Ratgeber IT Sicherheit im Unternehmen

Die fünf größten Security-Sünden

08.11.2012
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Sünde 3: Der Umgang mit "Social Media"

Sascha Pfeifer von Sophos und Christian Wirsig sind sich mit dem Eset-Sicherheitsexperten Jab Vrabec einig, wenn es um den Einsatz der sogenannten neuen Social Networks im Unternehmensumfeld geht:

  • "Web 2.0-Anwendungen wie Facebook, Twitter, Xing und Apps gehören zum Standardrepertoire in deutschen Büros."

  • "Allerdings existieren nur sehr selten Regelungen für die Nutzung dieser Art von Medien und Netzwerken."

  • "Auch wenn es im Hinblick auf die Sicherheit für die IT-Verantwortlichen zunächst attraktiv erscheint, den Zugang zu diesen Netzwerken und Anwendungen einfach komplett zu unterbinden, kann dies keine Lösung sein."

Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein.
Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein.
Foto: Bär/Schlede

IT-Abteilungen verschrecken auf diese Art "Digital Natives" sowie junge Mitarbeiter und verspielen viel Legitimität, die sie anderweitig benötigen. Da bringt es deutlich mehr Gewinn bei der Sicherheit, wenn IT-Fachleute die Mitarbeiter über die Gefahren aufklären. So konnten alle Experten gerade bei zahlreichen Gesprächen in kleineren und mittelständischen folgende Problematik feststellen: Viele Unternehmen beschäftigt die Frage, wie sie ihren Mitarbeitern die verantwortungsbewusste Nutzung von Web-2.0-Tools gestatten können, ohne zu große Sicherheitsrisiken einzugehen oder die Einhaltung von Richtlinien zu gefährden.

Welche Lösungen kann es bei dieser Problematik für die Unternehmen geben? Im Mittelpunkt sollte hier immer die Frage stehen, wie Unternehmen soziale Medien auf sichere Weise nutzen können. Ein grundsätzliches Verbot wird sich, von wenigen Ausnahmen einmal abgesehen, als nicht praktikabel erweisen. Formelle Richtlinien zur Regelung des Zugriffs und der Verwaltung sozialer Medien sind dabei entscheidend.

Ein wichtiger Punkt, den IT-Verantwortliche hier nicht übersehen sollten: Soziale Netzwerke sind auch mögliche Plattformen für Informationslecks durch Mitarbeiter, die freiwillig Informationen an Dritte weitergeben: Stichwort Social Engineering. Dabei weiß Olaf Mischkovsky von Symantec zu berichten, dass die Angriffe gegen interne Anwender, also Nutzer innerhalb der Firmen, immer zielgerichteter werden. Zudem werden diese Attacken mit persönlichen Inhalten aus Social Media-Plattformen angereichert. Hier sollten IT-Verantwortliche und die Administratoren vor allen Dingen auf einen Weg setzen:

  • "Mit Schulungen und einer gewachsenen Security-Awareness lassen sich viele Gefahren dieser Art auf organisatorischem Weg durchaus wirkungsvoll eindämmen."

Was sollten IT-Administratoren gerade in Hinblick auf die sozialen Netzwerke und Web-2.0-Anwendungen noch beachten?

Mathias Knops spricht im Zusammenhang mit dieser Sicherheitssünde eine Lücke an, die leider allzu häufig nicht ernst genommen wird:

  • "So werden gängige Netzwerkprotokolle wie HTTP/FTP-Uploads, Webmail-Services und soziale Netzwerke wie Twitter und Facebook oftmals überhaupt nicht überwacht."

  • "Anwender können mit Absicht oder aus reiner Unwissenheit so nahezu jede Datei mit beliebiger Größe über einen derartigen Kanal - teils unbemerkt - an eine beliebige Stelle im Internet kopieren oder versenden."

Hier können moderne Firewall-Lösungen, die den Datenverkehr auch auf der Anwendungsschicht (Layer 7 des Netzwerkprotokolls) überprüfen, ebenso wie sogenannte Web-Gateways eine Lösung darstellen. Spezielle Lösungen zur Überwachung aller Vorgänge (Bild 11) bieten zudem die Möglichkeit, gezielt Web-2.0-Anwendungen zu regulieren und zu überwachen.