IT-Sicherheit für Unternehmen

aktualisiert am 11. Mai 2020 18 Minuten zu lesen
Hero Icon

In Zeiten, in denen täglich unzählige Daten um die ganze Welt geschickt werden und in denen IoT, Social Media und Cloud Computing für große Unternehmen keine Fremdworte mehr sind, ist IT-Sicherheit relevant wie nie zuvor. Auch kleinere und mittelständische Unternehmen kommen nicht mehr darum herum, sich im Rahmen der allgemeinen Sicherheitsvorkehrungen um die Sicherung ihrer Informationen und Unternehmenswerte zu kümmern. Welche Maßnahmen sind zu ergreifen?

 

IT-Sicherheit bedeutet heute vor allem Cybersicherheit

Noch vor knapp zwei Jahrzehnten waren die IT-Strukturen in den meisten Unternehmen noch ziemlich übersichtlich. Ein paar wenige technische Schutzmaßnahmen reichten aus, um IT-Sicherheitsstandards zu erfüllen. Heute sieht das vollkommen anders aus. Die Digitalisierung hat Daten inzwischen zu einer neuen, ganz eigenen Währung gemacht.

Über das Internet werden täglich unzählig viele Informationen innerhalb weniger Sekunden um die ganze Welt verschickt. Unternehmen kommunizieren mit Kunden, Zulieferern und anderen Firmen in jeglichen Ländern und überall werden Daten hin und her gesendet. Offene Systeme für einen Informationsaustausch sind essentiell. Gleichzeitig aber müssen die Informationen geschützt werden. Dieser Spagat gelingt nur, wenn Unternehmen einige wichtige Sicherheitsvorkehrungen ergreifen. Diese können den Schutz sensibler Daten zwar nicht garantieren, sie verringern aber die Wahrscheinlichkeit einer IT-Sicherheits-Katastrophe.

Die größte Bedrohung für Unternehmen stellen heute Cyberangriffe dar. Unternehmen berichteten in den letzten Jahren immer wieder davon, durch Cyberangriffe höhere finanzielle Verluste erlitten zu haben. Da die Komplexität von IT-Systemen immer weiter steigt, dauert auch die Angriffserkennung immer länger. Oft vergehen über 100 Tage zwischen dem Eindringen und Erkennen einer Cyberattacke.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte 2019 eine Cyber-Sicherheitsumfrage. In den korrigierten Ergebnissen  ist zu lesen, dass immerhin noch 20 % aller befragten Unternehmen nicht davon ausgehen, dass Cyber-Vorfälle Störungen und/oder Ausfälle im Betriebsablauf verursachen können.

Überraschend ist diese Zahl angesichts der Tatsache, dass immerhin fast neun von zehn Institutionen von der Digitalisierung eine Verschärfung der Bedrohungslage erwarten. Bedenkenswert ist vor allem aber auch, dass das Thema IT- und Cybersicherheit für 44 % der Befragten nicht in den unmittelbaren Aufgabenbereich der Unternehmensleitung fällt. Das sollte in eigenem Interesse geändert werden.Tägliche Cyberangriffe

Für IT-Sicherheit zu sorgen ist Aufgabe der Chefs

Die IT-Sicherheit ist heute Aufgabe des Managements und der Führungsetage jedes Unternehmens. Das liegt ganz einfach daran, dass die Chefs für die Steuerung und den Einsatz der Ressourcen verantwortlich zeichnen. Außerdem bildet sie das Personal im Unternehmen aus und sorgt dafür, dass alle Angestellten sich an bestimmte Regeln halten und aufgeklärt sind, wenn es um Bereiche geht, in denen Sicherheitsmaßnahmen gefordert sind.

Die Chefs sind also dafür verantwortlich, mehr Ressourcen und Personal für den Bereich der IT-Sicherheit aufzubringen. Ohne IT-Sicherheitsexperten lassen sich Unternehmensdaten nicht ausreichend schützen. Es ist dabei auch Aufgabe jedes individuellen Unternehmens selbst, zu untersuchen, welche Ausbildungen oder Trainings für IT-Sicherheitspersonal sinnvoll sind. So ist nicht nur das technische Verständnis entscheidend. Auch ohne gute Kommunikationsfähigkeiten sowie soziale und analytische Skills können IT-Sicherheitsexperten nur bedingt helfen. Fachkräfte, welche die IT-Struktur des Unternehmens sichern sollen, benötigen am Ende des Tages außerdem mindestens genauso viel Wissen und Skills wie die Hacker, die das Unternehmen von außen bedrohen.

