Niemand von uns möchte, dass seine sensiblen Daten im Internet für jeden zugänglich sind, gespeichert oder missbraucht werden. Da das Risiko Opfer von Cyberkriminalität zu werden, rasant wächst und laut Bundeskriminalamt alarmierende Zahlen erreicht, müssen sensible Daten im Rahmen von IT-Sicherheitskonzepten vor unbefugten Zugriffen geschützt werden.
Dieser Artikel befasst sich mit den Themen IT-Sicherheit, Informationssicherheit und dem Schutz der Vertraulichkeit und Integrität von Daten sowie sinnvollen Maßnahmen zur Verbesserung der Vertraulichkeit, Integrität und Verfügbarkeit.
IT-Sicherheit: Passwort-Eingabe am Laptop – leicht zu hacken oder sicher gewählt?In diesem Artikel erfahren Sie mehr zu den oben genannten Themen und bekommen eine Übersicht über notwendige Schutzmaßnahmen, nützliche Produkte und die Möglichkeiten zur Bekämpfung von Angriffen. Als Unternehmer schützen Sie nicht nur Ihre Firma, sondern auch die Privatsphäre Ihrer Mitarbeiter durch Weiterbildungen und Sensibilisierungsprogramme in der IT-Sicherheit.
Unter IT-Sicherheit versteht man den Schutz und die Verarbeitung von Informationen. Die Manipulation von Daten durch Dritte und unbefugte Zugriffe sollen mit dem richtigen IT-Sicherheitsmanagement verhindert werden. Der Sinn dahinter ist, dass soziotechnische Systeme, also Mensch und Technologie, innerhalb von Unternehmen und Organisationen und deren Daten, Informationen, Rechenzentren oder Cloud-Dienste gegen Schäden und Bedrohungen geschützt werden.
Die IT-Sicherheit hilft Bedrohungen rechtzeitig zu erkennen und abzuwenden. Im Falle eines Angriffs können spezielle Softwares die Daten des Unternehmens wie Passwörter, Login-Daten und personenbezogene Daten schützen.
Zu den Schutzzielen der IT-Sicherheit gehören Verfügbarkeit, Integrität und Vertraulichkeit. Zusätzlich können noch Authentizität, Zurechenbarkeit und Verlässlichkeit dazu gehören. Mit der richtigen Organisation der Mitarbeiter und einer passenden Software können Maßnahmen der IT-Sicherheit durchgeführt werden.
Vertraulichkeit bedeutet, dass Informationen nur bestimmten Personen zugänglich sind. Die Befugnis wird über den Zugriffsrechte vergeben, was die Informationssicherheit erhöht. Zum Basisschutz gehört nicht nur die Wahl sicherer Passwörter, sondern auch die regelmäßige Änderung dieser.
Zu den Schutzmaßnahmen gehört ebenfalls der sichere Transport von Daten. Dieser sollte verschlüsselt sein damit unautorisierten Personen den Zugriff verwehrt bleibt.
Die Integrität der Informationen bedeutet, dass Inhalte und Daten immer vollständig und korrekt sind. Dafür müssen die Systeme richtig funktionieren. Daten dürfen bei der Übertragung nicht verändert werden und unautorisierte Dritte dürfen keine Möglichkeit haben, auf die Daten zuzugreifen und diese zu manipulieren. Kommt es dennoch zur Manipulation, muss die Sicherheitslücke im System schnell erkannt und bereinigt werden.
Die Gewährleistung der Verfügbarkeit der jeweiligen Informationen bedeutet, dass die Verarbeitung von Daten innerhalb der Systeme reibungslos stattfindet. Daten müssen zum gewünschten Zeitpunkt abrufbar sein. Um das zu ermöglichen, müssen IT-Systeme von Unternehmen vor Ausfällen geschützt sein um so den Geschäftsbetrieb in jedem Fall aufrechterhalten zu können.
Für Unternehmen ist es wichtig, Schutzziele zu formulieren und mit richtigen Systemen alle Maßnahmen zu ergreifen, um vertrauliche Informationen zu schützen. Die Unternehmens-IT kann dafür im Bereich der IT-Security geschult werden. Durch Schulung und Sensibilisierung der Mitarbeiter können Unternehmen auf dem Weg zu mehr Sicherheit unterstützt werden. Auch auf der Suche nach dem passenden Produkt können Schulungen helfen.
Ist jeder einzelne Mitarbeiter im Unternehmen zum Thema Informationssicherheit ausreichend und kontinuierlich geschult?Die Begriffe Informationssicherheit und IT-Sicherheit werden zwar oft als Synonym verwendet, bedeuten aber strenggenommen nicht das selbe.
