Jedes Unternehmen besitzt wichtige Daten
CW: Welche Unternehmen beziehungsweise Branchen haben großen Nachholbedarf in Sachen IT-Sicherheit?
HELLMANN: Am gefährdetsten sind Unternehmen, die gar nicht meinen, dass sie interessante oder wichtige Daten haben. Da sind besonders KMUs zu nennen, insbesondere aus den eher nicht so technik-affinen Branchen.
Tatsächlich hat jedes Unternehmen Daten, die für Mitbewerber von Bedeutung sind, sonst könnte es sich nicht am Markt behaupten. Denken wir nur an Konditionen oder an Kundenlisten. Oder ein Unternehmen hat eine Marktnische für sich entdeckt, weil es bestimmtes Know-how hat, das andere nicht besitzen. Das sind wichtige Informationen, die es zu schützen gilt.
CW: Warum ist IT- und Cybersicherheit Chefsache?
HELLMANN: Wenn die Geschäftsführung nicht dahinter steht, werden sich die Mitarbeiter nicht motiviert fühlen, bequeme, aber unsichere Abläufe und Gegebenheiten durch bessere zu ersetzen. Auch die für IT-Sicherheit Zuständigen benötigen einen gewissen Rückhalt, um Regeln zu erstellen und durchzusetzen.
Grundwissen muss vorhanden sein
CW: Warum sollten sich besonders auch Nicht-Security-Experten in Sachen Cyber- und IT-Sicherheit weiterbilden?
HELLMAN: Es gibt gar nicht so viele IT-Security-Spezialisten, wie nötig wären, und die sind obendrein recht teuer und können nicht dauernd vor Ort sein. Damit im Unternehmen IT-Sicherheit gelebt wird, müssen möglichst viele Mitarbeiter mitdenken und sich dafür verantwortlich fühlen. Das gelingt nur, wenn ein bestimmtes Grundwissen und eine Mindest-Awareness vorhanden sind. Oft kann man schon durch Beachtung einiger Grundregeln das Sicherheitsniveau deutlich verbessern, wenn man sie denn kennt und konsequent und flächendeckend umsetzt.
In Bereichen wie der IT und der Softwareentwicklung hat praktisch jeder mit Sicherheitsaspekten zu tun, so dass ein entsprechendes, auch schon tiefer gehendes Grundwissen unerlässlich ist. Das wurde über viele Jahre hinweg nur unzureichend oder gar nicht in der Ausbildung vermittelt und fehlt daher sehr vielen Mitarbeitern.
Wenn ein Unternehmen Produkte entwickelt, die durch ihre Sicherheitslücken Schlagzeilen machen, kann das einen großen Verlust an Kundenvertrauen bedeuten und damit beträchtliche Umsatzeinbußen nach sich ziehen. Im Nachhinein Sicherheit "nachzurüsten" ist oft sehr schwierig. Besser, die Produktentwickler kennen sich mit IT-Sicherheit gut aus und berücksichtigen sie bereits ab den ersten Entwürfen eines neuen Produkts.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
CW: Nennen Sie bitte abschließend drei gute Gründe für den Besuch des Seminars "Cybersecurity" von Fraunhofer AISEC und COMPUTERWOCHE.
HELLMANN: Bedrohungen, die man nicht kennt, sind die gefährlichsten. Unser Seminar soll hier Abhilfe schaffen und auf Gefahren aufmerksam machen, die einem bei der täglichen Arbeit begegnen können. Dabei bestimmen die Teilnehmer in gewissem Rahmen die Inhalte mit, welche vertieft werden sollen, und sie wählen aus, was ihnen am meisten nützt.
Außerdem gehen wir auf die Aufgaben des Managements besonders ein: Welche Folgen kann es für einen persönlich und für das Unternehmen haben, wenn man sich zu wenig um IT-Sicherheit kümmert? Und wo und wie fängt man am besten an, die Sicherheit zu verbessern?
Das ganze bleibt nicht nur theoretisch, sondern die Teilnehmer können ihre Fragen, die sie am meisten bewegen, einbringen - bei Bedarf auch anonym. Praktische Übungen und Vorführungen bieten eine direkte Hilfe für den Arbeitsalltag und Anregungen, wie man Abläufe effizienter und sicherer machen kann.