Wege zu einer effektiven IT-Sicherheitsstrategie

IT-Sicherheit – nicht nur eine Frage der Tools

Gert Rudolph ist Gründer und Geschäftsführender Gesellschafter der InterConnect GmbH & Co. KG
Angesichts der weiter zunehmenden Attacken der Cyber-Kriminellen sind effiziente IT-Sicherheitsmaßnahmen wichtiger denn je.

Kriminelle Attacken richten oft immense Schäden in den betroffenen Unternehmen an: Allein in Deutschland haben Datenspionage und Sabotage in den letzten zwei Jahren Schäden in Höhe von 43 Milliarden Euro verursacht, so eine Schätzung des Branchenverbandes Bitkom. Betroffen waren Unternehmen aller Größen, mit leichtem Schwerpunkt auf den kleinen und mittleren Unternehmen (KMU): Drei von vier Unternehmen in der Größe von 100 bis 500 Mitarbeiter verzeichneten seit 2016 kriminelle Handlungen. Dazu zählen zum Beispiel Social Engineering oder der Diebstahl sensibler, digitaler Daten.

Um ein passendes und leistungsfähiges IT-Sicherheitskonzept entwickeln zu können, sollten Unternehmen zunächst den Stand ihrer IT-Systeme kennen.
Um ein passendes und leistungsfähiges IT-Sicherheitskonzept entwickeln zu können, sollten Unternehmen zunächst den Stand ihrer IT-Systeme kennen.
Foto: Indypendenz - shutterstock.com

Warnung: Die gefährlichsten Phishing-Betreffzeilen

Effiziente IT-Sicherheitsmaßnahmen sind deshalb wichtiger denn je - gerade auch bei kleineren Unternehmen. Während große Unternehmen oft über ausreichende Ressourcen verfügen, sind KMU meist mit der Bandbreite der angebotenen Möglichkeiten überfordert. Es fehlt ihnen an Sachkenntnis, Erfahrung sowie personellen und finanziellen Ressourcen. Sie sind auf externe Expertise angewiesen.

IT-Infrastrukturanalyse als Startpunkt

Um ein passendes und leistungsfähiges IT-Sicherheitskonzept entwickeln zu können, sollten Unternehmen zunächst den Stand ihrer IT-Systeme kennen. Eine IT-Infrastrukturanalyse erkennt Lücken und damit Sicherheitsrisiken in den IT-Strukturen. Sie umfasst zum Beispiel die Analyse des Netzwerks, überprüft das Patch- und Update-Management sowie Backup-Konzepte, die Absicherung (mobiler) Endgeräte und der E-Mail-Kommunikation.

Die Durchführung einer IT-Infrastrukturanalyse ist anspruchsvoll. Sie erfordert umfangreiche Kenntnisse über aktuelle Sicherheitsbedrohungen und verlangt gleichzeitig profundes Wissen über Netzwerkstrukturen. Unternehmen, die hierfür einen Dienstleister beauftragen, sollten bei der Auswahl darauf achten, dass dieser über ausreichende Best-Practice-Erfahrung für die jeweilige Unternehmensgröße bzw. Branche verfügt.

Die größten Schwachstellen

In der Praxis entstehen die größten Sicherheitslücken seltenst aufgrund fehlender Tools: Eine falsch konfigurierte Netzwerkinfrastruktur, fehlende Sicherheitsupdates oder Patches gehören zu den häufigsten Schwachstellen. Gerade in sensiblen Produktionsumgebungen gibt es - mangels Alternativen - häufig veraltete Software ohne Herstellersupport. Eines der bekanntesten Beispiele ist die Ransomware WannaCry. Bei dem Cyberangriff wurden 2017 rund 250.000 Computer infiziert - in manchen Unternehmen standen tagelang die Produktionssysteme still, da für ihre veralteten Systeme kein Patch verfügbar war.

Roundtable: IoT-Security steht erst am Anfang

Aber auch Themenbereiche wie der physikalische Zugriff auf Server, die Stromversorgung und Notfallmanagement werden oft vernachlässigt. Oder ein weiteres, banales Beispiel: In vielen Unternehmen gibt es kein Passwortmanagement für E-Mail-Konten oder Logins. Selbst WLAN-Zugänge sollten nur temporär sein, um Missbrauch zu verhindern.

Mehrschichtige Sicherheitsstrategien

Gute Sicherheitsstrategien sind in der Regel mehrschichtig konzipiert. Basis ist und bleibt eine signaturbasierte Antivirus-Lösung, die Schadsoftware effektiv erkennt. Auch ein Firewall-Konzept sowie die Netzwerksegmentierung sind im Unternehmen mittlerweile Standard. Zudem sollten regelmäßige Restore-Tests Teil der Backup-Strategie sein. Darüber hinaus gibt es weitere, spezialisierte Technologien - inwiefern eine Lösung zum Beispiel für das Mobile Device Management sinnvoll ist, entscheidet sich im Einzelfall.

Gehaltstabelle: So viel verdienen IT-Security-Experten

Damit das Gesamtkonzept aufgeht und das Unternehmen sicher aufgestellt ist, müssen die individuellen Bedürfnisse des Kunden von Anfang an berücksichtigt werden. Gleiches gilt für gesetzlich verpflichtende Regelungen (ISO-Normen, DSGVO etc.). Auch müssen Sicherheitskonzepte regelmäßig überprüft und an sich verändernde Bedingungen im oder außerhalb des Unternehmens angepasst werden.

Den Notfall regeln

Trotz aller Vorsichtsmaßnahmen lassen sich Sicherheitsvorfälle nie gänzlich ausschließen. Für den Fall der Fälle ist eine Notfallplanung wichtig. Sie beinhaltet möglichst prägnante Checklisten zur Problemanalyse, konkrete Handlungsempfehlungen zum Notbetrieb und zu Verfahren zur Wiederherstellung von Funktionen, Alarmierungsketten oder auch Vertretungsregelungen. Ein gutes Notfallkonzept begrenzt Schäden für das Unternehmen und ermöglicht die schnelle Wiederherstellung des Betriebs.

Sensibilisierung der Mitarbeiter

Bei allen technischen und organisatorischen Sicherheitsmaßnahmen ist es wichtig, die eigenen Mitarbeiter fortlaufend zum Thema IT-Sicherheit zu sensibilisieren. Internetsicherheitsspezialisten erwarten für das laufende Jahr beispielsweise einen weiteren Anstieg von Social-Engineering-Angriffen - eine konkrete Gefahr für das Unternehmen, der sich die Mitarbeiter bewusst sein müssen. Denn über die bewusste Manipulation der Mitarbeiter versuchen Angreifer Zugang zu vertraulichen Firmendaten zu erlangen. Im Umkehrschluss sind es dann aber oft die eigenen Mitarbeiter, die dafür sorgen, dass kriminelle Handlungen aufgedeckt werden. Laut Bitkom sind sechs von zehn Industrieunternehmen so auf Angriffe überhaupt aufmerksam geworden.

Definition: Was bedeutet eigentlich Cyber Security?

Herausforderungen gibt es bei der IT-Sicherheit heute mehr denn je. Mit einer guten Sicherheitsstrategie, die immer wieder angepasst wird, sind auch kleine und mittlere Unternehmen gut aufgestellt.

Zur Startseite