(Bild: PantherMedia / Rawpixel)

In vielen Unternehmen herrscht ein Paradox, was die IT-Security angeht: Budgets und stagnierende Mitarbeiterzahlen der IT-Abteilungen stehen in keinem Verhältnis zu den steigenden Sicherheits-Anforderungen, mit denen sie konfrontiert werden. Dabei wird das Thema IT-Security durch die fortschreitende Digitalisierung immer komplexer. Die steigende Beliebtheit von Cloud-Services und von Diensten und Geräten, die beruflich und privat eingesetzt werden, tragen maßgeblich dazu bei.

Gefahrenquelle Schatten-IT

Vor allem die Bereitstellung mobiler Geräte birgt das Risiko von Schatten-IT, also dass Anwendungen genutzt werden, von denen die IT nichts weiß. Den Security-Verantwortlichen bereitet das massive Probleme: Sie müssen dafür sorgen, dass Compliance-Richtlinien eingehalten werden, und den drohenden IT-Wildwuchs eindämmen. Mitarbeiter gehen häufig zu leichtsinnig mit sensiblen Daten um und speichern diese in Cloud-Diensten wie OneDrive, Dropbox oder Google Drive. Der Cloud-Security-Anbieter Skyhigh Networks hat in einer aktuellen Studie aggregierte und anonymisierte Internetprotokolle von über weltweit 23 Millionen Unternehmensangestellten analysiert. Dabei fand man heraus, dass 15,8 Prozent der Dokumente in Cloud-Diensten vertrauliche Informationen wie Betriebsgeheimnisse, Business-Pläne, personenbezogene Daten, Kreditkarten- und Bankkontennummern enthalten. Auch bei der Rechtevergabe handeln Mitarbeiter oft nachlässig: Bei 5,4 Prozent der Daten bekommt man per Klick auf einen Link problemlos Zugriff – 2,7 Prozent der Links können sogar über öffentliche Suchmaschinen gefunden werden. Bei jedem der Studienteilnehmer wurden in Cloud-Speicher-Diensten mehr als 1.000 Unternehmens-Dokumente mit unverschlüsselten sensiblen Daten gefunden, die eindeutig benannt und einfach auffindbar waren.

Cyber-Kriminalität leicht gemacht

Hacker haben so ein leichtes Spiel. Sie können von überall auf der Welt aus anonym angreifen – dass sie dabei erwischt werden, ist eher unwahrscheinlich. Vor allem DDOS-Attacken auf Webshops, der Diebstahl von sensiblen Daten und Erpressungen mit Kryptotrojanern stehen bei Cyber-Kriminellen hoch im Kurs. Trojaner-Angriffe beispielsweise können mit sehr geringem Aufwand durchgeführt werden. Im Darknet findet man einfache Baukästen für Malware, die auch ohne tiefergehendes Know-how zusammengesetzt werden können. Für ihre Angriffe nehmen Hacker meist den arglosen User ins Visier. Denn viele Mitarbeiter öffnen leichtsinnig Mails, die mit gefährlichen Schadcodes bestückt sind und von Virenscannern nicht erkannt werden. Warum sich Hacker den Mitarbeiter als Angriffspunkt aussuchen? Technische Security-Systeme werden zunehmend ausgeklügelt und sind immer schwerer zu knacken – die Schwachstelle Mensch dagegen funktioniert immer gleich.

