Die Sicherheit der IT-Systeme wird in Unternehmen nicht immer so ernst genommen, wie es sein sollte. Dabei helfen technische und organisatorische Maßnahmen sowie ein IT-Sicherheitskonzept, Kosten zu sparen. Denn die fallen in aller Regel geringer aus als der Schaden, der durch Cyber-Attacken, Datendiebstahl oder -verlust entsteht.
„Das Problem ist, dass der Begriff Informationssicherheit für Viele nicht greifbar ist. Dabei geht es im Wesentlichen darum, Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten“, macht Christian Heutger, IT-Sicherheitsexperte, aufmerksam.
Der Geschäftsführer der PSW GROUP Consulting hat aus diesem Grund die wichtigsten IT-Systeme sowie ihre Probleme und Gefahrenquellen, die einen Einfluss auf die Sicherheit haben, zusammengestellt:
Rechenzentrum
Im Rechenzentrum befinden sich wichtige IT-Systeme wie Server, E-Mail-Server, Backup-Server oder Clients. Um deren Sicherheit zu verbessern und IT-Security richtig zu leben, kommt es auf wesentliche Faktoren an:
Verfügbarkeit und Ausfallsicherheit: Mit der Verfügbarkeit, beziehungsweise der Ausfallsicherheit, steht und fällt die Qualität eines Rechenzentrums. Der so genannte „Tier“-Standard gibt dabei Auskunft über die Qualitätsklasse. Auf der niedrigsten Stufe, Tier 1, sind jährliche Ausfallzeiten von etwa 29 Stunden möglich. Hingegen erlaubt die höchste Stufe, die Tier 4-Klassifizierung, eine Ausfallzeit von nur 0,4 Stunden pro Jahr. Das BSI beispielsweise definiert die höchste Verfügbarkeit mit 99,999 %, was einer Ausfallzeit von maximal 26 Sekunden monatlich oder 6 Minuten jährlich entspricht. „Nur eine redundant ausgelegte Infrastruktur liefert hohe Ausfallsicherheit. Redundanz bedeutet, dass Ressourcen, die funktional vergleichbar sind, doppelt vorgehalten werden. So können durch Schaffung von Überkapazitäten Hardware-Ausfälle ausgeglichen und eine maximale Funktionsfähigkeit des IT-Systems garantiert werden. Beispiele für eine solche Überkapazität sind zwei Firewalls, mehrere Netzteile oder Cluster von Terminals“, informiert Heutger.
Stromversorgung: Die Sicherung der Energieversorgung des Rechenzentrums ist ebenfalls von zentraler Bedeutung. Kurzzeitige Ausfälle sowie Netzschwankungen können durch batteriegepufferte USB-Anlagen gesichert werden. Idealerweise arbeitet die Anlage aber mit einer modularen Architektur. „So wird verhindert, dass die Gesamtanlage vollständig redundant ausgelegt werden muss. Mithilfe eines automatischen Transferschalters wird die aktive Energiequelle automatisiert auf den Strompfad geschaltet, sodass die Stromversorgung jederzeit gesichert ist“, rät Heutger.
Kühlung: Ohne Kühlsysteme können Server überhitzen und Schaden nehmen. Deshalb muss eine permanente Kühlung sichergestellt sein. Um höchste Ausfallsicherheit zu gewährleisten, kann die IT-Kühlung durch eine USV-Anlage ergänzt werden. Um im akuten Fall eine Notkühlung herzustellen, können die Türen der IT-Racks geöffnet werden, um Hitzestau zu verhindern. Jedoch soll es beim Ausfall der Kühlung primär darum gehen, die Server zügig und möglichst ohne Datenverlust herunterzufahren.
Monitoring: Mit einem Monitoring-System wird die Infrastruktur überwacht. Es sollte deshalb durch eine redundante Stromversorgung gesichert sein. Zu einem regulären Stromkreis kann das System über Power over Ethernet abgesichert werden. Komplett gespiegelte Monitoring-Plattformen bieten höchste Sicherheit.
IT-Anwendungen
IT-Anwendungen sind überall in Unternehmen vertreten: Die Lohn- und Finanzbuchhaltung, die Personalzeiterfassung, Telefonsysteme, Überwachungsanlagen, die Internetseite, Datenbanken und vieles mehr. „Unzureichende Sicherheit macht diese IT-Systeme anfällig für cyberkriminelle Aktivitäten oder Ausfälle. Funktioniert etwa die Website eines Unternehmens aufgrund einer IT-Attacke nicht, fällt dies auf das Unternehmen selbst zurück. In einer Zeit, in der Dienstleister genauso austauschbar sind wie Produkte, ist die Nicht-Erreichbarkeit von IT-Anwendungen fatal“, mahnt Christian Heutger.
Büroarbeitsplätze
Cyber-Attacken können jeden treffen – und wenn Cyberkriminelle im Rechenzentrum nicht weiterkommen, nehmen sie höchstwahrscheinlich die Büroarbeitsplätze ins Visier. „Schutzmaßnahmen wie Virenscanner, Firewalls, Spamfilter für E-Mails sowie die regelmäßige Aktualisierung von Betriebssystemen und der Sicherheits-Software schließen die Einfallstore für Cyber-Kriminelle und erhöhen damit die Sicherheit“ so Heutger. Sinnvoll ist es zudem, Prozesse und Netze mit unternehmenskritischen Daten und jene mit niedrigem Sicherheitsniveau voneinander zu trennen.
„Immer hilfreich ist das elektronische Signieren von E-Mails. Eine solche Signatur wird an digitalen Dokumenten angebracht, damit die Identität des Signaturerstellers belegt ist. Weiter beweist die Signatur, dass nachträglich keine Daten manipuliert wurden. Damit sorgt die elektronische Signatur für Integrität und Authentizität“, rät der IT-Sicherheitsexperte.
Wenn externer Zugriff auf das Firmennetzwerk nötig ist, etwa wenn Mitarbeiter im Home-Office arbeiten, muss sichergestellt sein, dass ein solcher Zugriff nicht zum Einfallstor für Hacker wird. Ein sorgfältiges Zugriffsmanagement sorgt dafür, dass Mitarbeiter ausschließlich jene Daten einsehen und bearbeiten können, die auch für sie bestimmt sind.
Schatten-IT
Plug-and-Play ist bequem, kann aber zu einem großen Problem werden: Werden fremde Geräte an die Firmeninfrastruktur angeschlossen, können die Daten nicht mehr vom Unternehmen kontrolliert werden. „Während mit viel Aufwand und teurer Technik versucht wird, Schädlinge und Eindringlinge fernzuhalten, öffnen unsichere IT-Systeme die Schleusen für Angriffe und lassen Sicherheits-Lecks entstehen, die nur schwer zu stopfen ist“, bringt es Heutger auf den Punkt. Sein Rat: „Das Mitbringen von USB-Sticks, externen Festplatten, CDs oder ähnlichem sollte mindestens eingeschränkt, oder besser ganz unterbunden werden. Besser ist es, Angestellten Alternativen zu schaffen und abgesicherte Tools bereitzustellen.“
www.psw-consulting.de