NEUES JAHR, NEUE STRATEGIE: FÜNF GUTE VORSÄTZE FÜR DIE IT-SICHERHEIT

IT-Sicherheit: fünf gute Vorsätze für 2019

#Cyberabwehr #Sicherheit #IT security #Digitalisierung

Ransomware, Krypto-Mining, Datendiebstähle: Das waren einige der großen Cybersecurity-Themen 2018. Auch für das aktuelle Jahr müssen sich Unternehmen und deren IT-Abteilungen auf ein unverändert hohes Bedrohungsniveau gefasst machen. Denn mit dem Voranschreiten der Digitalisierung und der wachsenden Vernetzung ist IT-Sicherheit schon seit vielen Jahren unverzichtbar geworden – unabhängig von Branche oder Unternehmensgröße.

Laut dem Vulnerability Intelligence Report 2018 ist ein durchschnittliches Unternehmen mit 870 Schwachstellen pro Tag konfrontiert. Trotzdem tun sich viele Unternehmen schwer, IT-Sicherheit den richtigen Stellenwert beizumessen. Es ist ein bisschen wie mit den berüchtigten guten Vorsätzen fürs neue Jahr: Man weiß, dass sie wichtig und auch richtig sind. Und doch lässt man sie fast widerstandslos an der Hartnäckigkeit der alltäglichen Routine scheitern.

Trotzdem – oder gerade deshalb: Der Jahreswechsel ist der ideale Zeitpunkt, um Bilanz zu ziehen, die eigene Situation gründlich einzuschätzen und Pläne für das neue Jahr zu schmieden. Um Ihnen dabei zu helfen, haben wir mit der Hilfe von IT-Sicherheitsexperte Mario Krüger, verantwortlich für Lotus-Domino-Administration und Mobile-Device-Management bei TA Triumph-Adler, die wichtigsten Themen zusammengefasst, die Sie im neuen Jahr angehen sollten, um Ihr Unternehmen besser zu schützen:

1. Sicherheitsrichtlinien: festlegen, einhalten, anpassen

Unternehmen sollten eine feste Sicherheitsregelung haben, die klar definiert und dokumentiert ist. Lassen Sie Ihre IT-Abteilung eine offizielle Sicherheits-Policy verfassen, welche alle Mitarbeiter des Unternehmens unterschreiben. Damit schaffen Sie ein höheres Bewusstsein sowie Regeln und Verfahren, die für alle Mitarbeiter klar und bindend sind, die auf IT-Systeme und Assets des Unternehmens zugreifen. Zusätzlich kann ein zweites Dokument von Seiten der HR-Abteilung die Vision des Unternehmens bezüglich der IT-Sicherheit festlegen und aufzeigen, welche Sicherheitspraktiken erwartet werden.

„Bei der Einstellung neuer Kollegen ist die unterschriebene Sicherheits-Policy ein wichtiger Punkt“, so Mario Krüger. „Ohne diese Unterschrift sollten keine Anmeldedaten versendet und der Zugriff zum System verweigert werden.“

Auch kann es von Vorteil sein, einen Notplan für den Fall einer Datensicherheitsverletzung zu definieren. Dazu gehört auch, die Anforderungen für Benachrichtigungen in so einem Fall zu definieren: Wer muss wann was wissen?  

2. Cyberabwehr: Systeme gegen Angriffe verteidigen

Zunächst einmal ist es wichtig, sich zu vergegenwärtigen, welche Informationen über Ihr Netzwerk laufen. Dafür bedarf es eines tiefen Einblicks in die Datenverkehrsmuster. Netzwerke, die keinen Zugriff auf das Internet benötigen, können davon getrennt werden. Das erschwert den Zugriff auf kritische Daten von außerhalb. Zur Cyberabwehr gehört auch, alle Technologien zu überprüfen, die im Unternehmen implementiert werden. Gerade bei ausländischen Firmen ist Vorsicht oft besser als Nachsicht.

Kümmern Sie sich auch um das Thema Privileged Account Management (PAM): Wer hat Zugriff worauf? Die Einschränkung von Administratorrechten kann es Angreifern schwerer machen, Zugriff auf das System zu erhalten, und verkleinert die Angriffsfläche.

3. Technik: immer auf dem aktuellsten Stand

Unser vielleicht einfachster Vorsatz. Auf die bereits vorhandene Technik zu achten, kann IT-Security erheblich verbessern. Dazu gehört zum Beispiel die Ausmusterung obsoleter Betriebssysteme, die vom Hersteller nicht mehr aktualisiert werden. Unerlässlich sind auch regelmäßige Updates bei allen Systemen und dem Virenscanner. Für Daten muss zusätzlich in bestimmten Intervallen ein Backup gemacht werden, damit nichts verloren geht. Nicht vergessen sollte man zudem die Smartphones, sagt Mario Krüger: „Hier ist es außerdem wichtig, dass sich die Firmendaten in einem geschützten Bereich befinden, wenn eine private Nutzung des Firmengerätes gestattet ist. Somit sind diese vor dem Zugriff anderer Anwendungen sicher – das ist gerade in Bezug auf die DSGVO unerlässlich.“ Aus demselben Grund sollte die Nutzung von Webmailern wie Web.de oder GMX.de am besten komplett untersagt werden, so Krüger weiter: „Somit wird das Risiko verringert, dass über diesen Weg Schadsoftware auf das Firmengerät kommen kann.“

4. Mitarbeiter: Schulungen fordern Bewusstsein und Verantwortung

Auch wenn die meisten bereits wissen, dass man keine E-Mail-Anhänge von unbekannten Absendern öffnen soll: Es gibt immer wieder neue Methoden, mit denen Hacker versuchen, in das System eines Unternehmens zu kommen. Angestellte sind dabei der bevorzugte Angriffspunkt – der „Faktor Mensch“ bleibt nach wie vor die größte Schwachstelle für IT-Systeme. Mitarbeiterschulungen sind deshalb unverzichtbar. Solche Schulungen fördern das Bewusstsein für die Bedrohung und die Sicherheitsverantwortung. Dabei ist kein Thema zu banal, so Mario Krüger: „Passwort-Management ist für Unternehmen nach wie vor eines der größten Probleme, das zeigt auch die Beliebtheit von einfachen Kennwörtern wie 123456 – aktuell das meistgenutzte Passwort Deutschlands. Dass das eigentlich ein No-Go ist, sollte inzwischen bekannt sein. Aus diesem Grund ist es wichtig, einen guten Kompromiss zwischen Usability und Sicherheit zu finden.“

Mitarbeiter sollten außerdem dazu ermutigt werden, eventuelle Vorfälle zu melden, und sich auch trauen, Verdachte zu äußern.

5. IoT-Sicherheit: Verschlüsselung ist unverzichtbar

Das Internet der Dinge ist auf dem Vormarsch und wird in den nächsten Jahren noch an Bedeutung hinzugewinnen. Dennoch führen Schwächen bei der IoT-Sicherheit nach wie vor zu hohen Verlusten bei Unternehmen. Es gibt allerdings eine Handvoll Maßnahmen, die sich relativ einfach in jedem Unternehmen etablieren lassen und so für mehr Sicherheit und Datenschutz sorgen.

Eines der wichtigsten Stichworte ist dabei „Verschlüsselung“. Dazu gehört vor allem die Verschlüsselung sensibler Daten, aber auch der Schutz der Datenintegrität bei der Übertragung. Genauso wie beim Ablegen auf Speichermedien sollten Daten hier immer verschlüsselt sein. Auch die frühe Bewertung von Risiken kann hier besonders hilfreich sein – lassen Sie Penetrationstests durchführen, um Lücken in der Sicherheit erkennbar zu machen.

Wer seine Systeme aktiv überwacht und dadurch den Überblick darüber behält, welche Geräte und Personen worauf Zugriff haben, hat schon viel für die Sicherheit des eigenen Unternehmens getan.

FAZIT: IT-Sicherheit bleibt in absehbarer Zukunft auf allen Unternehmensebenen unverzichtbar – und wird noch an Bedeutung gewinnen. Die Umsetzung der hier genannten Empfehlungen ist ein erster wichtiger Schritt, um das Problem anzugehen. IT-Sicherheitsspezialisten wie Genua können zusätzlich helfen, Schwachstellen zu identifizieren, Netzwerke zu schützen und Abläufe zu sichern.