- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Zehn Schritte zur Verbesserung der IT-Sicherheit


Ausgehend von der Bestandsanalyse muss eine zentrale IT-Sicherheitsabteilung geplant werden, die alle sicherheitsrelevanten Aspekte des Unternehmens umfasst und aufeinander abstimmt
Wie viel darf welche Sicherheit kosten, welche Risiken können in Kauf genommen werden? Welche Personalressourcen werden benötigt?



Sicherheitsattacken werden immer raffinierter und doch rüsten viele Unternehmen ihre IT-Security nicht adäquat auf, obwohl sie um die potenziell fatalen Folgen von Einbrüchen wissen. Dell erklärt in zehn Schritten, welche Maßnahmen unbedingt notwendig sind, damit sich Unternehmen wirkungsvoll schützen können.

Es gibt keine hundertprozentige Sicherheit. Diese Gewissheit sollte Unternehmen aber nicht dazu verleiten, fahrlässig mit ihrer IT-Security umzugehen. Leider, so das Ergebnis einer aktuellen Studie von Dell, gibt es in vielen Organisationen erhebliche Schwachstellen, die sie leicht verwundbar für immer zahlreichere und aggressivere Angriffe machen. Viele Firmen sind kaum in der Lage, mit der unerbittlichen Dynamik der Attacken Schritt zu halten, wodurch ihr Abwehrpotenzial stetig abnimmt. Dabei steht so viel auf dem Spiel: vom Diebstahl geheimer Daten bis hin zum Ausfall ganzer Rechenzentren. Im schlimmsten Fall bedeuten solche Katastrophen das Ende eines Unternehmens, mindestens aber einen empfindlichen wirtschaftlichen Schaden.

Dell empfiehlt Unternehmen in zehn wichtigen Schritten, wie sie ihre IT-Sicherheit verbessern können. Ein solches Projekt umfasst folgende Schritte:

1. Die Geschäftsleitung involvieren. Das Bewusstsein für IT-Angriffe ist bei Führungskräften zwar deutlich gestiegen. Trotzdem blockieren sie – oft aus Renditegründen – immer wieder notwendige IT-Sicherheitsbudgets. Es ist daher fundamental, sie umfassend zu informieren, sicherzustellen, dass sie die Tragweite des Sicherheitsprojekts erkennen, und sie für das Projekt ab der ersten Stunde zu gewinnen. "Die Bedeutung dieses ersten Schrittes können wir nicht oft genug unterstreichen", erklärt Sven Janssen, Security-Experte bei Dell;

2. Eine Bestandsanalyse durchführen. Dieser umfangreiche Schritt beinhaltet nicht nur die Auflistung von Geräten und Lösungen und deren Eignung für die Abwehr der fortschrittlichen Sicherheitsattacken. Es ist ebenso wichtig, die unterschiedlichen IT-Bereiche mit ihrer jeweiligen Applikations-bezogenen Rechteverwaltung, das Sicherheitsbewusstsein der User, die Abstimmung zwischen den Abteilungen sowie wahrscheinliche interne und externe Gefahrenquellen zu bewerten. Dazu kommen existierende Sicherheitsrichtlinien, tatsächliche und potenzielle Sicherheitspersonal-Ressourcen und natürlich auch Budgets;

3. Eine integrierte Abteilung aufbauen. Darauf basiert das gesamte Projekt. Ausgehend von der Bestandsanalyse wird eine zentrale IT-Sicherheitsabteilung geplant, die alle sicherheitsrelevanten Aspekte des Unternehmens umfasst und aufeinander abstimmt. Diese integrierte Sichtweise ist deshalb von so großer Bedeutung, weil unabhängige Sicherheitssilos, wie sie in den meisten Unternehmen existieren, in ihrer Gesamtheit wenig effizient arbeiten und sogar erhebliche Sicherheitslücken übersehen. Sie müssen unbedingt vermieden werden. Je nach Umfang der Aufgaben ist die Position eines CISO, also Chief Information Security Officer, für die Leitung dieser integrierten Abteilung zu prüfen. Sämtliche Sicherheitsmaßnahmen gehen dann von ihr aus;