Weiterhin sollten Führungskräfte verpflichtende IT-Security-Trainings für alle Angestellten durchführen lassen. Nicht nur IT-Fachkräfte, sondern jedes einzelne Glied des Unternehmens muss zumindest über Grundlagen der IT-Sicherheit aufgeklärt sein. Schließlich bietet die kleinste Lücke im Sicherheitsnetz genügend Raum für das Eindringen durch Hackerangriffe von außen.

 

Daten – Eine der wichtigsten Ressourcen im Unternehmen

Daten lassen sich per Klick innerhalb weniger Sekunden speichern. Sie können kopiert und an diversen Orten und auf unterschiedlichen Speichermedien sicher verwahrt werden. Das bedeutet allerdings leider nicht, dass die Daten eines Unternehmens dadurch in Sicherheit sind. Gerade im digitalen Zeitalter, in welchem Daten für viele Unternehmer eine der wichtigsten Ressourcen überhaupt darstellen, gilt es, diese konsequent und gut zu schützen. Das funktioniert nur, wenn man die diversen Ursachen von Datenverlust kennt (Cyberangriffe sind nur ein Teil davon) und Präventivmaßnahmen gegen sie ergreift.

 

Ursachen von Datenverlust bekämpfen

Technische Probleme

Das wohl häufigste, wenn auch nicht größte Problem, sind technische Ursachen, durch die Daten verlorengehen. Es kommt deshalb häufig zu Datenverlusten durch technische Probleme, weil viele Unternehmen nachlässig mit Speichermedien umgehen. Dennoch sind technische Probleme eigentlich keine große Gefahr, weil sie sich fast vollkommen vermeiden lassen, wenn konsequent gegen sie vorgegangen wird.

Wichtig ist, sich hierbei Folgendes zu vergegenwärtigen: Selbst makellose, teure und hochqualitative Datenträger unterliegen irgendwann dem natürlichen Verschleiß. Als Grundregel gilt daher: Alle 3 bis 5 bzw. 5 bis 10 Jahre haben Speichermeiden den Zenit ihrer Nutzungsdauer erreicht.

Sie sind nach einigen Schreibprozessen nicht nur irgendwann unbrauchbar, je nach verwendetem Speichermedium kann es auch zur Entmagnetisierung magnetischer Elemente kommen. Auch Probleme mit der Stromversorgung können Speichermedien schaden. Häufig treten aber einfach physikalische Schäden durch falsche Lagerung, Brüche oder Stürze auf. Tragbare Geräte sind davon deutlich häufiger betroffen.

Um technischen Problemen vorzubeugen, sollten regelmäßige Backups vorgenommen werden. Außerdem ist die Übertragung auf neue Speichermedien und die Lagerung der wichtigsten Daten an verschiedenen Orten ratsam. Gerade bei größeren Datenmengen bietet sich mitunter auch ein Umzug von Daten in die Cloud an. Unternehmen sollten sich dazu zunächst einen Überblick über die Vor- und Nachteile verschaffen, um die für sie passende Lösung bei einem der zahlreichen Anbieter zu finden.

Andere externe Einflüsse

Der Umzug in die Cloud lohnt sich auch hinsichtlich diverser Ursachen, auf die man im Unternehmen keinen Einfluss hat. Gemeint sind vor allem Katastrophen und Ausnahmefälle, wie etwa Brände, Hochwasser- oder Sturmschäden. Diese lassen sich kaum vorhersehen und vor allem können sie leider nicht beeinflusst werden. Zwar kann der gewählte Standort eines Unternehmens die Gefahr für bestimmte Katastrophen verringern. Doch letzten Endes können nur geografisch unabhängige Speicherorte eine maximale Sicherheit der Daten vor Katastrophen durch eine höhere Gewalt garantieren.

Gerade KMU werden bei einer solchen Absicherung gegen technisches und menschliches Verhalten vor eine kaum lösbare Aufgabe gestellt. Schließlich sollen die Kosten irgendwo auch noch im Verhältnis zu den Risiken stehen. Natürlich kann es zu solchen Problemen auch in den Serverhallen professioneller Cloud-Anbieter kommen. Allerdings ist hier die Datensicherung Teil des Geschäftsmodells. Geografisch unabhängige Rechenzentren sind bei vielen großen Anbietern üblich. Kommt es zu Schäden an einzelnen Komponenten der Datencenter, werden diese in der Regel sofort erkannt und behoben. Das Risiko, dass die Daten eines Unternehmens hier verlorengehen, ist dort daher deutlich geringer.