Während sich die IT-Sicherheit mit dem Schutz von technischen Systemen befasst, geht es bei der Informationssicherheit um den allgemeinen Schutz von Informationen. Diese müssen nicht in digitaler Form daliegen, sondern können auch auf Papier stehen. Die IT-Sicherheit stellt somit einen Teilaspekt der Informationssicherheit dar.
Zu den Schutzzielen der Informationssicherheit gehören die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Die Datensicherheit muss diese sicherstellen. Im Unterschied zum Datenschutz beschränkt sie sich nicht nur auf personenbezogene Daten, sondern auf alle.
Um Datensicherheit zu etablieren, sind verschiedene technische und organisatorische Maßnahmen nötig, zum Beispiel Zugriffskontrollen, Kryptographie oder redundante Speichersysteme.
In Deutschland gilt der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Leitlinie für die Informationssicherheit. Ein wichtiger Baustein ist die Etablierung eines Informationssicherheits-Management-Systems (ISMS).
Das Information Security Management System definiert Regeln und Methoden, um die Informationssicherheit zu gewährleisten, zu überprüfen und zu verbessern. Dafür müssen Risiken kontinuierlich ermittelt und bewertet werden.
Die Formulierung von Schutzzielen und Definitionen, sowie die Dokumentation von Verantwortlichkeiten und Kommunikationsabläufen gehören ebenfalls dazu. Das ISMS ist ein wichtiger Baustein für ein umfassendes IT-Sicherheitskonzept.
mit der Endpoint-Security können alle Anwendungen und Betriebssysteme auf Endgeräten wie Smartphones, Tablets und Notebooks geschützt werden.
Da alle Anwender in einem Unternehmen ein gewisses Risiko darstellen, sollte das Thema IT-Sicherheit immer präsent sein. Bei Fragen zum Thema sollten Mitarbeiter auf Unterstützung aus der Unternehmens-IT zurückgreifen können um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu wahren.
Ab dem Zeitpunkt, ab dem Informationen über das Internet zum Beispiel in Form einer E-Mail versendet werden, spielt das Thema IT-Sicherheit eine zentrale Rolle. Daten und Systeme können leichter angegriffen werden und der Datenschutz ist schnell gefährdet. Sobald ein User im Internet unterwegs ist, hinterlässt er Fußspuren über die eigene digitale Identität, die es zu schützen gilt.
Unternehmen können sich schnell bei der Suche und der Auswahl der richtigen Maßnahmen zur Erhöhung der IT-Sicherheit überfordert fühlen. Dabei sollte man eine Reihe von Aspekten wie beispielsweise organisatorische und finanzielle Aspekte berücksichtigen.
Im Folgenden werden zehn wirksame Maßnahmen vorgestellt, die die eigene Angriffsfläche signifikant reduzieren.
Natürlich ersetzen sie kein umfassendes Management zur IT-Sicherheit, bieten aber konkrete Ansatzpunkte, von denen aus gestartet werden kann.
Mitarbeiter, die geschult und informiert sind, erkennen Probleme und Gefahren schneller und können diese effizienter lösen als ungeschulte Mitarbeiter. Durch Sensibilisierung können Folgen und Auswirkungen von Tätigkeiten besser wahrgenommen und evaluiert werden, das Bewusstsein für Sicherheitsprobleme wird geschärft und Handlungsempfehlungen können befolgt werden. So erreicht ein Unternehmen eher seine Ziele und löst die Sicherheitsprobleme.
Jeder kennt die Überlegungen vor der Passworterstellung. Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen reichen heute nicht mehr aus um seine Daten zu schützen. Schadprogramme wie Trojaner oder Keylogger erkennen Nutzernamen und Passwörter und verschaffen sich Zugriff zu den Daten. Solche Schadprogramme können nur mithilfe eines zweiten, außerhalb des Systems liegenden Faktors wie zum Beispiel einem Hardwaretoken, abgewehrt werden.
Ein VPN (Virtual Private Network) verschlüsselt die Kommunikation und sichert das Netzwerk ab. Zugriffe von Außen können so abgewehrt werden. Da ein VPN ebenfalls angreifbar ist, sollte auch hier eine Zwei-Faktor-Authentifizierung genutzt werden.
Es gibt immer Daten, die wichtiger sind als andere. Im Unternehmen sollte eine Analyse der Vertraulichkeit festgehalten werden. Wie schützenswert ist eine Kundenliste oder die Gehaltsliste der Mitarbeiter? Wie geht man mit Daten vom Einkauf oder der Buchhaltung um? Welche Auswirkung hätte eine Entfremdung dieser Daten oder gar ein Verlust?
