Das Risiko fest im Griff

26.04.2007
Von Olaf Lindner
Unternehmen müssen stets ihre Geschäftsdaten verfügbar halten und sich gleichzeitig vor Missbrauch, Diebstahl und Verfälschung schützen. Wie das zu bewerkstelligen ist, erläutert Olaf Lindner, Director Symantec Security Services.

Vor allem kleine und mittelständische Unternehmen (KMU) sind immer größeren Sicherheitsrisiken ausgesetzt - die Erhebungen des Symantec Internet Security Threat Report (ISTR) zeigen, dass kleinere Unternehmen vermehrt im Visier professioneller Hacker stehen. Diese wenden sich von spektakulären Offensiven gegen große Netzwerke ab und wählen stattdessen kleinere, womöglich schlechter geschützte Angriffsziele.

Der Bericht zeigt, dass Bot-Netze und Denial-of-Service (DoS)-Angriffe ein großes Sicherheitsproblem darstellen. Ein Botnet ist ein Verbund von mehreren tausend Rechnern, die durch spezielle Schadprogramme, sogenannte Bots, von Hackern ferngesteuert werden - ohne Wissen des PC-Nutzers. Sie können beispielsweise eine Flut von Anfragen auf Unternehmensserver auslösen und sie so sehr überlasten, dass diese zusammenbrechen. Die Hacker erpressen mit der Geschäftsschädigung durch solche DoS-Attacken die Unternehmen.

Im Mittelstand fehlt es leider oftmals noch am Bewusstsein für die Folgen von Internetattacken. Häufig herrscht die Meinung vor, dass ein effektiver Schutz kostenintensiv und kompliziert in der Umsetzung ist. Die eigenen IT-Administratoren verfügen oftmals nicht über ein ausreichendes Sicherheits-Know-how, denn interne Sicherheitsspezialisten - wie in Konzernen üblich - rechnen sich erst ab einer bestimmten Unternehmensgröße.

Doch im Grunde genommen müssen sich kleine und mittlere Unternehmen genauso schützen wie Konzerne - nur mit sehr viel geringerem Budget. Entsprechend hoch ist der Automatisierungsgrad, der durch effektive IT-Sicherheits- und Datensicherungslösungen erreicht werden muss. Denn Datenverluste sind mit hohen finanziellen Einbußen verbunden, wenn zum Beispiel Firmengeheimnisse ausgespäht werden, eine fehlerhafte Auftragsbearbeitung die Kunden verunsichert, Arbeitszeit verloren geht oder Ausfallzeiten die Geschäfte auf Eis legen. Ebenfalls nicht zu unterschätzen ist der Imageverlust.

Schutz vor Missbrauch, Diebstahl und Manipulation

Um den Sicherheitsanforderungen kosteneffizient entsprechen zu können, sollten die eingesetzten Lösungen von Grund auf richtig konzipiert werden. Nur durch eine übergreifende Sicherheitsstrategie in Kombination mit genau aufeinander abgestimmten Firewalls (FW), Virenschutz- (AV) und Intrusion-Detection-Systemen (IDS) auf sämtlichen Netzwerkebenen kann der Schutz aller Daten vor Missbrauch, Diebstahl und Manipulation bei minimalem Personal- und Zeitaufwand garantiert werden.

Eine Firewall sorgt dafür, dass kein unliebsamer Besuch Zutritt ins Netzwerk erhält. Ein leistungsstarkes Virenschutzsystem hält schadhafte Programme fern, wichtig ist aber die regelmäßige Aktualisierung der Virensignaturen. Zu empfehlen ist auch ein Spam-Filter, bestenfalls mit Anti-Phishing-Funktion. Er blockt die Werbeflut, die das elektronische Postfach verstopft. Außerdem lassen sich Werbebanner und störende Pop-up-Fenster während der Internetrecherche unterbinden.

Zu guter Letzt erkennt das Intrusion-Detection-System verdächtige oder riskante Verbindungen und nicht autorisierte Zugriffe. Wichtig ist zudem, dass die immer wieder neu entdeckten Sicherheitslücken immer wieder geschlossen werden. Hersteller stellen dafür in der Regel sogenannte Patches bereit, die regelmäßig eingespielt werden sollten.

IT-Sicherheit im Unternehmen verankern

Neben dem Einsatz aktueller technischer Schutzmaßnahmen müssen in den Unternehmen Sicherheitsrichtlinien erstellt werden. Das Formulieren einer Richtlinie zur Datensicherheit im Unternehmen schärft zum einen das Bewusstsein der Mitarbeiter und gibt zum anderen wichtige Hinweise zum korrekten Umgang mit Internet, E-Mail-Verkehr, vertraulichen Geschäftsinformationen und Passwörtern.

