IT-Sicherheit fürs Unternehmen

Dass grosse Datenmengen im Unternehmensalltag mit hoher Geschwindigkeit bearbeitet, archiviert und versendet werden, ist heute selbstverständlich. Moderne Informationstechnologien haben die Arbeitswelt revolutioniert. Dieser Fortschritt hat eine Menge positiver Seiten, aber auch negative Aspekte. Um Missbrauch, Datendiebstahl oder der Beschädigung von Daten wirksam entgegenzutreten, bedarf es effektiver Sicherheitssysteme, die die IT-Sicherheit im Unternehmen garantieren. Der schwächste Punkt eines jeden Systems ist dabei oft der eigene Mitarbeiter.

IT-Bereiche von Unternehmen sehen sich heute grundlegend anderen Bedrohungen ausgesetzt. Früher waren in erster Linie Kreditkarten- und Kontodaten von Angriffen und Missbrauch bedroht. In jüngster Zeit sind beinahe alle Informationen, die ein Unternehmen verwaltet, potenzielle Ziele krimineller Übergriffe. Die Motive sind unterschiedlich und reichen von Betrug und Diebstahl über Spionage und Sabotage. Aber auch durch einfache Systemausfälle oder Bedienungsfehler werden Daten häufig irreparabel beschädigt oder ganz vernichtet. Generell ist der Mensch die häufigste Schwachstelle. Meist unbedacht benutzt, begünstigen soziale Netzwerke zum Beispiel, dass die eigenen Mitarbeiter interne Informationen weitergeben.

Häufige Sicherheitslücken in Unternehmen:

– Cloud-Computing
Um Informationssicherheit ausreichend zu gewährleisten sind die konstante Überwachung und Protokollierung aller Zugriffe auf Daten, ein wirkungsvolles Berechtigungssystem und ein professionelles Datensicherungskonzept Grunderfordernisse eines seriösen Cloud-Anbieters. Wichtig ist, dass die Verantwortung für Datensicherheit und –schutz immer beim Dateninhaber (Nutzer) bleibt.

---

---

-soziale Netzwerke
In den seltensten Fällen existieren in Unternehmen klare Regeln im Umgang mit sozialen Netzwerken wie Twitter, Facebook und Co. Dabei ist es durchaus üblich, dass diese von den Mitarbeitern täglich genutzt werden. Studien allerdings belegen, dass interne Informationen oft unbeabsichtigt weitergegeben werden. Aufklärungsarbeit kann hier sicher einige Wirkung zeigen.

-portable Geräte
Für viele IT-Sicherheitskonzepte sind vor allem mobile Endgeräte eine Schwachstelle. Dank der technischen Möglichkeiten steigt die Mobilität der Mitarbeiter, was dazu führt, dass firmeneigen Daten ausserhalb des Unternehmens genutzt und bearbeitet werden und damit nicht mehr vom Sicherheitskonzept des Unternehmens erfasst werden können. Im IT-Sicherheitskonzept der Betriebe müssen daher auch jegliche vorhandenen mobilen Endgeräte, wie Tablets, Smartphones und USB-Sticks, erfasst werden.

-mangelnde Mitarbeiterschulung
Es ist von entscheidender Bedeutung für jedes Unternehmen, dass auch die Mitarbeiter alle Risiken moderner Informationstechnologie kennen und verstehen. Denn es ist erwiesen, dass Mitarbeiter, die die Bedrohung kennen und wissen, was sie dagegen tun können, ihre tägliche Arbeit besser vor schädlichen Ereignissen schützen können.

– IT-Sicherheit muss gelebt werden
IT-Sicherheit muss ganz selbstverständlich zur täglichen Arbeit auf allen Ebenen der Unternehmen dazugehören. Mitarbeiter werden zwangsläufig sensibilisiert und fühlen sich in das Thema Sicherheit einbezogen, wenn Arbeiten rund um das Thema IT-Sicherheit als Arbeitsaufwand vom Unternehmen bezahlt und damit anerkannt werden.

Präventive Massnahmen zu IT-Schutz und –Sicherheit:

1.) IT-Sicherheitskonzept

Ein umfassendes betriebliches Sicherheitskonzept sollte immer auch Informationssicherheitsstrategien beinhalten, deren Unterstützung durch die Geschäftsführung unabdingbar ist. In jedem Konzept sollte ein Abschnitt dem Risikomanagement gewidmet sein. Mögliche Schadensereignisse müssen identifiziert und nach Schädigungspotenzial und Eintrittswahrscheinlichkeit kategorisiert werden.

Aus den daraus resultierenden Erkenntnissen werden schliesslich Strategien erarbeitet, die Schaden vorbeugen und dafür Verhaltensregeln verbindlich festhalten. Der Informations-Workflow muss in jedem Fall in seiner Gesamtheit von den Sicherheitsmassnahmen erfasst werden und nicht allein Datenbestände und Hardware.

Im Idealfall liegt die Verantwortung für IT-Sicherheit im Unternehmen bei einem eigenen IT-Sicherheitsbeauftragten. Ist diese Stelle nicht vorgesehen, sollte die Verantwortung für Informationssicherheit der Unternehmensleitung des Betriebs zugeordnet sein.

2.) organisatorische und technische Massnahmen:

-Zugriffs- und Zutrittskontrollen
Innerhalb des IT-Sicherheitskonzeptes stellt ein durchdachtes Berechtigungssystem, das sicherstellt, dass nur dazu berechtigte Personen auf Daten zugreifen können, ein wichtiges Element dar. In einem eigenen Rollenkonzept wird jedem Mitarbeiter eine Rolle zugeteilt, wodurch gewährleistet wird, dass die Mitarbeiter nur auf Daten zugreifen können, die für ihre rollenspezifischen Tätigkeiten notwendig sind. Zutrittskontrollen sorgen darüber hinaus dafür, dass Räumlichkeiten nur von Personen betreten werden, die dazu berechtig sind.

– Datensicherungen
Ein Datensicherungskonzept sollte die regelmässige Datensicherung in festgelegten Intervallen durchführen, um einen stets aktuellen Sicherungsbestand zu gewährleisten. So kann jederzeit nach Bedarf auf die Sicherungen zurückgegriffen werden. Sicherungsdatenträger sollten in jedem Fall diebstahl- und feuersicher aufbewahrt werden.

– Verschlüsselungstechniken
TLS/SSL und IPSEC gelten als zuverlässige Standards zur Verschlüsselung von Daten. Allerdings sollten nicht nur die Daten selbst verschlüsselt werden, sondern auch eine sichere Verbindung für die Übertragung von Daten sichergestellt sein. Hier muss jedoch auch auf die Verhältnismässigkeit geachtet werden, denn werden kryptografische Prozesse unangemessen eingesetzt, führen diese unweigerlich dazu, dass sich betriebliche Arbeitsabläufe verzögern.

– Anti-Viren-Software
Eine zusätzliche Säule betrieblicher Sicherheitsarchitektur ist eine wirksame Anti-Viren-Software gemeinsam mit Shield-Protectionware (Firewall etc.). Der tägliche Aktualisierungsablauf ist erforderlich, um die Virensignaturen immer auf dem aktuellsten Stand zu halten.

– Stromversorgung
Hierzulande kommt ein Totalausfall des Stromnetzes zwar kaum vor, Spannungsschwankungen allerdings können schon Schäden am Computersystem anrichten. Die immer gleich bleibende Stromspannung wird durch unterbrechungsfreie Stromversorgung sichergestellt.

Effektives Notfallmanagment

Schädigende Ereignisse können auch bei noch so grosser Vorsicht nie ganz ausgeschlossen werden. Ein Notfallmanagment, das eine schnelle Wiederaufnahme der Arbeitsprozesse im Unternehmen bei gleicher Qualität sicherstellt, sollte daher in jedem Unternehmen vorhanden sein. Konzepte für ein solches Continuity Management sollten auf Best-Practice-Methoden und erprobten Standards basieren.

 

Oberstes Bild: © Maksim Kabakou – Shutterstock.com