Wurde eine Datenanalyse vorgenommen und die Vertraulichkeit klassifiziert, kann man entscheiden, wer überhaupt Zugang zu diesen Daten haben soll. Nicht alle Daten eines Unternehmens müssen allen Mitarbeitern zur Verfügung stehen. Es muss differenziert werden zwischen Daten, die für die tägliche Arbeit von Mitarbeitern genutzt werden und Daten, auf die zum Beispiel nur der Unternehmer oder die Personalabteilung Zugriff haben. Durch ein durchdachtes Berechtigungskonzept kann man die Datensicherheit und Cyber- Sicherheit stark erhöhen.
Die regelmäßige Datensicherung, oder auch Backup genannt, ist empfehlenswert, wenn man keine Daten verlieren will. Das Backup sollte man am besten einmal täglich durchführen und ein wöchentliches Gesamtbackup anschließen, um die Datensammlung immer auf dem neusten Stand zu halten.
Regelmäßige Updates der Anwendungen erhöhen ebenfalls die IT-Sicherheit. Mit Software-Updates kann man Sicherheitslücken schließen, Fehler korrigieren und Funktionen erweitern. Ein Unternehmen sollte sich überlegen, ob die Updates automatisiert laufen sollen, oder ob jemand in regelmäßigen Abständen den Schutz von Sicherheitslücken gewährleistet indem er oder sie die IT-Systeme wartet.
Mithilfe eines Penetrationstests können Sicherheitslücken entdeckt werden. Er prüft die Sicherheit eines Netzwerks- oder Softwaresystems und guckt, ob Bedrohungen von IT-Systemen erkannt und Cyberangriffe verhindert werden können oder ob die Schutzmaßnahmen nicht ausreichend sind und eine Re-Evaluierung vom IT-Sicherheitskonzept notwendig ist.
Für die Risikoabschätzung ist geschultes und sensibilisierter Personal notwendig. Es sollten verschiedene Angriffsmöglichkeiten und deren potentielle Verluste durchgespielt werden. Der Schutz der Daten sollte mithilfe von Schutzzielen, der richtigen Software und einer guten Organisation gewährleistet sein. Ein gutes IT-Sicherheitsmanagement vereinfacht die Risikoabschätzung von Cyberangriffen und nimmt eine System-Bedrohung schneller wahr. Somit ist es eine wichtige Voraussetzung für den Datenschutz.
Wie kann man verhindern, Opfer von Cyberangriffen zu werden und was tun, wenn die Daten eines Unternehmens in Gefahr sind? Für solche Situationen sollte man Notfallpläne haben. Ein Cyberangriff stellt eine Bedrohung für das Image eines Unternehmens dar und könnte unter anderem zu großen wirtschaftlichen Schäden und Verlusten führen. Sobald Unternehmen Opfer von Cyberkriminalität werden, ist die Presse nicht weit entfernt und die Nachrichten verbreiten sich schnell. Kundenverlust und Imageverlust sind die Folgen.
Nachrichten über Cyberangriffe verbreiten sich schnell. Die Folge für Unternehmen sind Imageschäden und Kundenverlust.Um das Minimum an IT-Sicherheit gewährleisten zu können, sollten Unternehmen bestimmte Schutzmaßnahmen ergreifen. Grundsätzlich sollten die genutzten Geräte mit einem Virenscanner und einer Firewall ausgestattet sein. Zusätzlich können weitere Tools installiert werden.
Diese Programme gehören zum Basisschutz gegen Viren, Würmer, Trojaner und Malware. Vor allem in der Wirtschaft können solche Angriffe gravierende Folgen haben.
Die regelmäßige Aktualisierung der Software ist wichtig, um Sicherheitslücken, die zum Beispiel im Rahmen von Programmierfehlern der Software entstehen können, rechtzeitig zu beseitigen.
Sichere Passwörter und die regelmäßige Änderung dieser gehört ebenfalls zum Basisschutz. Wenn Mitarbeiter die Initiative ergreifen und die IT-Sicherheit verbessern wollen, sollten sie darauf achten, bei der Passwortwahl keine Geburtsdaten, KFZ-Kennzeichen oder Namen zu benutzen. Ein sicheres Passwort besteht aus einer zufälligen Kombination von mindestens acht Buchstaben, Ziffern und enthält Sonderzeichen. Das ausgesuchte Passwort sollte nicht mehrfach verwendet werden.
