1. Geschäftsführung einbinden

Transkript

1 Der best practice Stufenplan für mehr IT-Sicherheit im Unternehmen. Hiermit analysieren Sie Schritt für Schritt den individuellen Bedarf und können den Schutz Ihres Unternehmens darauf abstimmen. 1. Geschäftsführung einbinden Die Geschäftsführung muss sich der Wichtigkeit des Themas bewusst sein. Bekanntermaßen ist es schwierig, ein Projekt durchzusetzen, wenn sich die Geschäftsführung nicht für das Thema interessiert. Insbesondere Maßnahmen, die offensichtlich nur Geld kosten, aber nicht unmittelbar zum Geschäftserfolg beitragen, landen schnell in der Ablage. Zur Überzeugungsarbeit kann ein Penetrations-Test oder ein Security Check beitragen, der Lücken im Schutzschirm schnell offenbart. Wichtig zu wissen: Manager handeln unter Umständen grob fahrlässig und haften dafür, wenn sie der IT-Sicherheit keine Beachtung schenken. Kommt die Geschäftsführung als Verantwortliche der Risikovorsorgepflicht nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Geschäftsführer führen.

2 2. Verantwortlichkeiten festlegen Geschäftsführung überzeugt? Jetzt gilt es, das Thema IT-Sicherheit in die Organisation zu tragen. Es sollte ein Mitarbeiter klar als IT- Sicherheitsverantwortlicher benannt werden. Dies muss nicht unbedingt ein Sicherheitsexperte sein. Der Verantwortliche muss aber die Freiheit haben, sich gegebenenfalls externes Know-how mit ins Boot zu holen. Und wer Verantwortung übernimmt, muss dafür auf Dauer Zeit investieren können sowie ein entsprechendes Budget zur Verfügung haben. Denn IT-Sicherheit ist eine Daueraufgabe! 3. Schutzbedarf analysieren und kategorisieren Jetzt gilt es herauszufinden, welche Risiken wo liegen. Dazu müssen zunächst die Schutzbedarfe nach Vertraulichkeit, Integrität und Verfügbarkeit erfasst werden, um die wirklich geschäftskritischen Informationen zu definieren. Immerhin 17 Prozent der befragten Unternehmen einer BITKOM-Studie berichten vom Diebstahl sensibler, elektronischer Dokumente und Daten. Ein paar Beispiele: Ein Unternehmen mit dem Fokus auf Forschung und Entwicklung lebt von seinen Ideen und Patenten. Risiko: Wirtschaftsspionage. Es muss alles daran gesetzt werden, dass niemand an diese Unterlagen kommt. Der spezialisierte Online-Shop lebt vom Handel. Ist der Shop aufgrund eines Angriffs tagelang nicht erreichbar, geht bares Geld und das Vertrauen der Kunden verloren. Beim Online-Händler liegt der Schwerpunkt des Sicherheitskonzepts auf der Webseite. Oder der erfolgreiche kleine Bauunternehmer, der an zahlreichen Ausschreibungen teilnimmt. Kommen seine Wettbewerber an die Preise in den Ausschreibungsunterlagen, kann es schnell vorbei sein mit der guten Auftragslage. 4. IST-Aufnahme: IT-Systeme, Netze und Endgeräte Unternehmenskritische Werte und besondere Risiken identifiziert? Jetzt muss eine Bestandsaufnahme der Technik gemacht werden. Welche PCs sind mit welcher Software ausgestattet und sind wie vernetzt: mit dem Server, untereinander, mit dem Internet, mit Produktionsmaschinen? Und welche Arbeiten werden an den Rechnern durchgeführt. Zu diesem Check gehören auch die mobilen Endgeräte. Sobald sich Mitarbeiter unterwegs in das Unternehmensnetzwerk einwählen können, steigt das Risiko. Zum Beispiel schon durch den Verlust oder Diebstahl der Geräte.

