Dirk Menz von BASYS erzählt, warum IT-Sicherheitskonzepte auch eine Sache der Mentalität sind – und viel mehr als Firewall und vorsichtig surfen.
Auch 2019 ist vielen CEOs, Projektleitern und Digitalisierung-Beauftragten nicht ganz klar, welchen Stellenwert die Daten- und Dateisammlung sowie die IT-Infrastruktur eines Unternehmens einnehmen. Eine beschädigte IT-Infrastruktur kann zu Produktionsausfällen und Lieferengpässen führen.
Mehr noch: Dateien sind im 21. Jahrhundert ein selbstverständlicher Teil der Vermögenswerte. Ob diese Dateien direkt für die Produkte des Unternehmens (Designs, Entwürfe, Texte) oder nur indirekt für andere Prozesse (Kundendaten, Betriebsgeheimnisse, Strategiepapiere) wichtig sind, ist unerheblich. Kein Unternehmen würde sein Waren- und Ressourcenlager mit offener Tür unbeaufsichtigt lassen. Wer aber mit seinem „Datenlager“ derart verfährt und diesen Vergleich unpassend findet, unterschätzt die digitale Zeit. Denn die macht IT-Sicherheit immer komplexer.
Sie möchten direkt konkrete Beispiele? Dann lesen Sie hier, was in ein IT-Sicherheitskonzept gehören kann.
Es gibt drei Entwicklungen, die völlig neue Anforderungen an IT-Sicherheitskonzepte stellen
Manchmal höre ich, dass IT-Sicherheitsexperten „Ängste schüren“ würden. Zum Beispiel, wenn wir von Hacker-Angriffen sprechen. Wenn wir Fälle anführen, in denen die IT-Sicherheit mangelhaft war. Oder wenn wir zeigen, wo und wie es Hackern möglich wäre, Schaden anzurichten. Aber in der IT-Sicherheit müssen wir diese Beispiele und Möglichkeiten zeigen. Auch wenn regelmäßig in der Zeitung steht, dass Hacker wieder 200.000 Kreditkartendaten gestohlen haben, stumpfen die User ab. Das Thema ist zu weit weg, die wenigsten lesen über diese Vorfälle in der Zeitung und fangen an, die eigene IT-Sicherheit im Unternehmen zu reformieren.
Aktuell machen folgende Entwicklungen IT-Sicherheit immer komplexer:
- Der Trend zu mobilen End- und Arbeitsgeräten des Future Workplace.
- Das „Internet der Dinge“ oder Internet of Things, kurz: IoT, das Lautsprecher, Heizkörper, Alarmanlagen und Kühlschränke befähigt, sich in ein Netzwerk einzuloggen.
- Die Verlagerung von Daten, Anwendungen und ganzen Infrastrukturen in Clouds.
Als Experten für IT-Sicherheitskonzepte müssen wir hier mehr Bewusstsein schaffen. Denn die Vielzahl der neuen und komplexen Mechanismen in den IT-Infrastrukturen zeigt: Wir brauchen nicht irgendeine Firewall und irgendeinen Virenscanner, sondern ein Konzept, das alles zusammenfasst und verbindet.
Für IT-Sicherheitskonzepte sind Unternehmen noch nicht sensibilisiert.
Es gibt zwei verschiedene Reaktionen auf meine Vorträge zu IT-Sicherheitskonzepten. Die einen glauben, IT-Sicherheitskonzepte sind für ihr Unternehmen nicht relevant:
„Das betrifft uns nicht, wir sind kein lohnendes Ziel!“ Oder: „Wir sind ja vorsichtig!“ Aber: Viele Menschen schließen auch eine KfZ-Versicherung ab, obwohl sie vorsichtig fahren. Weil sie genau wissen, dass immer etwas passieren kann und sie die Realität nur begrenzt beeinflussen können.
Die zweite häufige Reaktion ist der Glaube, dass Sicherheitsvorfälle trotz guter IT-Sicherheitskonzepte „einfach passieren“. Sie passieren aber, weil selbst Großkonzerne die eigene IT-Sicherheit vernachlässigen. Deswegen sage ich bei Vorträgen immer: Dieses und jenes ist bereits in dieser Branche passiert und es hat die Betroffenen manchmal mehrere Millionen gekostet. Das hätten die Betroffenen aber mit bestimmten Maßnahmen verhindern können. Angriffe sind also keine abstrakte Möglichkeit, sondern die Realität.
