Maximal sicher mit Systemhaus.com
Jetzt kostenlos Anfragen und System sicher machen!

IT Sicherheit | Security | Informationssicherheit | Sicherheitskonzept | Sicherheitsmanagement

IT-Sicherheit für Ihr Unternehmen - Alles zur IT Security, Sicherheitskonzepte & Sicherheitsmanagement

Im Bereich der IT-Sicherheit brauchen besonders kleine bis mittlere Unternehmen Unterstützung. Oftmals fehlen ihnen die nötigen finanziellen und personellen Möglichkeiten, um effektiv in der IT-Sicherheit einzusteigen. An dieser Stelle soll Ihnen der Einstieg in die Thematik erleichtert werden, indem wir Ihnen die wesentlichen Punkte zum Thema IT-Sicherheit vorstellen. Die Informationen basieren dabei zum größten Teil auf den IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik, welche heute die umfassendsten Standardwerke zur IT-Sicherheit sind. Eine Vielzahl an Behörden und Unternehmen finden hier eine Hilfe und Grundlage für eigene Maßnahmenkataloge auch zur komplexen Informationssicherheit.

Abgrenzung: Informationssicherheit, IT-Sicherheit, Datenschutz & Datensicherung

Datenschutz, Datensicherheit, IT-Sicherheit und Informationssicherheit – eine exakte Abgrenzung der Begriffe ist nicht möglich. Abhängig vom Kontext und Verfasser werden die Bedeutungen dieser Begriffe unterschiedlich aufgefasst. Hier folgt ein Versuch der Definition der einzelnen Begriffe und somit der Abgrenzung. Beim Datenschutz handelt es sich um den Schutz der Privatsphäre eines jeden Menschen. Das Recht auf Selbstbestimmung in Bezug auf Daten steht jedem Menschen zu, die seine Person betreffen. Außerdem soll er vor einer missbräuchlichen Verwendung seiner Daten geschützt werden. Datensicherheit hingegen bezieht sich auf den Schutz von Informationen unabhängig vom Inhalt dieser Daten, somit auch unabhängig davon, ob sich die Daten auf Personen oder andere Inhalte beziehen. Datensicherheit dient dem Schutz der Daten vor Sicherheitsrisiken wie beispielsweise Manipulation, Verlust und vor unberechtigten Zugriffen darauf. Der Unterschied zwischen Datenschutz und Datensicherheit liegt also darin, dass es bei ersterem um die Erhebung und Verarbeitung von Daten geht und bei letzterem um Maßnahmen zum Schutz von Daten unterschiedlichster Arten. IT-Sicherheit umfasst elektronisch gespeicherte Informationen und IT-Systeme. Dazu gehört einerseits der Schutz der technischen Verarbeitung von Informationen und andererseits steht die Funktionssicherheit im Fokus, also ein Funktionieren frei von Fehlern sowie eine Zuverlässigkeit der IT-Systeme.

IT Sicherheit IT-Sicherheit in Ihrem Unternehmen

Datenschutz, Datensicherheit und IT-Sicherheit sind grundlegende Bestandteile der Informationssicherheit. Dieser Begriff tritt besonders in den erwähnten IT-Grundschutzkatalogen des BSI auf. Das Ziel von Informationssicherheit ist der Schutz von Informationen. Auch hier spielt es keine Rolle, um welche Art von Informationen es sich handelt und ob sie einen Personenbezug aufweisen. Die drei Grundwerte der Informationssicherheit sind Informationsvertraulichkeit, Datenintegrität und Verfügbarkeit. Diese drei Kriterien sind auch wesentliche Bestandteile der deutschen IT-Sicherheitskriterien (Grünbuch) und der europäischen „Evaluation Criteria For IT-Security“ (ITSEC). Informationsvertraulichkeit bedeutet, dass Daten nur autorisierten Befugten zugänglich sein dürfen. Gefahr besteht hierbei nicht nur für die Daten selbst, sondern auch für Systeme und Konfigurationen. Mit Integrität soll sichergestellt werden, dass Daten und Systeme korrekt und unverändert, also verlässlich sind. Die Datenintegrität ist dann beeinträchtigt, wenn ein Empfänger einer Nachricht eine andere als diejenige erhält, die an ihn geschickt wurde. Auch wenn Soft- oder Hardware fehlerhaft arbeiten und somit unverlässlich sind, wird die Integrität negativ beeinflusst. Ein Angriff kann folglich absichtlich oder versehentlich aufgrund von Software- oder Bedienungsfehlern erfolgen. Verfügbarkeit bedeutet, dass autorisierten Personen der Zugriff auf Daten und IT-Systeme ermöglicht wird und sie diese nutzen können. Ein Angriff auf die Verfügbarkeit kann durch eine unbefugte Unterbrechung durch Serverausfälle oder Ausfälle von Kommunikationsmitteln erfolgen.

