IT-Sicherheit

Welche Bereiche umfasst IT-Sicherheit? 

IT-Sicherheit für Unternehmen lässt sich in folgende Bereiche einteilen: 

Identity & Access Management: Die Zugangsdaten von Mitarbeitenden und Kunden stellen eine besonders begehrte Beute bei Cyberkriminellen dar. Websites wie Have I been pwend? oder Identity Leak Checker, die Milliarden von gestohlenen oder geleakten Zugangsdaten auflisten, machen dies deutlich. Dem Schutz der Konten von Mitarbeitenden und Kunden kommt deshalb eine wichtige Rolle zu.  

Zu den Technologien und Maßnahmen des Identity & Access Managements gehört die Überwachung und Durchsetzung von Passwortrichtlinien. Laut Untersuchungen des Hasso Plattner Instituts gehören „12345“, „passwort“ und „hallo“ zu den beliebtesten Passwörtern in Deutschland. IT-Sicherheitsverantwortliche in Unternehmen müssen daher darauf achten, dass Mitarbeitende und Kunden starke und lange Passwörter verwenden und nicht für mehrere Accounts das gleiche Passwort benutzen.   

Darüber hinaus sollte, wo immer möglich, ein zusätzlicher Schutz durch eine Mehr-Faktor-Authentifizierung (MFA) eingeführt werden. Dabei müssen sich die Anwender*innen mit einem zusätzlichen Code (One-Time Password, OTP) anmelden, der per SMS, Authenticator App oder Hardware-Token zur Verfügung gestellt wird. Alternativ oder ergänzend kommen biometrische Verfahren zum Einsatz, bei denen Fingerabdruck oder Gesichtserkennung zum Identitätsnachweis genutzt werden. Lösungen, die alle Funktionen für das Identity & Access Management bündeln und zur Verfügung stellen, werden häufig als EIAM (Enterprise Identity & Access Management) für die Verwaltung von internen Identitäten bzw. als CIAM (Customer Identity & Access Management) für die Verwaltung von Konten von Kunden bezeichnet. 

Welche Angriffsmethoden gibt es?

Die Sicherheitsrisiken im IT-Bereich werden immer vielfältiger, denn mit der fortschreitenden Digitalisierung und Vernetzung nehmen auch die Angriffspunkte für Hacker zu.  In den meisten Unternehmen wird eine Vielzahl von Geräten, Schnittstellen und Programmen von unterschiedlichen Mitarbeitenden genutzt. Insbesondere heterogene IT-Landschaften und die damit verbundenen Lücken zwischen verschiedenen Systemen stellen ein Sicherheitsrisiko dar.   

Neben Angriffen von außen kann auch ein mangelndes Sicherheitsbewusstsein der Mitarbeitenden die Sicherheit von Daten und Systemen gefährden. Wer sich zuverlässig schützen will, sollte die größten Gefahren für die IT-Infrastruktur in Unternehmen kennen: 

- Malware über Phishing-Mails: Ein Großteil aller Angriffe auf die IT-Sicherheit erfolgt über Phishing-Mails mit manipulierten Links oder Anhängen. Phishing-Mails sind kein neues Phänomen, werden aber immer raffinierter eingesetzt und sind teilweise kaum von echten Nachrichten zu unterscheiden. Ziel ist es, an Unternehmensdaten und Zugänge zu gelangen oder Malware zu verbreiten. Die Methode des Phishings gehört zum so genannten „Social Engineering“ und setzt auf Sicherheitslücken, die durch menschliches Verhalten entstehen.  Phishing-Mails können massenhaft an verschiedene Unternehmen versendet werden oder sich gezielt an ein einzelnes Unternehmen richten.   

- Datei-Downloads : Auch beim Download von Dateien aus externen Quellen besteht die Gefahr, Opfer von Malware-Angriffen zu werden. Die Angriffsvarianten reichen von gefälschten Updates, URL-Weiterleitungen und DNS-Manipulationen bis hin zu gefälschten Treibern und Systemtools. 

- Social Media-Seiten : Social Media Seiten werden als Bedrohung oft unterschätzt, obwohl sie ein idealer Ort für Betrüger sind. Malware wird beispielsweise in Form von Links platziert oder per Direktnachricht verschickt. Darüber hinaus bietet Social Media ein ideales Umfeld für Hacker, die gezielt nach Informationen über die Mitarbeitenden eines Unternehmens suchen. Diese Informationen werden dann häufig für personalisierte Phishing-Angriffe genutzt.  

- Bring Your Own Device (BYOD): Die Nutzung privater Geräte birgt ein erhöhtes Sicherheitsrisiko, da die Grenzen zwischen privaten und Unternehmensdaten verschwimmen. Gerade in Zeiten, in denen Homeoffice immer mehr an Bedeutung gewinnt, steigt die Zahl der ungesicherten Angriffspunkte. Wird ein privates Endgerät in das Unternehmensnetzwerk eingebunden, müssen besondere Sicherheitsvorkehrungen in Form von Zugriffsbeschränkungen und Datenverschlüsselung getroffen werden. Zudem sollten die Mitarbeitenden im sicheren Umgang mit Geräten und Daten geschult werden. 