„Bis jetzt ist ja nicht passiert, also brauchen wir kein IT-Sicherheitskonzept“ – das ist der gefährlichste Gedanke überhaupt.
Der Umgang mit IT-Sicherheit in deutschen Unternehmen in Zahlen
- 56 % aller Führungskräfte stuften im Jahre 2017 in Deutschland das Risiko einer gravierenden Schädigung durch einen Hacker-Angriff (Quellen: Deloitte; IfD Allensbach) für ihr Unternehmen als eher gering oder sehr gering ein.
- 38 % der befragten Führungskräfte gaben 2017 an, keinen Notfallplan für einen Angriffsfall zu haben (Quellen: Deloitte; IfD Allensbach).
- 17 % aller befragten Unternehmer waren bereits von erfolgreichen Angriffen auf Ihre IT-Infrastruktur betroffen (Quelle: Commerzbank). Die Dunkelziffer ist vermutlich höher.
Fehlende IT-Sicherheitskonzepte können unangenehme Folgen für die Geschäftsführung haben
Weniger als 1 % der Hacker-Angriffe werden überhaupt öffentlich. Was wir also in der Zeitung lesen oder in Ad-hoc-Meldungen von Unternehmen hören, ist die Spitze des Eisberges. Die Rufschädigung durch einen Hackerangriff ist oft viel schwerwiegender als der entstandene Millionen-Schaden. Dazu kommt:
Es haftet inzwischen immer die Geschäftsführung für alle durch Schadprogramme entstandenen Schäden.
Das soll Entscheider in die Pflicht nehmen, Sicherheitsmaßnahmen zu ergreifen. Die Geschäftsführung kann zwar zu Protokoll geben, dass sie einen Dienstleister oder einen qualifizierten Mitarbeiter beauftragt hat oder dass sie Best Practice umgesetzt hat. Gutachter erkennen das aber nur an, wenn ein gut dokumentiertes IT-Sicherheitskonzept erstellt wurde. Wenn Sicherheitsmaßnahmen unterlassen wurden, ist die Geschäftsführung verantwortlich. Das ist gesetzlich festgelegt.
„Viel Geld“ heißt nicht „viel Sicherheit“. Sicherheit ist eine Frage des ausgereiften und individuellen Konzeptes. Gesetzlich festgelegt ist auch, dass ein Unternehmen dafür haftbar ist, sicher mit Geschäftspartnern zu kommunizieren.
Wenn Unternehmen A an Unternehmen B eine infizierte Mail schickt, ist Unternehmen A für alle Schäden verantwortlich, die der Virus bei Unternehmen B anrichtet.
Es sei denn, Unternehmen A kann glaubwürdig nachweisen, dass es alles technisch Mögliche getan hat, um Viren zu erkennen. Deswegen: Nicht nur eingehende, auch ausgehende Mails müssen unbedingt auf Viren, Trojaner und Ransomware gescannt werden. Ein IT-Sicherheitskonzept muss daher erfassen, auf welchen Wegen das Unternehmen nach außen kommuniziert. Eine der zuverlässigsten Maßnahmen ist eine sogenannte Sandbox.
Was ist eine Sandbox in der IT-Sicherheit?
Eine Sandbox ist eine virtuelle Maschine in einem abgekapselten System. Sie testet zum Beispiel, was passiert, wenn eine Datei ausgeführt wird. Die Sandbox ist sozusagen eine saubere Einweg-Quarantäne-Umgebung, ein Testgelände für Dateien. Für die IT-Sicherheit ist am wichtigsten, dass Sie in einer Sandbox alle Dateien auf Schadprogramme und unerwünschte Auswirkungen testen können. Die virtuelle Sandbox wird nach der Nutzung vernichtet. Bei neuen Dateien baut sich die Sandbox neu.
