IT-Sicherheit im Unternehmen – Wichtige Regeln

Zunehmend geraten kleine und mittelständische Unternehmen (KMU) ins Visier von Cyberkriminellen. In vielen Unternehmen wird das Thema IT-Sicherheit nicht groß genug geschrieben. Die Frage wie viel IT-Sicherheit ein Unternehmen braucht, kann sicherlich nicht allgemein beantwortet werden, jedoch steht fest, dass die verantwortliche Geschäftsleitung ihre Sorgfaltspflicht für diesen Sektor oftmals nicht genügend wahrnimmt. Manager wirken meist desinteressiert, wenn man sie bittet, über die IT-Sicherheit nachzudenken.

Zwar ist es möglich, sich gegen Cyber-Attacken zu versichern. Die Sorgfalt und Implementierung von grundlegenden Schutzmaßnahmen, müssen im Falle eines Angriffs jedoch nachgewiesen werden.

Das Thema IT-Sicherheit füllt ganze Bücher. Eine detaillierte Betrachtung der Thematik ist an dieser Stelle nicht möglich. Aber die nachfolgenden Regeln sollten unbedingt berücksichtigt werden. Das Ziel ist eine Reduzierung des Risikos auf das gewünschte und bewusst gewählte Restrisiko, welches in einem vertretbaren Verhältnis zu den betriebenen Aufwänden, bzw. zu den Auswirkungen steht.

IT-Sicherheit Ziel
Ziel der Maßnahmen

Wichtige Regeln

Verantwortlichkeiten definieren

Wer ist für was verantwortlich? Zum Beispiel für die Datensicherung oder für die Firewall? Missverständnisse können zu gravierenden Folgen führen. Um dies zu verhindern, sollten die verantwortlichen Personen klar definiert sein.

Früher mussten die verantwortlichen Personen, Firewalls und Antivirenprogramme konfigurieren, heute müssen sie das komplette Unternehmen als Ganzes mit all ihren Informationsstrom im Blickfeld haben und ein Sicherheitskonzept erstellen. Die verantwortlichen Personen sollten nicht nur Techniker sein, sondern insbesondere Führungskräfte, die die gesamte Organisation mit all ihren betriebswirtschaftlichen und regulatorisch-rechtlichen Aspekten im Blickfeld haben.

Zu den Aufgaben gehören:

  • die Erstellung des Sicherheitskonzepts.
  • den Sicherheitsprozess koordinieren.
  • sicherheitsrelevante Projekte koordinieren.
  • sicherheitsrelevante Vorfälle untersuchen.
  • Sensibilisierungs- und Trainingsmaßnahmen zur IT-Sicherheit initiieren.

Datensicherung

Eine Datensicherung ist definitiv nicht die komplette Antwort auf Schadsoftware, wie oftmals fälschlicherweise behauptet wird, aber eine sorgfältig geplante Backup-Strategie ist eine große Hilfe bei der Wiederherstellung des Betriebes – nach einem Hacker-Angriff.

Die folgenden Punkte sollten unbedingt beachtet werden:

  • Werden einzelne Sicherungsbänder extern aufbewahrt?
  • Welches Generationenprinzip kommt zum Einsatz (Tages-, Wochen-, Monats-Bänder)?
  • Wann wurde das Wiedereinlesen der Daten das letzte Mal getestet? Es ist sehr empfehlenswert, die Datensicherungsroutinen von Zeit zu Zeit zu testen. Es gibt nichts Schlimmeres, als erleichtert durchzuatmen, um dann feststellen zu müssen, dass die Sicherungsbänder nicht alles gespeichert haben.
  • Werden alle Daten gesichert?

Schutz vor Schadprogrammen

Die Bandbreite der Virengefahr ist ein ernst zu nehmendes Thema. Noch nie wurden so viele neue Schadprogramme in die Welt gesetzt wie in den vergangenen Jahren. Eine mehrstufige Antivirensoftware kann vor dieser Gefahr schützen. Dieser verfügt über verschiedene Mechanismen zur Erkennung von Malware.

