Suchergebnisse

Ergebnisse werden geladen.
Was ist IT-Sicherheit? Was gibt es für Bedrohungen? Welche Lösungen empfehlen Experten?

IT Sicherheit

  1. Projekt
  2. Roadshow
  3. News
  4. Wissen
  5. Media

Tipps zur IT-Sicherheit im Unternehmen

Die IT-Sicherheitstechnik und deren Integration in das bestehende System können hohe Kosten mit sich bringen. Einige organisatorische Maßnahmen sorgen jedoch bereits dafür, dass das Sicherheitsniveau deutlich ansteigt, ohne dass horrende Kosten entstehen. Hier ein paar praktische Tipps zur Erhöhung der IT-Sicherheit in Ihrem Unternehmen:

IT-Sicherheit als Unternehmensphilosophie

Neben den notwendigen technischen Grundvoraussetzungen, die zum Beispiel mit einer Bedarfsanalyse festgestellt und darauf basierend implementiert werden können, ist die Integration der IT-Sicherheit in die Unternehmensphilosophie notwendige Voraussetzung zur nachhaltigen Erhöhung des IT-Sicherheitsstandards. Sicherheitsmechanismen führen meist zu Komforteinbußen. Lange Passwörter, häufige Abfragen oder das Verbot von USB-Sticks machen das Arbeiten vordergründig nicht leichter.

Vor dem Hintergrund, dass ein Sicherheitsvorfall das Ende des Unternehmens bedeuten kann, müssen solche Bequemlichkeiten aus den Köpfen der Mitarbeiter verdrängt werden. Das funktioniert nur, wenn die IT-Sicherheit von der Geschäftsführung gelebt und in Form von Mitarbeitervereinbarungen und Sicherheitsleitlinien an die Mitarbeiter kommuniziert wird. Es muss deutlich werden, dass die Einhaltung der definierten Sicherheitsstandards entscheidend für den Geschäftserfolg ist, dass die Mitarbeiter bei der Einhaltung unterstützt werden und dass Nichteinhaltung der Regeln negative Konsequenzen haben kann.

Sicherheitsleitlinie

Die Sicherheitsleitlinie dient der Einhaltung von Gesetzen und Vorschriften sowie der genauen Definition dessen, was Mitarbeiter dürfen und was und aus welchem Grund untersagt ist. Sie ist Orientierungshilfe und Argumentationsgrundlage bei der Einhaltung der definierten Standards. Das Dokument sollte nicht länger als 3-5 Seiten sein und von jedem Mitarbeiter unterzeichnet werden. Sie könnte zum Beispiel Vorschriften zum Umgang mit Passwörtern, sozialen Medien oder sensiblen Daten enthalten, aber auch Haftungsrisiken beschreiben und Schadenersatzansprüche definieren, um die Vorschriften den Mitarbeitern gegenüber zu begründen.

Mitarbeiter

Mitarbeiter sind auf Grund von Unwissenheit, Bequemlichkeit und unzureichender Schulung nach wie vor Gefahrenquelle Nummer eins für die Sicherheit im Unternehmen. Die Mitarbeiter dürfen nicht gezwungen sondern müssen überzeugt werden, damit das Sicherheitsniveau steigt. Das geschieht durch begründete und durch die Geschäftsführung vertretene Entscheidungen und Maßnahmen sowie regelmäßige Schulungen. Diese Schulungen gewinnen auch dadurch an Attraktivität, dass digitale Bedrohungen allgegenwärtig sind und zum Beispiel die richtige Absicherung von Smartphones auch für den privaten Gebraucht interessant ist.

Notfallplan

Ein aktueller Notfallplan stellt eine wichtige Entscheidungshilfe dar und ist eine Beschreibung von Regeln und Aktivitäten zur schnellen Wiederaufnahme des Geschäftsbetriebes nach einem Ausfall wichtiger IT-Systeme und IT–Services. Die Basis dafür ist eine Analyse der IT-gestützten Geschäftsprozesse und ihr Einfluss auf den Erfolg der unternehmerischen Tätigkeit.

Entsprechend ihrer Wichtigkeit erfolgt die Bestimmung der maximalen Ausfallzeit und der benötigten IT-Systeme und IT-Services, auf deren Grundlage die notwendigen Maßnahmen für eine Notfallvorsorge und die Wiederaufnahme des Geschäftsbetriebes geplant werden können.

