Kontakt

IT-Sicherheit

Wettbewerbsfaktor in zunehmend digitalisierten Märkten

IT-Sicherheit ist einer der wesentlichsten Erfolgsfaktoren für Unternehmen geworden. Laut der Initiative „Deutschland sicher im Netz“ (DSiN) sind 86 Prozent der kleinen und mittelständischen Unternehmen in Deutschland von der IT-Sicherheit abhängig, für jeden zweiten Betrieb ist sie sogar existenziell. Bei einer Umfrage des Marktforschungsunternehmens IDC erklärten 75 Prozent der Teilnehmenden, dass IT-Sicherheit für sie einen Wettbewerbsfaktor darstellt, der die Marke schützt und digitales Vertrauen aufbaut. Dem Digitalverband Bitkom zufolge waren bereits neun von zehn deutschen Unternehmen von IT-Sicherheitsvorfällen betroffen. Durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage entstand der deutschen Wirtschaft in den vergangenen zwölf Monaten ein Schaden von mehr als 200 Milliarden Euro.
it-sicherheit

Was ist IT-Sicherheit? 

IT-Sicherheit für Unternehmen umfasst alle technischen und organisatorischen Maßnahmen, um Daten, Endgeräte, IT-Systeme wie Server, Storage und Netzwerk, sowie Cloud-Services vor unberechtigten Zugriffen, Diebstahl, Verschlüsselung, Spionage und Sabotage zu schützen. Datenschutz, Datensicherheit, Endpoint Security sowie Identity & Access Management sind dabei wesentliche Bestandteile jedes IT-Sicherheitskonzepts. Im Unterschied zu Cybersecurity umfasst die IT-Sicherheit-Definition nur die Informationssicherheit im Unternehmen, während Cybersecurity sich auf alle Aspekte der IT-Security bezieht. Die Übergänge sind allerdings fließend.

Was sind die Ziele von IT-Sicherheit? 

IT-Sicherheit für Unternehmen hat in erster Linie zum Ziel, eine kontinuierliche und erfolgreiche Geschäftstätigkeit sicherzustellen und das Unternehmen vor wirtschaftlichen Schäden sowie Reputationsverlust zu schützen. Die IT-Sicherheit-Definition umfasst aber auch alle Maßnahmen, die dazu dienen, Risiken aus Gesetzes- und Compliance-Verstößen zu minimieren. Dazu gehören beispielsweise Initiativen zum Datenschutz, da der Verlust personenbezogener Daten von Mitarbeitenden oder Kund*innen erhebliche Geldbußen nach sich ziehen kann.

Welche Bereiche umfasst IT-Sicherheit?

IT-Sicherheit für Unternehmen lässt sich in folgende Bereiche einteilen: 

Identity & Access Management: Die Zugangsdaten von Mitarbeitenden und Kund*innen stellen bei Cyberkriminellen eine besonders begehrte Beute dar. Webseiten wie Have I been pwend? oder Identity Leak Checker, die Milliarden gestohlener oder geleakter Zugangsdaten auflisten, zeigen das deutlich. Dem Schutz der Konten von Mitarbeitenden und Kund*innen kommt deshalb eine wichtige Rolle zu. 

Zu den Technologien und Maßnahmen für das Identity & Access Management gehört die Überwachung und Durchsetzung von Richtlinien für Passwörter. Nach wie vor gehören nach Untersuchungen des Hasso Plattner Instituts „12345, „passwort“ und „hallo“ zu den beliebtesten Passwörtern in Deutschland. Verantwortliche für die IT-Sicherheit in Unternehmen müssen daher sicherstellen, dass Mitarbeitende und Kund*innen starke, lange Kennwörter verwenden und nicht für mehrere Konten dasselbe Passwort nutzen.  

