Das Arbeiten in einem großen Konzern mag Nachteile haben - lange Reaktionsketten, starre Hierarchien und oft die Anonymität des Einzelnen. Was die Sicherheit angeht, haben Großunternehmen aber einen entscheidenden Vorteil: Mehr Ressourcen, um IT-Spezialisten einzustellen Damit wird Cyberkriminellen der Zugriff auf sensible Firmendaten deutlich erschwert.
In kleinen und mittelständischen Unternehmen ist die Lage jedoch anders. Auch simple IT-Sicherheit wird hier oft aus budgetären Gründen vernachlässigt. Oft kann sich Malware allein deshalb verbreiten, weil den Mitarbeitern auf Grund von fehlenden Schulungen selbst grundlegende Sicherheitsmaßnahmen nicht bekannt sind. Allerdings – auch mit geringeren Mitteln können sich Unternehmen gegen Angriffe aus dem Netz wehren. Faronics, Spezialist für die Vereinfachung, Sicherung und Verwaltung von Mehrbenutzer-Computerumgebungen, stellt die größten Sicherheitsbedrohungen für den Mittelstand vor.
1. Spam, lovely Spam
Ein typisches Problem in mittelständischen Unternehmen ist die immer weiter zunehmende Flut an Spam- und Betrugsmails. Trotz gewisser Basisvorkehrungen kommen immer wieder Mails durch – fällt ein einzelner Mitarbeiter darauf herein und öffnet beispielsweise einen Anhang einer solchen Mail, hat das Konsequenzen für das ganze Unternehmen. Gefälschte Domains mit Namen wie "ebay.rechnung.com" sehen harmlos und offiziell aus, können aber leicht einen Trojaner verstecken, der sich, einmal geöffnet, schnell im gesamten Netzwerk der Firma ausbreiten kann.
Grade für kleine und mittelständische Unternehmen ist es wichtig, ein mehrschichtiges Sicherheitssystem zu implementieren, um wichtige Daten und die Funktionalität ihrer Systeme zu schützen. Natürlich bietet eine simple Antivirensoftware ein gewisses Maß an Schutz. Aber in Zeiten, in denen Hacker Schadsoftware einfach kaufen und auf jedes beliebige Unternehmen zuschneiden können, ist das nicht genug.
An dieser Stelle können zusätzliche Sicherheitsschichten wie Systemwiederherstellungslösungen oder Anwendungs-Whitelisting unterstützend wirken – vor allem gekoppelt an ein Sicherheitstraining für die Angestellten. Traditionelle Sicherheitslösungen sind sehr effektiv gegen bekannte Bedrohungen, gegen neuartige und fremde Schadsoftware sind sie aber machtlos – und die Nummer an unbekannten Bedrohungen wächst weiterhin bedeutend.
2. Zero-Day-Bedrohungen
Bei Zero-Day-Bedrohungen nutzen Hacker die Tatsache aus, dass die Schwachstelle im System neuartig ist und es noch keinen Schutz dafür gibt. Erst kürzlich wurden zwei neue Java-Schwachstellen entdeckt. Einschlägige Malware-Toolkits enthielten bereits deutlich vor der Veröffentlichung eines Patches Möglichkeiten zur Ausnutzung. Es scheint, als wären die "Bösen" in ihrer Entwicklung schneller als die "Guten".
Eine der Gefahren von Programmen, die es auf Plattformen wie Java abgesehen haben: Sie können sowohl die Sicherheit bei Windows, als auch bei Mac beeinträchtigen. Eine Möglichkeit, sich zu schützen: Java deinstallieren, solange bis die Schwachstellen repariert sind.
Weitere Herausforderungen folgen auf der nächsten Seite.
Balance zwischen Sicherheit und Flexibilität
3. Social Media
Dass viele Mitarbeiter während der Arbeit zwischendurch ihre Social-Media-Kanäle checken, ist je nach Unternehmensrichtlinie meist entweder selbstverständlich oder ein offenes Geheimnis. Bei einem verantwortungsvollen Umgang mit dem Web 2.0 stellt das für die Sicherheit des Unternehmens auch kein großes Problem dar, aber immer mehr Cyberkriminelle nutzen die Plattformen für ihre Machenschaften – denn viele Menschen vertrauen Facebook und Co. weit mehr, als gut für sie ist.
Wer sich beispielsweise schon immer gefragt hat, wer sein Profil am häufigsten anklickt, sollte seine Neugier unbedingt unterdrücken – Profilbetrug ist eine der beliebtesten Maschen auf Facebook – und das soziale Netzwerk räumt Programmierern nicht die erforderlichen Zugriffsrechte ein, um eine solche App zu realisieren. Ein Link zu den Besuchern eines Profils kann also nur gefälscht sein. Auch kostenlose Apple-Produkte scheinen zu schön um wahr zu sein – und sind es auch. Finger weg!
Für Unternehmen empfehlen sich in diesem Umfeld Basis-Schulungen für alle Mitarbeiter. Social-Media-Kanäle lassen sich mit ein wenig gesundem Menschenverstand sicher nutzen – man muss nur wissen, worauf geachtet werden muss.
4. Balance zwischen Sicherheit und Freiheit
IT-Managern stellt sich die Aufgabe, die Computerumgebung eines Unternehmens so sicher zu gestalten, wie es die Firmenpolitik vorschreibt und dem Mitarbeiter dabei trotzdem die notwendige Flexibilität für den hektischen Arbeitsalltag zu ermöglichen. Wahrlich kein leichter Auftrag – ein sicherer Desktop kann etwa so sicher sein, dass er unbenutzbar wird, oder aber so flexibel, dass er nicht mehr sicher ist. Den Mitarbeiten völlig die Möglichkeit des individuellen Arbeitsplatzes zu nehmen, sorgt zudem auch nicht für ein besseres Arbeitsklima. Hinzu kommen vorgegebene standardisierte Regulationen, die im Alltag aber nicht immer so umzusetzen sind. Die Frage, die sich stellt: Kann es hier eine sinnvolle Balance geben?
Vor allem für mittelständische Unternehmen, in denen oftmals das Budget für IT-Spezialisten nicht sonderlich hoch ist, sind CCM-Tools (Centralized Configuration Management) eine große Hilfe. Neben Kosten sparen können Sie auch dem IT-Manager eine Menge Arbeit abnehmen. So muss der IT-ler beispielsweise nicht mehr von Desktop zu Desktop laufen, um die individuellen Einstellungen vorzunehmen, das Programm übernimmt das für ihn. Die frei gesetzten Kapazitäten können so wieder für Support und Trainings eingesetzt werden.
Für jedes Unternehmen, ob groß oder klein, gilt: Zuerst und vor allem ist es Pflicht, die Mitarbeiter für das Thema Sicherheit zu sensibilisieren. Die ausgefeilteste IT-Security kann auch nur bis zu einem gewissen Punkt Schutz gewährleisten, wenn den eigentlichen Nutzern die Risiken nicht bekannt sind. Eine Investition in Schulungen ist demnach nie fehlgeleitet. (tö)