Manchmal ist das Problembewusstsein zwar da, die IT-Abteilung aber an der Auslastungsgrenze
Der IT-Abteilung im Unternehmen ist oft bereits klar, das etwas gemacht werden muss. Aber es mangelt an Zeit und qualifiziertem Personal. Und da möchte ich betonen: Meine Kollegen von BASYS kommen nicht ins Unternehmen, um mit dem Finger auf jemanden zu zeigen oder der Unternehmens-IT neue Aufgaben aufzugeben. Denn wir wissen genau, dass die IT-Abteilungen am Maximum arbeiten. Wir möchten Arbeit abnehmen und optimieren. Eine problembewusste interne IT-Abteilung hilft uns oft. Als Consultant muss ich dann in Zusammenarbeit mit dem Kunden herausfinden:
Wann ist die goldene Mitte zwischen objektiver Sicherheit, subjektivem Sicherheitsgefühl und gewünschtem Aufwand erreicht?
Mit welchen Mitteln wir, von BASYS, gemeinsam mit dem Kunden diese goldene Mitte erreichen, ist sehr unterschiedlich. Wir analysieren deswegen genau, welche Lösungen es schon gibt und wo es Angriffspunkte gibt.
Vier Beispiele für Bausteine eines IT-Sicherheitskonzeptes
Was ist Teil eines IT-Sicherheitskonzeptes, abgesehen von Firewalls? Damit Sie sich das ungefähr vorstellen können, habe ich vier Beispiele. Ein IT-Sicherheitskonzept bringt einige oder noch viel mehr dieser Bausteine in einen großen Zusammenhang.
1.) Netzwerke im Unternehmen sollten segmentiert sein
Schadprogramme kommen über die verschiedensten Kanäle ins Unternehmen. Ransomware, also Verschlüsselungs-Trojaner, können auch über Office-Dateien ins Netzwerk kommen. Sie verstecken sich zum Beispiel als Makro in Excel-Tabellen. Das Makro führt dann ein Mitarbeiter aus, beispielsweise durch das Öffnen der Datei. Haben Sie dann in Ihrem Netzwerk keine Segmentierung, kann die Software das gesamte Firmennetz verschlüsseln. Eine Segmentierung ist eine Maßnahme gegen viele Angriffsformen, weil sie den Schaden begrenzt.
Aktive Eindringlinge nutzen ebenfalls gerne Arbeitsrechner als Relais und wühlen sich dann durch das gesamte Büro-Netzwerk, immer auf der Suche nach Möglichkeiten, auf vitale Systeme zuzugreifen. Es braucht deswegen ein IT-Sicherheitskonzept, das alle Ecken des Netzwerkes abdeckt, segmentiert und so resistenter macht.
2.) Workstations sollten standardisiert sein
Wir standardisieren Arbeitsrechner lückenlos, niemand stellt hier eine Ausnahme dar. Muss eine Geschäftsführung oder eine Abteilung eine andere Workstation haben, konfigurieren wir ein separates, segmentiertes Netzwerk dafür. Auf keinen Fall dürfen aber Computer mit unterschiedlichen Sicherheitsvorkehrungen in dasselbe Netzwerk senden und Daten empfangen. Nur so kann ein Bereich abgeschaltet sein, während andere Bereiche, die nicht betroffen sind, weiterarbeiten können.
Gute IT-Sicherheit bedeutet auch: Im Falle eines Virenbefalls können große Teile des Unternehmens weiterarbeiten.
3.) IoT-„Inseln“ sollten Sie vermeiden – oder IoT lückenlos mitdenken
Achtung, These: Jedes Unternehmen hat eine Schatten-IT, also eine inoffizielle Sammlung von Tools und Software, die einzelne Mitarbeiter oder Abteilungen auf eigene Faust nutzen. Einerseits durch die Verkoppelung von privaten und geschäftlichen E-Mails, die Nutzung von privaten USB-Sticks oder SD-Karten. Andererseits auch durch das IoT, etwa am Arbeitsplatz genutzte private W-Lan-Lautsprecher. Ich habe schon vollkommen ungeschützte private W-Lan-Geräte in sensiblen Produktionsstraßen gesehen. Da steht einfach ein Tablet, das ungeschützt als mobiler Hotspot dient oder Bluetooth-Tethering betreibt. Das IoT verschiebt die Grenzen der IT-Sicherheit vollkommen. Früher gab es eine fest definierte, stationäre Umgebung, die von der IT-Sicherheit geschützt wurde. Heute sind die Grenzen beweglich – im wahrsten Sinne des Wortes.