Informationssicherheit - Bestandteile Bestandteile von Informationssicherheit

Informationssicherheit und IT-Sicherheit sind demzufolge keine synonymen Begriffe, obwohl sie oft fälschlicherweise so verwendet werden. Der wesentliche Unterscheid liegt darin, dass Sie perfekte IT-Sicherheitsmaßnahmen eingerichtet haben können und Ihr IT-System trotzdem durch nur eine einzige böswillige Handlung oder externe Faktoren beeinträchtigt bzw. sogar vollständig lahmgelegt werden kann. Dieses Risiko resultiert aus Menschen, Prozessen und Überwachung. Informationssicherheit in Unternehmen besteht zu etwa 50 Prozent aus IT-Sicherheit, was einen erheblichen Anteil ausmacht. Die andere Hälfte der Informationssicherheit setzt sich aus Faktoren wie Personalmanagement, Rechtsschutz, Organisation, verschiedenen Prozessen und physischen Sicherheiten zusammen. Das Ziel der Informationssicherheit ist der Aufbau eines Systems, das alle möglichen Risiken für die Informationssicherheit berücksichtigt und entsprechende Maßnahmen ergreift, die der Reduktion dieser Risiken dienen. Einen großen Beitrag hierzu leistet die IT-Sicherheit.

IT Sicherheitsgesetz & weitere Vorschriften

Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme oder kurz: Das IT-Sicherheitsgesetz. Mit diesem Gesetz trägt die Bundesregierung dazu bei, die deutschen IT-Systeme und digitalen Infrastrukturen zu den sichersten weltweit zu machen. Besonders bei Branchen der Kritischen Infrastrukturen (KRITIS), wie Strom- und Wasserversorgung, Finanzen und Ernährung, würde eine Beeinträchtigung oder ein totaler Ausfall immense Folgen für die Wirtschaft, den Staat und die Gesellschaft in Deutschland haben. Vor allem in diesem Bereich weisen die Verfügbarkeit und Sicherheit der IT-Systeme daher eine enorme Bedeutung auf. Weitere Ziele des Gesetzes sind die Verbesserung der IT-Sicherheit in Unternehmen, in der Bundesverwaltung und ein besserer Schutz der Bevölkerung im Internet. Aber auch für Betreiber kommerzieller Webangebote, die höhere Anforderungen an ihre IT-Systeme erfüllen müssen, gelten einzelne Regelungen des Gesetzes. Das Bundesamt für Sicherheit in der Informationstechnik stellt eine Broschüre (PDF-Datei 1,4 MB) zum IT-Sicherheitsgesetz bereit.

Wozu wird IT-Sicherheit benötigt?

Aufgrund des Internets ist es möglich, verschiedenste Geräte zunehmend miteinander zu vernetzen. Das hat Auswirkungen auf Ihr Unternehmen: Je höher die Anzahl der Geräte in Ihrem Netzwerk, desto schwieriger wird es, die Menge an Geräten und IP-Adressen zu identifizieren und zu auditieren. Jedes der Geräte, die mit Ihrem Netzwerk verbunden sind, stellt ein Risiko dar, denn es ermöglicht Malware den Zugang zu Ihrem System. Die Gefahr enormer wirtschaftlicher Schäden bei der Informationsverarbeitung erhöht den Handlungsdruck, diese Schäden mit einem Sicherheitsmanagement zu verhindern und sämtliche Restrisiken möglichst zu eliminieren. An dieser Stelle wird IT-Sicherheit notwendig. Sowohl interne als auch externe Bedrohungen können im gesamten Netzwerk Ihres Unternehmens Schaden verursachen und damit die Unternehmensexistenz gefährden. In der Praxis gestaltet es sich jedoch oft schwierig, ein angemessenes Sicherheitsniveau zu erreichen und anschließend aufrecht zu erhalten. Fehlende Ressourcen, kleine Budgets und die steigende Komplexität von IT-Systemen können als Gründe hierfür genannt werden. Viele IT-Sicherheitsprodukte und -berater wurden darauf spezialisiert und bieten unterschiedlichste Lösungen an, sodass es nicht einfach ist, einen Überblick dieser Thematik zu behalten. Verantwortung tragen hierbei nicht nur Zuständige der IT-Fachabteilungen, sondern auch die Geschäftsführer und Vorstände. Verschiedene Gesetze und Regelungen übertragen ihnen persönliche Haftung im Versäumnisfall.

Was bedeutet IT-Sicherheit & wodurch zeichnet sie sich aus?

IT-System und Umgebung Umgebung eines IT-Systems

Hier finden Sie einige Informationen für den Aufbau einer Sicherheitsorganisation auf Basis von Grundlagen der Risikobewertung, Überprüfung des vorliegenden Sicherheitsniveaus und Implementierung der passenden Informationssicherheit, folglich durch ein effektives IT-Sicherheitsmanagement. Ihnen sollte bewusst sein, dass Sicherheit kein statischer Zustand, sondern vielmehr ein andauernder Prozess ist.IT-Systeme bestehen aus Hardwareplattformen, wie Prozessoren, Arbeitsspeicher, Hintergrundspeicher, Eingabe/Ausgabe-Geräte inklusive Sensoren, Aktoren und anderen Komponenten zur Kommunikation, wie Busse und systeminterne Netzwerke. Zu den Softwarekomponenten zählen System- und Anwendungsprogramme einschließlich ihrer Daten. Zum IT-System gehört eine Umgebung, mit der Wechselwirkungen möglich sind. Die Systemverwaltung (auch Wartung und Inbetriebnahme) und die direkte Umgebung, wie die Räumlichkeiten des Systems oder die direkte Umgebung des Einbauortes, gehören zur Kernumgebung, der engeren Systemumgebung. Schutzmaßnahmen müssen hier zum Beispiel den Serverraum vor Stromausfall, Unwettereinwirkungen und Sabotage bewahren. Das kann durch Brandschutzmaßnahmen, Zutrittskontrollen und ähnliche Mechanismen erzielt werden.

