Das Dell Insider-Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie:
Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen

Sichere IT

IT-Sicherheitsstudie: Sieben Tipps für eine sichere IT

Thomas Fischer schreibt seit über 20 Jahren für unterschiedliche namhafte PC-Zeitschriften über IT-Themen sowie Business-Software, war beteiligt an der Entwicklung von Konzepten neuer IT-Magazine und arbeite mehrere Jahre in einem Verlag im Bereich Corporate Publishing. Sein Slogan ist: Technik einfach erklärt..
Wie deutsche Unternehmen die Sicherheit ihrer IT-Infrastrukturen einschätzen und welche Sicherheitsmaßnahmen sie aktuell nutzen, untersucht die Dell IT-Sicherheitsstudie. Ihre Resultate zeigen auf, welche zentralen Strategien Firmen für eine sichere IT berücksichtigen sollten.

Die von Dell durchgeführte IT-Sicherheitsstudie berücksichtigt ein breites Branchenspektrum. Die meisten Teilnehmer sind im Maschinenbau tätig, gefolgt von den Branchen Fertigung, Automobil und Gesundheitswesen. Wie sich die einzelnen Branchen über die gesamte Teilnehmerzahl der Studie verteilen, zeigt die nachfolgende Grafik detailliert.

Foto: Dell

Insgesamt liefert die Studie zahlreiche spannende Erkenntnisse in Bezug auf die IT-Sicherheit in deutschen Unternehmen. So wird deutlich, dass viele Firmen immer noch die IT-Sicherheit in Silos organisieren und wichtigen Sicherheitsaspekten nur unzureichend Beachtung schenken. Oft befindet sich die IT-Sicherheit zudem nicht auf dem neuesten Stand. Die damit verbunden Risiken sind den Unternehmen entweder nicht bewusst oder sie nehmen sie stillschweigend in Kauf. Die Resultate der Studie legen sieben Haupt-Schwachstellen offen, die in vielen deutschen Unternehmen die IT-Sicherheit beeinträchtigen. Die folgenden Tipps für eine sichere IT listen die dazu passenden Gegenmaßnahmen auf.

1. IT-Sicherheitsabteilung sensibilisieren

Auf die Frage, ob es eine Abteilung im Unternehmen gibt, die ausschließlich für die IT-Sicherheit verantwortlich ist, stellte sich heraus, dass nicht einmal jedes vierte Unternehmen solch eine Abteilung hat. Allerdings spielt dabei die Größe einer Firma eine erhebliche Rolle. Während rund jedes dritte Unternehmen mit 1.000 und mehr Beschäftigten über eine zentrale IT-Sicherheitsabteilung verfügt, sind es bei Unternehmen zwischen 100 und 199 Beschäftigten lediglich acht Prozent. Ein Umstand, der die Frage aufwirft, wer in den Unternehmen ohne Sicherheitsabteilung die Verantwortung für eine sichere IT trägt.

Foto: Dell

Die Grafik zeigt, dass in 64 Prozent der Unternehmen ohne IT-Sicherheitsabtteilung diese Aufgabe dem CIO oder IT-Leiter zufällt. In knapp jedem fünften Unternehmen sind für die IT-Sicherheit Mitarbeiter zuständig, die Applikationen oder Bereiche verantworten.

Dezentrale IT-Sicherheitsstrategien in Unternehmen erhöhen jedoch das Sicherheitsrisiko. Zudem ist die Wahrscheinlichkeit hoch, dass dieses Silo-Denken - also für jeden Bereich mit unterschiedlichen Anwendungen wie CRM oder ERP jeweils verschiedene Sicherheitsstrategien zu verfolgen - neben einem erhöhten Sicherheitsrisiko auch höhere Kosten für die Unternehmen verursacht. Erfolgreicher und effektiver ist es, die IT-Sicherheit von einer zentralen Sicherheitsabteilung im Unternehmen festzulegen und überwachen zu lassen.

2. Ein CISO für maximale Sicherheit

Von den 175 befragten Teilnehmern der Studie haben 149 die Position eines CIOs, IT-Leiters oder IT-Admins inne, gerade einmal fünf Teilnehmer sind in der Position eines Chief IT Security Officers (CISO) tätig. Als Verantwortlicher einer zentralen IT-Sicherheitsabteilung ist der CISO für die Einhaltung der Informationssicherheit zuständig.

Foto: Dell

Ein CISO kümmert sich um den Schutz sämtlicher IT-Systeme, die Daten verarbeiten und speichern, vor Gefahren und Bedrohungen. Außerdem ist er maßgeblich dafür verantwortlich, Ziele und Richtlinien zur Einhaltung der IT-Sicherheit im Unternehmen zu erarbeiten und diese festzulegen. Zudem verantwortet er auch deren praktische Umsetzung. Ein weiterer Teil seiner Aufgaben besteht darin, das Bewusstsein der Mitarbeiter für eine sichere IT zu überprüfen und sie bei Bedarf in Fragen der Sicherheit zu schulen. Geschäftsführer sollten sich der Wichtigkeit bewusst werden, die ein CISO für die IT-Sicherheit hat und diese Stelle in ihrem Unternehmen besetzen.

