IT-Sicherheit im Unternehmen

So sehr Moderne Informationstechnologie unser Leben auch revolutioniert hat, der intensive elektronische Austausch von Daten und Informationen bringt auch Gefahren für das Unternehmen mit sich. Denn auch ein ausgeklügeltes Sicherheitssystem ist stets nur so stark, wie das schwächste Glied in der Kette – und das sind oft die eigenen Mitarbeiter.

Die Bedrohungen für die IT-Organisation sind theoretisch vielfältig, sie reichen von Systemausfällen, Betrug und Diebstahl bis zu einer möglichen Sabotage oder Spionage mit dem Ziel, das Unternehmen nachhaltig zu schädigen. Die Verantwortung für die Sicherheit von IT-Systemen liegt idealerweise in den Händen eines IT-Sicherheitsbeauftragten, fehlt eine solche Stelle, so ist die Verantwortung für die Informationssicherheit hierarchisch der Unternehmens- bzw. Organisationsleitung zuzuordnen.

Nachfolgende Sicherheitslücken und Schwachstellen werden oft vorgefunden:

Portable Geräte

Bei der Anwendung von Maßnahmen zur Systemsicherheit werden mobile Endgeräte oft vernachlässigt. Durch steigende Mobilität der Mitarbeiter werden sensible Daten in eine nicht verwaltete, unsichere Umgebung verbracht, oft kommt es dabei zu unkontrolliertem Datenaustausch mit Geschäftspartnern. Smartphones, USB-Sticks sowie der Online-Datenaustausch in der Cloud sollten daher unbedingt in das IT-Sicherheitskonzept einbezogen werden.

Unzureichende Schulung der Mitarbeiter

Sensiblisierung der Mitarbeiter gegenüber de Risiken, welche Moderne Informationstechnologie mit sich bringt, ist von entscheidender Bedeutung. Informierte Mitarbeiter können sich besser vor schädlichen Codes schützen, wissen, wie Spy- und Malware gemieden werden kann und wie mit E-Mail-Anhängen zu verfahren ist.

Umgang mit Social Media

Obwohl die Nutzung von Facebook, Twitter oder Xing im Büro heute durchaus üblich ist, existieren im Betrieb nur selten Regeln für den Umgang mit sozialen Netzwerken. Da Studien gezeigt haben, dass die Weitergabe von firmen bezogenen Informationen über Social Media-Kanäle meist unbedacht erfolgt, lässt sich dieser Gefahr durch entsprechende Aufklärung der Mitarbeiter wirkungsvoll begegnen.

Cloud-Computing

Speziell in der Cloud ist es wichtig, dass eine permanente Zugriffsüberwachung sowie eine Kontrolle der ausgetauschten Daten stattfindet. Der Dateninhaber hat stets sicherzustellen, dass die Datennutzung nur durch einen berechtigten Personenkreis erfolgt.

Sicherheit wird nur verordnet und nicht gelebt

Maßnahmen zur Informationssicherheit sollten grundsätzlich im Rahmen eines ganzheitlichen Sicherheitskonzeptes erstellt werden, ein derartiges Konzept hat unbedingt die Identifikation aller denkbaren Schadensereignisse sowie deren Beurteilung hinsichtlich Schadenspotenzial und Eintrittswahrscheinlichkeit zu beinhalten. Darüber hinaus muss der gesamte Informations-Workflow im Unternehmen geschützt werden, nicht nur einzelne Betriebssysteme oder Dateien. Eine typische Schwachstelle sind zum Beispiel Drucker, welche viel zu selten überwacht werden. Die Inhalte des Sicherheitskonzeptes sollten in Form von betrieblichen Sicherheitsrichtlinien als Betriebsvereinbarung verbindlich verankert sein.

Folgende technischen bzw. organisatorischen Maßnahmen haben sich als wirksam erwiesen:

Zutritts- und Zugriffskontrollen

Wenn nachvollzogen werden kann, wer wann auf welche Daten zugegriffen hat, kann eine abschreckende Wirkung auf potenzielle Täter erzielt und im Schadensfall die Aufklärung erleichtert werden. Darüber hinaus stellt ein durchdachtes Berechtigungssystem, welches sicherstellt, dass Daten nur von berechtigten Mitarbeitern eingesehen werden können, gemeinsam mit einem dynamischen Passwortschutz einen wichtigen Schritt auf dem Weg zur IT-Sicherheit dar.

Datensicherungen

Die einfachste Form, Daten vor Verlust oder Beschädigung zu schützen, ist die Anfertigung von Sicherheitskopien. Regelmäßige Datensicherung in täglichen, wöchentlichen und monatlichen Intervallen stellt sicher, dass stets ein aktuelles Datenbackup vorhanden ist, auf das im Bedarfsfall zurückgegriffen werden kann.

Verschlüsselungstechniken

Verschlüsselung sensibler Daten ist eine wirksame Methode, diese vor unbefugtem Zugriff zu schützen. Da eine Verschlüsselung sämtlicher Daten zu betrieblicher Ineffizienz und mangelnder Akzeptanz führen würde, lohnt der Einsatz kryptografischer Maßnahmen allerdings nur bei sehr empfindlichem Datenmaterial.

Software-Updates & Antiviren-Software

Wirksamen Schutz bietet auch die laufende Aktualisierung der verwendeten Software durch Herstellerupdates sowie der Einsatz einer Antiviren-Software. Diese sollte täglich aktualisiert werden, um deren Virensignaturen auf dem neuesten Stand zu halten.

Stromversorgung

Obwohl Stromausfälle hierzulande sehr selten sind, können im Stromnetz jedoch Spannungsschwankungen auftreten, die zur Beeinträchtigung oder Beschädigung von Computersystemen führen können. Eine unterbrechungsfreie Stromversorgung sorgt dafür, dass das IT-System mit stets gleichbleibender Stromspannung versorgt wird. (Hier gibt es noch mehr Tipps zur Erhöhung der Datensicherheit)

Fazit:

Zu einer sicheren IT gehört mehr als der Einsatz von Firewall und Antiviren-Software. Wichtig ist ein ganzheitlicher Ansatz in Form eines IT-Sicherheitskonzeptes, denn es ist der vollständige Informationslauf im Betrieb zu schützen, nicht nur einzelne Datenbestände oder Betriebssysteme. Wesentlich ist auch eine laufende Schulung der Mitarbeiter hinsichtlich Informationssicherheit im Betrieb, denn sicherheitstechnisch gut ausgebildete Mitarbeiter werden mit anvertrauten Daten verantwortungsvoll umgehen und Angriffen mit Schädigungsabsicht entsprechend entgegentreten können.