Über IT-Sicherheitskonzepte, undichte Wolken und IoT-Inseln
| Magazin, IT Security, Cloud

Über IT-Sicherheitskonzepte, undichte Wolken und IoT-Inseln

1.) Netzwerke im Unternehmen sollten segmentiert sein

1.) Netzwerke im Unternehmen sollten segmentiert sein
Schadprogramme kommen über die verschiedensten Kanäle ins Unternehmen. Ransomware, also Verschlüsselungs-Trojaner, können auch über Office-Dateien ins Netzwerk kommen. Sie verstecken sich zum Beispiel als Makro in Excel-Tabellen. Das Makro führt dann ein Mitarbeiter aus, beispielsweise durch das Öffnen der Datei. Haben Sie dann in Ihrem Netzwerk keine Segmentierung, kann die Software das gesamte Firmennetz verschlüsseln. Eine Segmentierung ist eine Maßnahme gegen viele Angriffsformen, weil sie den Schaden begrenzt.

Aktive Eindringlinge nutzen ebenfalls gerne Arbeitsrechner als Relais und wühlen sich dann durch das gesamte Büro-Netzwerk, immer auf der Suche nach Möglichkeiten, auf vitale Systeme zuzugreifen. Es braucht deswegen ein IT-Sicherheitskonzept, das alle Ecken des Netzwerkes abdeckt, segmentiert und so resistenter macht.

2.) Workstations sollten standardisiert sein

2.) Workstations sollten standardisiert sein
Wir standardisieren Arbeitsrechner lückenlos, niemand stellt hier eine Ausnahme dar. Muss eine Geschäftsführung oder eine Abteilung eine andere Workstation haben, konfigurieren wir ein separates, segmentiertes Netzwerk dafür. Auf keinen Fall dürfen aber Computer mit unterschiedlichen Sicherheitsvorkehrungen in dasselbe Netzwerk senden und Daten empfangen. Nur so kann ein Bereich abgeschaltet sein, während andere Bereiche, die nicht betroffen sind, weiterarbeiten können.

Gute IT-Sicherheit bedeutet auch: Im Falle eines Virenbefalls können große Teile des Unternehmens weiterarbeiten.

3.) IoT-„Inseln“ sollten Sie vermeiden – oder IoT lückenlos mitdenken

3.) IoT-„Inseln“ sollten Sie vermeiden – oder IoT lückenlos mitdenken
Achtung, These: Jedes Unternehmen hat eine Schatten-IT, also eine inoffizielle Sammlung von Tools und Software, die einzelne Mitarbeiter oder Abteilungen auf eigene Faust nutzen. Einerseits durch die Verkoppelung von privaten und geschäftlichen E-Mails, die Nutzung von privaten USB-Sticks oder SD-Karten. Andererseits auch durch das IoT, etwa am Arbeitsplatz genutzte private W-Lan-Lautsprecher. Ich habe schon vollkommen ungeschützte private W-Lan-Geräte in sensiblen Produktionsstraßen gesehen. Da steht einfach ein Tablet, das ungeschützt als mobiler Hotspot dient oder Bluetooth-Tethering betreibt. Das IoT verschiebt die Grenzen der IT-Sicherheit vollkommen. Früher gab es eine fest definierte, stationäre Umgebung, die von der IT-Sicherheit geschützt wurde. Heute sind die Grenzen beweglich – im wahrsten Sinne des Wortes. 

Das IoT ermöglicht durch netzwerkfähige Alltagsgeräte kleine „Inseln“, die angreifbar sind. Das muss allen Mitarbeitern bewusst sein. Ein Teil des IT-Sicherheitskonzeptes muss deshalb in den Köpfen umgesetzt werden.

4.) Awareness für IT-Sicherheit sollten Sie im ganze Unternehmen fördern

4.) Awareness für IT-Sicherheit sollten Sie im ganze Unternehmen fördern
Der Mensch selbst ist die größte Schwachstelle in der IT-Sicherheit. Nur wenigen ist bewusst, dass Eindringlinge häufig schlichtweg die richtigen Passwörter für wichtige Logins erraten. Ist das Passwort etwa der Name der Katze, der Familienname oder der Name des eigenen Kindes, können Cyberkriminelle die richtigen Wörter in sozialen Netzwerken herausfinden und einfach ausprobieren. Die Lösung dafür: sogenannte Token einführen, also etwa einen USB-Stick, der als elektronischer Schlüssel dient. Eine andere Maßnahme sind Einmal-Passwörter. Sie merken:

Eine bessere IT-Sicherheit im Unternehmen kostet Zeit und verändert Gewohnheiten. Ein Laborant könnte morgens schneller seine Arbeit aufnehmen, wenn er sich keine Schutzkleidung anziehen müsste. Der Schaden, der ohne Schutzkleidung entstehen kann, ist aber so ernst – womöglich lebensbedrohlich –, dass der Laborant die Schutzkleidung jeden Morgen anzieht, sie in regelmäßigen Abständen erneuert und darauf Acht gibt.

So sollten Sie auch ein gutes IT-Sicherheitskonzept für Ihr Unternehmen begreifen und nach innen kommunizieren: ganzheitlich nicht nur im Sinne der Infrastruktur, sondern auch mit allen Mitarbeitern. Das ist vor allem dort wichtig, wo industrielle Produktion mit der IT-Welt verschmilzt. Denn Produktionsstraßen müssen geschützt sein – eine Aufgabe für jeden Mitarbeiter.