Thought Leadership
Was Unternehmen unbedingt tun sollten – und was sie besser lassen sollten. Ein Kommentar von Liviu Arsene, Sicherheitsexperte bei Bitdefender.
Drei Monate nach Inkrafttreten des IT-Sicherheitsgesetzes hat sich an der Einschätzung vieler Experten nichts geändert – es besteht großer Aufholbedarf in der deutschen Unternehmenswelt. Immer wieder wird berichtet, dass sich vor allem kleinere und mittlere Unternehmen nicht ausreichend um ihre IT-Sicherheit kümmern. Laut einer aktuellen BITKOM-Studie sei bereits jedes zweite Unternehmen in Deutschland Opfer eines Cyberangriffs geworden. Eine andere Umfrage unter Sicherheitsanbietern hat ergeben, dass sich über die Hälfte der Unternehmen erst um IT-Sicherheit bemühen, wenn es schon einen Vorfall gab. Um dieses Problem zu lösen, muss das Bewusstsein für IT-Sicherheit gestärkt werden.
Die Dont’s – Wo Unternehmen bisher falsch liegen
Eines der größten Defizite der Unternehmen, ganz unabhängig von deren Größe, ist das mangelnde Verständnis für wertvolle, und damit schützenswerte Dateien und Dokumente. Dementsprechend fehlen auch oft die nötigen Vorsichtsmaßnahmen. Angreifer können so auf Dateien zugreifen, die eigentlich auf getrennten Netzwerken oder separater Infrastruktur gespeichert sein sollten.
Natürlich müssen die eigenen Mitarbeiter auf die Ressourcen des Unternehmens zugreifen können. Das wird immer dann zu einer Schwachstelle, wenn sich die Kollegen nicht an die Sicherheitsvorgaben und –vorkehrungen halten. Firmen, die sich nicht mit den Sicherheitsaspekten von Entwicklungen wie Bring Your Own Device (BYOD) / Wear your own Device (WYOD) auseinandersetzen, sich nicht um Authentifizierung scheren und keine strikten Regelungen zu Zugriffsrechten haben, werden mit großer Wahrscheinlichkeit früher oder später Opfer einer Cyberattacke werden.
Das Konzept der Rogue IT – also Tools, die Mitarbeiter eigenständig und ohne Wissen der IT-Abteilung einsetzen – stellt nämlich eine große Gefahr dar. Solche Software kann zu Sicherheitslücken führen – sogar die Installation eines Media-Player, der nicht von der IT-Abteilung genehmigt wurde, kann einem Hacker Zugriff auf das Firmennotebook gewähren. Und dann ist es für Angreifer ganz einfach sich über Covert Lateral Movement oder andere Kniffe Zugang zu und womöglich auch Kontrolle über das gesamte Netzwerk zu verschaffen. Ein definierter und geregelter Umgang in puncto Software- und App-Installation kann Unternehmen also vor millionenschweren Datenverlusten schützen.
Studien haben außerdem gezeigt, dass vielen Unternehmen ein Reaktions- oder Notfallsystem fehlt, wodurch sich die Behebung von Zwischenfällen, die Abwehr von Angriffen und letztendlich auch die Sanierung unnötig in die Länge ziehen können. Zeit ist schließlich Geld.
Die Do’s – Was Unternehmen besser machen können
Nachdem es nur eine Frage der Zeit ist, bis dieser Notfall eintritt, sind Unternehmen gut damit beraten, einen internen Reaktionsplan aufzusetzen. Dazu sollte auch ein Sicherheitsmechanismus gehören, der bei einem Zwischenfall alle Stakeholder benachrichtigt und ihnen somit die Chance gibt, angemessen und schnell zu reagieren.
Ein ganz entscheidender Punkt ist auch die Klassifizierung der eigenen Daten nach ihrem Wert für das Geschäft. Nur so wird deutlich, dass diese gesichert werden müssen – und wo die Sicherheit am wichtigsten ist.
Es zeigt sich also, dass Unternehmen erst ein Bewusstsein für IT-Sicherheit entwickeln müssen. Das kann leider auch nicht alleine durch Gesetzgebung und deren Einhaltung erzielt werden. Stattdessen sollte es für Firmen zum Vorsatz werden, ihre Netzwerkumgebung aktiv auf Schwachstellen zu testen und ihre Mitarbeiter darin zu schulen, mögliche Bedrohungen zu identifizieren und zu melden.
Kurz zusammenfassen lassen sich die drei Meilensteine der IT-Sicherheit auch als AAA: Authentifizierung, Autorisierung und Accounting. Wenn ein IT-Manager diese drei Punkte im Griff hat, weiß er zu jeder Zeit genau, wer von welchem Endgerät auf welche Unternehmensressourcen zugreift und für wie lange.
Bei der Authentifizierung dreht sich alles um die Anmeldeinformationen für die Mitarbeiter, um zu gewährleisten, dass keine unbefugten Personen auf unternehmenskritische Daten zugreifen. Gleichzeitig sollten Autorisierungen vorgenommen werden – das heißt, dass der IT-Manager exakt definitiert hat, welche Zugriffsrechte die einzelnen Mitarbeiter für Ihre Arbeit benötigen und welche nicht.
Unter Accounting versteht man die Erfassung aller Daten zur Nutzung eines Tools. So gelingt der Überblick über Nutzungsdauer, Datenverkehr und sonstige Aktivitäten sämtlicher Mitarbeiter.
Durch die Beachtung dieser drei Meilensteine – Authentifizierung, Autorisierung und Accounting – kann das Risiko von Datenverlusten und Datendiebstählen begrenzt werden. Ebenso können die durch Rogue IT entstehenden Sicherheitslücken geschlossen werden.
Erwähnenswert ist auch, dass diese drei grundlegenden Maßnahmen von Unternehmen jeglicher Größe durchgeführt werden können. Der Kauf von spezieller Hard- oder Software ist nicht nötig.
Zusätzlich sollten Mitarbeiter in regelmäßigen Schulungen und Simulationen auf dem neuesten Stand zu IT-Sicherheit gebracht werden. Nur so werden sie dazu befähigt, Spearphishing oder Social-Engineering-Methoden korrekt zu identifizieren. Trainings und auch die Simulation von Angriffen werden die Mitarbeiter nicht nur wachsam halten, sondern auch eine große Zahl von Angriffen verhindern, bevor sie ernsthafte Schäden verursachen. Auch diese Aktivitäten sind für jedes Unternehmen zu empfehlen, egal ob groß oder klein.