Menschliche Ursachen für Datenverluste

Zu den menschlichen Ursachen, die zu Datenverlusten führen können, zählen natürlich vor allem Hackerangriffe und der Befall von Malware und Viren. Alle diese Dinge sind von Menschen gemacht bzw. entwickelt worden, um Unternehmen zu schaden oder gezielt Daten zu stehlen, um damit Geld zu verdienen. Doch auch andere menschliche Ursachen wie etwa der Verlust von Speichermedien gehören in diese Kategorie.

Gerade USB-Sticks und SD-Karten werden aufgrund ihrer geringen Größe besonders leicht verlegt. Oder sie fallen irgendwo zwischen Ritzen und Spalten oder gar in den Müll und gehen für immer verloren. Nicht selten sind auch mobile Geräte wie Handys, Tablets und Laptops betroffen, die verlorengehen oder in unachtsamen Momenten unbeobachtet abgelegt und gestohlen werden können. In letzterem Fall ist es entscheidend, dass die Geräte zumindest mit guten Passwörtern geschützt sind.

5 Regeln zur Erstellung sicherer Passwörter:

  1. Sichere Passwörter sind mindestens acht Zeichen lang.
  2. Sichere Passwörter enthalten eine Kombination aus Buchstaben in Groß- und Kleinschreibung, Zahlen sowie Satzzeichen und Sonderzeichen.
  3. Einfach zu merkende, aber typische Passwörter, wie „12345“, „Hallo“, „Qwertz“ oder auch „Passwort!“ sind zu vermeiden.
  4. Namen, Geburtstage und sonstige Daten, die aufs eigene Umfeld bezogen sind, sind für die Passworterstellung tabu.
  5. Es kann hilfreich sein, sich einen prägnanten Satz auszudenken und die jeweils ersten Buchstaben der Wörter sowie die Satzzeichen als Passwort zu verwenden. Beispiel: Wie viel Euro kosten die Orangen auf dem Markt? Das recht sichere Passwort würde in diesem Fall lauten: Wv€kdOadM?

Um sich gegen Hackerangriffe, Malware und Viren zu schützen, sollten ganz konkrete und wichtige Maßnahmen im Bereich der Cybersicherheit getroffen werden. Im Folgenden geht es im Detail um diese Maßnahmen.

 

Gegen Cyberangriffe gewappnet sein

Wenn Daten einfach nur verlorengehen ist das immer noch besser, als wenn Daten gestohlen und zu kriminellen Zwecken missbraucht werden. Daten finden sich in gedruckter Form auf Dokumenten, die richtig aufbewahrt und vor allem auch richtig entsorgt werden müssen. Das größte Problem stellen aber die digitalen Daten dar. Deshalb ist es essentiell für die Sicherheit jedes Unternehmens, mit einigen Maßnahmen für grundlegenden Schutz gegen Cyberangriffe zu sorgen.

Damit das gesamte Unternehmen sicher wird, sind zunächst einmal kom­plexe Pass­wör­ter auf allen Geräten zu erzwin­gen. Denn wie bereits erwähnt, kann ein Gerät die Schwachstelle sein, die die gesamte IT-Sicherheitsstruktur in Gefahr oder aus dem Gleichgewicht bringt. Das Festlegen sicherer Passwörter fällt letztlich unter den Bereich Aufklärung und Bewusstsein über Gefahren durch Cyberangriffe.

Mangel an IT-Sicherheitsexperten

 

Die Aufklärung aller Mitarbeiter im Unternehmen

Es ist unbedingte Aufgabe der Chefs, ein Bewusstsein für die Relevanz von IT-Sicherheitsmaßnahmen bei allen Mitarbeitern zu schaffen. Dieses Bewusstsein geht über die Wahl individueller Passwörter eines jeden Anwenders hinaus.

Bewusstsein schaffen bedeutet nämlich zunächst einmal, allen im Unternehmen zu erklären, dass mangelnde IT-Sicherheit nicht nur dem Unternehmen schaden kann. Dies wäre der Fall, wenn es etwa zum Missbrauch sensibler Daten kommt oder indem vernachlässigter Datenschutz zu Sanktionen und Bußgeldern führt, die im schlimmsten Fall existenzgefährdend sein können. Vielmehr sind im Schadensfall auch einzelne Arbeitsplätze in Gefahr.