Neben der Kernumgebung des Systems gibt es auch die periphere Umgebung, zu dieser gehören weitere IT-Systeme wie andere Server, mit denen das IT-System kooperiert. Die periphere Umgebung lässt sich in die beeinflussbare periphere Umgebung (externe technische, administrative oder andere Prozesse können Einfluss nehmen) und die beeinflussende periphere Umgebung (nimmt durch Sensormessung, aber auch durch exogene Gefahren wie Stromausfall, Einwirkungen des Wetters und Sabotage Einfluss) einteilen. IT-Systeme sollen sicher sein, das heißt, sie sollen als inhärent, schutzbedingt und deterministisch bezeichnet werden können – bezüglich der Komponenten, aber auch in Bezug auf die Umgebung der Systeme wesentliche Sicherheitseigenschaften erfüllen. Die Sicherheit eines IT-Systems beruht im eigentlichen Sinn sowohl auf „Security“-Aspekten (Vertraulichkeit, Integrität, Zugriffsfreiheit, Zurechenbarkeit) als auch auf „Safety“-Aspekten (Zuverlässigkeit, Fehlersicherheit, Fehlertoleranz, sicherer Zustand). IT-Sicherheit hingegen bezeichnet heute nur Möglichkeiten zum Schutz der Daten. Das kann problematisch werden, wenn das informationsverarbeitende/-speichernde System separat von seiner Umgebung betrachtet werden soll. In diesem Zusammenhang ist es aber wichtig zu bedenken, dass das IT-System während der einzelnen Phasen des Lebenszyklus unterschiedlichen Gefahren gegenübersteht. Phasenspezifische Schwachstellen führen dazu, dass das System in der Entwicklungs-/Produktionsphase von der Betriebsphase in Hinsicht auf Bedrohungen unterscheidet. In der Sicherheitsanalyse müssen Risiken erkannt und bereits aufgetretene Schäden (z. B. Analyse- oder Produktionsfehler) daraufhin analysiert werden, inwieweit sie Einfluss auf spätere Phasen nehmen.

Sicherheitsmanagement Ablauf – Sicherheitsmanagement

Es gibt einige Lösungen, die zur IT-Sicherheit beitragen. Ein regelmäßiger IT-Sicherheitscheck gibt Aufschluss über Schwachstellen und kann Ihr Unternehmen vor Datenverlust und -diebstahl schützen. Mithilfe einer Analyse der IT-Schwachstellen durch IT-Audit und Penetrationstest kann herausgefunden werden, wie Ihr Netzwerk gestärkt und kontrolliert werden kann. Ein effektives IT-Sicherheitskonzept, in dem organisatorische, infrastrukturelle und personelle Aspekte Ihres Unternehmens berücksichtigt werden, verhilft Ihnen zu einem sicheren IT-System. Das Konzept sollte Tätigkeiten beinhalten, die im Laufe der Zeit umgesetzt werden, damit alle IT-Sicherheitsrichtlinien erfüllt und die Sicherheit Ihres Netzwerks sowie die Existenz Ihres Unternehmens gewahrt werden. Wenn Sie Zeit und Kosten einsparen möchten, können Sie bestimmte Aufgaben, welche die IT-Sicherheit Ihres Unternehmens betreffen, an Dritte outsourcen – an sogenannte Managed Security Services (MSS). Bei den klassischen Aufgaben, wie Backup, Firewall oder Spamfilterung, werden gleichzeitig auch noch rechtliche Probleme reduziert. Außerdem können Sie auch die Überwachung und Sicherung Ihres Servers an Profis auslagern, damit Sie sich auf Ihr Kerngeschäft fokussieren können. Auch die in Ihrem Unternehmen genutzten mobilen Endgeräte können durch ein Mobile Device Management per Fernwartung vor Sicherheitsrisiken geschützt werden. Ihr einwandfreier IT-Betrieb ist im Wesentlichen von der Sicherheit Ihres Netzwerks abhängig. Netzwerk Monitoring Tools und Zugangskontrollen verhelfen Ihnen zum Schutz vor Hackerangriffen und anderen Gefahren. Eine Überwachung des Netzwerkes trägt zu einem effizienten IT-Risikomanagement bei. Mit einer Software für IT-Schwachstellenmanagement können Sicherheitsrisiken bewertet, Notfallmanagement betrieben und Ihr Compliance-Aufwand vereinfacht werden.