Zudem sollte wo immer möglich ein zusätzlicher Schutz durch eine Mehr-Faktor-Authentifizierung (MFA) eingeführt werden. Dabei müssen sich Anwender*innen mit einem zusätzlichen Code (One-Time Password, OTP) anmelden, der per SMS, Authenticator App oder Hardware Token zur Verfügung gestellt wird. Alternativ oder ergänzend kommen biometrische Verfahren zur Anwendung, bei denen ein Fingerabdruck oder die Gesichtserkennung für den Identitätsnachweis eingesetzt werden. Lösungen, die alle Funktionen für das Identity & Access Management bündeln und zur Verfügung stellen, werden häufig als EIAM (Enterprise Identity & Access Management) für die Verwaltung interner Identitäten bzw. CIAM (Customer Identity & Access Management) für die Verwaltung der Konten von Kund*innen bezeichnet. 

 

Endpoint Security: Endgeräte sind das Einfallstor schlechthin, wenn es um die Verbreitung von Viren und Trojanern geht. Die IT-Security in Unternehmen muss deshalb deren umfassenden Schutz sicherstellen. Für die Basissicherheit sorgen Virenscanner und andere Antivirus-Lösungen, die mithilfe von ständig aktualisierten Signaturdatenbanken bekannte Malware zuverlässig erkennen und abwehren.  

Bei neuen Gefahren oder sogenannten Malware-losen Angriffen, sind sie jedoch meist überfordert. Um die IT-Sicherheit der Endgeräte zu optimieren, sollten Unternehmen daher auf moderne EDR-Systeme (Endpoint Detection and Response) setzen, die mithilfe von Machine Learning und anderen Verfahren künstlicher Intelligenz verdächtiges Verhalten auch dann erkennen können, wenn der Virenscanner nicht anschlägt. 

E-Mail Security: Häufig nehmen Angreifer über E-Mails Kontakt zu den Mitarbeitenden auf. Diese sogenannten Phishing-Nachrichten enthalten in der Regel Links, die zu präparierten Webseiten führen, oder mit Malware verseuchte Anhänge. Klickt der Adressat auf einen Link oder öffnet er das Dokument, wird sein Rechner infiziert. Phishing ist eine der häufigsten Ursachen erfolgreicher Cybereinbrüche. Allein in den USA hat sich laut der US-Sicherheitsbehörde FBI die Zahl der Phishing-Attacken von 2019 bis 2021 fast verdreifacht 

Der Abwehr von Phishing-Mails kommt daher eine große Bedeutung zu. Dabei stellen Spamfilter die erste Verteidigungslinie dar. Sie klassifizieren E-Mails meist anhand von Blacklists, wobei das Ergebnis durch statistische Lernverfahren wie die Bayes-Klassifikation ständig verbessert wird. Auch Sicherheitsprotokolle wie SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) tragen zur Phishing-Abwehr bei. Mit ihrer Hilfe lassen sich beispielsweise gefälschte Absenderadressen (Spoofing) besser erkennen. Schließlich kommen auch bei der Phishing-Abwehr vermehrt KI-Verfahren wie Machine Learning zum Einsatz. 

Network Security: Dieses Verfahren hat zum einen das Ziel, Schwachstellen in der Software und Firmware von Netzwerkgeräten zu schließen, zum anderen soll sie die Verbreitung eingedrungener Malware verhindern oder zumindest erschweren. Neben dem Patch- und Update-Management für Netzwerkgeräte wie Switches, Router und Gateway spielt daher die Netzwerksegmentierung eine große Rolle. Dabei werden einzelne Funktionsbereiche des Netzwerks logisch voneinander getrennt, so dass Malware nicht ohne Weiteres von einem Bereich auf den anderen überspringen kann.   

Web Security: Webseiten und Online-Shops sind ebenfalls häufig Ziel der Hacker. Sie müssen daher effizient geschützt werden. Zu den eingesetzten Technologien und Lösungen gehören Web Application Firewalls (WAF), SSL-Services (Secure Socket Layer) sowie die Erkennung und Abwehr von DDoS-Attacken (Distributed Denial of Service). Features wie eine Überprüfung des Source-Codes der Webseiten auf Schwachstellen, Malware-Erkennung und Abwehr von Brute-Force-Attacken, SQL Injection und Cross-Site Scripting ergänzen den Funktionsumfang. 

