Um eine höchstmögliche Cyber-Security zu gewährleisten, reichen heute einzelne Schutzmaßnahmen oft nicht mehr aus. Was notwendig ist, ist die Entwicklung eines umfassenden Konzepts für die unternehmenseigene IT-Sicherheitsinfrastruktur. Zu einem solchen Konzept gehört beispielsweise die Beantwortung wichtiger Fragen, etwa welche Daten, Personen, Software, etc. für das eigene Unternehmen essenziell sind.
Bezüglich der Datenfrage geht es um besonders sensible Informationen wie Geschäfts- und Kundendaten, Zahlungsinformationen, Patentdaten und Personaldaten. Ihre Sicherung hat oberste Priorität, denn sie bilden die wichtigste Ressource von Unternehmen und sind dadurch bevorzugtes Ziel von Cyberkriminellen.
Die für das Unternehmen essentiellen Personen sind zu identifizieren, weil sie mit entsprechenden, auch abgestuften Zugangsberechtigungen ausgestattet werden müssen. Zugleich sollte das Unternehmen dafür Sorge tragen, dass die Accounts der Unternehmensführung, aller Mitarbeitenden sowie eventueller Geschäftspartner besonders geschützt sind, damit es professionellen Hackern nicht durch Phishing-Mails oder andere Methoden gelingt, sich über diese Accounts Zugang zum System zu verschaffen.
Auch Software ist kompromittierbar, wenn sie z. B. Programmierfehler enthält oder falsch konfiguriert wurde. Daher sollten für verwendete Programme, die von den Herstellern regelmäßig bereitgestellten Updates durchgeführt werden, um identifizierte Schwachstellen und Sicherheitslücken zu schließen. Am Ende eine umfassende Liste mit allen kritischen Dingen und Personen stehen, die für meinen Betrieb unabdingbar sind.
Ein bereits bestehendes System zur Cyber-Sicherheit lässt sich nur effizient optimieren, wenn man genau weiß, welche Maßnahmen schon ergriffen worden sind. Aus diesem Grund gehört es zu den wichtigen Aufgaben, die bereits eingerichteten Kontrollmaßnahmen sorgfältig zu dokumentieren. Dazu gehören vor allem vorhandene Firewalls, das Passwort-Management, die 2-Faktor-Authenfikation oder auch das genutzte Zugangsberechtigungsverfahren. Auch vermeintlich simple Maßnahmen wie Gebäude- oder Bürosicherungsvorrichtungen sollten in einer solchen Dokumentation enthalten sein. Auf Basis des Istzustands lassen sich schrittweise Verbesserungen im Bereich Cyber-Security durchführen. Auch hier sollte schlussendlich eine Auflistung alle Maßnahmen entstehen.
Natürlich sollte ein Unternehmen den nun bekannten, kritischen Strukturen für den Fall, dass diese ihre Integrität, Verfügbarkeit oder Vertrautheit verlieren, jeweils Auswirkungen zuordnen. Das bedeutet, dass man für jedes System bewertet, was passiert, wenn das System komplett ausfällt (Verfügbarkeit), seine Funktionsfähigkeit verliert (Integrität) oder ein Datenleck hat (Vertrautheit). Welche der kritischen Strukturen haben Schwachstellen? An dieser Stelle könnte ein sogenannter Penetrationstest vorteilhaft sein, denn er ist in der Lage schon vorhandene oder möglicherweise noch auftauchende Schwachstellen zu identifizieren.
Die Risikobewertung ist eine wesentliche Aufgabe bei der Entwicklung eines IT-Sicherheitskonzepts. Im Rahmen einer solchen Bewertung gilt es zu ermitteln, wie viele Schwachstellen eine spezifische Struktur hat (a) und wie groß die Auswirkungen im Fall eines Verlusts der Struktur (b) wären. Aus diesen beiden Bewertungen ergibt sich letztlich das Risiko, dem die Struktur ausgesetzt ist.
Ergibt die Bewertung hohe Risiken und damit dringenden Handlungsbedarf, muss sich das Unternehmen überlegen, mit welchen Kontroll- sowie Sicherheitsmaßnahmen und Redundanzen, sich das Unternehmen im Hinblick der Cyber-Security aufstellen kann, dass es sich gegenüber Hackerangriffen resilienter erweist.
Unternehmen sollten das Thema IT-Sicherheit mit höchster Priorität behandeln und es deshalb auf der Ebene der Geschäftsführung ansiedeln. So ist sichergestellt, dass auftretende Probleme zeitnah angegangen, entsprechende Maßnahmen eingeleitet und Sicherheitslücken ohne großen Zeitverlust geschlossen werden.
Vor allem Unternehmen mit fehlender oder nur knapp besetzter IT-Abteilung sind besonders anfällig für Cyber-Attacken. Deshalb ist der beste Tipp, die vorhandenen „Schweißnähte“ möglichst zu reduzieren bzw. ihre Anzahl von Beginn an gering zu halten. Denn je weniger Anbieter, für Cloud, Kollaboration usw. ein Unternehmen nutzt, desto weniger Sollbruchstellen hat das Gesamtsystem. Je mehr Software verwendet wird, desto höher ist auch das Compliance Risiko (DSGVO Konformität). Eine weitere sinnvolle Maßnahme ist die Nutzung eines InHouse-Servers. Er garantiert einem Unternehmen volle Datensouveränität und das Unternehmen profitiert von einem vollkommen geschlossenen System.
Ist Mitbegründer und Geschäftsführer der Firma UNIKI GmbH. Das Unternehmen wurde unter anderem durch die Schlagzeile „Münchner Cloud-Startup macht Microsoft Konkurrenz“ bekannt. Der gebürtige Bayer war zuvor als Unternehmensberater mit Fokus auf die Bereiche Energie und IT-Management tätig.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…