IT-Grundschutz des BSI

Es gibt verschiedene Standards, die dem IT-Sicherheitsmanagement zugerechnet werden. Dazu gehören die IT-Grundschutzkataloge, in denen konkrete Maßnahmen definiert sind, die dem Zweck der Erhaltung der Sicherheit dienen. Informationen nicht nur über IT-Sicherheit, sondern auch über Informationssicherheit finden Sie in der Broschüre (PDF-Datei 1,4 MB) des BSI zum Überblick des IT-Grundschutzes. Die Broschüre dient der Sensibilisierung: Das Top-Management trägt eine Verantwortung für die Informationssicherheit in einem Unternehmen. Informationssicherheit umfasst jedoch mehr als bloß IT-Sicherheit, weshalb das Thema ganzheitlich betrachtet werden sollte. Der IT-Grundschutz bietet eine bewährte Vorgehensweise, die bei der Einführung eines Managementsystems für Informationssicherheit Hilfe leistet. Bei Informationssicherheit handelt es sich um eine grundlegende und prozessübergreifende Anforderung an Institutionen, deren Aufgabe darin besteht, ganze Unternehmen und nicht nur einzelne Rechner vor Schäden zu schützen. IT-Sicherheit ist jedoch ein grundlegender Baustein, der dafür benötigt wird. Damit eine ganzheitliche Sicherheit erreicht werden kann, muss eine ausgewogene Mischung aus organisatorischen, personellen und technischen Maßnahmen gefunden und implementiert werden. Systeme mit hohem Schutzbedarf profitieren besonders von den strukturierten Vorgaben und Maßnahmen der Kataloge.

Häufige Fehlverhaltensweisen

Gefährdung durch Risiken Gefährdung durch Risiken

Gängige Versäumnisse, welche die IT- und Informationssicherheit betreffen, hängen dabei nicht von der Größe eines Unternehmens oder der Branche ab. Im Folgenden werden häufige Fehlerquellen im Rahmen von Schutzmaßnahmen eines IT-Systems vorgestellt.Ein wichtiger Punkt ist nicht selten eine fehlende oder zumindest fehlerhafte Informationssicherheitsstrategie. Damit geht einher, dass die Sicherheit des IT-Systems in Unternehmen häufig einen zu geringen Stellenwert hat. Verbunden werden hiermit nämlich oftmals unnötig hohe Kosten. Aus verschiedenen Gründen werden Sicherheitskriterien vor allem bei Neuanschaffungen nicht ausreichend oder gar nicht bedacht. Problematisch hierbei ist, dass Sicherheitsmängel nicht sofort sichtbar sind und daher die Beschäftigung mit diesem Thema immer wieder verschoben wird. Chancen zur Implementierung einer Sicherheitsstrategie werden oft nicht genutzt, obwohl Schwachstellenanalysen durchgeführt und Maßnahmenempfehlungen formuliert werden. Insgesamt fehlen in vielen Unternehmen dauerhafte Prozesse, die ein gutes Sicherheitsniveau konstant halten. Kleine und mittelständische Unternehmen fixieren im Gegensatz zu großen Instituten nur selten schriftliche Sicherheitsrichtlinien und Tipps zu deren Anwendung. Wenn solche Richtlinien doch festgehalten wurden, sind sie oft nicht eindeutig verständlich, weil sie abstrakt formuliert sind. Zudem sind Richtlinien nicht immer allen Betroffenen bekannt oder ihnen fehlt die vertragliche Grundlage, sodass Verstöße gegen diese Regelungen kaum oder gar nicht zu ahnden sind. In diesem Zusammenhang kann auch angeführt werden, dass Vorgaben nur dann wirksam sind, wenn die Einhaltung auch kontrolliert werden kann. Eine Kontrolle findet aus diversen Gründen (rechtlich, technisch oder administrativ) praktisch kaum statt. Wenn Mitarbeiter bei Verstößen keine Konsequenzen zu befürchten haben, führt auch dies zu zunehmender Missachtung der bestehenden Richtlinien. Unsicherheiten in der Vernetzung und Internet-Anbindung sind weitere Kriterien, die Ihr IT-System gefährden. Daten im internen Netz unterliegen lediglich einem Risiko, das durch Interne, also durch Mitarbeiter, verursacht wird. Sobald das Netz dem Internet geöffnet wird, können Schwachstellen von Dritten ausfindig gemacht und missbraucht werden, beispielsweise von Hackern.

Hacker-Angriff Hacker-Angriff

Um bestehende Applikationen sicher an das Internet anzubinden, müssen die zuständigen Administratoren über spezifische Kenntnisse verfügen. Die Einrichtung einer Firewall bedeutet nicht automatisch, dass das IT-System sicher ist – vielmehr sollten sensible Daten, Systeme und Teilnetze von offenen Netzen hinreichend abgeschirmt sein. Oft werden Sicherheitsmaßnahmen aus Bequemlichkeit vernachlässigt: Sogar wenn passende Mechanismen unmittelbar gegeben sind, werden E-Mails und andere wichtige Dokumente häufig nicht verschlüsselt. Ähnlich verhält es sich mit Passwörtern, die eigentlich regelmäßig geändert und mit denen nach Möglichkeit die Bildschirmschoner der einzelnen Rechner versehen werden sollten. Der Umgang mit Passwörtern im Unternehmen erfolgt nicht immer so diskret, wie es eigentlich von Nöten wäre. Obwohl Risiken bezüglich des Verlusts von Daten allgemein bekannt sind, werden Inhalte besonders von Laptops selten oder sogar nie gesichert. Selbst in dem Fall, dass regelmäßig eine Datensicherung durchgeführt wird, ist diese oftmals unvollständig oder fehlerhaft. Bei automatischen Sicherungen sind die Mitarbeiter größtenteils nicht richtig darüber informiert, in welchen zeitlichen Abständen welche Informationen gesichert und für welche Dauer die Sicherungsmedien aufbewahrt werden. Es ist also wichtig, selbst die einfachsten Sicherheitsmaßnahmen fest im Arbeitsablauf zu integrieren, damit sie im Unternehmen Akzeptanz finden und fest etabliert werden können.

