Haarsträubende Sicherheitslücken
Viele Applikationen weisen eine geradezu erschreckend schlechte Qualität hinsichtlich Sicherheit auf, gleichgültig ob die Applikationen selbst entwickelt oder von Herstellern als Standardsoftware eingekauft wurden. Das haben viele Penetrationstests, in denen sowohl interne als auch externe Applikationen im Internet geprüft wurden, gezeigt. Typische Sicherheitslücken sind:
-
Ein- und Ausgaben werden ungenügend oder gar nicht validiert;
-
Nicht authentisierte und unautorisierte Zugriffe sind möglich;
-
Anwender übertragen Passwörter unverschlüsselt über unsichere Kommunikationskanäle;
-
Sicherheitsfunktionen wie Verschlüsselung werden nicht korrekt mit weltweit anerkannten Algorithmen implementiert.
Hinzu kommt, dass Standardprozeduren wie das Patch-Management häufig nicht stattfinden. Oft fehlt es auch an einem definierten System-Einführungsprozess, der von Anfang an Sicherheitsfragen berücksichtigt. Das aber ist Voraussetzung dafür, dass neue Systeme und Applikationen von Beginn an angemessenen Sicherheitsanforderungen entsprechen.
Immer noch wird das Sicherheitsrisiko durch interne und externe Mitarbeiter vernachlässigt, und das gilt insbesondere für mittelständische Unternehmen. Nur wenige Social-Engineering-Angriffe, bei denen sich Betrüger auf verschiedene Weise das Vertrauen der Nutzer erschleichen, lassen sich durch Technik verhindern. Effektiver sind geschulte Mitarbeiter, die sich des Themas Sicherheit bewusst sind. Dies ist insbesondere vor dem Hintergrund wichtig, dass laut Verfassungsschutz und Bundeskriminalamt die Wirtschaftsspionage deutlich zunimmt.
- Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. - Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen. - Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters. - Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten. - Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder. - Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. - IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen. - Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar. - Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden. - Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen. - Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte. - Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.