3. Sicherheitsrichtlinien für den Datenschutz

Jedes Unternehmen muss bereits bei der Planung seiner IT-Strukturen seinen Anspruch an den eigenen Datenschutz genau definieren. Dabei sind natürlich gesetzliche Vorgaben unbedingt mit einzubeziehen. Allerdings darf das Konzept nicht ausschließlich nur Standards beinhalten, vielmehr sind sie mit den firmeninternen Bedingungen in Einklang zu bringen. Sie sollten möglichst für jeden Mitarbeiter nachvollziehbar und akzeptabel sein. So erzeugen sie kein Gefühl des Zwangs oder der Bevormundung und werden eher akzeptiert und befolgt. Ein unumstößlicher Grundsatz ist daher: Ohne Richtlinien sind vernünftiger Datenschutz und Datensicherheit zum Scheitern verurteilt.

Die Umfrage zeigt, dass vor allem kleinere Firmen mit 100 bis 199 Mitarbeitern oft keine Sicherheitsrichtlinien festgelegt haben. Hier sind es gerade einmal 57 Prozent. Aber auch längst nicht alle größere Firmen haben anscheinend die Wichtigkeit von Sicherheitsrichtlinien erkannt und solche für sich festgelegt, wie die Resultate der Studie belegen.

Foto: Dell

Die Definition der Sicherheitsrichtlinien ist jedoch nur der erste Schritt. Die Mitarbeiter müssen diese auch detailliert kennen. In der Regel lässt sich das mit geeigneten Schulungsmaßnahmen realisieren. Dabei sollten Firmen unbedingt das bei den zu schulenden Mitarbeitern vorhandene IT-Wissen berücksichtigen. Diese müssen die Maßnahmen in den Sicherheitsrichtlinien auch verstehen, um sie zu akzeptieren und anzuwenden. Des Weiteren sind einmal definierte Sicherheitsrichtlinien nicht für immer und ewig festgeschrieben: Sich ändernde geschäftliche Bedingungen erfordern mitunter eine Überarbeitung der Richtlinien für eine sichere IT. Auch diese müssen dann vom IT-Management innerhalb des Unternehmens zeitnah umgesetzt und die Mitarbeiter informiert werden.

4. Veraltete IT-Strukturen zeitnah aktualisieren

"Ist Ihre IT-Sicherheit auf dem neuesten Stand?" lautete eine Frage der aktuellen Dell IT-Sicherheitsstudie. Hierauf antwortete mehr als die Hälfte der Befragten mit "Nein". Auf die Unternehmensgröße bezogen zeigt die Studie allerdings, dass bei dieser Thematik mehr als die Hälfte (52 Prozent) der kleineren Unternehmen (100 bis 199 Beschäftigte) der Meinung sind, dass ihre IT-Sicherheit up to date sei. Bei den größeren Unternehmen ist es weniger als die Hälfte. In Firmen mit 500 bis 999 Mitarbeitern meint gar nur ein Drittel der Befragten, dass ihre IT-Sicherheit auf dem neuesten Stand sei.

Foto: Dell

Die IT-Sicherheit zu vernachlässigen, birgt große Risiken - die Größe des Unternehmens oder die Beschäftigtenzahl spielt dabei für eine sichere IT keine Rolle. Im schlimmsten Fall kann das Versäumnis ein Unternehmen ruinieren, wenn dadurch Schadsoftware beispielsweise unternehmenskritischen Informationen zerstört oder wenn auf diesem Wege Firmengeheimnisse ausspioniert werden. Nichts zu ändern, weil alles scheinbar problemlos läuft und bislang noch nichts passiert ist - das gaben immerhin 57 Prozent der Befragten als Grund an -, ist jedoch keine Entschuldigung für Untätigkeit. IT-Verantwortliche sind daher gefordert und müssen reagieren, wenn ihre IT-Sicherheitsstrukturen nicht mehr aktuell sind. Sie müssen dem Unternehmensmanagement Lösungen zur Aktualisierung vorschlagen. Hierbei ist es häufig von Vorteil, einen externen IT-Sicherheitsexperten wie Dell zu Rate zu ziehen. So lässt sich gemeinsam eine Lösung finden, die den aktuellen Sicherheitskriterien gerecht wird und zum verfügbaren Budget passt.

5. Die neusten IT-Sicherheitslösungen einsetzen

In der Praxis sind zahlreiche IT-Sicherheitslösungen verfügbar. Die Studie fragte daher gezielt nach bestimmten Lösungen, die erfahrungsgemäß nicht alltäglich eingesetzt werden - Intrusion Detection, Identity Management, Mobile Security, Privileged Management und Data Loss Prevention (DLP).

