Kunden- sowie Unternehmensdaten und -informationen sind kostbares Gut, das unbedingt geschützt gehört. Viele Unternehmen sind sich der wichtigen Rolle der IT-Security zwar schon bewusst, jedoch fehlt es oft einerseits an Zeit, um überhaupt über IT-Security nachzudenken und andererseits an Geld, um entsprechende Maßnahmen umzusetzen. Das Vernachlässigen der IT-Security birgt jedoch ein hohes Risiko, denn Risikofaktoren gibt es viele – und diese steigen meist mit der Anzahl der Mitarbeiter.
Mitarbeiter: die größte Herausforderung für die IT-Security
Neben technischen Produktfehlern sind es häufig die Mitarbeiter, die einer Bedrohung Tür und Tor öffnen. Ob Phishing, Whaling, Drive-by-Attacken oder CEO-Fraud, die Unternehmens-IT wird zunehmend durch Social-Engineering-Angriffe auf Mitarbeiter attackiert, die oft leider ein sehr einfaches Angriffsziel darstellen. Denn meistens ist das Bewusstsein, was alles passieren kann, bis hinauf zur Vorstandsebene nur wenig gegeben. Eine gute Abstimmung zwischen IT-Administratoren und Mitarbeitern ist daher von enormer Wichtigkeit und regelmäßige IT-Security Awareness-Trainings sehr zu empfehlen.
Aber auch eine Gebäudeabsicherung ist, wie die Erfahrung zeigt, unbedingt notwendig: Netzwerkdosen in Meetingräumen, bei Druckern und auch Außenanlagen sind sehr beliebte Angriffsziele.
Administrative und organisatorische Fehler
Nicht nur die Mitarbeiter sind ein hoher Risikofaktor, sondern auch der Umgang der Unternehmen mit den Mitarbeitern. Allzu oft wird viel zu wenig Wert auf Identity Management gelegt. Dabei ist die zentrale und im besten Fall automatisierte Verwaltung von Identitäten und Zugriffsrechten ein elementarer Bestandteil der IT-Security. Ein Unternehmen sollte zu jeder Zeit wissen, welcher Mitarbeiter welche Zugriffsberechtigungen hat und diese problemlos verwalten und gegebenenfalls, wie etwa im Falle einer Kündigung, sofort entziehen können.
Eine weitere Schwachstelle vieler Unternehmen ist das Monitoring: Alle Sicherheitssysteme sollten laufend überwacht, kontrolliert und upgedatet werden, um eine korrekte Funktionalität zu gewährleisten und etwaige Fehler sofort beheben zu können. Zudem kommen oft noch technische Fehler wie schlechte, veraltete oder gar nicht vorhandene Malware-Scanner auf Clients und Servern, zu viele Domain-Administratoren, keine definierten Admin-Rollen, fehlende Abtrennung von Servern und Clients, fehlende Application Control für Client & Sensitive Server und, und, und … Die Liste lässt sich fast endlos erweitern.
Angriffe erkennen und verhindern
Ziel eines Hacker-Angriffs ist es im „Normalfall“, die Domainhoheit zu erlangen. Dabei ist der User oder eben Mitarbeiter meist das erste Ziel. Von da an wird sich ein Angreifer innerhalb des Netzwerkes weiterbewegen, bis die Domainhoheit erlangt ist.
Die gängigsten Methoden sind:
- Standard-User hacken
- Als anderer Benutzer ausgeben und damit weitere Rechte erlangen
- Passwörter direkt zu knacken
- Das Ausnutzen von Exploits / Schwachstellen in Produkten
Will man Angriffe erfolgreich verhindern, muss man präventive Maßnahmen ergreifen, Monitoring und Auditing betreiben, Systeme und Methoden laufend anpassen und aktualisieren sowie beim Erkennen von Einbruchsversuchen diese verstehen, Gegenmaßnahmen einleiten und für die Zukunft daraus lernen. Aber vor allem braucht man ein umfassendes und auf das eigene Unternehmen zugeschnittene Security Konzept, das alle Aspekte der IT-Security berücksichtigt.
IT-Security Konzept – die Antwort auf alle IT-Sicherheitsfragen
Ein IT-Sicherheitskonzept beschreibt die notwendigen Maßnahmen zur Realisierung und Aufrechterhaltung eines angemessenen und definierten Sicherheitsniveaus für das jeweilige Unternehmen. Ziel ist es, Risiken zu minimieren und ausreichend vorbereitet zu sein, damit, wenn ein Sicherheitsvorfall eintritt, sofort erforderliche Maßnahmen gesetzt und dem Problem entgegenwirkt werden kann. Ein vernünftiges Security Konzept umfasst technische Aspekte wie das Absichern der Netzwerkzugänge, Server Hardening, Konfigurationsmangement oder Password Management ebenso wie organisatorische Aspekte wie Identity Management, Security Operations, IT-Security Awareness-Schulungen oder Desaster Recovery Management.
Wichtig ist dabei nur, dass ein Security Konzept für jedes Unternehmen individuell erarbeitet wird, denn unterschiedliche Arbeitsweisen oder Unternehmensstrukturen erfordern unterschiedliche und den individuellen Bedürfnissen angepasste Sicherheitsmaßnahmen.
Sparen ist gut, aber an der richtigen Stelle
Was Sie sich definitiv sparen können, ist ein Imageschaden, ein Glaubwürdigkeitsproblem und den Verlust Ihrer Kunden – das braucht wirklich keiner. Das ist aber genau das, was Unternehmen blüht, die mit Kundendaten und -informationen leichtsinnig umgehen. Alles nur um Kosten zu sparen. Und selbst das ist ein Irrglaube, denn die Summen, die bei einer großen Sicherheitsverletzung aufzubringen sind, sind enorm: von der Fehlersuche, über die Schadensbeseitigung und Neueinrichtung bis hin zu rechtlichen Konsequenzen und damit einhergehenden Rechtskosten und Entschädigungen aufgrund von Datenschutzverletzungen. Wer also wirklich sparen will, sollte das nicht beim Security Konzept tun, denn das kann richtig teuer werden.
Durch die langjährige Erfahrung in Bereichen wie Infrastruktur Security, Access Control, Identity Management, Organisatorische Sicherheit oder Datenschutz bietet Ihnen ITdesign umfassendes Know-how für die Erstellung eines Security Konzepts, dass perfekt auf Ihr Unternehmen zugeschnitten ist.