Ein weiteres potentielles Risiko verbirgt sich hinter der Nutzung kabelloser WLAN-Netzwerke. WLAN ist zwar kostenlos und flexibel und wird zum Beispiel in der Wirtschaft viel genutzt, man sollte aber darauf achten, dass die Netzwerke verschlüsselt sind.
Unternehmen sollten auch darauf achten, dass die Bezeichnung des WLANs keine Rückschlüsse auf sie zulässt, damit Angreifer nicht direkt auf die Idee kommen, gezielt diese Verbindung auf Schwachstellen zu prüfen.
Ist das Netzwerk nicht verschlüsselt werden Daten, wie beispielsweise eine E-Mail, ungeschützt und für jeden einsehbar über das Internet verschickt.
Auch die Festplatte eines Rechners kann zum Risiko werden, falls diese verkauft, zur Reparatur gebracht oder unüberlegt entsorgt wird. Sogar manuell gelöschte Dateien können in der Regel noch aufgerufen werden, denn durch die Löschung werden lediglich Informationen über den Speicherort, aber nicht die Inhalte entfernt. Gleiches gilt auch für das Formatieren der Festplatte. Zur Verbesserung der Sicherheit sollten daher spezielle Programme eingesetzt werden.
Die Verletzung der IT-Sicherheit kann für Unternehmen schwere Konsequenzen bedeuten. Gelangen Hacker durch Cyberattacken an vertrauliche Informationen wie interne Unternehmensdaten, persönliche Daten der Mitarbeiter wie E-Mail, Passwort oder Kreditkarten-Daten, kann unter anderem ein großer wirtschaftlicher Schaden entstehen.
Die Datensicherheit ist auch für den Bereich Wirtschaftsspionage und Raub von Personen-Identitäten sehr wichtig. Ist kein guter Basisschutz vorhanden, kann es zum Produktionsstillstand kommen, vor allem wenn automatisierte Systeme betroffen sind, sowie zum Imageverlust vom betroffenen Unternehmen.
Daher ist es für jedes Unternehmen sehr wichtig, sich mit dem Thema IT-Sicherheit auseinanderzusetzen, seine Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren und Schutzziele zu formulieren.
Da die Cyberkriminalität ständig im Wandel ist, gibt es immer wieder neue Methoden, um Sicherheitslücken in Systemen zu finden. Allgemein stellt sich IT-Sicherheit asymmetrisch dar: Um den Betriebsablauf eines Unternehmens erheblich beeinträchtigen zu können, muss ein Angreifer lediglich eine einzige Schwachstelle erfolgreich ausnutzen. Unternehmen müssen hingegen einen ganzheitlichen Schutz gewährleisten, um sich umfassend abzusichern.
Cyberkriminalität betrifft häufig Bereiche, die eine zentrale Bedeutung für das staatliche Gemeinwesen haben. Fallen hier Systeme aus, kann das schwere Folgen haben, wie zum Beispiel die Beeinträchtigung der Grundversorgung mit Strom oder Wasser oder die Gefährdung der öffentlichen Sicherheit. Zu den kritischen Infrastrukturen gehören:
Die einzelnen Bereiche sind natürlich ebenfalls miteinander verknüpft, so dass ein Ausfall in einem Bereich zu einem Dominoeffekt führen kann. Das gesamte öffentliche Leben könnte bei einem Angriff auf beispielsweise den Stromsektor gefährdet sein.
Kritische Infrastrukturen richtig abzusichern ist sehr wichtig, aber auch äußert komplex. Oft sind Systeme der IT und der OT (Operational Technology) miteinander verknüpft. Durch diese Verknüpfung sind auch die Steuerungssysteme für Industrieanlagen über das Netz angreifbar. Da die OT oft keine Maßnahmen der IT-Sicherheit enthält, müssen dieses erstmal angepasst werden.
Um Cyber Resilience in kritischen Infrastrukturen herzustellen, ist es wichtig, IT- und OT-Systeme verschiedener Generationen, Prozesse und Richtlinien in ein umfassendes Sicherheitskonzept einzubinden.
Um IT-Sicherheit, Informationssicherheit und einen Zustand der Cyber Resilience herzustellen, ist Vulnerability Management unverzichtbar. Darunter versteht man die Fähigkeit, Schwachstellen zeitnah zu identifizieren, zu bewerten und ihrer Priorität nach zu beseitigen.
Mithilfe des Vulnerability Managements können Unternehmen ihre Systeme im Bereich der IT-Sicherheit verbessern und die Angriffsfläche reduzieren.
Das Schwachstellenmanagement ist ein laufender Prozess. Er besteht aus folgenden vier Phasen, die einen Kreislauf bilden: