IT-Sicherheit im Unternehmen
IT-Sicherheit im Unternehmen ist essentiell – und die Risiken sind sehr real: Datenleaks oder Cyberattacken sind ein Leichtes, wenn nicht entsprechend vorgesorgt wird. Wir verraten Ihnen, mit welchen Maßnahmen Sie die IT-Sicherheit in Ihrer Organisation optimieren können.
Warum IT-Sicherheit im Unternehmen essentiell ist
Unternehmen in Deutschland sind heutzutage ohne Informations- und Kommunikationstechnik nicht mehr vorstellbar. Deshalb wird auch der Schutz von IT-Landschaften immer wichtiger. Es sind schon längst nicht mehr nur Großkonzerne betroffen; Cyberkriminelle haben es auch auf kleine oder mittlere Unternehmen abgesehen.
Die wachsende Verwundbarkeit birgt massive wirtschaftliche Risiken. Dies erhöht den Handlungsdruck immens, Schäden durch ein aktives Informationssicherheitsmanagement verhindern zu können und Restrisiken zu minimieren. Diese Verantwortung beschränkt sich jedoch nicht nur auf die IT-Abteilungen – sämtliche Mitarbeiter müssen einbezogen werden. Dies kann mithilfe von speziellen awareness Schulungen erfolgen.
Ende letzten Jahres zeigte eine Bitkom-Studie, wie hoch der Handlungsbedarf ist: Bei 84 % der befragten Unternehmen nahm die Anzahl der Cyberattacken in den letzten zwei Jahren zu, für 37 % sogar stark. Bitkom-Präsident Achim Berg sagte dazu: “Die deutsche Industrie steht unter digitalem Dauerbeschuss – von digitalen Kleinkriminellen über die organisierte Kriminalität bis zu Hackern im Staatsauftrag. Qualität und Umfang der Cyberangriffe werden weiter zunehmen.” Berg weiter: “Die Unternehmen müssten jetzt ihre technischen, organisatorischen und personellen Sicherheitsvorkehrungen verstärken.”
Häufige Fehler als warnende Beispiele
Zugegeben: IT-Security erfordert Know-how. Es gibt jedoch auch einfache Punkte mit der Sie die IT-Infrastruktur sowie sensible Daten schützen. Unternehmen – Großkonzerne genauso wie kleine oder mittelständische Unternehmen – übersehen gerne die folgenden Beispiele, die jedoch jeder umsetzen kann:
Datenverlust durch fehlende Backups
Ein Unternehmen nutzt einen zentralen Server für den Betrieb eines kleinen Netzes. Auf dem Server sind sämtliche Daten gespeichert. Auf dem enthaltenen Bandlaufwerk wird in regelmäßigen Abständen eine Sicherungskopie erstellt. Der Administrator ist dafür verantwortlich, die Sicherungsbänder verschlossen in seinem Büro aufzubewahren.
Ein Festplattendefekt sorgt eines Tages für einen Serverausfall. Nach dem Ausfall sollten die Daten der Sicherungsbänder eigentlich auf den Server gespielt werden. Jedoch stellte sich dabei heraus, dass keinerlei Daten auf die Sicherungsbänder geschrieben wurden, da das Bandlaufwerk offenbar schon länger defekt war.
Die Daten der letzten drei Jahre sind somit verloren gegangen. Eine Sache wurde zudem übersehen: Im Falle eines Brands oder anderer Katastrophen wären die Sicherungsmedien im Büro des Admins vernichtet worden.
Zu vermeiden wäre dies gewesen, hätte man die Backup-Sicherungen regelmäßig überprüft. Auch das Rücksichern sollte geprüft und geübt werden. Idealerweise werden Sicherungsbänder außerhalb der Büroräume, beispielsweise in einem Bankschließfach, aufbewahrt.
Mangelnder Virenschutz
Wenngleich die Firma Viren-Schutzprogramme flächendeckend einsetzt, fehlt es an der regelmäßigen Aktualisierung der Viren-Signaturen. Die IT-Abteilung erhielt eine Virenwarnung: Übers Internet verbreitet sich ein E-Mail-Virus an zahlreiche Empfänger. Nötig wäre es hier, mithilfe eines automatisierten Update-Mechanismus die Anti-Viren-Programme auf sämtlichen Rechnern mit den neuen Viren-Signaturen zu aktualisieren.
In unserem Beispiel jedoch hat sich der Virus bereits ins interne Netz eingeschlichen. Da der Virus fürs Löschen von Dokumenten bekannt ist, müssen sämtliche Rechner vom Netz genommen und heruntergefahren werden. Die IT-Abteilung arbeitet mit Hochdruck daran, sämtliche PCs mit den aktuellen Viren-Signaturen zu versehen und befallene Rechner zu säubern. Für mehrere Tage liegt der komplette Betrieb lahm. Daten sind zerstört, bei der Auftragsabwicklungen kommt es zu Verspätungen, Kunden sind ärgerlich und skeptisch.
All dies wäre vermeidbar gewesen, hätte es ein Update-Konzept gegeben.
Cyberattacke
Ein Allgemeinmediziner hat eine kleine Praxis inmitten einer Kleinstadt. Auf seinem Rechner mit Internetanschluss verwaltet er selbst die Patientenakten und installiert auch seine Software selbst. Der Arzt muss sich mit seinem Passwort am Rechner anmelden, deshalb hält er die darauf abgelegten Daten für sicher.
Eines Tages meldet die Lokalpresse, dass vertrauliche Patienteninformationen anonym im Internet aufgetaucht sind. Die Polizei verfolgt die Tat zurück und landet schließlich bei dem Allgemeinmediziner. Leider war der Praxis-Rechner in keinster Weise vor Fremdzugriffen gesichert. Hacker erbeuteten mit hoher Wahrscheinlichkeit die Patientendaten.
Der Allgemeinmediziner sieht sich nun einer Klage von der Staatsanwaltschaft gegenüber: Ihm wird vorgeworfen, fahrlässig mit vertraulichen Patientendaten umgegangen zu sein.
Auch dies wäre vermeidbar gewesen: Hätte der Arzt die Internet-Zugänge gesichert und die vertraulichen Daten verschlüsselt, hätten die Hacker keinen Zugriff darauf gehabt.
Ausfall des Administrators
In einem Mittelstandsunternehmen arbeitet ein Administrator schon seit Jahren allein. Ein schwerer Unfall sorgt jedoch dafür, dass er plötzlich von heut auf morgen arbeitsunfähig geworden ist. Die nun immer häufiger erscheinenden Warnhinweise können von den Mitarbeitern weder korrekt interpretiert noch bearbeitet werden.
Nach einiger Zeit stehen die ersten Rechner still. Beim Versuch, die Unterlagen des Administrators zu studieren, ergibt sich leider, dass die bestehende IT-Landschaft kaum dokumentiert wurde. Nicht mal Administrator-Passwörter sind irgendwo hinterlegt. Es müssen externe Spezialisten hinzugezogen werden, da das Unternehmen auf branchenspezifische Individuallösungen setzt. Das mit der Wiederherstellung beauftragte Systemhaus hat diese Software jedoch vorher noch nie gesehen.
Mehrere Wochen vergehen, bis alles wiederhergestellt werden konnte. Wichtige Aufträge mussten liegenbleiben, da die notwendigen Anwendungen und Informationen nicht verfügbar waren. Daraus entstehen Schäden, außerdem wollen die externen Dienstleister bezahlt werden. Ein Nachfolger muss zudem den ausgefallenen Admin ersetzen. Das Unternehmen ist in seiner Existenz bedroht.
Mit wenigen Handgriffe ist auch dieses Szenario vermeidbar: Die System-Einstellungen müssen ausführlich dokumentiert sein, Passwörter gehören sicher hinterlegt. Mit Vertretungsregeln und einem Notfallplan inklusive Anweisungen wäre dem Unternehmen schon sehr geholfen.