Jeder Zugangspunkt muss durch den Antiviren-Schutz abgedeckt sein, z. B. Desktop-Geräte, LAN-Server, Mail-Gateways und Gateways für andere Datenübertragungsmethoden (beispielsweise FTP und NNTP).

Auf keinen Fall sollten die Mitarbeiter die Funktionalität von Antivirensoftware ohne die Erlaubnis der Sicherheitsbeauftragten reduzieren oder deaktivieren.

Die meisten Antiviren-Hersteller bieten Produktschulungen an, beim Hersteller oder vor Ort. In manchen Fällen sind die Kosten recht hoch. Allerdings ist es sehr wichtig, dass mindestens ein Mitarbeiter vernünftig geschult wurde.

Sichere Verbindung ins Internet

Ein Unternehmen, das sich allein auf ihre Antiviren-Software verlässt, lebt gefährlich.

Eine Firewall schützt Computernetzwerke, Netzsegmente oder einzelne Computer vor Gefahren und reguliert den dort stattfindenden Datenverkehr.

Eine gute und administrierbare Firewall-Lösung trennt drei wichtige Ressourcen (siehe untenstehende Grafik). So werden verschiedene Zugriffssteuerungen und Filtermethoden verwendet und es ist in hohem Maße für die Sicherheit gesorgt.

Interne, externe und lokale Firewall
Interne, externe und lokale Firewall.

Software aktuell halten

Regelmäßig werden neue Software-Schwachstellen entdeckt. Die Hersteller verbessern ihre Programme und stellen Sicherheitsupdates zur Verfügung. Diese müssen aber auch auf allen Servern und Clients im Unternehmen installiert werden.

Ein wichtiger Bestandteil der Sicherheitsstrategie. Denn wenn über längere Zeit Sicherheitslücken vorhanden sind, ist dies immer gut für Kriminelle.

Mitarbeiter sollten außerdem keine Software installieren, die das Risiko einer Sicherheits-Schwachstelle durch eine externe Quelle verschärft.

Siehe auch: Software auf dem aktuellen Stand halten

Umgang mit Passwörtern

Die gängigste Art des Angriffs auf ein Unternehmenssystem ist das Raten von Passwörtern. Einerseits soll ein Passwort leicht zu merken sein, damit man es nicht notieren muss, andererseits soll das Passwort auch nicht zu leicht sein, dass es geknackt werden kann. An diesem Dilemma beißen sich viele Computernutzer die Zähne aus.

Trotzdem müssen einfach Passwörter wie Teufel (32 Bits), Ihr Geburtsdatum (ca. 45 Bits) unbedingt vermieden werden. Das gilt sowohl für Passwörter von Administratoren als auch von Mitarbeitern.

Die Schwierigkeit, ein Passwort zu knacken, steigt mit der Anzahl der Stellen sowie der Zahl unterschiedlicher Ziffern, Sonderzeichen, Groß-, Kleinbuchstaben, die man verwendet. Eine Reihe von nützlichen Tipps zum Thema Passwort finden Sie in unserer Virenschutz-Anleitung. Und auch das Bundesamt für Sicherheit in der Informationstechnologie (kurz: BSI) hält einige nützliche Tipps bereit.

Zutrittsregelung

Sichere Passwörter bringen nichts, wenn jede Person mühelos Zutritt zum Serverraum erhält. Unkompliziert können so Daten, ohne bestimmte Lücken im System oder eine Software, auf USB-Sticks geladen werden.

Vertrauliche Informationen sind im ganzen Unternehmen zu finden. Der Zutritt muss klar geregelt sein.

Benutzerrichtlinien

Benutzerrichtlinien werden zu Unrecht oft als Zeitverschwendung betrachtet. Gute Richtlinien sind eine wichtige Rolle im Kampf gegen Cyberangriffe. Die Richtlinien sollten einfach formuliert werden und leicht zugänglich sein.

