Unternehmen in Deutschland sehen sich bestens gegen Gefahren durch Hacker gerüstet – zumindest, was die technische Seite anbelangt. Das ergab der Cyber Security Report 2015 der Deutschen Telekom/T-Systems.
Aber reichen Security-Lösungen alleine wirklich aus, um sich effektiv zu schützen? Leider nein – denn die größte Schwachstelle ist nicht die Technologie, sondern der Mensch. Eine umfassende IT-Security-Strategie muss deshalb neben technischen Aspekten auch immer die organisatorische Seite mit einbeziehen.
Die zunehmende Beliebtheit von Cloud-basierten Services und das Zusammenwachsen von beruflich und privat genutzten Diensten und Geräten macht das Thema IT-Security in Unternehmen immer komplexer. Zum einen wächst die Gefahr der Schatten-IT: Einzelne Anwender oder Abteilungen nutzen Software ohne Kenntnis der IT-Abteilung. So wird es für die Security-Verantwortlichen immer schwieriger, den Wildwuchs zu kontrollieren und für die Umsetzung der Sicherheitsrichtlinien zu sorgen. Zum anderen gehen Mitarbeiter oft sehr sorglos mit sensiblen Daten um. Großer Beliebtheit erfreuen sich zum Beispiel Cloud-Speicher-Dienste wie OneDrive, Dropbox oder Google Drive. Eine aktuelle Studie des Cloud-Security-Anbieters Skyhigh Networks analysiert die aggregierten und anonymisierten Internetprotokolle von über 23 Millionen Unternehmensangestellten weltweit.
Die Ergebnisse zeigen, dass 15,8 Prozent der in Cloud-Dienste hochgeladenen Dokumente vertrauliche Informationen enthalten, darunter oftmals Betriebsgeheimnisse, Business-Pläne, personenbezogene Daten, Kreditkarten- oder Bankkontennummern. Auch mit der Rechtevergabe gehen viele Mitarbeiter sorglos um. Für 5,4 Prozent der geteilten Dokumente reicht ein Link als Zugriffsmittel aus. 2,7 Prozent dieser Links sind sogar öffentlich über eine Suchmaschine auffindbar. Der Studie zufolge finden sich pro Unternehmen zudem mehr als 1.000 Dokumente in Cloud-Speicher-Diensten, bei denen sensible Daten unverschlüsselt und mit sprechenden Dateinamen abgelegt wurden – zum Beispiel in einem Dokument „Password.docx“, um Passwörter zu speichern. So haben Angreifer leichtes Spiel.
Die Gefahr kommt aus dem Internet
Die größten Gefahren lauern heute im Netz. Hacker können von beliebigen Computern von überall auf der Welt aus anonym zuschlagen. Das Risiko, entdeckt zu werden, ist dabei relativ gering. Beliebte Angriffsszenarien sind DDOS-Attacken auf Webshops, der Diebstahl von sensiblen Daten oder Erpressungsversuche mithilfe von Kryptotrojanern. Anfang des Jahres schlug zum Beispiel Locky hohe Wellen: Die Malware schlich sich per E-Mail-Anhang in die Computer der Opfer und verschlüsselte dort unbemerkt Dateien. Erst gegen Lösegeldzahlung gab der Hacker die Daten wieder frei.
Trojaner-Angriffe lassen sich heute mit relativ wenig Aufwand durchführen. So gibt es zum Beispiel im sogenannten Darknet bereits Baukästen für Malware, mit denen Cyber-Kriminelle auch ohne tiefer gehendes Know-how Schädlinge zusammenbasteln können. Primäres Ziel ist dabei meist der Benutzer, denn er ist ein einfacher Angriffspunkt. Viele Mitarbeiter öffnen heute immer noch arglos E-Mails, die mit gefährlichen Schadcodes präpariert sind. Von Virenscannern können diese häufig nicht erkannt werden. Während technische Security-Systeme immer schwieriger zu knacken sind, konzentrieren Kriminelle ihre Bemühungen lieber auf die Schwachstelle Mensch.
Technische Aspekte bilden Grundlage
Um ein Unternehmen effektiv zu schützen, ist immer beides wichtig: ein technisches Sicherheitskonzept und ein organisatorisches, das den Faktor Mensch mit einbezieht. Zu den Standards auf der technischen Seite gehört die Installation von klassischer Security-Systemen wie Firewalls, virtuellen Firewalls, VPN-Gateways, Intrusion-Prevention-Systemen (IPS), Anti-Bot-Systemen, Anti-Viren-Systemen, Lösungen zur Erkennung von Schatten-IT und Application Control, LAN-Segmentierung sowie Network Access Control. Security Information und Event-Management-Lösungen (SIEM) spielen dabei eine bedeutende Rolle. Sie sammeln sicherheitsrelevante Daten und Dokumente und analysieren diese nahezu in Echtzeit. So erkennen die Systeme, ob sicherheitskritische Aktionen durchgeführt werden, und können automatisch geeignete Maßnahmen einleiten.
