IT-Security: Themen, Risiken & Maßnahmen 2019

Nach dem Datenleak: Diese Maßnahmen helfen wirklich beim Schutz Ihrer IT

Redaktion InterFace AG IT-Sicherheit

Nach dem Datenleak: Diese Maßnahmen helfen wirklich beim Schutz Ihrer IT

Der massenweise Diebstahl persönlicher Daten von Politikern und öffentlichen Personen sorgt noch immer für hitzige Diskussionen in den Medien und sozialen Netzwerken. Doch so intensiv das Thema Datenschutz nach einem Vorfall diskutiert wird, so schnell verschwindet es meist auch wieder aus der Öffentlichkeit. Und weil der Lerneffekt eher gering ist, bleibt das Risiko weiterhin hoch. Dabei ist es gar nicht so schwer, langfristig für einen wirklich wirksamen Schutz zu sorgen. Die folgende Checkliste hilft dabei, einen besseren Datenschutz zu realisieren.

Auch wenn der angeblich „größte Hackerangriff Deutschlands” (Huffington Post), der „Mega-Hack” (Focus,) oder noch theatralischer: der „Hacker-Super-GAU” (Bild) am Ende doch eher das Ergebnis der akribischen Kleinarbeit eines 20-jährigen Schülers war, so ist der jüngste Datendiebstahl und die massenweise Veröffentlichung privater Informationen (sog. „Doxing”) einmal mehr eine Erinnerung daran, dass jeder im Zweifel selbst für den Schutz seiner IT verantwortlich ist.

Chatverläufe, Telefonnummern, E-Mails, Fotos, Videos, aber auch besonders sensible Informationen wie Kreditkartendaten sind im Zweifelsfall nicht automatisch vor dem Zugriff durch Dritte geschützt. Es reicht schon oft eine Mischung aus bösen Absichten, ein paar grundlegenden IT-Kenntnissen und der nötigen kriminellen Energie, um einer Person wirtschaftlichen und persönlichen Schaden zuzufügen.

Während beim jüngsten Vorfall vor allem private Daten im Fokus standen, so verursachten und verursachen Attacken auf die IT von Unternehmen und öffentlichen Einrichtungen noch immer den größten Schaden.

Cyber-Attacken auf deutsche Industrieunternehmen

Während beim jüngsten Vorfall vor allem private Daten im Fokus standen, so verursachten und verursachen Attacken auf die IT von Unternehmen und öffentlichen Einrichtungen noch immer den größten Schaden.

Ransomware-Angriffe wie Wannacry, dem rund 230.000 Computer in 150 Ländern zum Opfer fielen, zeigen, wie leicht es für Angreifer immer noch ist, Sicherheitslücken in Drittanbieter-Software auszunutzen und in Unternehmensnetze einzudringen. Ein ganz konkretes Beispiel ließ sich Ende des Jahres 2018 beobachten, als der Maschinenbaukonzern KraussMaffei einem Angriff mit Erpressersoftware zum Opfer fiel und dafür sogar die Produktion drosseln musste.

Insgesamt beziffert sich der Schaden von Cyber-Attacken auf deutsche Industrieunternehmen – allein in den letzten beiden Jahren – auf mehr als 43 Milliarden Euro, so eine aktuelle Bitkom-Studie.

Methode des WannaCry-Ransomware-Angriffs vom Mai 2017: Unternehmsdaten verschlüsseln und Lösegeld fordern.
Der WannaCry-Ransomware-Angriff war ein weltweiter Cyberangriff vom Mai 2017, der darauf abzielte, Unternehmensdaten zu verschlüsseln und dafür hohe Lösegeldforderungen in der Kryptowährung Bitcoin zu erpressen. Quelle: wikimedia.org.

IT-Security: Themen & Risiken 2019

Die Gefahr, Opfer eines Cyberangriffes zu werden, ist auch im Jahr 2019 nicht kleiner geworden. Ein Grund dafür ist auch, dass das Thema zwar bei konkreten Vorfällen immer wieder für kurze Zeit in den Fokus von Unternehmen rückt, echte Folgen aber nur selten abgeleitet werden. Viele IT-Abteilungen handeln nach der Maxime „uns wird es schon nicht erwischen” und in vielen Fällen wird wegen der zunehmenden Komplexität von IT-Infrastrukturen darauf vertraut, dass im Zweifelsfall der Service-Provider die Sicherheit garantiert – ein Trugschluss, der hohe wirtschaftliche Schäden verursachen und seit der DSGVO auch schmerzhafte Strafen nach sich ziehen kann.