Server Security: Auch wenn die zentrale IT-Infrastruktur im Rechenzentrum gut durch Firewalls und andere Maßnahmen gegen Eindringlinge von außen abgeschottet ist, so sind dennoch auch die Server auf Sicherheitslücken zu prüfen und regelmäßig zu aktualisieren. Patch- und Update-Management von Servern sind deshalb essenzielle Bestandteile der IT-Sicherheit für Unternehmen. 

Application Security: Anwendungen sollten von Grund auf sicher designt und entwickelt werden (Security-by-Design). Application Security beginnt daher schon bei der Entscheidung für eine bestimmte Architektur oder ein spezifisches Framework. Regelmäßige Code Reviews sorgen dafür, dass sich während der Entwicklungsphase so wenige sicherheitsrelevante Probleme einschleichen wie nur möglich. Fertige Anwendungen sind regelmäßig auf Schwachstellen zu überprüfen und gegebenenfalls sofort zu aktualisieren, wenn Sicherheitslücken entdeckt werden. 

Cloud Security: Die zunehmende Verbreitung von Cloud Computing und der Einsatz von Cloud-Ressourcen in geschäftskritischen Bereichen macht auch eine umfassende Sicherung dieser Umgebungen notwendig. Eine zentrale Rolle spielt dabei der Cloud Access Security Broker (CASB). Als Vermittler zwischen dem Firmennetz und den Cloud-Ressourcen sorgt er für eine sichere, regelkonforme Kommunikation. Außerdem gibt er IT-Verantwortlichen einen umfassenden Überblick über alle genutzten Cloud-Anwendungen, sodass Schatten-IT und Compliance-Verstöße erkannt und abgestellt werden können. Cloud-übergreifendes Identity & Access Management (IAM) mit Single-Sign-on, Data Loss Prevention (DLP), Verschlüsselung und die Bereitstellung von Compliance-Berichten sind weitere Funktionsaspekte der Cloud Security. 
 

Was sind die größten Schwachstellen in Bezug auf IT-Sicherheit? 

Cyberkriminelle verschaffen sich vor allem über folgende Einfallstore Zugang zur Unternehmens-IT: 

- Verhalten der Nutzer*innen: Leichtsinn und Fahrlässigkeit, aber auch zeitlicher und sozialer Druck verleiten Mitarbeitende häufig dazu, riskante Aktionen durchzuführen. Je nach Statistik gehen 70 bis 90 Prozent aller erfolgreichen Angriffe auf menschliche Fehler zurück. Die zunehmende Verbreitung hybrider Arbeitsmodelle hat den Trend noch verstärkt. Zum einen verhalten sich viele Anwender*innen im Homeoffice leichtsinniger, zum anderen fehlt ihnen der direkte Kontakt zu Kolleg*innen und dem Support, so dass es ihnen in kritischen Situationen an Unterstützung mangelt. Dem HP Wolf Security Report Out of Sight & Out of Mind zufolge haben 74 Prozent der befragten IT-Verantwortlichen beobachtet, dass Mitarbeitende in den vergangenen zwei Jahren häufiger auf Phishing-Links klickten als zuvor. Fast drei Viertel derer, die im Homeoffice bösartige Mails geöffnet haben oder dies beinahe taten, informierten die IT-Abteilung nicht über den Vorfall.  

- Zero-Day-Exploits: Schwachstellen in Software und Firmware, für die es noch keine Sicherheits-Patches gibt, stellen ebenfalls ein erhebliches Risiko dar. Gelingt es Angreifern, diese auszunutzen, ist das Unternehmen nahezu wehrlos. Die Sicherheitsexperten von Mandiant haben im vergangenen Jahr fast drei Mal so viele tatsächlich ausgenutzte Zero-Day-Exploits festgestellt wie im Jahr 2020.  