Ein umfassender Schutz gegen Cyber-Bedrohungen darf nie auf nur eine Technologie setzen, sondern muss immer vielschichtig aufgebaut sein. Entscheidend ist ein sorgfältig zusammengestellter Mix aus unterschiedlichen Anwendungen. Dabei müssen alle Elemente gut zusammenarbeiten und aufeinander abgestimmt sein. Denn Hacker finden immer wieder neue Tricks und ihre Angriffsmethoden und -möglichkeiten ändern sich schnell. Genauso wichtig ist es daher, stets über die neuesten Entwicklungen auf dem Laufenden zu bleiben. Dies zu gewährleisten, wird für IT-Teams immer schwieriger. Sie stehen vor wachsenden Aufgaben, verfügen aber häufig nicht über ausreichende personelle oder finanzielle Ressourcen. Die Auslagerung auf einen Dienstleister für Managed Security Services kann helfen, die nötige Sicherheitsinfrastruktur zu schaffen.
Organisatorische Sicherheit für den „Faktor Mensch“
Parallel zur technologischen Absicherung müssen Sicherheitsprozesse im Unternehmen auch gelebt werden. Dazu gehört, dass Mitarbeiter für Gefahren sensibilisiert werden. In vielen Unternehmen gibt es keine festgeschriebenen IT-Prozesse – das Know-how, wie Mitarbeiter im Stör- oder gar Angriffsfall vorgehen sollten, steckt meist in den Köpfen weniger Spezialisten. Sind diese einmal nicht sofort verfügbar, verstreicht wertvolle Zeit. Für die organisatorische IT-Sicherheit sollten die Abläufe deshalb standardisiert, vereinfacht und vor allem so weit wie nötig dokumentiert werden. Ziel ist es, einheitliche Regelungen und Richtlinien für alle Mitarbeiter zu schaffen. Auch Arbeits- und Dienstanweisungen für Dienstleister oder Richtlinien für Kunden und Gäste fallen in diesen Bereich.
Eine wichtige Rolle spielt zudem der Aufbau eines Informations-Sicherheits-Management-Systems (ISMS). Hinter dieser technisch anmutenden Bezeichnung steckt nicht etwa eine weitere Software, sondern ein abgestimmtes Paket aus Prozessen, Verfahren, Regeln und Verantwortlichkeiten. Es dient in erster Linie dazu, dem Management gegenüber die IT-Security im Unternehmen transparenter zu machen. Ein ISMS zeigt den Erfolg der Sicherheitsmaßnahmen auf, stellt abgewehrte Angriffe dar, identifiziert bestehende IT-Risiken und gibt der Geschäftsleitung entsprechende Einschätzungen und Handlungsempfehlungen mit. Denn häufig herrscht auf Entscheider-Ebene zu wenig Security-Know-how, um notwendige Maßnahmen zu verstehen und voranzutreiben. Ein ISMS kann IT-Abteilungen helfen, Genehmigungen für dringend benötigte Budgets zu bekommen und erforderliche Sicherheits-Projekte durchzuführen. Übergeordnet über allem sollte eine IT Security Policy stehen – ein Dokument, in dem die generellen Sicherheitsziele und Strategien des Unternehmens festgeschrieben sind.
Die Mischung macht‘s
Die IT Security-Landschaft verändert sich schnell. Hacker entwickeln immer wieder neue Angriffsmethoden und finden neue Sicherheitslücken. Trotz aller dafür vorgesehenen Technik sollte man nie vergessen, dass Menschen Fehler machen und ein leichtes Ziel darstellen. Nur ein vielschichtiger Ansatz, der sowohl einen sorgfältig aufeinander abgestimmten Technologie-Mix als auch weitreichende organisatorische Maßnahmen umfasst, kann dem erfolgreich die Stirn bieten. Eine hundertprozentige Absicherung gegen Cyber-Bedrohungen wird es nie geben. Mit einer umfassenden Sicherheitsstrategie nach neuestem Stand lassen sich die unvermeidlichen Restrisiken aber auf ein wirtschaftlich erträgliches Niveau reduzieren.
Olaf Niemeitz ist Geschäftsführer der Crocodial IT-Security GmbH in Hamburg.