In den meisten Unternehmen dürfen die Mitarbeiter z. B. frei im Internet surfen. Die Mitarbeiter sollten darüber informiert werden, was akzeptabel ist und was nicht.

Wichtige Richtlinien:

  • Eine Richtlinie für die E-Mail-Nutzung.
  • Eine Richtlinie für die Nutzung des Internets.
  • Eine Richtlinie für den Gebrauch von Medien.
  • Eine Richtlinie für den Gebrauch von Software.
  • Eine Richtlinie für die Datensicherung.
  • Eine Datenschutz-Richtlinie.

Mitarbeiter sollten angehalten werden, die veröffentlichten Richtlinien des Unternehmens unbedingt einzuhalten. Unangebrachtes Verhalten kann dazu führen, dass nicht nur der Mitarbeiter selbst, sondern das ganze Unternehmen gefährdet wird.

Sensibilisierung

Sicherlich kann man von einem normalen Mitarbeiter nicht erwarten, dass er sich zum IT-Sicherheitsexperten entwickelt. Durch Vorträge und Schulungen kann man Mitarbeitern jedoch das nötige Grundwissen vermitteln und in regelmäßigen Abständen wieder auffrischen.

Sollte kein Engagement von den Mitarbeitern vorhanden sein, so muss erst ein Bewusstsein für Informationssicherheit erzeugt werden.

Abschließender Kommentar

Auf Sicherheitskongressen und -konferenzen zur Cybersicherheit stellen Redner und international anerkannte Keynote-Speaker immer wieder fest: Wir vernetzen unsere Firmen-Netzwerke und andere digitalen Geräte immer stärker miteinander. Und darin liegen Gefahren, die allmählich unbeherrschbar zu werden drohen: Da legt ein Verschlüsselungstrojaner mal eben einige Krankenhäuser und die Videoüberwachung in Bahnhöfen lahm. Ein Spionagetrojaner schnüffelt Politiker aus. Oder ein Ransomware-Angriff setzt das Berliner Kammergericht außer Gefecht.

IT-Sicherheit im Unternehmen ist essentiell. Aufgrund der ständig ansteigenden Bedrohungen durch Cyberkriminelle wird die Rolle des Sicherheitsverantwortlichen immer herausfordernder. Seine Bedeutung ist jetzt größer als je zuvor und wird in Zukunft noch zunehmen.

Ein wichtiger Schritt auf dem Weg zu mehr Sicherheit ist, zu akzeptieren, dass, wenn wir die Fülle an Möglichkeiten des Internets nutzen wollen, wir die damit verbundenen Sicherheitsrisiken zwangsläufig akzeptieren müssen. Denn es wird immer wieder Hackerattacken auf Unternehmen geben. Unternehmensdaten werden auch weiterhin gestohlen und Kriminelle zu Ihrem Ziel kommen. Ein Umstand, der sich über kurz oder lang nicht ändern wird, wenn er überhaupt je zu ändern ist. Die Frage ist, wie wir damit umgehen. Das World Wide Web ist eine Welt für sich, für die auch ganz eigene Regeln gelten.

Ich hoffe, dass Ihnen dieser Artikel ein paar neue Denkanstöße geben konnte und dass Ihr Unternehmen in Zukunft etwas sicherer durchs Internet reisen wird.

Rene Hifinger
Rene Hifinger
Rene Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Programmierung. Er beherrscht zahlreiche Programmiersprachen. Die Fragen der Datensicherheit gehören zu seiner täglichen Arbeit.

Rene Hifinger hat an verschiedenen IT-Sicherheitsprojekten mitgewirkt, beispielsweise im Bereich des Malware-Schutzes. Unter anderem hat er einige Internet-FAQs und ein Sammelsurium an Berichten über Viren und Trojaner geschrieben.

Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.