(PM) Stuttgart, 02.06.2017 - Cyberangriffe, Datenpannen oder Sabotage-Akte: Die IT-Sicherheit in Unternehmen ist und bleibt eine allgegenwärtige Herausforderung. Das bestätigt auch die jährliche Trendumfrage des Digitalverbands Bitkom (www.bitkom.org/Presse/Presseinformation/IT-Sicherheit-Cloud-Computing-und-Internet-of-Things-sind-Top-Themen-des-Jahres-in-der-Digitalwirtschaft.html). Zwei von drei Unternehmen (67 Prozent) nannten das Thema IT-Sicherheit einen der maßgeblichen Technologie- und Markttrends des Jahres 2017. Doch auch trotz zahlreicher IT-Security-Lösungen diverser Anbieter sind viele Firmen nur unzureichend vor Angriffen oder Datenverlusten geschützt.

Eine weitere Umfrage von Bitkom (www.bitkom.org/Presse/Presseinformation/Industrie-im-Visier-von-Cyberkriminellen-und-Nachrichtendiensten.html) ergab, dass in den letzten beiden Jahren mehr als zwei Drittel der Industrieunternehmen in Deutschland (69 Prozent) Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage waren. Der damit verbundene Schaden für die deutsche Industrie beläuft sich auf rund 22,4 Milliarden Euro pro Jahr. Zudem macht die Umfrage deutlich, dass es in vielen Unternehmen noch immer Sicherheitsdefizite gibt. Nach Aussage von Bitkom besteht der größte Nachholbedarf beim Personal. Nur ein Viertel (25 Prozent) aller Industriebetriebe bietet seinen Mitarbeitern Schulungen zu Sicherheitsthemen an.

Investitionen in umfassende IT-Sicherheitskonzepte zahlen sich aus

Auch Rüdiger Kolp, Geschäftsführer des System- und Beratungshauses circular, stellte bereits oftmals fest, dass einige Firmen die notwendigen Sicherheitsmaßnahmen noch nicht umsetzen. „Zahlreiche Unternehmen wissen, dass sie hinsichtlich ihrer IT-Sicherheit noch großen Nachholbedarf haben. Einige reagieren allerdings erst, wenn sie bereits Opfer von Hackern oder Computerviren geworden sind“, erklärt Kolp. Oft werden die Folgen, die zielgerichtete Cyberangriffe haben können, einfach unterschätzt. Neben Reputationsschäden übersteigen die Kosten solcher Attacken meist die Investitionen, die für eine optimale IT-Sicherheitstechnik nötig gewesen wären. „Diese Rechnung ist einigen nicht klar. Denn viele Unternehmen sehen IT-Sicherheitsmaßnahmen immer noch als Kostenpunkt, den es abzuarbeiten gilt. Nach dem Kauf einer technischen Lösung glauben sie, dass sie geschützt sind“, so Kolp. „Es geht jedoch nicht darum, die Sicherheitsstandards und -funktionen bis auf das Äußerste auszureizen, sondern vielmehr darum, praktikable und angemessene Sicherheitslösungen individuell auf die jeweiligen Unternehmen abzustimmen. Es lohnt sich, sich frühzeitig damit auseinanderzusetzen und in ganzheitliche IT-Security-Konzepte zu investieren, bevor ein Angriff stattfindet. Denn IT-Sicherheit macht nicht bei der Technik halt, auch Mitarbeiter müssen für die Gefahren sensibilisiert werden.“

IT-Sicherheitsstrategien in Unternehmen sollten eindeutig und intuitiv sein

Zum Schutz der IT eignen sich insbesondere Systeme, die nicht nur für Administratoren, sondern auch für Endanwender transparent und leicht zu bedienen sind. Hiermit sind beispielsweise Authentifizierungsmethoden gemeint, die ihrer Position und ihrem Sicherheitsprofil am ehesten entsprechen. Beispiele sind etwa:

• die OTP-Technologie: Generierung von One-Time-Passwörtern
• die zertifikatbasierte Authentifizierung (CBA): Authentifizierung unter Verwendung eines öffentlichen und privaten Verschlüsselungssystems, das für das Authentifizierungsmittel und die Person, die es besitzt, eindeutig ist; Gemalto beispielsweise stellt die zertifikatbasierte Authentifizierung über USB-Token und Smartcards bereit
• die kontextbasierte Authentifizierung: mit kontextspezifischen Informationen wird ermittelt, ob die Identität eines Benutzers authentisch ist oder nicht; hierbei handelt es sich um eine Ergänzung zu anderen Technologien für eine starke Authentifizierung

„Fakt ist, dass Unternehmen all ihre Zugriffspunkte berücksichtigen müssen. Sie sollten sicherstellen, dass der Zugriff auf alle vertraulichen Informationen auch authentifiziert wird, egal ob sich die Informationen On-Premise oder in der Cloud befinden. Es empfiehlt sich, dieselben Sicherheitsmechanismen für Cloud-Ressourcen zu implementieren, die sie für den Remote-Zugriff auf das Unternehmensnetzwerk einsetzen würden. Zudem ist es möglich, diese Sicherheitsmechanismen auch für mobile Geräte zu aktivieren, um eine sichere Authentifizierung der Benutzer zu gewährleisten“, so Rüdiger Kolp.