3 5. Konzept erstellen und Budget festlegen Unternehmenskritische Werte identifiziert, Prozesse definiert und die Technik detailliert aufgelistet: Jetzt heißt es, das Sicherheitskonzept darauf zuzuschneiden. Dieses Konzept unterscheidet sich je nach Unternehmen. Relevant sind nicht unbedingt die Größe einer Firma, sondern mehr der Geschäftszweck und die Prozesse. So braucht ein zehnköpfiges Finanzberatungsteam unter Umständen umfangreichere Sicherheitsmaßnahmen als eine Firma mit 200 Mitarbeitern, die ein risikoarmes Standardgeschäft betreiben. Wie hoch das Budget tatsächlich sein sollte, ist ohne Konzept nicht zu taxieren. Unter Umständen kann eine Basisschutzlösung mit monatlichen Kosten von wenigen Euros pro Endgerät vollkommen ausreichen. Eine wichtige Frage muss das Konzept noch beantworten: Lassen sich die Sicherheitsmaßnahmen komplett selbst umsetzen und auf Dauer betreiben oder überlässt man die Aufgabe einem spezialisierten Dienstleister? Das muss nicht teurer sein, verbessert aber möglicherweise die Qualität, sofern ein Unternehmen keine eigenen Sicherheitsexperten in der IT-Abteilung hat. Neben rein technischen Maßnahmen, sollten die folgenden Punkte in der Konzeption berücksichtigt werden Mitarbeiter aufklären und sensibilisieren Entscheidend ist, die Mitarbeiter bei der Umsetzung mitzunehmen und zu sensibilisieren. Das beste Konzept hilft nichts, wenn die eigenen Mitarbeiter meist unbewusst manchmal auch bewusst - Eindringlingen Tür und Tor öffnen. Durch das Wissen der Mitarbeiter über Gefahrenquellen, lässt sich schon viel verhindern. Und das Beste: Es kostet nichts - außer ein paar Stunden Aufklärungsarbeit. Die Risiken fangen bei dubiosen Apps an, über die Schad-Software in das Unternehmen geschleppt wird, und geht hin bis zu besuchten Webseiten, die Malware verbreiten. Jeder sollte auch wissen, wie er Zugangsdaten richtig nutzt oder mit Datenträgern wie USB-Sticks umgeht. Großes Gefahrenpotenzial birgt auch das Social Engineering. Hier versuchen Hacker gezielt über Mitarbeiter an vertrauliche Informationen, wie z.b. Zugangsdaten von IT-Systemen zu kommen Wer darf was? Nicht jeder muss Zugriff auf alle Daten und Programme haben. Das Konzept sollte also für alle Unternehmensbereiche bis hin zu Einzelpersonen Rollen definieren. Die Buchhaltung muss nicht auf streng vertrauliche Informationen aus