Foto: Dell

Mehr als zwei Drittel der befragten deutschen Unternehmen verzichten auf den Einsatz einer DLP-Lösung in ihrem IT-System. Hier besteht Nachholbedarf, denn DLP beugt dem Verlust von Daten vor. Gemeint ist damit, dass DLP den IT-Verantwortlichen nicht nur die Kontrolle sondern auch das Wissen darüber verschafft, wer im Unternehmensnetzwerk welche Daten nutzt oder verarbeitet. Dieses Wissen ist für jedes Unternehmen wichtig und der Einsatz einer geeigneten DLP-Lösung sollte in jedem Firmennetzwerk daher selbstverständlich sein.

6. Maßnahmen zur Optimierung der IT-Sicherheit

Es ist ein ständiges Katz- und Mausspiel zwischen den Cyber-Kriminellen und den Herstellern von Lösungen zur Abwehr von Malware - und täglich kommt neue Schadsoftware hinzu. Deswegen muss es für das IT-Personal zu den fortlaufenden Aufgaben gehören, für eine sichere IT im Unternehmen zu sorgen.

Neben dem Einsatz aktueller Sicherheitslösungen im Netzwerk sowie der Erstellung regelmäßiger Backups darf dabei keinesfalls die regelmäßige Schulung der Mitarbeiter vergessen werden. Denn hier lauert die größte Gefahr, dass ein Unternehmen über IT-Sicherheitslecks zu Schaden kommt. Dazu zählen aber nicht nur Datendiebstahl, bewusste Sabotage oder Racheaktionen unzufriedener Mitarbeiter. Oft sind es einfache, als ganz normal angesehene Aktionen am Rechner, die eine Schad-Aktion in Gang setzen. Dafür kann bereits der Besuch einer Webseite genügen, die Schadsoftware enthält.

Sehr oft versuchen Kriminelle auch, Mitarbeiter zum Anklicken eines in einer E-Mail verschickten Anhangs zu bewegen. Der Anhang ist aber nicht das, was er vorgibt zu sein, etwa ein Dokument oder Bild, sondern in der Datei versteckt sich Schadsoftware, die das Firmennetzwerk infiltriert. Hier ist das IT-Personal gefordert, die Mitarbeiter des Unternehmens zu schulen. Dazu müssen beispielweise Merkmale möglicher Schad-E-Mails herausgearbeitet und den Mitarbeitern vermittelt werden. Die Dell IT-Sicherheitsstudie bestätigt die Wichtigkeit dieser Maßnahme. Hier wurden die Teilnehmer gefragt, welche Ansätze sie zur Optimierung der IT-Sicherheit wählen würden. Die Mehrheit (71,6 Prozent) antworteten darauf mit "Verstärkter Schulung von Mitarbeitern".

Foto: Dell

7. Ein kompetenter Partner zahlt sich aus

Nur wenn die IT-Sicherheit im Unternehmen konsequent auf dem aktuellsten Stand gehalten wird, sind die Erfolgschancen der Cyber-Ganoven gering. Nachlässigkeit würde hier ein unkalkulierbares Risiko für das Unternehmen bedeuten. Oft lohnt sich daher für eine sichere IT die Partnerschaft mit einem externen Sicherheitsspezialisten. Achten Sie bei der Wahl darauf, dass er nicht nur mögliche Risiken in der unternehmensinternen IT-Sicherheit erkennt, sondern dafür auch konkrete Lösungsvorschläge präsentiert. Dell bietet unabhängig von der Größe des Unternehmens die passenden Sicherheitslösungen. Dazu zählen Firewalls der nächsten Generation, SonicWALL-Produkte und Lösungen für die Identitäts- und Zugriffsverwaltung sowie für die E-Mail- und Cloud-Sicherheit. Zudem garantiert der Dell-ProSupport rund um die Uhr an sieben Tagen der Woche professionelle Unterstützung bei allen anfallenden Fragen und Problemen zur kompletten IT-Struktur im Unternehmen.

Fazit

Die Befragung zeigt, dass die IT-Sicherheit in deutschen Unternehmen in einigen Bereichen noch Schwachstellen aufweist. Doch Unternehmen können mit den oben genannten Strategien gezielt für eine sichere IT sorgen. Wenn sie ihre IT-Sicherheit zentral statt in Silos organisieren, lassen sich Sicherheitsstandards besser und vor allem einheitlich realisieren sowie kontrollieren. Da die Sicherheitsbedrohungen immer komplexer werden, sollten Unternehmen darauf achten, dass ihre IT-Sicherheit stets auf dem neuesten Stand ist. Ein bewährtes Konzept, um die Unternehmens-IT ständig aktuell und sicher zu halten, ist die Kooperation mit einem externen IT-Sicherheitsspezialisten wie Dell.

Wie die IT-Strukturen in Ihrem Unternehmen zu bewerten sind, können Sie schnell und einfach selbst herausfinden. Laden Sie sich dafür die Security-Checkliste kostenlos herunter.

Weiterführende Artikel zum Beitrag: