VOLLTEXTSUCHE
Fachartikel, 30.11.2016
Erfolgsfaktor Datensicherheit und Datenschutz
IT-Sicherheit braucht ganzheitliche Konzepte
Gleich wie gut ein Unternehmen technologisch gegen Cyberkriminalität abgesichert ist: Die letzte Sicherheitsschwachstelle ist und bleibt der Mensch. Nur wer Security-Technologien mit organisatorischen Maßnahmen kombiniert, stellt die Weichen für eine nachhaltige IT-Sicherheitsstrategie, die den aktuellen Cyberbedrohungen gewachsen ist.

In vielen Unternehmen herrscht ein Paradox, was die IT-Security angeht: Budgets und stagnierende Mitarbeiterzahlen der IT-Abteilungen stehen in keinem Verhltnis zu den steigenden Sicherheits-Anforderungen, mit denen sie konfrontiert werden. Dabei wird das Thema IT-Security durch die fortschreitende Digitalisierung immer komplexer. Die steigende Beliebtheit von Cloud-Services und von Diensten und Gerten, die beruflich und privat eingesetzt werden, tragen mageblich dazu bei.

Gefahrenquelle Schatten-IT

Vor allem die Bereitstellung mobiler Gerte birgt das Risiko von Schatten-IT, also dass Anwendungen genutzt werden, von denen die IT nichts wei. Den Security-Verantwortlichen bereitet das massive Probleme: Sie mssen dafr sorgen, dass Compliance-Richtlinien eingehalten werden, und den drohenden IT-Wildwuchs eindmmen. Mitarbeiter gehen hufig zu leichtsinnig mit sensiblen Daten um und speichern diese in Cloud-Diensten wie OneDrive, Dropbox oder Google Drive. Der Cloud-Security-Anbieter Skyhigh Networks hat in einer aktuellen Studie aggregierte und anonymisierte Internetprotokolle von ber weltweit 23 Millionen Unternehmensangestellten analysiert. Dabei fand man heraus, dass 15,8 Prozent der Dokumente in Cloud-Diensten vertrauliche Informationen wie Betriebsgeheimnisse, Business-Plne, personenbezogene Daten, Kreditkarten- und Bankkontennummern enthalten. Auch bei der Rechtevergabe handeln Mitarbeiter oft nachlssig: Bei 5,4 Prozent der Daten bekommt man per Klick auf einen Link problemlos Zugriff – 2,7 Prozent der Links knnen sogar ber ffentliche Suchmaschinen gefunden werden. Bei jedem der Studienteilnehmer wurden in Cloud-Speicher-Diensten mehr als 1.000 Unternehmens-Dokumente mit unverschlsselten sensiblen Daten gefunden, die eindeutig benannt und einfach auffindbar waren.

Cyber-Kriminalitt leicht gemacht

Hacker haben so ein leichtes Spiel. Sie knnen von berall auf der Welt aus anonym angreifen – dass sie dabei erwischt werden, ist eher unwahrscheinlich. Vor allem DDOS-Attacken auf Webshops, der Diebstahl von sensiblen Daten und Erpressungen mit Kryptotrojanern stehen bei Cyber-Kriminellen hoch im Kurs. Trojaner-Angriffe beispielsweise knnen mit sehr geringem Aufwand durchgefhrt werden. Im Darknet findet man einfache Bauksten fr Malware, die auch ohne tiefergehendes Know-how zusammengesetzt werden knnen. Fr ihre Angriffe nehmen Hacker meist den arglosen User ins Visier. Denn viele Mitarbeiter ffnen leichtsinnig Mails, die mit gefhrlichen Schadcodes bestckt sind und von Virenscannern nicht erkannt werden. Warum sich Hacker den Mitarbeiter als Angriffspunkt aussuchen? Technische Security-Systeme werden zunehmend ausgeklgelt und sind immer schwerer zu knacken – die Schwachstelle Mensch dagegen funktioniert immer gleich.

Risiken managen mit einem Technik-Mix

Eine erfolgreiche Security-Strategie muss auf zwei Sulen stehen: auf dem klassischen, technischen Sicherheitskonzept einerseits, das ergnzt wird von einem organisatorischen Ansatz andererseits. VPN-Gateways, Firewalls, virtuelle Firewalls, Anti-Viren-Systeme, Intrusion-Prevention-Systeme (IPS), LAN-Segmentierung, Anti-Bot-Systeme, Network Access Control und Lsungen zur Erkennung von Schatten-IT sowie Application Control sind klassische Security-Systeme und gehren zum Installations-Standard auf technischer Seite. Dabei spielen auch Security Information and Event-Management-Lsungen (SIEM) eine entscheidende Rolle, da sie sicherheitsrelevante Daten sowie Dokumente sammeln und in Echtzeit analysieren. Stellen sie dabei sicherheitskritische Aktionen fest, leiten sie automatisch geeignete Manahmen ein. Entscheidend fr einen umfassenden Schutz gegen Cyber-Angriffe ist ein guter Mix aus Anwendungen, welcher vielschichtig aufgebaut ist. Alle Elemente mssen gut kooperieren, sie sollten aufeinander abgestimmt und einfach durch neue Lsungen und Funktionen erweiterbar sein. Denn die Methoden und Tricks von Hackern ndern sich stndig. So mssen auch Unternehmen ber neue Entwicklungen immer auf dem Laufenden sein. Die neuesten Gefahrenquellen zu kennen und proaktiv und flexibel gegenzusteuern – das ist mit einem Aufwand verbunden, den viele IT-Abteilungen nicht stemmen knnen. Die personellen und finanziellen Ressourcen reichen oft nicht aus, um den wachsenden Aufgabenberg zu bewltigen. Managed Security Services schaffen Abhilfe: Unternehmen knnen Dienstleister beauftragen, um die bentigte sichere Infrastruktur zu bilden und langfristig zu betreuen.

Die „Schwachstelle Mensch“ bercksichtigen

Festgeschriebene IT-Ablufe, die jedem Mitarbeiter bekannt und zugnglich sind, gibt es in vielen Unternehmen nicht. Den richtigen Umgang mit Str- und Angriffsfllen beherrschen meist nur wenige Experten. Sind diese nicht direkt verfgbar, verstreicht wertvolle Zeit. Dabei ist die organisatorische IT-Sicherheit genauso wichtig wie die technische Komponente. Wenn IT-Ablufe standardisiert, vereinfacht und gut dokumentiert sind, knnen Sicherheitsprozesse im Unternehmen von allen angewendet und gelebt werden. Mitarbeiter mssen fr Gefahren sensibilisiert und durch einheitliche Regelungen und Richtlinien zu sicherheitsgerechtem Verhalten verpflichtet werden. Dazu gehren auch Arbeits- und Dienstanweisungen fr Dienstleister oder Richtlinien fr Kunden und Gste.

Dieses Paket aus Prozessen, Regeln, Verantwortlichkeiten und Verfahren wird als Information-Sicherheits-Management-System (ISMS) bezeichnet. Es trgt auch dazu bei, die IT-Sicherheit im Unternehmen gegenber dem Management transparent darzustellen. Denn auf Entscheider-Ebene fehlt hufig das Security-Know-how, um erforderliche Manahmen zu begreifen und anzutreiben. Ein ISMS kann helfen, diese Vorgnge verstndlich zu machen. Es zeigt den Erfolg der Sicherheitsmanahmen auf, stellt abgewehrte Angriffe dar, identifiziert bestehende IT-Risiken und gibt der Geschftsleitung entsprechende Einschtzungen und Handlungsempfehlungen mit. So wird es fr IT-Abteilungen leichter, die Genehmigungen fr notwendiges Budget zu erhalten und zwingende Sicherheits-Projekte zu realisieren. Auch eine IT Security Policy kann helfen, mehr Transparenz und Verstndnis fr die Arbeit und Bedrfnisse der IT-Abteilungen zu schaffen: In dem bergeordneten Dokument sind generelle Sicherheitsziele und -strategien eines Unternehmens festgehalten.

Kombination von Technik und Organisation

Die IT und IT-Sicherheit werden oft negativ wahrgenommen – als etwas Kostspieliges, das die einfachsten Vorgnge verkompliziert und ausbremst. Unternehmen mssen sich jedoch darber im Klaren sein, dass die IT das Rckgrat aller Geschftsprozesse ist und ohne sie ganze Produktionen zum erliegen kommen knnen. Eine umfassende und vielschichtige Sicherheitsstrategie ist deshalb berlebenswichtig. Diese muss einen gut aufeinander abgestimmten Technologie-Mix beinhalten, denn Cyber-Bedrohungen sind sehr vielseitig, wandeln sich immer wieder und knnen nicht mit nur einer Technologie effektiv bekmpft werden. Auch ein organisatorisches Sicherheitssystem muss implementiert werden, das den Anwender als leichtes Ziel fr Angreifer bercksichtigt. Trotz aller Vorsicht gibt es leider keine hundertprozentige Absicherung gegen Cyber-Kriminelle. Die unvermeidlichen Restrisiken lassen sich aber mit einer umfangreichen Sicherheitsstrategie auf ein wirtschaftlich annehmbares Niveau senken.

ZUM AUTOR
ber Olaf Niemeitz
CROCODIAL GmbH
Olaf Niemeitz ist Geschäftsführer bei Crocodial IT Security, künftig Axians IT Security, und Leiter der Division Vertrieb bei Fritz & Macziol, künftig Axians IT Solutions. (Quelle: Fritz & Macziol)
CROCODIAL GmbH
Arndtstraße 25
22085 Hamburg

+49-40-271661-0
ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
Anzeige
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
EINTRGE
PR-DIENSTLEISTERVERZEICHNIS
PR-Dienstleisterverzeichnis
Kostenlos als PR-Agentur/-Dienstleister eintragen
Kostenfreies Verzeichnis fr PR-Agenturen und sonstige PR-Dienstleister mit umfangreichen Microsites (inkl. Kunden-Pressefchern). zum PR-Dienstleisterverzeichnis
BUSINESS-SERVICES
© novo per motio KG