Gefahren für die eigene IT und wie diese vermieden werden.

Das Standardargument für mehr IT Sicherheit, kennen Sie bestimmt "Sicherheit in der IT ist kein Luxus, sondern notwendig!" Die Antwort, gerade von kleinen und mittelständischen Unternehmen, kennen Sie sicher auch "Sicherheit ist teuer und bei mir ist doch sowieso nichts zu holen". Nach diesem Artikel werden einige diese Position sicher noch einmal überdenken.

Sicherheit kostet Geld, das ist durchaus richtig, aber die Aussage, bei einem kleinen oder mittelständischem Unternehmen sei nichts zu holen, ist gerade in Deutschland ganz einfach falsch. Über 1500 sogenannte "Hidden Champions" gibt es in diesem Land, Weltmarktführer von denen man in der Öffentlichkeit kaum etwas hört, da es sich um kleine oder mittelständische Unternehmen handelt. In den Daten dieser Unternehmen ist ein riesiges Kapital gebündelt, das aufgrund der oben beschriebenen Einstellung ein lukratives Ziel für z.B. Konkurrenten und ausländische Geheimdienste bietet. 

Cyber-Angriffe sind für Unternehmen in vielerlei Hinsicht gefährlich. Bei Diebstahl von Industriegeheimnissen ist das Unternehmen direkt betroffen. Der Schaden ist dabei enorm. Laut der im April diesen Jahres veröffentlichten Studie des IT-Verbandes Bitcom waren mehr als die Hälfte aller befragten Unternehmen (1.074) bereits das Ziel von Cyber-Angriffen. Der Mittelstand ist dabei mit 61% am stärksten betroffen. Der Schaden für die Wirtschaft wird auf 51 Milliarden Euro geschätzt. Den Vertrauensverlust, der mit einem Verlust von sensiblen Daten bei Kunden und Partnern entsteht, kann man gar nicht beziffern.

Dabei ist moderne IT-Sicherheit heute keine unbezahlbare Zauberei mehr. Die wichtigsten Aspekte einer vernünftigen Sicherheitspolitik sind Planung und Konzeption des Ganzen sowie die Sensibilisierung der Mitarbeiter.

Die meisten Unternehmen belassen es bei Virenscanner und Firewalls. Beim regelmäßigen und vor allem zeitnahen Update der verwendeten Software sieht es schon wieder nicht so gut aus. Danach kommt die organisatorische Sicherheit, wer hat welche Berechtigungen und darf auf was zugreifen? Wie ist das eigene Netzwerk organisiert? Gibt es Notfallpläne und wie werden diese umgesetzt? Hier gibt es oft gravierende Mängel, die sich relativ leicht, durch die bereits angesprochene Planung und Konzeption einer in sich schlüssigen Sicherheitspolitik sowie dem Einsatz der passenden technischen Lösungen, beheben lassen könnten, wenn das Problem als solches erkannt und entsprechend angegangen wird. 

Da gerade die Planung und Konzeption der passenden Sicherheitspolitik nicht ganz einfach ist, sollte man sich hier von Experten unterstützen lassen, z.B. denen der ATIX. Technisch bieten die praxisorientierten Lösungen aus dem Open Source Umfeld die geeigneten Werkzeuge um den großen Herausforderungen zu begegnen. Praktisch werden nach der ersten Bestandsaufnahme der aktuellen Gegebenheiten professionelle Penetrationstests durchgeführt um die Schwachstellen eines Systems zu erkennen. Die Ergebnisse dieser Tests werden dann dazu genutzt die notwendige technischen Aspekte der Sicherheitspolitik zu planen und in die Praxis umzusetzen.  

Technisch bieten mit Open Source Lösungen automatisierte und gemanagte Systeme eine Vielzahl von Möglichkeiten die eigene Infrastruktur ohne viel Aufwand deutlich sicherer zu machen. Dabei kommt es weniger auf spezielle Software sondern auf die Konfiguration der Infrastruktur an. Tools wie der SOE Manager beispielsweise adressieren das Lifecycle- und Releasemanagement eines Rechenzentrums und sorgen für eine konsistente und kontrollierbare IT-Umgebung. 

Neben technischen Maßnahmen ist die Sensibilisierung der Mitarbeiter der wichtigste Punkt bei der Erhöhung der Sicherheit. Laut der Bitcom Studie lassen sich mehr als die Hälfte der gemeldeten Sicherheitsvorfälle auf die eigenen aktuellen sowie ehemalige Mitarbeiter zurückführen. Oft werden die Mitarbeiter auch ganz ungewollt als Einfalltor genutzt. Dies geschieht über das "Social Engineering." Sogenannte "Security Awareness Workshops" sind speziell dazu gedacht den Mitarbeitern eines Unternehmens die Risiken und Maßnahmen zur Vermeidung derselben aufzuzeigen. 

Es mag ja sein, dass es die totale Sicherheit nicht gibt, aber man muss es den bösen Jungs ja auch nicht zu leicht machen.

Kommentieren

Sie können einen Kommentar abgeben, indem Sie das untenstehende Formular ausfüllen. Nur Text. Kommentare werden moderiert.