Zudem sollten die bestehenden Betriebsvereinbarungen mit einer Regelung zur Internetnutzung ergänzt werden. Diese regelt zum Beispiel die Filterung, Aufzeichnung und Einsichtnahme von Protokolldaten, definiert die Rechte und Pflichten der Belegschaft und dient auch dem Schutz des Unternehmens und seiner Mitarbeiter vor Gesetzesverstößen.

Schließlich ist einer der größten Risikofaktoren im Umgang mit dem Internet der Mensch. Schulungsprogramme, die Mitarbeitern Schritt für Schritt die Wichtigkeit der IT-Sicherheit erläutern, helfen dabei, dass jede und jeder im Unternehmen zur Datensicherheit beiträgt.

Neben der Sicherheit von Daten spielt ihre Speicherung eine genauso wichtige Rolle. Um die Geschäftstätigkeit nicht zu behindern, werden die Zeitfenster für die Durchführung von Backups zunehmend kleiner. Dabei mag es für ein Unternehmen unter Umständen ausreichend sein, wenn es Daten wiederherstellen kann, die am Vortag gesichert wurden. Für viele Unternehmen kann allerdings schon der Verlust von Daten, die innerhalb einer Stunde erstellt oder geändert wurden, zu hohen Umsatzeinbußen führen.

Mit der kontinuierlichen Sicherung von Daten, auch Continuous Data Protection (CDP) genannt, wird ein neuer Ansatz verfolgt, bei dem die digitalen Informationen nicht zu fest vorgegebenen Zeiten vollständig oder teilweise gesichert werden, sondern laufend und automatisiert nach jeder Änderung in einer Datei. Damit verschwinden die Zeitfenster, die für das Backup eingeplant werden müssen. Darüber hinaus wird das Risiko eines Datenverlustes durch die Sicherung in Echtzeit massiv verringert.

Diese kontinuierliche Datensicherung bringt vor allem auch bei Angriffen durch Schadprogramme auf IT-Systeme erhebliche Vorteile. Im Falle eines Angriffs, beispielsweise durch einen gerade erst in Umlauf gebrachten Virus oder Trojaner, auf den die IT-Sicherheitssysteme noch nicht vorbereitet sind, kann es oft einige Zeit dauern, bis die Infizierung überhaupt registriert wird und entsprechende Gegenmaßnahmen eingeleitet werden können. Dank der kontinuierlichen Sicherung der Daten ist es möglich, die zuletzt gespeicherte, saubere Version der angegriffenen Datei wiederherzustellen.

Allerdings stellt Continuous Data Protection nur einen Teil einer umfassenden Backup-Strategie dar. Unternehmen tun gut daran, ihre Daten zusätzlich nach wie vor zu Auslagerungszwecken auch auf Bändern abzusichern. Letztlich ist dies auch eine Kostenfrage, sind Festplattenspeicher doch teurer als Speicherbänder.

So empfehlen sich aufgrund der schrumpfenden Backup-Fenster teurere Disk-Technologien, die eine schnelle Speicherung und Wiederherstellung der Daten gewährleisten. Für die Langzeitarchivierung sollten Daten zusätzlich auf kostengünstigere Bänder gespeichert und ausgelagert werden.

Risikomanagement im Mittelstand

Ziel all dieser Maßnahmen sollte es sein, innerhalb eines Unternehmens IT-Infrastrukturen zu schaffen, die sich flexibel und automatisch unterschiedlichen Risikosituationen und Geschäftsanforderungen anpassen. Derartige widerstandsfähige Infrastrukturen sind geeignet, Bedrohungen und Engpässe frühzeitig zu erkennen und Geschäftsunterbrechungen zu vermeiden. Zugleich verhelfen sie Unternehmen, ihre IT-Systeme optimal auszunutzen, und verbessern somit ihre Effizienz. Die Einführung und Umsetzung eines umfassenden Risikomanagements ist dazu unerlässlich - dabei kann externe Unterstützung durch ein auf IT-Sicherheit spezialisiertes Beratungsunternehmen, wie zum Beispiel Symantec Consulting Services, bei der Planung, Umsetzung und Kontrolle der entsprechenden Infrastrukturen gerade für KMUs eine lohnende Investition sein.

Zur Startseite