An dieser Stelle lässt sich ein weiteres Problem erkennen: Die unternehmensinternen Anwender und Administratoren sind in vielen Fällen weitgehend nicht richtig in diesen Angelegenheiten geschult. Ein gekonnter Umgang mit diesen Sicherheitsmechanismen erfordert ein hohes Maß an Eigeninitiative und das Erlernen der Fähigkeiten zum kompetenten Umgang gestaltet sich oft als zeitintensiv und aufwendig. Die Problematik einer schlechten Wartung von IT-Systemen besteht zu einem großen Teil darin, dass verfügbare Sicherheits-Updates nicht immer rechtzeitig eingespielt werden. Von Viren verursachte Schäden treten teilweise erst einige Zeit nach dem Bekanntwerden dieser Schadprogramme auf. Die Hersteller von Viren-Schutzprogrammen bieten immer wieder Patches an, die sich dieser Problematik widmen. Das Auswählen und Testen dieser Patches ist für viele Administratoren jedoch häufig zu aufwendig, sodass sie bis zum nächsten regulären Update der Software warten – dieses Verhalten kann aber zu großen Schäden in Unternehmen führen. Zu guter Letzt kann auch ein mangelhafter Schutz vor Einbrechern und Elementarschäden zu folgenreichen Auswirkungen führen. Wenn Räumlichkeiten und IT-Systeme nicht angemessen vor Diebstahl und Elementarschäden geschützt werden, unachtsam mit gekippten Fenstern oder unverschlossenen Türen zurückgelassen werden, wird es Unbefugten wie Einbrechern leicht gemacht. Bei Entwendungen von Computern und Notebooks gehen vertrauliche Daten nicht nur verloren, vielmehr kann auch ein Missbrauch der Daten erfolgen. Auch vor (Umwelt-)Katastrophen sollten Ihre Räumlichkeiten gewappnet sein. Brände oder Überschwemmungen sind zwar nicht sehr wahrscheinlich, im Ernstfall ziehen sie aber weitreichende Folgen mit sich. Deswegen gelten Brandschutzmaßnahmen, Schutz vor Wasserschäden und eine gesicherte Stromversorgung als wichtige Grundlagen.

Konkrete vorgestellte Vorgehensweisen können Ihnen bei der Reduktion von Schadensfällen helfen. Im Leitfaden zur Informationssicherheit des BSI finden Sie eine ausführliche Auflistung entsprechender Maßnahmen.

Tipps zur IT-Sicherheit

Im oben erwähnten Leitfaden finden sich zahlreiche Vorgehensweisen, die sich auf die Informationssicherheit im Allgemeinen beziehen. Es werden aber auch Tipps zur Sicherheit von IT-Systemen angeführt, die wir Ihnen hier übersichtlich vorstellen möchten.

Tipps zur Sicherheit von IT-Mechanismen Tipps zur Sicherheit von IT-Mechanismen

Sicherheit von IT-Systemen

Damit die Sicherheit Ihres IT-Systems gewährleistet werden kann, ist es hilfreich, wenn die Prozesse im Unternehmen umgesetzt werden. Bereits einige der Programme zur Bürokommunikation in einem herkömmlichen Client-Server weisen zahlreiche Schutzmechanismen auf. Wenn die Einstellungen aber falsch konfiguriert oder Zuständige über die verschiedenen Möglichkeiten im Unklaren sind, führt das meist zu gängigen Schwachstellen. Die bereits gegebenen Mechanismen, die zur Sicherheit beitragen, sollten deswegen ausführlich analysiert, verstanden und eingesetzt werden. Ein weiteres wichtiges Kriterium ist der Einsatz von Viren-Schutzprogrammen auch auf Computern ohne Internetzugang, da Schadprogramme nicht nur über Netze, sondern auch über Datenträger verbreitet werden können. Sämtliche E-Mails und jegliche Art von Kommunikation via Internet sollten auf Viren überprüft werden. Auf jedem Rechner sollte im Hintergrund ständig ein Schutzprogramm laufen. Aber selbst wenn die Computer mit diesen Programmen ausgestattet sind, ist kein absoluter Schutz vor neuartigen Viren garantiert. In Ihrem Unternehmen sollten Sie sich an das Need-to-Know-Prinzip halten: Jeder Mitarbeiter sollte nur auf die Daten zugreifen und Programme ausführen können, die für seine Arbeit wirklich notwendig sind. Das Ganze lässt sich mit sogenannten Berechtigungsprofilen umsetzen, in denen erforderliche Zugriffe ermöglicht werden. Diese Profile dienen als Basis für geeignete Nutzergruppen oder Rollen. Die Berechtigungen für einzelne Profile sollten regelmäßig überprüft und gegebenenfalls eingeschränkt werden. Wenn Administratoren uneingeschränkte Berechtigungen haben, wird das Risiko des Missbrauchs erhöht, wenn Unbefugte die Administratorrolle übernehmen.