Sinnvoll ist es, ein regelmäßig aktualisiertes IT-Sicherheitskonzept in jedem Unternehmen zur Aufklärung aller Mitarbeiter umzusetzen. Darin können auch konkrete Verhaltensregeln zusammengefasst werden, an die sich Mitarbeiter bei jeglicher Aktivität streng zu halten haben. Zu diesem Sicherheitskonzept muss jeder Mitarbeiter Zugang haben. Im Gegensatz dazu allerdings sollte nicht jeder Mitarbeiter die Rechte oder Möglichkeiten haben, auf bestimmte vertrauliche Daten zuzugreifen. Gutes Klima im Betrieb sollte nicht mit mangelnder Vorsicht oder gar nachlässigem Umgang mit Informationen verwechselt werden. An manchen Stellen sind Hierarchien wichtig. Streng festgelegte Verschlüsselungen und Zugriffsregelungen sind entscheidend. Gerade die Daten der Führungsebene sind besonders gut zu schützen.

Es kann außerdem nicht schaden, in regelmäßigen Meetings und Schulungen rund um die IT-Sicherheit auch auf Grundlagen des Cyberschutzes hinzuweisen. Fragwürdige E-Mail- Anhänge unbekannter und zweifelhafter Herkunft sind genauso wenig zu öffnen, wie fragwürdige Links im Internet anzuklicken oder auffällige Dateien herunterzuladen. Schnell hat man sonst einen Virus oder Ransom- und andere Schadsoftware auf den Geräten.

 

Die Bedrohungslage kennen

Wer sich im Unternehmen dauerhaft gegen Cyberangriffe schützen will, muss stets auf dem Laufenden bleiben. Neuerungen und Entwicklungen sind nicht zu vernachlässigen – auch nicht, was die Bedrohungslage bei Cyberangriffen betrifft.

Die Website des bereits erwähnten Bundesamts für Sicherheit in der Informationstechnik (BSI) eignet sich gut als Informationsquelle, um auf den neusten Stand zu bleiben. Auch über das Bundes- und die Landeskriminalämter sowie das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) können entsprechende Informationen bezogen werden.

 

Anti­vi­ren­pro­gramme auf dem neues­ten Stand hal­ten

Eine der wichtigsten Grundlagen für die Cybersicherheit eines Unternehmens ist die Antivirensoftware. Mit ihr schützen sich Unternehmen gegen Viren und Trojaner. Jeglicher bereits bekannten Schadsoftware wird der Zugriff auf die Systeme von Anfang an verwehrt.

Ganz wichtig ist es, diese Antivirenprogramme auf dem neuesten Stand zu halten und sie stets auf die aktuelle Bedrohungslage duch Updates anzupassen.

Die von den Herstellern empfohlenen Updates sollten immer so schnell wie möglich durchgeführt werden. Auch Verschlüsselungsprogramme für E-Mails sind zu installieren und aktuell zu halten.

 

Wöchent­li­che Daten­si­che­rungen vornehmen

Die Relevanz von Datensicherungen wurde ja bereits betont. Hierzu noch eine konkrete Empfehlung: Regemäßige Datensicherungen sind die sicherste Variante, um die Gefahr von Datenverlusten zu verringern. Erstellen Sie beispielsweise jeden Freitagabend automatisierte Backups der Serversysteme minimieren Sie die Wahrscheinlichkeit von Datenverlusten, die bei einem Datencrash entstehen können.

Idealerweise werden die Backups auf separierten Systemen gespeichert, damit bei einem Ausfall nicht alle Daten betroffen sind. In der Vergangenheit wurden immer wieder Vorfälle bekannt, in denen Verschlüsselungstrojaner im Spiel waren. Um sich davor zu schützen, ist es wichtig, die Daten auch offline zu speichern. Nach einem vorgenommenen Backup ist das Medium, auf welchem die Sicherungskopie erstellt wurde, unbedingt vom PC zu trennen. Andernfalls riskiert man, dass die eingeschleuste Software auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar macht.

 

Fir­men-Ser­ver mit einer Fire­wall sichern

Unabdingbar für Firmen-Server ist eine Firewall. Diese sollte individuell eingerichtet und von Experten auf die Systeme angepasst werden, um jegliche Zugriffe von außen blockieren zu können, die das Netzwerk nicht kennt. Eine solide Firewall ist von Hackern in den meisten Fällen kaum zu durchdringen.

Antivirenprogramme sind bei verfügbaren Updates sofort auf den neusten Stand zu bringen.
Ein zusätzlicher praktischer Effekt: Wenn einmal ein Mitarbeiter von innen heraus etwas aus dem Internet lädt, was dem Netzwerk Schaden zufügen könnte, reagiert die Firewall ebenfalls. Sie verhindert dann die Installation entsprechender Programme, die unauthorisiert auf das Netzwerk zugreifen möchten.

 

Jetzt weiterstöbern im Ratgeber!