Risiken managen mit einem Technik-Mix

Eine erfolgreiche Security-Strategie muss auf zwei Säulen stehen: auf dem klassischen, technischen Sicherheitskonzept einerseits, das ergänzt wird von einem organisatorischen Ansatz andererseits. VPN-Gateways, Firewalls, virtuelle Firewalls, Anti-Viren-Systeme, Intrusion-Prevention-Systeme (IPS), LAN-Segmentierung, Anti-Bot-Systeme, Network Access Control und Lösungen zur Erkennung von Schatten-IT sowie Application Control sind klassische Security-Systeme und gehören zum Installations-Standard auf technischer Seite. Dabei spielen auch Security Information and Event-Management-Lösungen (SIEM) eine entscheidende Rolle, da sie sicherheitsrelevante Daten sowie Dokumente sammeln und in Echtzeit analysieren. Stellen sie dabei sicherheitskritische Aktionen fest, leiten sie automatisch geeignete Maßnahmen ein. Entscheidend für einen umfassenden Schutz gegen Cyber-Angriffe ist ein guter Mix aus Anwendungen, welcher vielschichtig aufgebaut ist. Alle Elemente müssen gut kooperieren, sie sollten aufeinander abgestimmt und einfach durch neue Lösungen und Funktionen erweiterbar sein. Denn die Methoden und Tricks von Hackern ändern sich ständig. So müssen auch Unternehmen über neue Entwicklungen immer auf dem Laufenden sein. Die neuesten Gefahrenquellen zu kennen und proaktiv und flexibel gegenzusteuern – das ist mit einem Aufwand verbunden, den viele IT-Abteilungen nicht stemmen können. Die personellen und finanziellen Ressourcen reichen oft nicht aus, um den wachsenden Aufgabenberg zu bewältigen. Managed Security Services schaffen Abhilfe: Unternehmen können Dienstleister beauftragen, um die benötigte sichere Infrastruktur zu bilden und langfristig zu betreuen.

Die „Schwachstelle Mensch“ berücksichtigen

Festgeschriebene IT-Abläufe, die jedem Mitarbeiter bekannt und zugänglich sind, gibt es in vielen Unternehmen nicht. Den richtigen Umgang mit Stör- und Angriffsfällen beherrschen meist nur wenige Experten. Sind diese nicht direkt verfügbar, verstreicht wertvolle Zeit. Dabei ist die organisatorische IT-Sicherheit genauso wichtig wie die technische Komponente. Wenn IT-Abläufe standardisiert, vereinfacht und gut dokumentiert sind, können Sicherheitsprozesse im Unternehmen von allen angewendet und gelebt werden. Mitarbeiter müssen für Gefahren sensibilisiert und durch einheitliche Regelungen und Richtlinien zu sicherheitsgerechtem Verhalten verpflichtet werden. Dazu gehören auch Arbeits- und Dienstanweisungen für Dienstleister oder Richtlinien für Kunden und Gäste.

Dieses Paket aus Prozessen, Regeln, Verantwortlichkeiten und Verfahren wird als Information-Sicherheits-Management-System (ISMS) bezeichnet. Es trägt auch dazu bei, die IT-Sicherheit im Unternehmen gegenüber dem Management transparent darzustellen. Denn auf Entscheider-Ebene fehlt häufig das Security-Know-how, um erforderliche Maßnahmen zu begreifen und anzutreiben. Ein ISMS kann helfen, diese Vorgänge verständlich zu machen. Es zeigt den Erfolg der Sicherheitsmaßnahmen auf, stellt abgewehrte Angriffe dar, identifiziert bestehende IT-Risiken und gibt der Geschäftsleitung entsprechende Einschätzungen und Handlungsempfehlungen mit. So wird es für IT-Abteilungen leichter, die Genehmigungen für notwendiges Budget zu erhalten und zwingende Sicherheits-Projekte zu realisieren. Auch eine IT Security Policy kann helfen, mehr Transparenz und Verständnis für die Arbeit und Bedürfnisse der IT-Abteilungen zu schaffen: In dem übergeordneten Dokument sind generelle Sicherheitsziele und -strategien eines Unternehmens festgehalten.

Kombination von Technik und Organisation

Die IT und IT-Sicherheit werden oft negativ wahrgenommen – als etwas Kostspieliges, das die einfachsten Vorgänge verkompliziert und ausbremst. Unternehmen müssen sich jedoch darüber im Klaren sein, dass die IT das Rückgrat aller Geschäftsprozesse ist und ohne sie ganze Produktionen zum erliegen kommen können. Eine umfassende und vielschichtige Sicherheitsstrategie ist deshalb überlebenswichtig. Diese muss einen gut aufeinander abgestimmten Technologie-Mix beinhalten, denn Cyber-Bedrohungen sind sehr vielseitig, wandeln sich immer wieder und können nicht mit nur einer Technologie effektiv bekämpft werden. Auch ein organisatorisches Sicherheitssystem muss implementiert werden, das den Anwender als leichtes Ziel für Angreifer berücksichtigt. Trotz aller Vorsicht gibt es leider keine hundertprozentige Absicherung gegen Cyber-Kriminelle. Die unvermeidlichen Restrisiken lassen sich aber mit einer umfangreichen Sicherheitsstrategie auf ein wirtschaftlich annehmbares Niveau senken.