IT-Sicherheit in Ihrem Unternehmen IT-Sicherheit in Ihrem Unternehmen

Deswegen sollten administrative Aufgaben möglichst nach Tätigkeitsbereichen auf verschiedene Administratoren aufgeteilt werden. Viele Programme übernehmen die Zugriffsrechte des Benutzers, der es ausführt, sodass sie über weitreichende Programmprivilegien verfügen. Zudem sind Programme manchmal mit Root-Rechten ausgestattet, sodass sie wie ein Systemadministrator wichtige Systemressourcen nutzen können. Wenn Angreifer diese Programme übernehmen, verfügt auch er über diese Zugriffsberechtigungen. Deshalb ist es wichtig, dass Programme nur Funktionen aufweisen, die ihnen ein fehlerfreies Funktionieren ermöglichen. Ein neu installiertes und noch nicht auf die Sicherheitsbestimmungen Ihres Unternehmens optimiertes System sollte niemals im produktiven Betrieb genutzt werden. Erst wenn die vorgegebenen Konfigurationen, wie Standardpasswörter und Standardbenutzerkonten, an Ihre Bedürfnisse angepasst wurden, kann es sicher genutzt werden. Außerdem sollten Computer und wichtige Server gehärtet werden. Das heißt, dass alle Softwarebestandteile und Funktionen, die nicht zwingend benötigt werden, entfernt werden. Dadurch wird ein Angriff verhindert, der über nicht benötigte Programme erfolgen könnte. Auch wenn ein Administrator der Meinung ist, ein System ohne Lesen der Handbücher installieren zu können, empfiehlt es sich dennoch, Handbücher und Produktdokumentationen vorher gründlich zu studieren. Ansonsten können wichtige Hinweise übersehen werden und später Probleme wie Inkompatibilität, Abstürze und unentdeckte Schwachstellen auftreten. Eine schriftliche Dokumentation aller Arbeitsschritte vor, während und nach der Installation ist ratsam. Bei Schwierigkeiten können auf diese Weise mögliche Ursachen von Problemen leichter ausfindig gemacht werden. Diese Dokumentation sollte so erfolgen, dass sie auch von Dritten verstanden werden kann. Das dient dem Zweck, dass im Ausfall eines Administrators Ersatzadministratoren das System verwalten können.

Vernetzung und Anbindung an das Internet

Vernetzung und Anbindung ans Internet Vernetzung und Anbindung ans Internet

In vielen Unternehmen stellen E-Mail und Web-Browser die wichtigsten Internetanwendungen dar. Hier sind besonders viele Sicherheitsrisiken anzutreffen. Jeder Computer in Ihrem Unternehmen muss mit einer Firewall ausgestattet werden, um das eigene vor benachbarten Netzen zu schützen. Der Schutz Ihrer Daten in Ihrem Netzwerk hängt von Authentifizierungs- und Autorisierungsmechanismen ab. Wenn diese nur unzureichend sicher sind, sind vertrauliche Daten Unbefugten leicht zugänglich. Weil das keine Seltenheit ist, sollten Sie sich überlegen, ob geheime Informationen außerhalb des eigenen Netzes zur Einsicht und Bearbeitung freigegeben werden sollten. Bei der Verwendung von Web-Browsern ist es wichtig, dass Sie darauf achten, nur notwendige Anwendungen aktiviert zu lassen und Skriptsprachen möglichst zu deaktivieren. Bei Anhängen von E-Mails ist ebenfalls erhöhte Vorsicht geboten: Öffnen Sie keinen Anhang, bevor Sie beim Versender nachgefragt haben und ihn mit einem Viren-Schutzprogramm überprüft haben. Nutzen Sie zum Surfen im Internet einen gesonderten Computer ohne Verbindung zum internen Netz, um hier etwaige Risiken zu minimieren.

Wartung von IT-Systemen & zum Umgang mit Updates

Wartung und Updates Wartung und Updates

Stellen Sie sicher, dass Sicherheits-Updates regelmäßig vorgenommen werden. Das betrifft Viren-Schutzprogramme in besonderem Ausmaß, aber auch Browser, E-Mail-Programme, Betriebssysteme und andere Anwendungsprogramme sowie Hardware-Komponenten sollten häufig aktualisiert werden. Sicherheits-Updates sollten als fester Prozess integriert werden. Informieren Sie sich außerdem regelmäßig über neu bekanntgewordene Schwachstellen und Hilfsmittel, die der Beseitigung und somit dem Schutz Ihres IT-Systems dienen. Recherchieren Sie dazu eigenständig im Internet oder ziehen Sie entsprechende Fachartikel zu Hilfe. Die zuvor bereits erwähnten Sicherheits-Patches sollten einer Auswahl unterliegen, da meist nicht alle installiert werden können. Jede Softwareänderung sollte zudem vor dem Verwirklichen in produktiven Systemen in Testumgebungen auf Schwachstellen überprüft werden, da auch Updates von Viren-Schutzprogrammen unternehmenseigene Programme irrtümlich als neuartige Schadsoftware identifizierten und deaktivierten.

