Aktuell rüsten sich viele Unternehmen für das Weihnachtsgeschäft. Ärgerlich, wenn dann unvermutet Computerprobleme auftauchen. Die häufigsten Versäumnisse bei Sicherheitskonzepten. [...]
In vielen Unternehmen beginnt jetzt die heißeste Zeit des Jahres. Das große Chaos aber bricht aus, wenn es inmitten aller Hektik zusätzlich Probleme mit dem Computer gibt. Die aber sind nicht selten: Laut aktuellem BSI-Bericht zur Lage der IT-Sicherheit in Deutschland übersteigt die Zahl der Schadprogramme inzwischen die Milliardengrenze. Etwa 320.000 neue Schadprogramme kommen täglich hinzu.
Gerade die aktuelle Corona-Krise zeigt, wie anfällig die IT-Sicherheit in vielen Unternehmen ist.
Nicht selten kommt es vor, dass viel Geld für Sicherheit ausgegeben wird, das Ergebnis aber enttäuschend ausfällt. So wird zum Teil das komplette Etat in die Sicherheits-Technik investiert ohne die beteiligten Mitarbeiter/innen zu schulen.
Cyberkriminelle nutzen gezielt die Verunsicherung der Menschen und versenden vermehrt gefälschte E-Mails. Hier braucht es geschulte Mitarbeiter/innen, um diese Bedrohungen frühzeitig zu erkennen.
Aber nicht nur der Bereich Personal wird oft vergessen. Auch andere relevante Sicherheitsbereiche werden sehr oft völlig ausgeblendet. Jedoch gibt erst ein Gesamtkonzept, das alle relevanten Bereiche berücksichtigt, Unternehmen den maximal möglichen Schutz.
Nachfolgend die häufigsten Mängel bei Sicherheitskonzepten:
1. Es fehlen Sicherheitsbeauftragte
EDV-Mitarbeiter/innen haben häufig nur ihren EDV-Bereich im Blick. Bei Sicherheitsfragen muss jedoch jemand da sein, der die gesamte Organisation / das gesamte Unternehmen hinsichtlich Sicherheit im Blick behält. Sicherheitsbeauftragte für Datensicherheit können hier Abhilfe schaffen.
Wichtige Voraussetzung für die IT-Sicherheit ist, dass alle Sicherheitsbeauftragten die Arbeitsumgebung, deren Aufbau und Funktionalität genau kennen. Nur so kann der notwendige Schutzbedarf ermittelt werden.
2. Es fehlt ein Gesamtkonzept
IT-Sicherheit setzt ein Gesamtkonzept voraus. Häufig werden nicht alle Angriffsszenarien bedacht. Was nützt den Unternehmen eine Firewall, wenn sie unzureichend gegen DDoS-Attacken geschützt sind.
3. Die Sicherheitsvorgaben sind nicht dokumentiert
Sicherheitsrichtlinien sind ein wesentliches Instrument der Informationssicherheit. Eine Sicherheitsrichtlinie beschreibt den erstrebten Sicherheitsanspruch eines Unternehmens. Sie definiert:
- Was zu schützen ist
- Warum der Schutz erforderlich ist
- Welche Zuständigkeiten alle Beteiligten haben
Da Sicherheitsrichtlinien möglichst umfassend sein sollen, sollten ihre Inhalte aufgeteilt werden.
Die erste Ebene beinhaltet eine allgemeine Leitlinie zur IT-Sicherheit für das Unternehmen. Sie dokumentiert die Bedeutung der IT-Sicherheit: Beurteilung der Schutzziele und Grundsätze des IT-Alltags. Hier werden auch die grundlegenden Rollen und die Verantwortlichkeiten aller Mitarbeiter zur IT-Sicherheit beschrieben.
Die zweite Ebene enthält alle Richtlinien, die zu konkreten Themenbereichen wie die Nutzung des Internets, von E-Mail sowie anderen Protokollen und Informationskanälen verfasst werden.
Die zweite Ebene kann zum Beispiel aus den folgenden Themenbereichen bestehen:
- Autorisierte und unzulässige Software
- Datensicherungen
- Die Nutzung von elektronischen Speichermedien
- Passwortnutzung
- Virenschutz
In der dritten Ebene finden sich Richtlinien mit speziellen, produktbezogenen Informationen, die zur Konfiguration der eingesetzten Sicherheitstechnik dienen.