Das IoT ermöglicht durch netzwerkfähige Alltagsgeräte kleine „Inseln“, die angreifbar sind. Das muss allen Mitarbeitern bewusst sein. Ein Teil des IT-Sicherheitskonzeptes muss deshalb in den Köpfen umgesetzt werden.
4.) Awareness für IT-Sicherheit sollten Sie im ganze Unternehmen fördern
Der Mensch selbst ist die größte Schwachstelle in der IT-Sicherheit. Nur wenigen ist bewusst, dass Eindringlinge häufig schlichtweg die richtigen Passwörter für wichtige Logins erraten. Ist das Passwort etwa der Name der Katze, der Familienname oder der Name des eigenen Kindes, können Cyberkriminelle die richtigen Wörter in sozialen Netzwerken herausfinden und einfach ausprobieren. Die Lösung dafür: sogenannte Token einführen, also etwa einen USB-Stick, der als elektronischer Schlüssel dient. Eine andere Maßnahme sind Einmal-Passwörter. Sie merken:
Eine bessere IT-Sicherheit im Unternehmen kostet Zeit und verändert Gewohnheiten. Ein Laborant könnte morgens schneller seine Arbeit aufnehmen, wenn er sich keine Schutzkleidung anziehen müsste. Der Schaden, der ohne Schutzkleidung entstehen kann, ist aber so ernst – womöglich lebensbedrohlich –, dass der Laborant die Schutzkleidung jeden Morgen anzieht, sie in regelmäßigen Abständen erneuert und darauf Acht gibt.
So sollten Sie auch ein gutes IT-Sicherheitskonzept für Ihr Unternehmen begreifen und nach innen kommunizieren: ganzheitlich nicht nur im Sinne der Infrastruktur, sondern auch mit allen Mitarbeitern. Das ist vor allem dort wichtig, wo industrielle Produktion mit der IT-Welt verschmilzt. Denn Produktionsstraßen müssen geschützt sein – eine Aufgabe für jeden Mitarbeiter.
Es gibt Experten, die daran zweifeln, ob Antiviren-Software in naher Zukunft überhaupt noch relevant ist. Denn die erfolgreichsten Attacken nutzen menschliche Unachtsamkeiten aus.
Sicherheit kann nie statisch sein oder: "Always watch a running system."
Die ständige Überwachung und Kontrolle von Infrastrukturen muss Teil des IT-Sicherheitskonzeptes sein. Regelmäßige Updates, ein gutes Monitoring und aktive Qualitätssicherung durch Managed Services sind nötig, wenn Sie es mit einer wirklich guten, sicheren IT-Infrastruktur ernst meinen.
"Never touch a running system.“ ist in Zeiten der Digitalisierung geradezu ein gefährlicher Satz.
Monitoring und Logging sind hilfreiche Werkzeuge, haben aber den Ruf lästiger Pflichtaufgaben. Dabei wirken sie vorsorglich, sparen im Störungsfall viel Arbeit und Zeit bei der Fehlersuche und können von einem Dienstleister als Managed Services übernommen werden. Denn gibt es einmal eine Störung oder einen Angriff, helfen auf lange Sicht nur ursächliche Lösungen. Das ist eine der größten Stellschrauben für eine sichere IT-Infrastruktur: Wer die Verantwortung trägt, muss das Gesamtbild kennen. Ein übergreifender Plan für Desaster-Szenarien muss stehen, es darf kein „Silo-Denken“ geben. Auch das ist Teil eines IT-Sicherheitskonzeptes.
Machen wir gemeinsam die digitale Zukunft sicherer. Schreiben Sie uns eine Mail, schildern Sie unverbindlich, was Sie gerne umsetzen möchten. Wir finden gemeinsam eine Lösung. Für Sie besonders transparent und planbar geht das über unsere Managed Services, mit denen wir Ihnen und Ihrer IT-Abteilung genau die richtigen Aufgaben abnehmen.