Umgang mit Sicherheitsmechanismen wie Passwörtern & Verschlüsselung

Sicherheitsmechanismen Sicherheitsmechanismen

Wie bereits geschildert, sind in vielen Produkten schon Sicherheitsmechanismen wie Passwort- oder Verschlüsselungsmöglichkeiten integriert. Verfahren zur sicheren Verschlüsselung sind vielschichtig und sehr komplex, weshalb besonders die selbstentwickelten Schutzmechanismen von Produktherstellern als unsicher gelten. Setzen Sie sich daher mit diesen Mechanismen auseinander: Am besten weisen die Produkte standardisierte und allgemein anerkannte Algorithmen zum Schutz auf. Halten Sie sich zum Schutz vor Hackerangriffen bezüglich Ihrer Passwörter an bestimmte Qualitätsanforderungen. Ein sicheres Passwort sollte mindestens aus sieben Zeichen bestehen, in seiner Form nicht in Wörterbüchern enthalten und auch kein Name sein. Zusätzlich sollte es Ziffern oder Sonderzeichen aufweisen. Versuchen Sie nach Möglichkeit, verschiedene Kennwörter für verschiedene Zwecke zu verwenden. Um den Überblick zu behalten, können Sie Passwörter aufschreiben und an sicheren Orten aufbewahren – Ausnahmen stellen hierbei Hochsicherheitsbereiche dar! Aus Sicherheitsgründen ist es außerdem ratsam, Computer am Arbeitsplatz mit Bildschirmschonern und Kennwörtern zu sichern, wenn der Arbeitsplatz für eine Weile verlassen wird. Ziehen Sie auch den Einsatz einer Verschlüsselungssoftware für besonders sensible Informationen in Betracht. Das gilt insbesondere für Laptops, die leicht gestohlen werden können.

Schutz vor externen Gefahren: Feuer, Stromausfall, Einbrecher & mehr

Externe Gefahren Externe Gefahren

Um Schäden durch Notfälle jeder Art entgegenzuwirken, sollten -auf unterschiedlichsten Szenarien basierend- Pläne erstellt werden, die jedem Mitarbeiter bekannt sind. In den verschiedenen Notfallsituationen weiß dann jeder Mitarbeiter, wie er handeln muss. Backups sollten regelmäßig erstellt und daraufhin kontrolliert werden, ob auch wirklich alle wichtigen Daten gesichert wurden. Die entsprechenden Medien sollten an sicheren Orten -wenn möglich außerhalb Ihres Unternehmens- aufbewahrt werden. Diese Orte sollten gegen Wasser-, Feuer- und andere Schäden abgesichert sein. Hierfür bieten sich Bankschließfächer an. Ihr IT-System sollte ebenfalls gegen diese Gefahren geschützt sein. Oftmals dürfen Geräte nur unter bestimmten Klimabedingungen betrieben werden. Wichtige Bestandteile des IT-Systems, wie Server, Sicherungsmedien und Router, sollten sich in gut geschützten Räumen befinden. Zum Schutz vor Einbrechern können bereits kleinere Maßnahmen zu einer erhöhten Sicherheit beitragen: Machen Sie sich Gedanken darüber, an welchen Orten Besucher sich aufhalten und auf welche IT-Systeme Sie dabei zugreifen könnten. Insbesondere Server und Computer mit vertraulichen Daten sollten nicht unbemerkt zugänglich sein. Eine Betreuung von Besuchern und ein Abschließen bestimmter Räumlichkeiten sowie das Schließen von Fenstern auch in der Mittagspause verhelfen Ihnen zu mehr Sicherheit. Bedenken Sie auch, dass der Einsatz von Handwerkern, Reinigungspersonal etc. ein Sicherheitsrisiko darstellt, welches Sie managen müssen. Notebooks sollten generell sicher aufbewahrt werden.

Es handelt sich hierbei lediglich um den Versuch, die notwendigsten Sicherheitsmaßnahem übersichtlich auszulisten. Bei Bedarf können Sie Ihr Unternehmen mit weiteren Schutzvorkehrungen vor Schäden bewahren.

Die richtigen Maßnahmen für gängige Schadensfälle

Im Folgenden werden Ihnen fünf Fälle vorgestellt, die so oder in ähnlicher Form häufig in Unternehmen und anderen Institutionen auftreten. Im Anschluss eines jeden Falles werden entsprechende Maßnahmen erläutert, die solchen Vorkommnissen entgegenwirken.