Ausschleusen von Daten durch Mitarbeiter
Im Hessischen stellt ein Traditionsbetrieb seit Jahrzehnten köstlichen “Äppelwoi” her – eine geheim gehaltene Rezeptur ist das Erfolgsgeheimnis des Betriebs. Einer der Mitarbeiter wechselt zur Konkurrenz. Kein halbes Jahr später hat das Konkurrenzunternehmen einen nahezu identischen Apfelwein auf den Markt gebracht. Der Verdacht liegt nahe: Ist das Unternehmen Opfer von Industriespionage durch den früheren Mitarbeiter geworden?
Als die Kriminalpolizei den Rechner des Verdächtigen untersucht, findet sie die Information, dass Dateien, die die geheime Rezeptur erhielten, erst gespeichert und später gelöscht wurden. Der Verdächtige legt ein Geständnis ab: Er konnte sich die Rezeptur beschaffen, da die Räumlichkeiten der Entwicklungsabteilung nicht verschlossen waren. Jeder Mitarbeiter, der im Gebäude war, hätte die Entwicklungsabteilung betreten und das Rezept stehlen können.
Auch wenn sich beide Unternehmen außergerichtlich auf eine Schadenersatzzahlung einigen konnten, entstand dem ursprünglichen Unternehmen ein gigantischer Schaden: Das Geheimnis seiner Originalrezeptur ist dahin – der entscheidende Wettbewerbsvorteil. Dass dies zu einer Verschlechterung der wirtschaftlichen Lage des Unternehmens beiträgt, versteht sich von selbst.
Wären die wichtigen Daten verschlüsselt und die Räumlichkeiten gegen unbefugten Zutritt abgesichert gewesen, wäre dem Unternehmen dies erspart geblieben.
Niedriges Gefahrenbewusstsein bei Mitarbeitern
In der Personalabteilung eines Mittelständers im Ruhrgebiet bearbeitete die neue Kollegin die eingehenden Bewerbungen. Nicht weiter auf detaillierte Inhalte achtend, leitete sie eingehende Bewerbungen zur entsprechenden Stelle weiter. Die bearbeitende Kollegin ruft jedoch plötzlich aus ihrem Büro, dass an ihrem Rechner nichts mehr ginge – sie habe eine Lösegeldforderung erhalten, kurz nachdem sie die letzte Bewerbung im .doc-Format öffnete.
Kein Geringerer als Emotet war ins Netzwerk gelangt. Die auf den Rechnern gespeicherten Backups wurden, wie alle anderen Dateien, verschlüsselt und das Unternehmen erhielt eine Lösegeldforderung. Würde das Lösegeld bezahlt, würde man die Dateien wieder freigeben. Die Polizei, die eingeschaltet wurde, riet jedoch davon ab.
Es liegt auf der Hand: IT-Sicherheit im Unternehmen ist immer auch von den Mitarbeitern abhängig – und zwar von jedem einzelnen. Deshalb ist es sinnvoll, auf Awareness-Maßnahmen zu setzen, um Mitarbeiter entsprechend zu sensibilisieren.
Maßnahmen zur Steigerung der IT-Sicherheit im Unternehmen
Um die IT-Sicherheit in Ihrem Unternehmen effizient zu steigern, empfehlen wir die folgenden Maßnahmen:
Etablierung eines IT-Sicherheitsmanagements
- Risikoanalyse: Im Rahmen einer Risikoanalyse stellen Sie zunächst die vorhandenen Werte in Ihrem Unternehmen fest (Dienste, Systeme, Daten, etc.) und klassifizieren sie anschließend entsprechend ihrer Bedeutung und ihres Schutzbedarfs. Dabei ermitteln Sie mögliche Risiken sowie bestehende Schwachstellen.
