Ist IT-Sicherheit für meine Firma relevant?

IT Sicherheit ist in aller Munde – kaum ein Tag vergeht ohne Meldungen in der Presse zu Datenverlust, Datendiebstahl, ausspionierten Daten. Ist das nur ein Presse Hype oder ein echtes Problem? Auch wenn ein Problem besteht, ist auch mein Unternehmen bedroht. Wie können wir uns schützen?

Unter IT-Sicherheit versteht man den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der IT-Anwendungen und Daten. Unternehmen wollen sich darauf verlassen können, dass die Daten in IT-Anwendungen vor unberechtigtem Zugriff geschützt sind und bei Bedarf zur Verfügung stehen. Die erste Frage ob es sich bei der IT-Sicherheit um ein echtes Problem handelt, ist leicht zu beantworten – ja, die Sicherheit von IT-Anlagen ist bereits stark bedroht, und die Gefährdungen nehmen zu. Den Grund dafür sehen wir in 4 Trends:

Trend 1: Es gibt immer mehr computergestützte Geräte und Anlagen. Neben klassischen Computern sind mittlerweile auch viele andere Anlagen Software-gestützt und vernetzt. Damit nimmt die „Angriffsfläche“ zu. Kaum ein Gerät in der Industrie kommt ohne Computersteuerung aus. Durch die zunehmende Vernetzung dieser Anlagen werden auch die Netze selbst zur kritischen Infrastruktur.

Trend 2: Die Professionalisierung und hohe Verbreitung von Schadsoftware. Schadsoftware wird professionell hergestellt und genutzt. Die Werkzeuge für Angriffe sind stark verbreitet und teilweise ausgesprochen hoch entwickelt. Es gibt leicht zugängliche kommerzielle Angebote für Schadsoftware. Grosse Organisationen und Staaten lassen Spionagesoftware entwickeln die auf dem neusten Stand der Technik sind.

Trend 3: Die am schlechtesten geschützten Infrastrukturen werden gezielt angegriffen. Angriffe erfolgen teils opportunistisch, teils gezielt. Schlecht geschützte Systeme werden als Zugang zu besser geschützten Systemen verwendet. Aus diesem Grund haben die Angriffe auf kleinere Firmen und auf Industrieanlagen zugenommen. In beiden Fällen ist auch der indirekte Zugang zu besser geschützten Systemen eine Motivation.

Trend 4: Die Grenzen zwischen geschäftlicher und privater Nutzung von Endgeräten verschwimmen. Persönliche Geräte werden zunehmend geschäftlich und privat genutzt. Zugriff auf die Firmen-Systeme von aussen erhöht die Flexibilität der Mitarbeiter aber auch die Sicherheitsanforderungen. Der Verlust eines Smartphones, der Zugriff auf Firmenanlagen oder IT-Anwendungen über mobile Geräte und der oft ungenügende Schutz privater Geräte stellen neue Herausforderungen dar.

Obwohl die IT für die meisten Unternehmen heute kritisch ist und die Bedrohungslage offenkundig – bezweifeln einige, dass sie selber betroffen sind. Die gängigen Ausreden sich nicht um die IT-Sicherheit kümmern zu müssen, sind aber falsch:

  • „Wir sind nicht prominent genug, wer soll uns angreifen?“: Gefahren für die Sicherheit entstehen auch durch Unachtsamkeit. Die eigene Infrastruktur kann auch für Angriffe auf Dritte (z.B. die Kunden des Unternehmens) verwendet werden. Auch wenn man nicht direkt angegriffen wird, kann eine schlecht geschützte Infrastruktur Kollateralschäden erleiden.
  • „Wir haben Regeln, an die sich unsere Mitarbeiter halten.“ Es ist wichtig und richtig Regeln für den Umgang mit IT und Daten zu definieren und die Mitarbeiter darauf zu verpflichten. Die konsequente Durchsetzung ist aber schwierig, und diese organisatorischen Massnahmen reichen als Schutz nicht aus.
  • „Unsere Systeme sind isoliert, wir haben geschlossene Systeme.“ Es gibt kaum wirklich isolierte Systeme. Über externe Speichermedien können auch Systeme ohne Netzanschluss mit Schadsoftware infiziert werden. USB Sticks werden immer wieder zu diesem Zweck verwendet. Dazu kommt, dass die zunehmende Vernetzung mit Kunden und Lieferanten unaufhaltsam ist. Integrierte Prozesse steigern die Effizienz.

Nachdem die Bedrohung real ist und auch jeden betrifft, stellt sich die Frage: Wie kann man sich schützen?

Ein wirklicher Schutz der IT-Sicherheit entsteht nur durch einen umfassenden Ansatz. Isolierte Einzelmassnahmen sind kaum wirkungsvoll. Die untenstehende Grafik gibt einen Überblick über das Vorgehen aus unserer Sicht.

IT-Sicherheit

Zuerst müssen die Ziele und Anforderungen geklärt werden: Welches sind die kritischen Prozesse, Systeme und Daten? Wo besteht welcher Schutzbedarf? Welche gesetzlichen und regulatorischen Regeln sind einzuhalten?

Dann erfolgt die Umsetzung von Massnahmen in den vier dargestellten Gebieten:

Die IT- Anwendungen müssen laufend aktualisiert werden, die Hersteller liefern periodisch sicherheitsrelevante Softwarekorrekturen aus. Die Zugriffsrechte müssen geregelt, vergeben und verwaltet werden. Externe Zugriffe brauchen besondere Aufmerksamkeit.

Auch für die darunterliegende IT-Infrastruktur gilt das Prinzip der laufenden Aktualisierung aller Komponenten. Veraltete Hardware und Software stellt ein Sicherheitsrisiko dar. Hinzu kommen die Datensicherung und der Einsatz von spezialisierter Sicherheits-Software. Das Netzwerkdesign muss besonders sorgfältig überprüft werden.

Schliesslich nützen alle übrigen Massnahmen nichts, wenn die IT-Anlagen nicht genügend gegen unbefugten Zutritt und Feuer gesichert sind. In allen Gebieten ist es sinnvoll Notfallpläne zu haben, die regeln, wie vorgegangen wird, wenn doch etwas passiert.

Neben der Technik ist auch die Ausbildung und Sensibilisierung der Mitarbeiter in Bezug auf IT-Sicherheit Pflicht. Nur klare Richtlinien und laufende Schulung können die Aufmerksamkeit der Mitarbeiter für dieses Thema erhalten. Die Mitarbeiter sollen ermutigt werden Sicherheitsvorfälle sofort zu melden.

Die Pfeile in der Grafik deuten an, dass es sich bei diesen Massnahmen um einen permanenten Prozess handelt. Die Bedrohungslage ändert sich laufend, und getroffene Massnahmen veralten schnell.

Abschliessend stellen wir fest:

  • Die Sicherheit von IT-Anlagen ist zunehmend bedroht.
  • Jedes Unternehmen ist betroffen.
  • Der Schutz der Informationssicherheit ist ein permanenter Prozess.

Es ist höchste Zeit aktiv zu werden!

 

 

 

 

Hinterlasse eine Antwort