  1. Verlust der Daten wegen fehlender Backups: Aufgrund verschiedener ungünstiger Faktoren können in einem Unternehmen alle Daten verloren gehen. Mögliche Ursachen können darin liegen, dass Unternehmen mit einem kleinen Netz und nur einem einzigen zentralen Sever arbeiten, auf dem die Daten gespeichert werden. Auch wenn regelmäßig Sicherheitskopien auf dem im Server enthaltenen Bandlaufwerk gespeichert und diese in einem verschlossenen Schrank aufbewahrt werden, kann ein unerwarteter Serverausfall zum Problem werden. Ist dann nämlich zusätzlich das Bandlaufwerk seit längerer Zeit defekt und Daten konnten seit längerer Zeit nicht gesichert werden, sind alle Daten der letzten Jahre verloren. Dieser Art von Schadensfall kann durch ein regelmäßiges Überprüfen der Backup-Bänder, ein Prüfen und Üben der Rücksicherung entgegengewirkt werden. Auch die Lagerung in hausinternen verschlossenen Schränken stellt keinen ausreichenden Schutz dar, vielmehr sollten Sicherungsbänder extern (zum Beispiel in Bankschließfächern) gelagert werden.
  2. Beschädigung durch Computer-Viren: Auch wenn Programme zum Schutz vor Viren eingesetzt werden, sobald Virensignaturen unregelmäßig stattfinden, besteht ein erhöhtes Risiko für Ihr System. Verbreiten sich Viren beispielsweise über E-Mails im Internet und Sie besitzen keinen automatischen Update-Mechanismus, der im Notfall die Viren-Schutzprogramme auf allen Computern mit den neuen Virensignaturen aktualisiert, können die Mailserver Ihres Unternehmens vom Internet getrennt werden. Wenn der Virus aber bereits in Ihr System eingedrungen ist und wichtige Dokumente beschädigt oder löscht, dann müssen alle Rechner vom Netz getrennt und ausgeschaltet werden. Anschließend müssen die Computer einzeln mit aktuellen Virensignaturen ausgestattet und befallene Rechner von den Viren befreit werden. Das führt dazu, dass der gesamte IT-Bereich für eine Weile stillgelegt ist und durch vernichtete Daten sowie verlorene Arbeitszeit ein erheblicher Schaden entsteht. Ein effektives Update-Konzept für Sicherheits-Updates kann helfen, große Schäden zu verhindern, wenn Viren dieser Art unterwegs sind. Auch selten genutzte Notebooks und Testrechner sollten bei Schutzmaßnahmen gegen Viren bedacht werden.
  3. Ausfall des Administrators: Fällt der alleinzuständige Administrator für die Konfiguration der Unternehmenscomputer aus und die anderen Mitarbeiter können nicht richtig auf auftretende Probleme, wie Fehlermeldungen und Warnhinweise, eingehen, kann auch das zu schwerwiegenden Problemen führen. Eventuell arbeiten einige Computer dann nicht mehr richtig und verweigern nach einem Neustart vollständig ihre Arbeit. Wenn sich dann noch herausstellt, dass nur sehr wenig über das System dokumentiert wurde, sogar Administrations-Passwörter nicht schriftlich hinterlegt wurden, kann auch ein zu Hilfe gerufenes Unternehmen für IT-Sicherheit das System oft nicht wieder in einen funktionstüchtigen Zustand versetzen. Mithilfe komplexer Verfahren kann eine Recherche Aufschluss darüber geben, welche Anwendungen auf den Servern installiert waren und an welchen Stellen wichtige Daten gespeichert wurden. Zusätzlich dazu kann auch noch der Einsatz von Spezialisten für spezifische Individuallösungen fällig werden. Dann kann die Wiederherstellung nicht nur mehrere Wochen dauern, sondern damit im Zusammenhang auch sehr teuer werden. Um sich gegen dieses Risiko zu wappnen, sollten Sie eine sorgfältige Dokumentation Ihrer Systemeinstellungen und -parameter durchführen und wichtige Passwörter schriftlich hinterlegen. Für Notfälle sollte es Pläne mit Anweisungen für das Vorgehen bei gängigen Schadensfällen geben. Außerdem sollten Sie Regeln zur Vertretung des zuständigen Administrators festlegen.
  4. Schutz vor Hackerangriffen aus dem Internet: Gerade, wenn Sie mit vertraulichen, personenbezogenen Daten arbeiten (beispielsweise in Arztpraxen), ist es wichtig, diese Daten vor externen Zugriffen besonders zu schützen. Es reicht in diesem Fall nicht, das System allein mit einem Passwort zu sichern. Vielmehr ist es notwendig, alle Internetzugänge zu sichern und zusätzlich die vertraulichen Daten zu verschlüsseln. Nur so können Sie sicher sein, dass keine vertraulichen Informationen in falsche Hände geraten.
  5. Interner Missbrauch: Sie arbeiten mit geheimen Informationen, die Ihnen einen Wettbewerbsvorteil im Vergleich zu Ihrer Konkurrenz verschaffen. Für den Fall, dass einer Ihrer Mitarbeiter zu genau dieser wechselt, sollten Sie Schutzmaßnahmen ergreifen, damit keine internen Informationen nach außen gelangen können. Räume und Gebäude sollten deswegen gegen unbefugten Zutritt gesichert und wichtige Daten verschlüsselt sein.

Fazit

Es gilt festzuhalten, dass IT-Sicherheit ein wichtiges Thema in Unternehmen und anderen Instituten ist, das wahrgenommen werden und eigenverantwortlich nach individuellen Bedürfnissen umgesetzt werden muss. Aspekte, welche die Sicherheit betreffen, sollten schon bei der Entwicklung von IT-Systemen und auch nachhaltig bedacht werden. Wenn Sie sich im Wesentlichen an den hier vorgestellten Maßnahmen orientieren, ist das ein erster großer Schritt in die IT-Sicherheit und damit auch in die Informationssicherheit. IT-Sicherheit macht einen großen Teil der Maßnahmen zur Informationssicherheit aus, die ein Unternehmen ganzheitlich vor Schäden als Folge von grundsätzlich bekannten Risiken schützen können. An dieser Stelle soll angemerkt werden, dass für jede Institution, für jedes Unternehmen, IT-Sicherheitslösungen individuell von entsprechenden Dienstleistern zugeschnitten werden können. Wenn Sie weitere Fragen zu dieser komplexen Thematik haben, helfen wir Ihnen gern bei dem Einstieg und beraten Sie persönlich zu Fragen der IT-Sicherheit.

Vergleich anzeigen Vergleich ausblenden Alles löschen Auswertung
War diese Seite hilfreich für Sie?
1 Star2 Stars3 Stars4 Stars5 Stars 5,00 von 5 Punkten, basierend auf 2 abgegebenen Stimme(n).
Loading...