Über IT-Sicherheitskonzepte, undichte Wolken und IoT-Inseln
| Magazin, IT Security, Cloud

Über IT-Sicherheitskonzepte, undichte Wolken und IoT-Inseln

Sie möchten direkt konkrete Beispiele?

​Dann lesen Sie hier, was in ein IT-Sicherheitskonzept gehören kann​

Der Umgang mit IT-Sicherheit in deutschen Unternehmen in Zahlen
  • 56 % aller Führungskräfte stuften im Jahre 2017 in Deutschland das Risiko einer gravierenden Schädigung durch einen Hacker-Angriff (Quellen: Deloitte; IfD Allensbach) für ihr Unternehmen als eher gering oder sehr gering ein.

  • 38 % der befragten Führungskräfte gaben 2017 an, keinen Notfallplan für einen Angriffsfall zu haben (Quellen: Deloitte; IfD Allensbach).

  • 17 % aller befragten Unternehmer waren bereits von erfolgreichen Angriffen auf Ihre IT-Infrastruktur betroffen (Quelle: Commerzbank). Die Dunkelziffer ist vermutlich höher.

Was ist eine Sandbox in der IT-Sicherheit?

Eine Sandbox ist eine virtuelle Maschine in einem abgekapselten System. Sie testet zum Beispiel, was passiert, wenn eine Datei ausgeführt wird. Die Sandbox ist sozusagen eine saubere Einweg-Quarantäne-Umgebung, ein Testgelände für Dateien. Für die IT-Sicherheit ist am wichtigsten, dass Sie in einer Sandbox alle Dateien auf Schadprogramme und unerwünschte Auswirkungen testen können. Die virtuelle Sandbox wird nach der Nutzung vernichtet. Bei neuen Dateien baut sich die Sandbox neu.

1.) Netzwerke im Unternehmen sollten segmentiert sein

Schadprogramme kommen über die verschiedensten Kanäle ins Unternehmen. Ransomware, also Verschlüsselungs-Trojaner, können auch über Office-Dateien ins Netzwerk kommen. Sie verstecken sich zum Beispiel als Makro in Excel-Tabellen. Das Makro führt dann ein Mitarbeiter aus, beispielsweise durch das Öffnen der Datei. Haben Sie dann in Ihrem Netzwerk keine Segmentierung, kann die Software das gesamte Firmennetz verschlüsseln. Eine Segmentierung ist eine Maßnahme gegen viele Angriffsformen, weil sie den Schaden begrenzt.

Aktive Eindringlinge nutzen ebenfalls gerne Arbeitsrechner als Relais und wühlen sich dann durch das gesamte Büro-Netzwerk, immer auf der Suche nach Möglichkeiten, auf vitale Systeme zuzugreifen. Es braucht deswegen ein IT-Sicherheitskonzept, das alle Ecken des Netzwerkes abdeckt, segmentiert und so resistenter macht.

2.) Workstations sollten standardisiert sein

Wir standardisieren Arbeitsrechner lückenlos, niemand stellt hier eine Ausnahme dar. Muss eine Geschäftsführung oder eine Abteilung eine andere Workstation haben, konfigurieren wir ein separates, segmentiertes Netzwerk dafür. Auf keinen Fall dürfen aber Computer mit unterschiedlichen Sicherheitsvorkehrungen in dasselbe Netzwerk senden und Daten empfangen. Nur so kann ein Bereich abgeschaltet sein, während andere Bereiche, die nicht betroffen sind, weiterarbeiten können.

Gute IT-Sicherheit bedeutet auch: Im Falle eines Virenbefalls können große Teile des Unternehmens weiterarbeiten.

3.) IoT-„Inseln“ sollten Sie vermeiden – oder IoT lückenlos mitdenken

Achtung, These: Jedes Unternehmen hat eine Schatten-IT, also eine inoffizielle Sammlung von Tools und Software, die einzelne Mitarbeiter oder Abteilungen auf eigene Faust nutzen. Einerseits durch die Verkoppelung von privaten und geschäftlichen E-Mails, die Nutzung von privaten USB-Sticks oder SD-Karten. Andererseits auch durch das IoT, etwa am Arbeitsplatz genutzte private W-Lan-Lautsprecher. Ich habe schon vollkommen ungeschützte private W-Lan-Geräte in sensiblen Produktionsstraßen gesehen. Da steht einfach ein Tablet, das ungeschützt als mobiler Hotspot dient oder Bluetooth-Tethering betreibt. Das IoT verschiebt die Grenzen der IT-Sicherheit vollkommen. Früher gab es eine fest definierte, stationäre Umgebung, die von der IT-Sicherheit geschützt wurde. Heute sind die Grenzen beweglich – im wahrsten Sinne des Wortes. 

Das IoT ermöglicht durch netzwerkfähige Alltagsgeräte kleine „Inseln“, die angreifbar sind. Das muss allen Mitarbeitern bewusst sein. Ein Teil des IT-Sicherheitskonzeptes muss deshalb in den Köpfen umgesetzt werden.

4.) Awareness für IT-Sicherheit sollten Sie im ganze Unternehmen fördern

Der Mensch selbst ist die größte Schwachstelle in der IT-Sicherheit. Nur wenigen ist bewusst, dass Eindringlinge häufig schlichtweg die richtigen Passwörter für wichtige Logins erraten. Ist das Passwort etwa der Name der Katze, der Familienname oder der Name des eigenen Kindes, können Cyberkriminelle die richtigen Wörter in sozialen Netzwerken herausfinden und einfach ausprobieren. Die Lösung dafür: sogenannte Token einführen, also etwa einen USB-Stick, der als elektronischer Schlüssel dient. Eine andere Maßnahme sind Einmal-Passwörter. Sie merken:

Eine bessere IT-Sicherheit im Unternehmen kostet Zeit und verändert Gewohnheiten. Ein Laborant könnte morgens schneller seine Arbeit aufnehmen, wenn er sich keine Schutzkleidung anziehen müsste. Der Schaden, der ohne Schutzkleidung entstehen kann, ist aber so ernst – womöglich lebensbedrohlich –, dass der Laborant die Schutzkleidung jeden Morgen anzieht, sie in regelmäßigen Abständen erneuert und darauf Acht gibt.

So sollten Sie auch ein gutes IT-Sicherheitskonzept für Ihr Unternehmen begreifen und nach innen kommunizieren: ganzheitlich nicht nur im Sinne der Infrastruktur, sondern auch mit allen Mitarbeitern. Das ist vor allem dort wichtig, wo industrielle Produktion mit der IT-Welt verschmilzt. Denn Produktionsstraßen müssen geschützt sein – eine Aufgabe für jeden Mitarbeiter.

Es gibt Experten, die daran zweifeln, ob Antiviren-Software in naher Zukunft überhaupt noch relevant ist. Denn die erfolgreichsten Attacken nutzen menschliche Unachtsamkeiten aus.