- Sicherheitsziele: Legen Sie nun konkret Ihre Sicherheitsziele fest und bestimmen Sie Verantwortlichkeiten. Die bestimmten Sicherheitserfordernisse müssen immer frühzeitig berücksichtigt werden, also beispielsweise schon vor der Neuanschaffung von IT-Systemen. Haben Sie dabei bitte auch die gesetzlichen sowie vertragsrechtlichen Aspekte im Kopf.
- Sicherheitskonzept: Eine Unternehmensleitlinie erklärt den Stellenwert der Informationssicherheit, aber auch die Sicherheitsziele sowie die relevantesten Aspekte der Sicherheitsstrategie. Neben konkreten Sicherheitsmaßnahmen sollte das Konzept auch die Zuständigkeiten aufzeigen.
- Maßnahmen dokumentieren: Alle Sicherheitsmaßnahmen werden systematisch dokumentiert und dies wird regelmäßig aktualisiert. Sie können dabei auf anerkannte Standards zurückgreifen, sprechen Sie uns hierfür gerne an. Protokolliert werden sollten auch alle sicherheitsrelevanten Ereignisse, außerdem müssen die Protokolle regelmäßig ausgewertet werden.
- Sicherheitsrichtlinien bekannt machen: Alle Unternehmensangehörigen müssen die bestehenden Richtlinien kennen und auch verstehen.
- Vertraulichkeitsvereinbarung treffen: In Verträgen mit Ihren Mitarbeitern können Sie sich absichern, dass die Sicherheitsvorgaben eingehalten werden. Sinnvoll sind gesonderte Vertraulichkeitsverpflichtungen für bestimmte Projekte, aber auch Vertragsstrafen.
- Einhaltung der Maßnahmen prüfen: Es sind regelmäßige Kontrollen darüber anzuraten, ob die Sicherheitsvorgaben befolgt werden und die Maßnahmen wirksam sind. Diese sind gegebenenfalls an veränderte Umstände anzupassen. Verstöße gegen die Sicherheitsrichtlinien müssen sanktioniert werden.
- Beauftragten für Informationssicherheit bestimmen: Der Beauftragte für die Informationssicherheit steuert den Sicherheitsprozess. Dafür muss er mit angemessenen Ressourcen ausgestattet werden.
- Zusammenarbeit mit Dritten fördern: Um Dritte zu beteiligen oder sich externer Leistungen zu bedienen, müssen Sicherheitskriterien einbezogen werden. Vertragliche Vereinbarungen sowie die Kontrolle der Einhaltung sind unabdingbar.
- Handlungskonzept bei Schadensfall entwickeln: Ein Notfallplan sollte Auskunft über das erforderliche Verhalten im Schadensfall, etwaige Meldewege und Ansprechpartner enthalten. Allen Mitarbeitern muss diese Anweisung bekannt sein.
- Mitarbeiter sensibilisieren: Mitarbeitern muss immer wieder die Bedeutung von Informationssicherheit vor Augen geführt werden. Schon bei Neueinstellungen sollte die Einweisung in die Informationssicherheit erfolgen.
- Schutz vor Elementarschäden gewährleisten: Zwar sind Risiken durch Brand oder Überschwemmung eher gering, jedoch nicht unmöglich – und die Folgen sind oft fatal. Brandschutzmaßnahmen sowie Maßnahmen zum Schutz vor Wasserschäden müssen als Bestandteil der IT-Sicherheit angesehen werden. Es gilt, schutzbedürftige Räume, IT-Systeme oder Gebäude zu ermitteln und entsprechende Sicherheitsvorkehrungen zu treffen.
- Schutz vor Diebstahl ausbauen: Zutrittsregelungen für sämtliche schutzbedürftigen Räume, Gebäude oder IT-Systeme sind zu treffen und einzuhalten. Die Gefahr durch Einbruch oder Diebstahl lässt sich reduzieren, indem Fenster und Türen in Abwesenheit geschlossen gehalten werden.
IT-Sicherheitsmaßnahmen für das Firmennetzwerk
- Vorhandene Schutzmechanismen prüfen: Viele Anwendungen verfügen über Sicherheitsmechanismen – Sie müssen sie nur nutzen. Passen Sie also die sicherheitsrelevanten Einstellungen Ihrer Programme und IT-Systeme entsprechend Ihres Bedarfs an.
- Virenschutzprogramme installieren: AV-Software kommt idealerweise flächendeckend zum Einsatz und ist regelmäßig zu aktualisieren.
- Software aktuell halten: Dasselbe gilt für jede Software: Browser, Betriebssysteme, E-Mail-Programme, Schutzprogramme und alles weitere ist stets aktuell zu halten.
- Firewall einsetzen und regelmäßig prüfen: Lassen Sie Ihre Firewall durch geschultes Personal administrieren. Server und Clients mit hohem Schutzbedarf werden zusätzlich durch einen lokalen Paketfilter abgesichert.
- Backups regelmäßig erstellen: Backups sämtlicher wichtiger Daten müssen regelmäßig durchgeführt werden. Bewahren Sie die Sicherheitskopien getrennt von den Originalen an einem Ort auf, der feuerfest und gegen Elementarschäden geschützt ist. Verschlüsseln Sie Ihre Backups.
- Zugriffsberechtigungen einschränken: Handeln Sie nach dem “Need-to-Know-Prinzip”. Heißt: Jeder Nutzer erhält nur auf jene Informationen ein Zugriffsrecht, die für seine Aufgabenerfüllung notwendig sind.
- Nicht benötigte sicherheitsrelevante Funktionen deaktivieren: Programme und Dienste, die nicht (mehr) benötigt werden, sind zu deaktivieren oder – noch besser – ganz zu deinstallieren. Beim Einführen neuer Programme legen Sie fest, welche Komponenten installiert werden sollen.
- Passwortschutz und Verschlüsselung einsetzen: Setzen Sie auf starke Passwörter mit mehreren Zeichen und einer Kombination aus Buchstaben, Zahlen sowie Sonderzeichen. Notieren Sie dieses Passwort nirgends, sondern merken Sie es sich oder nutzen ein sicheres Tool zur Passwortverwaltung. In regelmäßigen Abständen sollten Passwörter geändert werden. Schutzbedürftige Inhalte und E-Mails gehören verschlüsselt und werden idealerweise mit einer elektronischen Signatur versehen.
- Mobile Systeme schützen: Erstellen Sie eine eigene Sicherheitsrichtlinie für das Verwenden mobiler Systeme wie Smartphones oder Tablets. Schränken Sie die Rechte der Benutzer ein, besonders was das Installieren von zusätzlicher Software betrifft. Verschlüsseln Sie Festplatten von Notebooks.
Lassen Sie sich bei der Erstellung eines Sicherheitskonzepts beraten
Sie sehen: Schon kleine Schritte können helfen, die Daten in Ihrem Unternehmen besser zu schützen. Um jedoch nichts zu übersehen und den individuellen Schutzbedarf überhaupt kennenzulernen, ist die Unterstützung von Experten hilfreich.
Die Experten der PSW CONSULTING unterstützen Sie beim Planen der Maßnahmen für Ihre IT-Sicherheit. Nicht nur unsere jahrelange Erfahrung und unsere weitreichende Kenntnisse verschiedener Branchen sprechen für uns, sondern auch die Tatsache, dass Sie von zertifizierten Experten unterstützt werden. Nehmen Sie jetzt Kontakt auf und lassen Sie sich beraten!
One Reply to “IT-Sicherheit im Unternehmen”
Vielen Dank für den informativen Beitrag, der mir wirklich vor Augen geführt hat, wie ich in einer einfachen Weise meine eigene IT-Sicherheit verbessern kann. Wie Du selbst meinst – IT-Sicherheit erfordert ein gewisses Know How; ein Otto Normalverbraucher kann aber jedenfalls seine Sicherheit auch ohne Rückgriff auf Fachkentnisse und teures Software zum großen Teil sichern. Ich konnte sogar meiner Oma die aufgeführten Schritte beibringen!