Doch wie lassen sich bestehende Risiken auf ein angemessenes Maß reduzieren? An welchen Sicherheitsfragen sollten sich verantwortliche Manager orientieren, um eine umfassende IT-Security-Strategie zu entwickeln? Basierend auf eigenen Erfahrungen sowie den Empfehlungen von führenden IT-Service-Providern und Analystenhäusern haben wir hier die wichtigsten IT-Security-Themen für das Jahr 2019 gesammelt.

1. Sicherheit bei der Softwareentwicklung von Anfang an berücksichtigen

Agile Softwareentwicklung hat sich aus guten Gründen mittlerweile flächendeckend durchgesetzt. Security ist kein “Add-On” mehr, das zu einer bestehenden Architektur hinzugefügt werden kann. Softwareentwicklung wird heute prozessual gedacht und prozessuale Ansätze (z.B. DevOps) werden immer mehr zum Standard.  

Daher muss auch Sicherheit von Anfang an in den Entwicklungsprozess integriert werden. Dazu braucht es einen „Security by Default”-Ansatz, der die Sicherheit bei der Softwareentwicklung von Anfang an berücksichtigt. Das gelingt nur, wenn von vornherein die nötigen Ressourcen bereitgestellt werden – finanziell und personell.

2. Einheitliche Device-Policy formulieren und durchsetzen

Moderne Arbeitsplätze leben von der Flexibilisierung: In erster Linie sollen Workflows, interne sowie externe Kommunikation und Kollaboration optimiert und zukunftsfähig gestaltet werden. Je nach Branche und Bedürfnisse des Betriebes bedeutet das für die Mitarbeiter mitunter auch, unabhängig von Zeit, Ort und der Art des Endgerätes arbeiten zu können. Viele moderne Arbeitsplatzstrukturen bieten also ein enormes Potential, lassen jedoch auch die Grenze zwischen Berufs- und Privatleben zunehmend verschwimmen.

Die Nutzung privater Anwendungen auf Firmenhardware oder die Nutzung eigener Hardware für das Unternehmen (BYOD) kann – ohne entsprechende Rahmenbedingungen – hohe Risiken für die Unternehmens-IT bergen. Bekannte Beispiele dafür sind etwa der Austausch sensibler Informationen über einen unsicheren Messenger oder der Einsatz einer privaten Filesharing-Software. So eine „Schatten-IT” lässt sich nur eindämmen, wenn das Management Alternativen bereitstellt, die die gleiche Flexibilität bieten, dafür aber die nötigen Sicherheitsstandards kompromisslos erfüllen.

3. Cloud-Services bewusst auswählen und kombinieren

Eine steigende Anzahl an Unternehmen setzt im Alltag mittlerweile auf eine Multi-Cloud-Struktur, die individuell auf die eigenen Anforderungen zugeschnitten ist. Auf diese Weise lassen sich die Leistungen der Anbieter (Filesharing, Virtualisierung, Zusammenarbeit) sinnvoll verknüpfen und verschiedene Datenquellen zusammenführen. Dieses komplexe Setup kann vor allem kleine Unternehmen schnell überfordern, schließlich wächst mit jeder zusätzlichen Schnittstelle das potenzielle Angriffsrisiko.

Aus dieser Unsicherheit heraus wird die Security-Verantwortung häufig – fälschlicherweise – beim Provider gesehen. Die Provider sind gemäß des „Modells der geteilten Verantwortung” aber nur für die jeweilige Infrastruktur verantwortlich, während der Anwender für die Sicherheit der Daten haftet.

Es ist also absolut notwendig, selbst für die Sicherheit zu sorgen und sich genau zu überlegen, welche Daten bei welchem Provider liegen dürfen und welche Informationen doch möglicherweise besser auf dem eigenen Server aufgehoben sind.

4. Für wirksamen Passwortschutz sorgen

Unsichere Passwörter sind immer noch der Evergreen, wenn es um Security-Risiken geht. Das liegt vor allem daran, dass sich Sicherheit und Usability bei diesem Thema am meisten widersprechen: Ein optimaler Schutz verlangt nach einzigartigen Passwörtern, die möglichst lang sind, aus einer zufälligen Zeichenkombination bestehen und dadurch leider auch naturgemäß schlechter zu merken sind. Um die Sicherheit zusätzlich zu erhöhen, sollten Passwörter außerdem vor allem im Unternehmenskontext regelmäßig geändert werden, was von vielen Admins auch eingefordert wird.

All diese Anforderungen sind eher weniger mit der Forderung nach möglichst einfacher Handhabung vereinbar. Final kann dieser Konflikt wohl nur mit der Hilfe von Technologie gelöst werden. Genau dies versprechen Passwort-Management-Tools wie Dashlane, 1Password oder LastPass, die immer häufiger im privaten Kontext, aber auch in Unternehmen Anwendung finden. In Anbetracht der Tatsache, dass der Passwortschutz in vielen Unternehmen ein leidiges Thema ist, ist der Einsatz einer solchen Lösung auch unbedingt zu empfehlen.