4. Eine Sicherheitsstrategie entwickeln. Erwartungen an die IT-Sicherheit werden hier festgelegt: Wie viel darf welche Sicherheit kosten, welche Risiken können in Kauf genommen werden? Welche Personalressourcen werden benötigt? Wie reagiert das Unternehmen bei welchem Einbruch? Welche Systeme sind notwendig? Mit welchen Projekt-Zeitrahmen ist zu rechnen? Werden externe Dienstleister benötigt? Anschließend werden Budget- und Personal-Szenarien entworfen;

5. Budgets verhandeln. Je früher und intensiver Führungskräfte in das IT-Sicherheitsprojekt eingebunden sind, desto besser können sie die notwendigen Budgets nachvollziehen, und desto konstruktiver gestalten sich die Verhandlungen. Merke: ohne Moos nix los. Erst nach Budgetfreigabe nimmt das Projekt seine konkrete Gestalt an;

Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

6. Sicherheitsrichtlinien ausarbeiten. Einer der wichtigsten Aspekte im Rahmen einer Strategie ist die Ausarbeitung unternehmensweiter Richtlinien. Sie sollten auch alle notwendigen Compliance- und sonstigen gesetzgeberischen Aspekte berücksichtigen, unter anderem die neue EU-Datenschutz-Grundverordnung;

7. Neue Systeme und Updates installieren. Nicht nur die Anschaffung moderner Systeme und Lösungen, die in der Lage sind, es mit fortschrittlichen Attacken aufzunehmen, ist essenziell: schließlich sind, so die erwähnte Dell-Studie, horrend viele IT-Security-Systeme veraltet. Ebenso im Mittelpunkt der Systempflege sollte das regelmäßige, zeitnahe Aufspielen aktueller Updates stehen;

8. Mitarbeiter-Schulungen vorsehen. Die ständige Schulung der Mitarbeiter hinsichtlich IT-Sicherheit und der Folgen von Einbrüchen ist ebenfalls unentbehrlich, etwa auf der Basis eines mittelfristigen Schulungsplans: Wer wird wie oft zu welchen Themen ausgebildet?

9. Der Geschäftsleitung reporten. Abstrakte und einmalige Informationen über die IT-Sicherheit sind langfristig nicht hilfreich: Je konkreter IT-Abteilungen der Geschäftsleitung über Angriffe berichten, desto eher bleiben Führungskräfte dem Sicherheitsprojekt gewogen. Eine regelmäßige Executive Summary mit der grafischen Darstellung konkreter, operativer Angriffszahlen auf Basis der Sicherheitslogs sensibilisiert die Empfänger nachhaltig für das Thema;

10. Eine Kontrollschleife einbeziehen. Ein System ist nur so gut wie sein ständiges Hinterfragen: Die IT-Sicherheit und deren Integrität muss hinsichtlich seiner Effizienz regelmäßig durchleuchtet werden. Berücksichtigt werden sollten neue Gefahren, aktuelle Lösungen am Markt oder auch die Veränderung der Organisation im Unternehmen. KPIs, also Leistungskennzahlen, die immer wieder erweitert oder an neue Situationen adaptiert werden, sind sehr hilfreich.

"Der Aufbau einer zentralen Abteilung, die allein eine integrierte Sicht auf die IT-Sicherheit des gesamten Unternehmens erlaubt, ist nicht von heute auf morgen zu bewerkstelligen", erklärt Janssen, "Es gibt in der Regel auch viele Stolpersteine, die es aus dem Weg zu räumen gilt. Einige sind technischer und organisatorischer Art, viele leider auch politischer Natur. Es gilt etwa, die Geschäftsleitung an Bord zu holen oder Bereichsleiter davon zu überzeugen, besser miteinander zu kommunizieren oder gar einen Teil ihrer Verantwortung abzugeben. Dazu ist nicht nur technisches Know-how, sondern auch diplomatisches Geschick nötig. Wichtig kann hier sein, neutralen, weil externen IT-Dienstleistern die Moderationsrolle zu übergeben." (Dell: ra)

eingetragen: 20.04.16
Home & Newsletterlauf: 10.05.16


Dell: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.