- Privileged Accounts: Konten mit erweiterten Administrationsrechten sind für Cyberkriminelle besonders wertvoll, denn sie erlauben ihnen, sich ungehindert im Firmennetz auszubreiten, Server zu übernehmen und diese umzukonfigurieren. 

- Supply-Chain-Angriffe: Bei sogenannten Lieferkettenangriffen attackieren die Hacker nicht das Unternehmen direkt, sondern die Anbieter von Software, Hardware und Services. Über ein Update werden die manipulierten Lösungen dann in die Anwenderunternehmen geschleust. Laut der europäischen Sicherheitsbehörde ENISA hat sich die Zahl der Supply-Chain-Attacken im vergangenen Jahr vervierfacht. Zu den bekanntesten Angriffen dieser Art gehören die Kompromittierung der IT-Management- und Monitoring-Plattform SolarWinds Orion sowie der IT-Management Services von Kaseya.

Welche Maßnahmen gibt es zur Erhöhung der IT-Sicherheit? 

Mit folgenden Aktionen lässt sich die IT-Security im Unternehmen verbessern: 

- Penetration Testing: Ein IT-Sicherheitsmanagement ist nur so gut wie seine schwächste Stelle. Unternehmen sollten daher ihre IT-Umgebungen regelmäßig von einem Managed Security Service Provider auf mögliche Sicherheitslücken untersuchen lassen. Dabei kommen nicht nur Software, Server und Netzwerk auf den Prüfstand, sondern auch das Verhalten der Mitarbeitenden. Mittels Phishing und Social Engineering versuchen die Tester beispielsweise, Beschäftige zum Ausführen riskanter Verhaltensweisen zu bewegen. 

- Einführung eines Security Operations Center (SOC): Im SOC laufen sämtliche Informationen aller Systeme wie Logfiles und Alarme zusammen. Sie werden von Security-Experten ausgewertet, die bei erkannten Sicherheitslücken oder Angriffen sofort Gegenmaßnahmen einleiten. Um ein SOC 24x7 betreiben zu können, fehlt es allerdings vor allem kleinen und mittleren Unternehmen an Personal und Know-how. Sie können sich die Dienste aber in Form von Managed Security Services einkaufen. 

- Nutzung des Zero-Trust-Prinzips: Traditionelle Sicherheitskonzepte prüfen die Identität und die Berechtigungen von Nutzer*innen, Applikationen und Systemen in der Regel nur beim ersten Zugriff auf Firmenressourcen. Sind diese einmal verifiziert, können sie sich weitgehend ungehindert im Netz bewegen. Besonders gefährlich ist diese Vorgehensweise bei Privileged Accounts, die nach der Autorisierung ungehinderten Zugang zu einer Vielzahl von Systemen haben und diese auch umkonfigurieren können. Zero Trust dreht diese Logik um. Jedem Zugriff wird zunächst misstraut, egal ob er von außerhalb oder von innerhalb des Firmennetzes kommt. Art um Umfang der Autorisierung sind kontextabhängig und richten sich nach dem Ort und der Zeit der Zugriffsanfrage sowie der angeforderten Rechte.

Tipps für IT-Sicherheit: So können sich Unternehmen schützen 

Die folgenden Tipps helfen, die Informationssicherheit im Unternehmen zu verbessern: 

- Mitarbeiter*innen schulen: Security-Awareness-Trainings sind ein wesentlicher Bestandteil jeder nachhaltigen IT-Security-Strategie. Wenn Anwender*innen wissen, auf was sie achten müssen und welche Folgen leichtsinniges Verhalten haben kann, sinkt die Gefahr erfolgreicher Einbrüche deutlich. Das Wissen und das Verhalten der Anwender*innen lässt sich zum Beispiel über ein Quiz prüfen, in dem die Teilnehmenden Phishing-Mails erkennen oder Fragen beantworten, etwa was sie mit einem gefundenen USB-Stick machen würden.  