Doch selbst wenn ein Passwort schwer zu knacken ist, bleibt noch immer ein Restrisiko. Dieses lässt sich zusätzlich durch den Einsatz einer 2-Faktor-Authentifizierung minimieren. Bei diesem Verfahren wird die Anmeldung an einem Account erst möglich, wenn der User neben dem Passwort außerdem noch eine zweite Komponente hinzufügt – zum Beispiel einen Code, den er auf seinem Mobiltelefon empfängt, einen zufällig generierten Schlüssel aus einem USB-Token oder auch ein biometrisches Merkmal wie einen Fingerabdruck.

5. Systeme aktuell halten

Die meisten Schadprogramme gelangen durch veraltete Dienste von Drittanbietern auf den Rechner. Wer die Software darauf regelmäßig aktualisiert, ist vor vielen Schadprogrammen besser geschützt. Wie wichtig die regelmäßige Wartung der Unternehmenssoftware ist, zeigte sich bei der letzten großen Ransomware-Attacke:

Das Schadprogramm WannaCry befiel im Mai 2017 ausschließlich Windows-Betriebssysteme, die nicht mit einem bestimmten Patch nachgebessert wurden, der seit März 2017 von Microsoft angeboten wurde. Dass die Durchführung von regelmäßigen Updates aber alles andere als eine Selbstverständlichkeit ist, sieht man zum Beispiel an den vielen Rechnern, die noch immer das Betriebssystem Windows XP nutzen – und die auch noch in so manchem Unternehmen stehen. Microsoft stellte den Support für Windows XP im Jahr 2015 final ein.

6. Die Mitarbeiter mitnehmen

IT-Services berühren mittlerweile nicht nur einige wenige Abteilungen, sondern die Mitarbeiter des gesamten Unternehmens. Die Realisierung einer ganzheitlichen Security-Strategie verlangt aus diesem Grund danach, dass diese im gesamten Unternehmen verankert und gelebt wird. Die Zeiten, in denen die Sicherheitsverantwortung in die IT-Abteilung ausgelagert werden konnte, sind definitiv vorbei. Ein echter Change-Prozess im Unternehmen kann nur unter einer Bedingung gelingen:

Mitarbeiter müssen raus aus ihrer Komfortzone und den Umgang mit neuen Systemen lernen. Dazu braucht es entsprechende Schulungen und Weiterbildungsprogramme. Die beste IT hilft nichts, wenn die Menschen, die damit arbeiten, nicht richtig geschult sind. Es zählt nun mal das schwächste Glied in der Kette: Wenn Angestellte grobe Fehler begehen, so bieten selbst hochgerüstete IT-Security-Infrastrukturen nicht den Schutz, den sie eigentlich bieten könnten.

7. Unnötige Komplexität vermeiden

Ein weiterer, oft vernachlässigter Punkt ist das Thema Komplexität: Jede zusätzliche „Schicht” Software beim Aufbau einer Infrastruktur schafft weitere Schnittstellen und damit potenzielle Angriffstore für Cyberkriminelle. Wer seine Softwareumgebung so einfach wie möglich hält, kann dieses Risiko deutlich minimieren. Unternehmen sollten sich also beim Aufbau ihrer IT-Infrastruktur auch immer fragen, welche Tools sie wirklich benötigen.

Fazit: IT-Security bleibt eine Frage des Managements

Wer die Verantwortung über Compliance-Prozesse, Informations- und IT-Sicherheit in die alleinigen Hände seiner IT-Abteilung legt, läuft Gefahr, Ebenen innerhalb des Unternehmens auszuschließen, die von Security-Fragen genauso betroffen sind, aber jenseits der Einflusssphäre der IT liegen.

Deshalb muss die IT-Sicherheit zum festen Bestandteil der Unternehmenskultur werden und sämtliche Ebenen (mit-) einschließen. Ganzheitliche Ansätze sind hier gefragt.

Genau aus diesem Grund bleibt Security auch immer eine Frage des Managements, denn: umfassende Compliance-Richtlinien müssen von oben eingesetzt, vorgelebt und auf jeder Ebene eingehalten und durchgesetzt werden.


Autor: Redaktion InterFace AG
Bildquelle: Shutterstock unter Bearbeitung durch InterFace AG
Veröffentlicht: 14. Januar 2019

THEMENPORTAL GOVERNANCE

Erfahren Sie hier mehr über das Thema Modern Workplace, IT-Sicherheit
und die Leistungen der InterFace AG im Kontext Datenschutz und Data Science.