Das Dell Insider-Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie:
Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen

Serie: Das zukunftsfähige Unternehmen

IT-Sicherheit ist von strategischer Bedeutung

Stefan Schasche ist seit 15 Jahren im IT-Bereich als Redakteur, Projektleiter und Autor tätig und kennt sich mit aktueller Hardware ebenso aus wie mit Betriebssystemen oder digitalen Werbeformen. Als Blattmacher war er für verschiedene Zeitschriften aus dem IT-Bereich redaktionell verantwortlich und betreute in diesem Umfeld Autoren auf allen Kontinenten.
Kaum ein Tag vergeht, ohne dass die Medien von Hackerangriffen, Sicherheitslücken in Gerätesoftware oder Datenlecks mit teils desaströsen Folgen berichten. In einer immer stärker vernetzten Welt gewinnen nicht nur die Daten und der schnelle Zugriff darauf an Bedeutung, sondern vor allem deren Sicherheit.

Kein Unternehmen kann sich Sicherheitslücken leisten, denn die Konsequenzen sind existenzbedrohend. Nicht nur der Missbrauch oder die Manipulation von Daten kann gravierende Folgen haben, sondern auch der Vertrauensverlust bei Kunden oder Investoren. Verlorenes Vertrauen wiederherzustellen, ist - wenn überhaupt möglich - wesentlich kostspieliger als dieses Vertrauen gar nicht erst zu verlieren.

Um ein Unternehmen im Bereich der Sicherheit zukunftsfähig aufzustellen, gilt es etliche Aspekte zu beachten. Dazu gehört beispielsweise eine moderne Firewall. Sie muss die Nutzer nicht nur vor vermeintlichen Risiken schützen, sondern dies intelligent und nachvollziehbar tun. Da die meisten Gefahren für die IT-Sicherheit nicht von außen, sondern von innen drohen, sind die Mitarbeiter entsprechend auszubilden. Zusätzlich sollte jedes Unternehmen für ein ausgeprägtes Sicherheitsbewusstsein sorgen. Die interne IT muss zudem mithilfe einer modernen Identitäts- und Zugriffsverwaltung befähigt werden, Zugriffsrecht und Authentifizierung ebenso effizient wie effektiv zu organisieren. Und letztlich ist es von größter Bedeutung, die Sicherheit aller Daten zu gewährleisten, auf die Mitarbeiter über mobile Geräte zugreifen.

Eine leistungsfähige Identitäts- und Zugriffsverwaltung sorgt für die Verwendung sicherer Passwörter durch die Mitarbeiter.
Eine leistungsfähige Identitäts- und Zugriffsverwaltung sorgt für die Verwendung sicherer Passwörter durch die Mitarbeiter.
Foto: Dell

Grundsätzlich darf die IT-Sicherheit nicht als alleinige Angelegenheit der internen IT-Abteilung verstanden werden. Das gilt zugleich auch für die Lösung von IT-Sicherheitsproblemen. Vielmehr ist das eine Aufgabe des gesamten Unternehmens. Soll das IT-Sicherheitsniveau nachhaltig angehoben werden, reicht es also nicht aus, wenn die IT allein tätig wird. Stattdessen muss die Unternehmensleitung selbst das Problem erkennen, verstehen und gemeinsam mit der IT lösen. So erhält die IT neben den nötigen Befugnissen auch die wichtige Rückendeckung, um neue Maßnahmen bei der Belegschaft durchzusetzen.

Außerdem gilt: Wenn das Sicherheitskonzept stimmt, die Mitarbeiter richtig geschult und die eingesetzten Techniken auf der Höhe der Zeit sind, ist größtmögliche Sicherheit kein Hemmschuh, sondern ein Wettbewerbsvorteil. Sicherheitslösungen sind dann wirklich gut, wenn man sie kaum bemerkt, sie aber immer im Hintergrund aufpassen und Angriffe verhindern. Wer sich als Mitarbeiter nicht mehr täglich Gedanken um die Sicherheit seiner Daten machen muss, hat den Kopf frei und kann ganz anders agieren.

Die moderne Firewall als Basis der IT-Sicherheit

Eine Firewall ist für ein zukunftsfähiges Unternehmen besonders wichtig. Sie muss leistungsfähig, modern und flexibel sein und mit den Anforderungen von Gegenwart und Zukunft umgehen können. Zu ihren Aufgaben gehört die Kontrolle des Datenverkehrs von außen nach innen und umgekehrt. Sie muss aber auch in der Lage sein, bei Bedarf die eigenen Mitarbeiter voneinander abzuschotten. Das ist beispielsweise dann bedeutsam, wenn Mitarbeiter einzeln oder in Teams an geheimen Projekten arbeiten. Wichtig ist zudem, dass die Firewall den Datenverkehr nicht nur kontrolliert und beispielsweise den Besuch riskanter Webseiten verhindert, sondern die Nutzer auf ihr Verhalten hinweist. Ein simples Verbot läuft fast immer ins Leere, wenn der Sinn dahinter nicht klar kommuniziert wird.

Zusätzlich gilt es zu bedenken, dass die Sicherheit eines Unternehmens nur so gut ist wie das schwächste Glied der Kette. Denn selbst wenn das eigene Netzwerk optimal gesichert ist und wenn sich die Angestellten aller Risiken bewusst sind, die beispielsweise schwache Passwörter bilden, können auch externe Stellen wie Lieferanten oder Kunden eventuell auf Unternehmensdaten zugreifen.