Im Rahmen von Penetration-Tests kann auch ein Real-Life-Angriff simuliert werden. Die Mitarbeitenden bekommen dabei eine „echte“ Phishing-Mail oder finden auf dem Parkplatz einen präparierten USB-Stick. Hier muss man bei der Auswertung und beim Feedback sehr sensibel vorgehen. Allzu leicht fühlen sich die Betroffenen sonst vorgeführt. Eine gute Fehlerkultur und ein wertschätzendes Feedback sind hier ausgesprochen wichtig. 

Zusätzlich sollte der Belegschaft in Form von Life-Hacking-Events immer wieder vor Augen geführt werden, welche Folgen unbedachtes Verhalten haben kann. Regelmäßigkeit ist ohnehin eine der wichtigsten Bestandteile einer Security-Awareness-Strategie. Eine einmalige Unterweisung nutzt wenig, da die Informationen schnell vergessen werden. 

Auch Notfallpläne und Notfallübungen tragen zu mehr Sicherheit bei, wie sie etwa bei Feuer oder anderen Schadensereignissen üblich und vorgeschrieben sind. Ein gut sichtbarer Aushang mit Notfallnummern und den drei wichtigsten Schritten bei einer erkannten Cyberattacke kann Betroffenen helfen, in der Stresssituation eines erfolgreiches Angriffs Ruhe zu bewahren und die richtigen Maßnahmen zu ergreifen. 

- IT-Sicherheitsmanagement konsolidieren: IT-Abteilungen sind häufig noch in Funktionsbereiche wie Server-, Netzwerk- Storage- und Applikations-Management, Software-Entwicklung und Anwendungsbetrieb eingeteilt. Mangelnde Kommunikation zwischen diesen Silos führt nicht nur zu Leistungseinbußen und höheren Kosten, sondern erschwert auch das IT-Sicherheitsmanagement. Oft lassen sich nämlich einzelne scheinbar harmlose Ereignisse und Unregelmäßigkeiten erst dann als Bedrohung erkennen, wenn sie im Kontext gesehen werden. Unternehmen sollten daher die Informationen aus allen Systemen und Bereichen in einem Security Information and Events Management (SIEM) zusammenführen. 

- Hilfe suchen: Vor allem kleine und mittlere Unternehmen sind mit den Anforderungen einer modernen Cyberabwehr überfordert. Sie profitieren daher besonders vom Angebot an Managed Security Services. Aber auch großen Unternehmen bringt die Spezialisierung der Managed Security Service Provider Vorteile. Diese verfügen über spezialisiertes Know-how, das Anwenderunternehmen kaum selbst aufbauen oder einkaufen können. Da sie viele Kunden betreuen, können sie Skaleneffekte nutzen und so effizienter und wirtschaftlicher arbeiten.  

- Risiken minimieren: Die Frage ist heute nicht mehr, ob ein Unternehmen gehackt wird, sondern nur noch wann. Neben der Abwehr von Cyberangriffen sollten Verantwortliche für die Informationssicherheit deshalb immer auch die Schadensbegrenzung und die Schadensbehebung im Blick behalten. Zu den Maßnahmen gehören beispielsweise Backup and Restore sowie Konzepte für Disaster Recovery und Business Continuity. Die Restrisiken lassen sich dann noch über eine Cyberversicherung abdecken. Eine solche Versicherung hat zusätzlich einen direkten positiven Einfluss auf das IT-Sicherheitsniveau, denn vor Abschluss der Police wird der Reifegrad des Unternehmens eingehend geprüft. Schließen die Verantwortlichen die in diesem Audit gefundenen Sicherheitslücken, erhöht das nicht nur die IT-Sicherheit, auch die Konditionen bei der Cyberversicherung können sich verbessern. 

Sprechen Sie jetzt mit unseren Experten!


Als netgo group bringen wir Menschen und Technologien
erfolgreich zusammen.
Dabei denken wir ganzheitlich, verstehen
das Geschäft unserer Kunden und ebnen den Weg für eine smarte und intelligente Digitalisierung.

Kontakt