das Risiko, das von den eigenen Mitarbeitern ausgeht, lässt sich nicht vollständig eliminieren, aber erheblich eindämmen. Doch Unternehmen sind nur selten genauso gut mit Mitteln und Tools gegen interne Angriffe ausgestattet wie gegen Attacken von außen. Die folgenden Tipps helfen bei der Entwicklung einer nachhaltigen internen Sicherheitsstrategie:
Prinzipiell gilt: Vertrauliche Dokumente sollten stets in einer geschützten Umgebung abgelegt werden. E-Mail-Postfächer, Consumer-Filesharing-Dienste und selbst lokale Speichermedien sind potentiell unsicher und anfällig für Hacking-Angriffe oder menschliches Versagen.
Um sensible Daten effektiver zu schützen, müssen Mitarbeiter aus unterschiedlichen Abteilungen mit den passenden Zugriffsrechten ausgestattet werden. Damit wird das Sicherheitsziel des Need-to-know-Prinzips erfüllt: Werden Dokumente und Datensätze nicht unmittelbar für eine Aufgabe benötigt, erhält der jeweilige Mitarbeiter auch keinen Zugriff. Durch verschiedene Abstufungen lassen sich unternehmensintern sogenannte “Chinese Walls” hochziehen, die den Informationsaustausch zwischen unterschiedlichen Abteilungen verhindern. So kann der Umfang eines etwaigen Datenverlusts begrenzt werden.
Gerade wenn das Passwort geknackt wurde, ist die Zweifach-Authentifizierung Gold wert. Für den Zugriff auf das System muss der Anwender dann nämlich nicht nur sein Passwort eingeben, sondern erhält zusätzlich eine Tan per SMS oder scannt den QR-Code mit dem Handy, so dass er nur für eine Sitzung oder einen Tag Zugriff auf das System hat. Ein Angreifer müsste also nicht nur das Passwort kennen, sondern auch im Besitz des Mobiltelefons sein, um sich im System anzumelden.
Selbst ein durch und durch ausgeklügeltes System für Zugriffsrechte hilft nichts, wenn IT-Administratoren alles einsehen und nach Belieben unbemerkt herunterladen, ändern oder löschen können. Gleiches gilt für den Anbieter der Lösung. IT-Personal und -Dienstleister werden gerne vergessen, sollten aber beim Verteilen der Zugriffsrechte unbedingt berücksichtigt werden. Gerade der Anbieter darf niemals Zugriff auf die Dokumente erhalten, die mit seiner Lösung verwaltet werden, da sonst Datenschutzbestimmungen eventuell nicht erfüllt werden und Vertraulichkeit nicht gegeben ist.
Mit Information-Rights-Management-Technologien lassen sich sensible Dokumente kontrollieren und beispielsweise vor unerwünschtem Herunterladen oder Ausdrucken schützen. Dadurch behält man effektiv die Kontrolle über Dokumente, auch wenn Anwender zum Zugriff auf die Informationen berechtigt sind. Der Administrator kann dabei unternehmensweit gewisse Security-Policies für verschiedene Schutzklassen festlegen und so etwa interne, vertrauliche und streng vertrauliche Dokumente mit unterschiedlichen Schutzmechanismen versehen. Ein Beispiel: Streng vertrauliche Dokumente sollten den Datenraum auf keinen Fall verlassen und dürfen deshalb weder heruntergeladen, noch ausgedruckt werden.
Um einen Datendiebstahl zu verhindern oder im Nachhinein aufzudecken, bietet es sich an, alle Vorgänge in einer revisionssicheren Historie aufzuzeichnen. Das ermöglicht einen durchgehend transparenten und nachvollziehbaren Informationsfluss. In Kombination mit Information Rights Management können gerade Innentäter schneller entlarvt werden, da der Zugriff im System protokolliert wurde.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
View Comments
Guter Beitrag, interessant ist die Zweifach-Authentifizierung wie bei der epost oder einer Bank!
Für die Punkte 3-4 wären ein paar Beispiel zur besseren Veranschaulichung gut gewesen.
Fazit: Da habe viele Unternehmen, gerade aus dem Mittelstand, die lieber sparen zu in die IT zu investieren, aber noch einen weiten Weg vor sich....
Und sie als security Anbieter werden sich über viele Aufträe freuen :.)
Guter Beitrag. Bedenken Sie bitte auch das produktives Arbeiten heute auch immer mehr auf dem Smartphone stattfindet. Für das iPhone gibt es im App-Store z.B. 45 Apps von SAP. Wenn das Smartphone aber Teil des ersten Faktors ist, dann kann es gerade deshalb nicht mehr Teil eines zweiten Faktors sein. SMS-TAN oder QR-Code scheiden dann als Optionen aus. Insgesamt ist ein Smartphone, das ja ursprünglich für ganz andere Zwecke designed wurde, keine sichere Plattform. Schon allein wegen der Update-Problematik. In seinen Basismaßnahmen der Cyber-Sicherheit BSI-CS 006 empfiehlt das Bundesamt für Sicherheit in der Informationstechnik: "Eine Authentisierung allein mit Nutzername und Passwort ist nicht ausreichend. Schadprogramme wie Trojanische Pferde oder Keylogger greifen unmittelbar die Passwörter ab, sodass auch komplexe Passwörter oder ein häufiger Passwortwechsel keinen hinreichenden Schutz bieten. Wirksam abgewehrt werden solche Angriffe erst mittels eines zweiten, außerhalb des Systems liegenden Faktors wie z. B. eines Hardware-Tokens."