Soccer team in a huddle

IT-Sicherheit: Die zehn wichtigsten Maßnahmen

3. August 2015 von Andreas Schmitz 0

Niemand ist Cyberattacken hilflos ausgeliefert. Vorausgesetzt, ein vielschichtiges Sicherheitskonzept beugt wirksam vor. Worauf kommt es dabei an? IT-Sicherheitsexpertin Claudia Eckert vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) gibt Tipps.

Unternehmen, die ihr Sicherheitskonzept nicht im Griff haben, drohen zum Teil existenzgefährdende Umsatzeinbußen – ganz zu schweigen vom Image- und Reputationsverlust, der durch eine bekannt gewordene Cyberattacke unweigerlich entsteht. Ganz zu verhindern sind derartige Vorfälle wohl nie. Aber es lassen sich wirksame Gegenmaßnahmen treffen. Vor allem mehrstufige Sicherheitskonzepte unterstützen dabei, dass Unternehmen sicherer werden.

Die Tipps der IT-Sicherheitsexpertin:

  1. Nicht zuerst über Technik nachdenken

Finden Sie heraus, was für Sie schützenswert ist und analysieren Sie, wie wahrscheinlich und folgenreich potenzielle Cyberattacken sein können. Jedes Unternehmen verfügt über individuelle Produkte, Patente oder Geschäftsideen, die den Unterschied zum Wettbewerb ausmachen. Wo liegen im Unternehmen die entsprechenden Informationen? Welche Prozesse und Systeme sind involviert? Erst wenn dies geklärt ist, lässt sich die passende Sicherheitsstrategie finden und eine zielgenaue Analyse des Sicherheitszustandes erstellen.

  1. Einen detaillierten Notfallplan erstellen

Mitarbeitern und Abteilungen muss klar sein, wer welche Aufgaben im Fall der Fälle übernimmt. Breitet sich eine Schadsoftware im System aus, sollten alle nötigen Schritte zudem in einem Notfallhandbuch dokumentiert sein. Ein aufeinander abgestimmtes Sicherheitsmanagement beugt Kurzschlusshandlungen vor. „Stecker ziehen“ hilft in der Regel nicht.

  1. Administratoren mit Hackertools ausstatten

Wer Angriffe abwehren will, sollte den Angreifer und dessen Methoden gut kennen. Da einige Virenscanner ausschließlich über ein gutes Kurzzeitgedächtnis verfügen, sind etwa Advanced Persistent Threats so ausgelegt, dass sie eine Attacke fahren, stoppen und später neu starten. „Sie passen sich der Abwehr an“, sagt Expertin Eckert. Diese Strategien zu kennen, ist nützlich, um von Unternehmensseite wirkungsvoll reagieren zu können.

  1. Umgang mit mobilen Endgeräten steuern

Machen Sie mobile Endgeräte nur eingeschränkt nutzbar, ohne Zugriff auf verschlüsselte Mails und Zugang zu internen Servern. „Zonenkonzepte“ oder „Sandboxes“ definieren etwa Bereiche, in denen sich Smartphones und Tablets unbedenklich nutzen lassen. Ein Grundproblem: Häufig sind private Tablets und Smartphones nicht in Prozesse integriert, erhalten keine Updates und laufen außerhalb des Sicherheitsnetzes des Unternehmens. Jeder Mitarbeiter mit eigenem Gerät wird somit zu einem Sicherheitsproblem.

  1. Identitätsverwaltung aufräumen

Prof_Dr_Eckert_Fraunhofer-AISEC

Claudia Eckert: „KMU können sich die Kompetenz über die Cloud ins Haus holen.”

Klare Richtlinien über Zugriffsgenehmigungen von Mitarbeitern, regelmäßige Schulungen der Mitarbeiter, Aufklärung über sichere Zugangsdaten: Das gehört zu einem „gesunden“ Identitätsmanagement.

  1. Gute Passwortregeln festlegen und technisch kontrollieren

Das beste Identitätsmanagement nützt nichts, wenn Mitarbeiter ein Standardpasswort für alle Zugänge nutzen oder Post-its an Rechnern kleben. Verlassen Sie sich nicht auf die Sorgfalt der Mitarbeiter und überprüfen Sie ihre Passwortwahl.

  1. Mitarbeiter sensibilisieren und schulen

Mitarbeiter werden oft Opfer von Social-Engineering-Angriffen und tappen bei Phishing-E-Mails in die Falle: Die wichtigsten Angriffsmethoden sollten den Mitarbeitern bekannt sein, so dass sie bei der vermeintlichen Mail von einem Freund mit Anhang erst einmal vorsichtig sind.

  1. Zentrale Überwachung der Sicherheitssysteme etablieren und Bedrohungen in Echtzeit identifizieren

Kein Sicherheitskonzept kann alle Eventualitäten abdecken. Vorfälle wird es immer geben. Im Fall der Fälle jedoch ist es wichtig, schnell zu reagieren, den betroffenen Rechner zu identifizieren und zu isolieren. Und zwar im Idealfall, bevor sich Schadsoftware im Unternehmen ausbreitet.

  1. IT-Sicherheit in die Hand von externen Dienstleistern geben

Über „Security as a Service“ können sich besonders kleine und mittelständische Unternehmen die Kompetenz über die Cloud „ins Haus“ holen. Die Komplexität der Sicherheitsthematik führt oft dazu, dass sie „viel Geld für Maßnahmen ausgeben, die gar nicht wirken“, erläutert IT-Sicherheitsexpertin Eckert. Oder sie geben immer nur dann Geld für „punktuelle Maßnahmen“ aus, wenn Geld dafür da ist. Eine langfristige Strategie sieht anders aus.

  1. Sicherheitsstrategie von Kunden und Zulieferern überprüfen

Erfassen Sie mit Ihrer Strategie auch die Lieferanten und Partner. Was hilft die beste Sicherheitsstrategie, wenn die IT-Systeme der Kooperationspartner unsicher sind. Oder Kommunikationsverbindungen, über die ständig Daten hin- und her fließen, nicht zuverlässig verschlüsselt sind.

Claudia Eckert ist Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) und des Bereichs „Sicherheit in der Informatik“ an der TU München. Schon in ihrer Promotion beschäftigte sich die 56-jährige mit der „Sicherheit in verteilten Netzen“.

Tags: ,

Leave a Reply