4. Die Sicherheitsrichtlinien sind zu kompliziert und werden nicht verstanden
Die Sicherheitsrichtlinien, die von der Leitungsebene vorgegeben werden, müssen verständlich und praxisnah sein – ohne technische Fachausdrücke. Wie sehr sie begrüßt und wie effektiv sie umgesetzt werden, bestimmt ihren Erfolg in der Praxis. Der Prozess der Formulierung ist ein wichtiger Meilenstein auf dem Weg zur Implementierung.
5. Die Mitarbeiter/innen sind mangelhaft geschult
Unaufmerksame Mitarbeiter können ein großes Sicherheitsrisiko darstellen. So reicht ein einziger Klick auf den Anhang einer Phishing-Mail mit Schadsoftware, um den IT-Betrieb lahmzulegen.
Mitarbeiter-Schulungen sind der Schlüssel zur Lösung.
Das Schulungskonzept darf sich nicht nur auf die EDV-Mitarbeiter/innen beschränken, sondern muss das gesamte Personal erfassen. Jeder mit Zugang zu einem PC, muss entsprechend geschult werden. Am besten durch ein realistisches Trainingsprogramm, welches das Bewusstsein für die Gefahren verschärft. Abteilungen, die besonders gefährdet sind, müssen unter Umständen besonders berücksichtigt werden.
6. Die Leitungsebene ist nicht eingebunden
Sicherheitsmaßnahmen sind meist lästig. Es bedarf also verbindlicher Sicherheitsrichtlinien, die eingefordert und überprüft werden. Sonst bleibt es dem Zufall überlassen, ob sie auch realisiert werden.
Nur bei wenigen Firmen ist die IT-Sicherheit Chefsache. Die Erfahrung aber zeigt, dass Firmen besonders gut dastehen, wenn der Anstoß zu Sicherheitsrichtlinien wie auch die Erarbeitung und Kontrolle vom obersten Management oder vom Firmenchef ausgehen.
Wenn das Management die IT-Sicherheit nicht ernst nimmt, kann man das auch nicht von den Mitarbeitern verlangen.
7. Die IT-Sicherheit ist nicht als Prozess definiert
Die Angriffsformen verändern sich ständig. Entsprechend entwickeln sich auch die Schutzmöglichkeiten weiter. Sicherheitskonzepte dürfen niemals außer Acht gelassen werden und müssen immer wieder den aktuellen Gegebenheiten angepasst und verbessert werden. Nur wenn eine Weiterentwicklung des Konzepts von vornherein eingeplant ist, kann IT-Sicherheit auch dauerhaft gewährleistet werden.
8. Die IT-Systeme sind schlecht konfiguriert / veraltet
Die EDV muss hinsichtlich Hard- und Software den Gefahren und Möglichkeiten der Zeit immer wieder angepasst werden.
Nur eine regelmäßige Aktualisierung kann gefährliche Sicherheitslücken schließen. Aber auch hier gilt, dass die Technik nur so gut sein kann, wie diejenigen, die sie bedienen.
9. Mangelhafter Schutz gegen Diebstahl oder Elementarschäden
Einbrecher haben häufig allzu leichtes Spiel. Ungesicherte Server-Räume, schwache Anmeldelogik, gemeinsame Zugangscodes oder unbeaufsichtigte Geräte bieten ungebetenen Gästen zahlreiche Möglichkeiten. Der Schutz vor nicht autorisiertem Zugang sollte daher als wichtiger Bestandteil der IT-Sicherheit verstanden werden.
Das gleiche gilt für: Brandschutzmaßnahmen, Schutz vor Wasserschäden und die Sicherstellung einer stabilen Stromversorgung.
10. Es gibt keinen Notfallplan
Alle Schutzmaßnahmen können irgendwann versagen. Daher ist es wichtig, einen Notfallplan parat zu haben!
Die wichtigsten Inhalte eines IT-Notfallplans:
- Relevante Dokumentationen und Informationen für Notfälle
- Handlungsempfehlungen
- Checklisten zur Problemanalyse
- Notbetriebsverfahren
- Eine unternehmensindividuelle Alarmkette
- Notfallrelevante Zugangsdaten
- Vertretungsregelungen
- Zuständigkeiten und Kontaktdaten
*Felix Bauer arbeitet als Security Consultant.
Be the first to comment