»
Whitepaper zum Artikel

Die meisten Gefahren kommen von innen

Auch wenn Hackerattacken zumeist für die spektakuläreren Schlagzeilen sorgen, geht das größere IT-Risiko für Unternehmen von den eigenen Mitarbeitern aus. Dabei handelt es sich zumeist nicht um Datendiebstahl oder um die mutwillige Vernichtung von Daten, sondern um Schäden durch Phishing-Attacken oder viel zu laxen IT-Sicherheitseinstellungen. Zukunftsfähige Unternehmen sind daher gefordert, das Thema Sicherheit auf vielen verschiedenen Wegen anzugehen.

Doch was genau gehört für ein zukunftsfähiges Unternehmen zu einer tragfähigen Sicherheitskultur? Im Fokus der Unternehmens-IT steht eine ausgereifte, leistungsfähige Identitäts- und Zugriffsverwaltung (IAM - Identity & Access Management). Sie befähigt die IT, alle Mitarbeiter nur mit den Zugriffsrechten auszustatten, die sie für ihre Arbeit tatsächlich benötigen. Nachlässigkeit hat hier keinen Platz: Selbst wenn für ein Projekt kurzfristig erweiterte Rechte erteilt werden, müssen diese nach Projektabschluss wieder entzogen werden. Die IT ist also gefordert und wird durch ein leistungsfähiges IAM befähigt, die Rechtevergabe stets im Blick zu haben und die Unternehmensrichtlinien strikt einzuhalten. Das IAM sorgt neben einer korrekten Authentifizierung bei Anmeldungen im System für eine Aufgabenverwaltung, das Passwortmanagement sowie für die Einhaltung festgelegter Sicherheitsstandards und -richtlinien.

Wirklich zukunftsfähig werden Unternehmen jedoch, wenn neben der neuesten Sicherheitstechnik auch ein Sicherheitsbewusstsein bei den Mitarbeitern existiert. Weit oben auf der Agenda muss daher der Aufbau einer Sicherheitskultur im eigenen Unternehmen stehen. Ziel ist es, bei allen Angestellten ein Bewusstsein für die existierenden Bedrohungen zu schaffen. So lassen sich sehr viele Risiken verhindern, die durch Fahrlässigkeit sowie Unwissenheit entstehen. Darunter auch solche, die unerlaubte Aktionen der Mitarbeiter verursachen, beispielsweise die von der IT-Abteilung nichtgenehmigte Nutzung bestimmter Programme und Dienste.

Dieses Bewusstsein lässt sich durch gezielte Maßnahmen festigen und dauerhaft in die Unternehmenskultur einbringen, etwa durch spezielle Sicherheitstrainingsprogramme. Das Ziel der Schulungen muss sein, die Mitarbeiter von der Bedeutung verantwortungsvollen Handelns zu überzeugen. Dazu gehören Themen wie:

  • die Vergabe unterschiedlicher und sicherer Passwörter

  • das vorsichtige und überlegte Reagieren auf verdächtige Mails und Links

  • das Schützen mobiler IT-Geräte vor Diebstahl

  • das Speichern von Firmendaten nur an sicheren Orten, also nicht auf USB-Sticks oder privaten Cloud-Accounts.

Schwache Passwörter, unbedachte Klicks, verlorene Smartphones: Die größte Gefahr für die Sicherheit von Unternehmen sind die eigenen Mitarbeiter.
Schwache Passwörter, unbedachte Klicks, verlorene Smartphones: Die größte Gefahr für die Sicherheit von Unternehmen sind die eigenen Mitarbeiter.
Foto: Dell

Mobile Endgeräte ohne Sicherheitsrisiko

Die Verwendung mobiler Endgeräte ist integraler Bestandteil jedes zukunftsfähigen Unternehmens. Die Mitarbeiter sind durch den Einsatz von Smartphones oder Notebooks flexibler und zudem jederzeit erreichbar. Doch Erreichbarkeit und Agilität haben einen Preis: Die Sicherheitsrisiken sind höher. Bei Verlust eines Smartphones steht weniger der materielle Schaden im Vordergrund, als vielmehr die gespeicherten Adressdaten, Passwörter oder Dokumente. Es ist daher sehr wichtig, die Mitarbeiter aufzuklären und sie zum bewussten, umsichtigen Umgang zu erziehen. Zudem müssen die mobilen Geräte selber mit einem hohen Sicherheitsstandard versehen sein. Zukunftsfähige Unternehmen setzen dazu neben leistungsfähigen Firewalls eine effektive Datenverschlüsselung ein. Moderne Verschlüsselungssysteme lassen sich schnell installieren, ohne die Leistungsfähigkeit der Geräte und die Produktivität der Mitarbeiter zu beeinträchtigen und ohne die IT über Gebühr zu beanspruchen.

Die meisten Unternehmen sind kaum in der Lage, all diese Herausforderungen selbstständig und von innen heraus zu bewältigen. Daher bietet beispielsweise Dell im Rahmen seines SecureWorks-Programms Lösungen an, die Unternehmen über ein Security&Risk-Consulting bei der Entwicklung strategischer Sicherheitsprogramme unterstützen. Die Services umfassen neben Penetrationstests auch das Bewerten und Stärken der Sicherheitsinfrastruktur, das Beheben kritischer Sicherheitsverstöße sowie das Einhalten von Compliance-Richtlinien.

Weitere Artikel zum Thema: