IT-Sicherheit im Unternehmen
VON Robert Brettschneider Organisation Web
Das Bedrohungsszenario, dem sich der IT-Bereich eines Unternehmens ausgesetzt sieht, hat sich in jüngster Zeit grundlegend gewandelt. Waren es früher hauptsächlich Konto- und Kreditkartendaten, die das Ziel von Angriffen waren, so sind heute bereits fast alle in einem Unternehmen verwalteten Informationen potenziell im Visier von Kriminellen. Hinsichtlich des Motivs kommen neben Angriffen aus Bereicherungsabsicht – wie Betrug oder Diebstahl – auch Sabotage- und Spionageattacken in Betracht. Oft werden Daten auch durch Bedienungsfehler oder Systemausfälle vernichtet oder irreparabel beschädigt. Der Faktor Mensch ist generell eine häufige Schwachstelle. So begünstigen beispielsweise soziale Netzwerke die – oft unbedachte – Weitergabe interner Informationen durch Mitarbeiter des eigenen Unternehmens.
Folgende Sicherheitslücken sind in Unternehmen häufig anzutreffen:
– Cloud-Computing:
Ein wirksames Berechtigungssystem, konstante Überwachung und Protokollierung sämtlicher Datenzugriffe sowie ein professionelles Datensicherungskonzept sind Grunderfordernisse, die vom Cloud-Anbieter zu erfüllen sind, um eine ausreichende Informationssicherheit zu gewährleisten. Dabei ist zu beachten, dass die Verantwortung für Datenschutz und Datensicherheit stets beim Inhaber (Nutzer) der Daten liegt.
– soziale Netzwerke:
Die tägliche Nutzung sozialer Medien ist in Betrieben zwar durchaus üblich, verbindliche Regeln für den Umgang mit Facebook, Twitter & Co. existieren jedoch selten. Hier kann entsprechende Aufklärungsarbeit einiges bewirken, denn Studien belegen eindeutig, dass die Weitergabe firmeninterner Informationen meist unbeabsichtigt erfolgt.
– portable Geräte:
Mobile Endgeräte sind die Schwachstelle vieler IT-Sicherheitskonzepte. Die durch die technischen Möglichkeiten steigende Mobilität der Mitarbeiter führt vermehrt zur Verbringung firmeninterner Daten in eine ausserbetriebliche Umgebung, die vom betrieblichen IT-Sicherheitskonzept nicht erfasst wird. Alle Arten mobiler Endgeräte, wie Smartphones, Tablets, USB-Sticks etc., sollten daher in das betriebliche IT-Sicherheitskonzept einbezogen werden.
– mangelhafte Mitarbeiterschulung:
Es ist für die IT-Sicherheit eines Unternehmens von entscheidender Bedeutung, allen Mitarbeitern die Risiken der modernen Informationstechnologie in verständlicher Weise zu vermitteln. Denn Mitarbeiter können sich in ihrer täglichen Arbeit vor Schadensereignissen nachweislich besser schützen, wenn sie über die Bedrohung informiert sind und wissen, was dagegen zu tun ist.
– IT-Sicherheit wird nicht gelebt:
Die strategischen Sicherheitsziele sind auf alle Ebenen des Unternehmens herunterzubrechen, IT-Sicherheit muss selbstverständlicher Teil der täglichen Arbeit werden. Wenn Tätigkeiten zur Wahrung der IT-Sicherheit als vom Unternehmen zu bezahlender Arbeitsaufwand anerkannt sind, werden die Mitarbeiter zwangsläufig für das Thema sensibilisiert und fühlen sich in Sicherheitsmassnahmen einbezogen.
Präventive IT-Schutz- und -Sicherheitsmassnahmen:
1.) das IT-Sicherheitskonzept:
Jede Strategie zur Informationssicherheit sollte stets Teil eines umfassenden betrieblichen Sicherheitskonzeptes sein, welches unbedingt der Unterstützung der Geschäftsführung bedarf. Ein Abschnitt des Konzeptes ist dem Risikomanagement zu widmen. Potenzielle Schadensereignisse sind zu identifizieren und hinsichtlich Eintrittswahrscheinlichkeit und Schädigungspotenzial zu kategorisieren.
Anhand dieser Erkenntnisse werden sodann Präventivstrategien zur Schadensvermeidung ausgearbeitet und in Form verbindlicher Verhaltensregeln festgehalten. In jedem Fall ist darauf zu achten, dass der gesamte Informations-Workflow von den Sicherheitsmassnahmen erfasst wird, nicht nur Hardware und Datenbestände.
Die Verantwortung für die IT-Sicherheit des Unternehmens liegt idealerweise in den Händen eines eigenen IT-Sicherheitsbeauftragten. Ist ein solcher nicht vorgesehen, so ist die Verantwortung für die Informationssicherheit im Betrieb der Unternehmensleitung zuzuordnen.
2.) technische und organisatorische Massnahmen:
– Zutritts- und Zugriffskontrollen:
Ein durchdachtes Berechtigungssystem, welches sicherstellt, dass der Zugriff auf Daten nur von dazu berechtigten Personen erfolgen kann, stellt ein wichtiges Element innerhalb des IT-Sicherheitskonzeptes dar. Ein eigenes Rollenkonzept gewährleistet, dass jede Rolle im Betrieb – und damit jeder Mitarbeiter, welcher diese Rolle einnimmt – auschliesslich auf jene Daten Zugriff hat, die zur Verrichtung der rollenspezifischen Tätigkeiten erforderlich sind. Darüber hinaus sorgen Zutrittskontrollen dafür, dass Räumlichkeiten nur von dazu befugten Personen betreten werden können.
– Datensicherungen:
Wird eine regelmässige Datensicherung nach einem Datensicherungskonzept (tägliche, wöchentliche, monatliche und jährliche Sicherungsintervalle) durchgeführt, so ist gewährleistet, dass stets ein aktueller Sicherungsbestand vorhanden ist, auf den bei Bedarf zurückgegriffen werden kann. Die Sicherungsdatenträger sind feuer- und diebstahlsicher aufzubewahren.
– Verschlüsselungstechniken:
Hinsichtlich der Verschlüsselung von Daten gelten TLS/SSL sowie IPSEC als zuverlässige Standards. Allerdings ist zu beachten, dass nicht nur die Daten selbst zu verschlüsseln sind, sondern auch die Übertragung der Daten über eine sichere Verbindung erfolgen muss. In diesem Bereich ist stets auf Verhältnismässigkeit zu achten, denn ein unangemessener Einsatz kryptografischer Prozesse führt unweigerlich zur Verzögerung betrieblicher Arbeitsabläufe.
– Einsatz von Anti-Viren-Software:
Der Einsatz wirksamer Anti-Viren-Software in Verbindung mit Shield-Protectionware (Firewall etc.) stellt eine weitere Säule der betrieblichen Sicherheitsarchitektur dar. Um die Virensignaturen stets auf dem neuesten Stand zu halten, ist ein täglicher Aktualisierungslauf erforderlich.
– Stromversorgung:
Ein Totalausfall des Stromnetzes kommt hierzulande zwar kaum vor, es kann jedoch zu Spannungsschwankungen kommen, die Schäden an Computersystemen anrichten können. Eine unterbrechungsfreie Stromversorgung stellt eine stets gleichbleibende Stromspannung sicher.
Effektives Notfallmanagement
Da der Eintritt schädigender Ereignisse auch bei grösster Vorsicht nie völlig ausgeschlossen werden kann, sollte jedes Unternehmen über ein Notfallmanagement verfügen, welches bei Notfällen eine rasche und qualitätsgesicherte Wiederaufnahme der unternehmenswirksamen Prozesse ermöglicht. Für ein derartiges Continuity Management sollten hauptsächlich Konzepte herangezogen werden, die auf erprobten Standards und Best-Practice-Methoden beruhen.
Oberstes Bild: © bikeriderlondon – Shutterstock.com