E-Mail

E-Mails, die unverschlüsselt verschickt werden, können mit der entsprechenden Fachkenntnis einfach mitgelesen werden. Professionelle Hacker sind problemlos in der Lage, den Absender einer E-Mail zu fälschen und in fremden Namen Schadprogramme zu verbreiten. Generell sollten sensible Daten nie unverschlüsselt per Mail verschickt werden. Besonders sicher sind nur Ende-zu-Ende-Verschlüsselungen. Gegen gefälschte Absender und Spammails im Allgemeinen helfen Spamfilter auf dem Mailserver. Bei der Einstellung des Spamfilters und der Auswahl der Methode zur Kontrolle sollten Sie sich beraten lassen.

Via E-Mail werden nicht nur Systeme überlastet (z.B. DoS-Attacken) sondern besonders auch Schadsoftware verbreitet. Verseuchte Anhänge werden in gut formulierte Texte eingebettet und ermutigen den Empfänger zum Ausführen der Datei. Ein Spamfilter sowie ein Virenschutz bieten hier Sicherheit, dennoch ist eine regelmäßige Sensibilisierung der Mitarbeiter erfolgsentscheidend.

Geheimhaltungspflicht und soziale Medien

Bei Beschäftigungsantritt unterzeichnet jeder Mitarbeiter eine Erklärung, in der er darauf hingewiesen wird, dass die Kommunikation von Firmeninterna an Außenstehende zur Kündigung und zu Schadenersatzansprüchen führen kann. Auch wenn diese Geheimhaltungspflicht jedwede Kommunikation miteinbezieht, empfiehlt es sich, den Begriff der sozialen Medien in das Dokument aufzunehmen und verbalen Entgleisungen z.B. auf Facebook vorzubeugen. Schärfen Sie das Bewusstsein, insbesondere der jüngeren Mitarbeiter und definieren Sie, was aus Sicht des Unternehmens On-und Offline kommuniziert werden darf.

Passwörter

Der richtige Umgang mit Passwörtern ist eine einfache Möglichkeit, den Sicherheitsstandard im Unternehmen zu erhöhen. Die Wichtigkeit wird häufig unterschätzt und sollte den Mitarbeitern deutlich gemacht und mit einem knappen Regelwerk untermauert werden:

·         Passwortlänge und –aufbau: mindestens 10 Zeichen, Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen

·         Passwörter dürfen niemals in Klartext festgehalten oder untereinander ausgetauscht werden

·         Passwörter müssen in regelmäßigem Abstand gewechselt werden – mindestens alle vier bis sechs Wochen. Dazu können automatische Erinnerungen eingerichtet oder Plug-Ins installiert werden, die den Benutzer zum Wechseln nach einer bestimmten Anzahl von Tagen zwingen.

Insbesondere bei Cloudlösungen (auch bei privater Nutzung am Arbeitsplatz) ist das Passwort die einzige Sicherheitsbarriere. Achten Sie hier besonders auf die Einhaltung der Regeln.

Mobile Endgeräte

Die Verwendung privater Endgeräte für berufliche Zwecke ist im Zuge des Smartphone-Booms und der immer populärer werdenden Tabletcomputer drastisch angestiegen (Bring your own Device – BYOD). E-Mails werden abgerufen, Dateien bearbeitet und Telefonate geführt. Grundsätzlich ist von einer BYOD – Lösung abzuraten, da diese eines enormen organisatorischen Aufwands bedarf, um ein hohes Sicherheitsniveau gewährleisten zu können.

Ist es für einen Mitarbeiter tatsächlich wichtig E-Mails unterwegs abzurufen oder telefonisch erreichbar zu sein, so empfiehlt sich die Anschaffung von Firmengeräten (Get a Business Device – GABD). Diese sollten adäquate Verschlüsselungslösungen für das Gerät und für die Anwendungen (z.B. Mail) sowie Antivirensoftware und die Möglichkeit eines Fernzugriffs, im Falle eines Verlusts oder Diebstahls, integriert haben. Sicherheitsschulungen für die Mitarbeiter und Regeln für die Verwendung der Geräte und Anwendungen sollten vor der Übergabe entwickelt werden.

Sollte BYOD für Ihr Unternehmen von Vorteil sein, dann sollten Sie o.g. Sicherheitsmaßnahmen ebenso ergreifen. Bedenken Sie, dass Sie es bei verschiedenen Mitarbeitern mit unterschiedlichen Geräten von diversen Herstellern zu tun haben und dass deren Verwaltung dementsprechend aufwändig ist.