- Ungepatchte Computer : Es ist notwendig, Systeme und Programme stets auf dem aktuellen Stand zu halten und Patches der Systemhersteller schnellstmöglich einzuspielen. Patches sind Korrekturen, die Fehler beheben oder Sicherheitslücken schließen. Viele Angreifer nutzen keine aufwendigen Verfahren, um unbekannte Sicherheitslücken aufzuspüren, sondern zielen auf bekannte Schwachstellen. Sie setzen darauf, dass Unternehmen zu lange brauchen, um bestehende Sicherheitslücken zu schließen und haben damit allzu oft Erfolg.  

Tipps zur IT-Sicherheit: So können sich Unternehmen schützen 

Die folgenden Tipps helfen, die Informationssicherheit im Unternehmen zu verbessern: 

- Mitarbeitende schulen: Security Awareness Trainings sind ein wesentlicher Bestandteil jeder nachhaltigen IT-Sicherheitsstrategie. Wenn die Anwender*innen wissen, auf was sie achten müssen und welche Folgen leichtsinniges Verhalten haben kann, sinkt die Gefahr erfolgreicher Einbrüche deutlich. Das Wissen und Verhalten der Anwender*innen lässt sich zum Beispiel über ein Quiz überprüfen, in dem die Teilnehmenden Phishing-Mails erkennen oder Fragen beantworten, was sie beispielsweise mit einem gefundenen USB-Stick machen würden.   

Im Rahmen von Penetrationstests kann auch ein realer Angriff simuliert werden. Dabei erhalten die Mitarbeitenden eine „echte“ Phishing-Mail oder finden einen präparierten USB-Stick auf dem Parkplatz. Hier ist bei der Auswertung und dem Feedback sehr sensibel vorzugehen. Allzu leicht fühlen sich die Betroffenen sonst vorgeführt. Eine gute Fehlerkultur und wertschätzendes Feedback sind hier sehr wichtig.  

Darüber hinaus sollte den Mitarbeitern in Form von Life-Hacking-Veranstaltungen immer wieder vor Augen geführt werden, welche Folgen unbedachtes Verhalten haben kann. Regelmäßigkeit ist ohnehin eines der wichtigsten Elemente einer Security-Awareness-Strategie. Eine einmalige Schulung nützt wenig, da die Informationen schnell in Vergessenheit geraten.  

Auch Notfallpläne und Notfallübungen, wie sie z.B. bei Bränden oder anderen Schadensereignissen üblich und vorgeschrieben sind, tragen zu mehr Sicherheit bei. Ein gut sichtbarer Aushang mit Notfallnummern und den drei wichtigsten Schritten bei einer erkannten Cyberattacke kann Betroffenen helfen, in der Stresssituation eines erfolgreichen Angriffs Ruhe zu bewahren und die richtigen Maßnahmen zu ergreifen.  

- IT-Sicherheitsmanagement konsolidieren: IT-Abteilungen sind häufig noch in funktionale Bereiche wie Server-, Netzwerk-, Storage- und Applikationsmanagement, Softwareentwicklung und Anwendungsbetrieb aufgeteilt. Die mangelnde Kommunikation zwischen diesen Silos führt nicht nur zu Leistungseinbußen und höheren Kosten, sondern erschwert auch das IT-Sicherheitsmanagement. Denn oft werden einzelne, scheinbar harmlose Ereignisse und Unregelmäßigkeiten erst im Zusammenhang als Bedrohung erkannt. Unternehmen sollten daher Informationen aus allen Systemen und Bereichen in einem Security Information and Events Management (SIEM) zusammenführen.  

- Hilfe suchen: Gerade kleine und mittlere Unternehmen sind mit den Anforderungen an eine moderne Cyber-Abwehr überfordert. Sie profitieren daher besonders von Managed Security Services. Aber auch Großunternehmen profitieren von der Spezialisierung der Managed Security Service Provider. Sie verfügen über spezialisiertes Know-how, das Anwenderunternehmen kaum selbst aufbauen oder einkaufen können. Da sie viele Kunden betreuen, können sie Skaleneffekte nutzen und so effizienter und kostengünstiger arbeiten.   

- Risiken minimieren: Heute stellt sich nicht mehr die Frage, ob ein Unternehmen gehackt wird, sondern nur noch wann. Neben der Abwehr von Cyber-Angriffen sollten Informationssicherheitsverantwortliche daher immer auch die Schadensbegrenzung und -behebung im Blick haben. Dazu gehören beispielsweise Backup und Restore sowie Konzepte für Disaster Recovery und Business Continuity. Verbleibende Risiken können durch eine Cyber-Versicherung abgedeckt werden. Eine solche Versicherung hat zudem einen direkten positiven Einfluss auf das IT-Sicherheitsniveau, da vor Abschluss der Police der Reifegrad des Unternehmens eingehend geprüft wird. Schließen die Verantwortlichen die in diesem Audit aufgedeckten Sicherheitslücken, erhöht sich nicht nur die IT-Sicherheit, auch die Konditionen der Cyberversicherung können sich verbessern.