4 der Entwicklungsabteilung zugreifen können. Genauso wenig muss jeder Angebote zu Ausschreibungen einsehen können Basisschutz für Firmen jeder Größe Unabhängig davon, wie die einzelnen Endgeräte genutzt werden, braucht jedes Unternehmen einen Basisschutz. Dazu gehört eine Firewall mit zentralem Malware-Schutz (gegen Viren, Spyware etc.) und URL-Filter, mindestens am Übergang ins Internet sowie entsprechende Antivirensoftware auf allen PCs, Tablets, Notebooks und Smartphones. Insbesondere das Risiko, sich über Smartphones Schadsoftware zu fangen, wird immer noch unterschätzt. Ein wichtiger und wirksamer Schutz ist auch das Updaten sämtlicher Programme. Oftmals schließen die Updates neu entdeckte Sicherheitslücken in der Software. Gerade diese Lücken nutzen Hacker gern für Angriffe aus. Da Hacker Schadsoftware vermehrt auch über Webseiten einschleusen, sollte die Antivirenlösung auch die Reputation von Webseiten prüfen können. Etwas aufwendiger sind Intrusion-Prevention-Systeme (IPS), die vorbeugend arbeiten. Sie überwachen die ein- und ausgehenden Datenpakete in einem Netzwerk. Sie identifizieren Bedrohungen und vom normalen Datenverkehr abweichende Muster und blockieren dann den Datenverkehr. Aktuell sind solche Systeme bereits in vielen Firewall Lösungen integriert, so dass die Implementierung einfacher ist, jedoch die stetige Konfiguration und Überwachung trotzdem gewährleistet werden muss Zusätzlicher Schutz mit überschaubarem Aufwand Wer viele mobile Endgeräte nutzt, sollte ein Mobile Device Management einsetzen. Mit dieser Lösung lassen sich Smartphones und Tablets zentral verwalten. Updates werden bei allen Geräten direkt parallel durchgeführt und neue Apps eingespielt. Geht ein Gerät verloren, lässt es sich sperren und die Daten löschen. Zumindest die unternehmenskritischen Werte sollten Unternehmen zusätzlich verschlüsseln. Für den Austausch von wichtigen Informationen mit Kunden und Entwicklungspartnern sollte das heute Pflichtprogramm sein. Für noch höheren Schutzbedarf bei zielgerichteten Angriffen, kann eine Lösung integriert werden, die unbekannte potenzielle Malware in einer gesicherten virtuellen Umgebung (Sandbox) ausführt und das Verhalten bewertet.

5 5.5. Schutz von Online-Shops und Webanwendungen Hängt das Geschäftsmodell eines Unternehmens stark vom Internet ab, braucht es zum Schutz der Webseite zusätzliche Maßnahmen. Hacker legen Webseiten mit (Distributed) Denial-of-Service (DDoS)-Angriffen lahm. Dabei beschießen sie den Web-, DNS- oder Anwendungs-Server mit so vielen Anfragen, dass sie an Überlastung zusammenbrechen, oder lasten den Internet Zugang soweit aus, dass kein legitimer Zugriff mehr möglich ist. Hacker nutzen solche Attacken auch, um die Betreiber zu erpressen. DDoS-Angriffe lassen sich durch spezielle Schutzsysteme abwehren. Die wirksamste Methode hierbei ist es, DDoS-Angriffe bereits im Backbone eines Netzbetreibers abzufangen Früherkennung von Angriffen Sehr gute Möglichkeiten der Angriffserkennung, allerdings verbunden mit deutlich höherem Aufwand, bietet das SIEM - Security Information and Event Management. Entsprechende Systeme identifizieren und bewerten sicherheitsrelevante Ereignisse und alarmieren den Administrator. SIEM-Systeme erkennen Trends und Muster, die vom gewohnten Schema abweichen. Sie nutzen hierfür Millionen an Meldungen der IT-Systeme und setzen sie miteinander in Beziehung. Dazu gehören unter anderem Log-Files, also Protokolle von allen Aktionen, die auf Computersystemen passieren. Als Cyber Defence Services sind solche SIEM-Lösungen auch als betriebene Komplettlösungen verfügbar, so dass insbesondere in kleineren Unternehmen kein eigenes Personal hierfür abgestellt werden muss. 6. Umsetzung des Sicherheitskonzepts Bei der Umsetzung werden die im Konzept definierten Maßnahmen realisiert. Hierbei sollte nach einem Meilensteinplan, der mit verschiedenen Prioritäten versehen ist, vorgegangen werden. 7. Standards für mehr Sicherheit Sicherheitsstandards wie ISO/IEC 27001:2013 oder IT-Grundschutz bieten die Möglichkeit, eine anerkannte Methodik der IT-Sicherheit ins Unternehmen zu übernehmen und diese, wenn gewünscht, auch zertifizieren zu lassen. Diese Zertifikate belegen Kunden und Partnern, dass die Standards umgesetzt sind.

6 8. Regelmäßige Reviews und Prüfung Ist ein Konzept umgesetzt, muss es regelmäßig überprüft werden, um auf Änderungen von Risiken oder Bedrohungen reagieren zu können.