Externe Speichermedien – USB, SD, HDD

Werden Schadprogramme über USB-Anschlüsse oder Kartenlesegeräte in das System eingeschleust, so umgehen diese häufig die Firewall oder die Virenprogramme, die meist auf einen Schutz gegen Angriffe von außen konfiguriert sind. Das Bewusstsein für diese Möglichkeit ist häufig zu schwach ausgeprägt und Mitarbeiter nutzen die Anschlüsse meist ohne darüber nachzudenken. Die einfachste und effizienteste Möglichkeit dies zu verhindern, ist die Deaktivierung der USB-Slots und Kartenlesegeräte. Werden die Anschlüsse für die Arbeit gebraucht, so empfiehlt es sich die Mitarbeiter zu sensibilisieren und einen separaten Rechner einzurichten, auf dem die externen Datenträger getestet werden können.

Cloud

Cloudanwendungen bieten viele Vorteile, sparen Ressourcen und Rechenleistung. Bei der Integration einer Cloudlösung im Unternehmen sind zertifizierte Anbieter aus Deutschland oder der EU zu empfehlen, bei denen die Daten nach hiesigen Datenschutzgesetzen archiviert werden. Dropbox, ICloud und andere kostenlose Services können für den Privatgebrauch praktisch und nützlich sein, haben jedoch auf einem Arbeitscomputer absolut nichts zu suchen. Die Anbieter haben ihren Serverstandort in den Vereinigten Staaten und unterliegen folglich auch den US-Gesetzen. Demnach können die Regierung, Regierungsorganisationen oder Dritte ohne die Angabe von Gründen über die Daten verfügen, sie auswerten oder nutzen.

Sicherung der Geschäftsräume und der Unterlagen

Externe Besucher sollten nicht ohne Begleitung und vorherige Anmeldung Zugang zu den Geschäftsräumen haben. Zugriffsrechte und Passwörter regeln intern den elektronischen Zugriff auf Daten und Unterlagen. Um diese Sicherheit auch im Büro gewährleisten zu können, muss der Computer beim Verlassen des Raumes gesperrt und sensible Dokumente weggeschlossen werden. Hält sich niemand in dem Büro auf, so sollte der gesamte Raum verschlossen werden. Papierabfall aus sensiblen Unterlagen (z.B. Angebote, Vertragsdokumente, etc.) dürfen nicht in den Papierkorb, sondern müssen geschreddert werden.

Updates

Updates von Software, Betriebssystemen oder Browsern steigern die Funktionsfähigkeit und erhöhen die Sicherheit. Die Hersteller reagieren oft kurzfristig auf entdeckte Sicherheitslücken und schließen diese. Die Aktualität der verwendeten Programme und Betriebssysteme ist daher besonders wichtig, weil Angreifer versuchen, genau diese Lücken auszunutzen. Mitarbeiter müssen darüber in Kenntnis gesetzt werden und die Updates durchführen, unmittelbar nachdem sie veröffentlicht wurden. Sollten Mitarbeiter nicht die Berechtigung haben, Software zu installieren oder zu verändern, müssen diese Updates zentral z.B. durch den Administrator realisiert werden.

Datensicherung und Backup

Die meisten Unternehmen haben die Wichtigkeit von Backups und Datensicherungen erkannt und ein Sicherungssystem integriert. Dabei gilt es, sich auch auf den Notfall vorzubereiten und die Backups und eine Systemwiederherstellung zu testen. Backups können für verschiedene Gefahrenpotentiale eine Absicherung darstellen und müssen dahingehend auf Ihre Funktionsfähigkeit geprüft werden. So sollen Sie nach einem Hardwareschaden das Gerät (z.B. defekte Festplatte) oder das gesamte Netzwerk (z.B. nach Rohrbruch oder Feuer) wiederherstellen oder gar komplett neu aufsetzen (z.B. nach Diebstahl). Durch Viren, andere Schadprogramme oder Manipulation ist das System verseucht und die Daten müssen auf den Stand des Vortages zurückgesetzt werden. Die Backups sollten daher sehr regelmäßig durchgeführt (z.B. jeden Abend), an einem sicheren und jederzeit zugänglichem Ort aufbewahrt und regelmäßig auf Funktionsfähigkeit getestet werden. So sind Sie auf die Gefahren vorbereitet, erlangen Routine in der Systemwiederherstellung und reduzieren im Ernstfall die maximale Ausfallzeit und damit Kosten.