Niemand von uns möchte, dass seine sensiblen Daten im Internet für jeden zugänglich sind, gespeichert oder missbraucht werden. Da das Risiko Opfer von Cyberkriminalität zu werden, rasant wächst und laut Bundeskriminalamt alarmierende Zahlen erreicht, müssen sensible Daten im Rahmen von IT-Sicherheitskonzepten vor unbefugten Zugriffen geschützt werden.
Dieser Artikel befasst sich mit den Themen IT-Sicherheit, Informationssicherheit und dem Schutz der Vertraulichkeit und Integrität von Daten sowie sinnvollen Maßnahmen zur Verbesserung der Vertraulichkeit, Integrität und Verfügbarkeit.
Inhaltsverzeichnis:
- Definition: was ist IT-Sicherheit
- Was ist das Ziel der IT-Sicherheit
- Informationssicherheit und Datensicherheit
- Welche Bereiche umfasst IT-Sicherheit
- 10 wirksame Maßnahmen für Ihre IT-Sicherheit
- Was gehört zum Basisschutz
- Welche Auswirkungen hat ein Cyberangriff auf meine Informationen
- Welche Cyberangriffe gibt es
- Was sind kritische Infrastrukturen
- Schwachstellenmanagement im Rahmen von Cyber Resilience
In diesem Artikel erfahren Sie mehr zu den oben genannten Themen und bekommen eine Übersicht über notwendige Schutzmaßnahmen, nützliche Produkte und die Möglichkeiten zur Bekämpfung von Angriffen. Als Unternehmer schützen Sie nicht nur Ihre Firma, sondern auch die Privatsphäre Ihrer Mitarbeiter durch Weiterbildungen und Sensibilisierungsprogramme in der IT-Sicherheit.
Definition: was ist IT-Sicherheit?
Unter IT-Sicherheit versteht man den Schutz und die Verarbeitung von Informationen. Die Manipulation von Daten durch Dritte und unbefugte Zugriffe sollen mit dem richtigen IT-Sicherheitsmanagement verhindert werden. Der Sinn dahinter ist, dass soziotechnische Systeme, also Mensch und Technologie, innerhalb von Unternehmen und Organisationen und deren Daten, Informationen, Rechenzentren oder Cloud-Dienste gegen Schäden und Bedrohungen geschützt werden.
Die IT-Sicherheit hilft Bedrohungen rechtzeitig zu erkennen und abzuwenden. Im Falle eines Angriffs können spezielle Softwares die Daten des Unternehmens wie Passwörter, Login-Daten und personenbezogene Daten schützen.
Was ist das Ziel der IT-Sicherheit?
Zu den Schutzzielen der IT-Sicherheit gehören Verfügbarkeit, Integrität und Vertraulichkeit. Zusätzlich können noch Authentizität, Zurechenbarkeit und Verlässlichkeit dazu gehören. Mit der richtigen Organisation der Mitarbeiter und einer passenden Software können Maßnahmen der IT-Sicherheit durchgeführt werden.
Vertraulichkeit der Informationen
Vertraulichkeit bedeutet, dass Informationen nur bestimmten Personen zugänglich sind. Die Befugnis wird über den Zugriffsrechte vergeben, was die Informationssicherheit erhöht. Zum Basisschutz gehört nicht nur die Wahl sicherer Passwörter, sondern auch die regelmäßige Änderung dieser.
Zu den Schutzmaßnahmen gehört ebenfalls der sichere Transport von Daten. Dieser sollte verschlüsselt sein damit unautorisierten Personen den Zugriff verwehrt bleibt.
Integrität der Informationen
Die Integrität der Informationen bedeutet, dass Inhalte und Daten immer vollständig und korrekt sind. Dafür müssen die Systeme richtig funktionieren. Daten dürfen bei der Übertragung nicht verändert werden und unautorisierte Dritte dürfen keine Möglichkeit haben, auf die Daten zuzugreifen und diese zu manipulieren. Kommt es dennoch zur Manipulation, muss die Sicherheitslücke im System schnell erkannt und bereinigt werden.
Verfügbarkeit der Informationen
Die Gewährleistung der Verfügbarkeit der jeweiligen Informationen bedeutet, dass die Verarbeitung von Daten innerhalb der Systeme reibungslos stattfindet. Daten müssen zum gewünschten Zeitpunkt abrufbar sein. Um das zu ermöglichen, müssen IT-Systeme von Unternehmen vor Ausfällen geschützt sein um so den Geschäftsbetrieb in jedem Fall aufrechterhalten zu können.
Für Unternehmen ist es wichtig, Schutzziele zu formulieren und mit richtigen Systemen alle Maßnahmen zu ergreifen, um vertrauliche Informationen zu schützen. Die Unternehmens-IT kann dafür im Bereich der IT-Security geschult werden. Durch Schulung und Sensibilisierung der Mitarbeiter können Unternehmen auf dem Weg zu mehr Sicherheit unterstützt werden. Auch auf der Suche nach dem passenden Produkt können Schulungen helfen.
Informationssicherheit und Datensicherheit
Die Begriffe Informationssicherheit und IT-Sicherheit werden zwar oft als Synonym verwendet, bedeuten aber strenggenommen nicht das selbe.
Während sich die IT-Sicherheit mit dem Schutz von technischen Systemen befasst, geht es bei der Informationssicherheit um den allgemeinen Schutz von Informationen. Diese müssen nicht in digitaler Form daliegen, sondern können auch auf Papier stehen. Die IT-Sicherheit stellt somit einen Teilaspekt der Informationssicherheit dar.
Zu den Schutzzielen der Informationssicherheit gehören die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Die Datensicherheit muss diese sicherstellen. Im Unterschied zum Datenschutz beschränkt sie sich nicht nur auf personenbezogene Daten, sondern auf alle.
Um Datensicherheit zu etablieren, sind verschiedene technische und organisatorische Maßnahmen nötig, zum Beispiel Zugriffskontrollen, Kryptographie oder redundante Speichersysteme.
In Deutschland gilt der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Leitlinie für die Informationssicherheit. Ein wichtiger Baustein ist die Etablierung eines Informationssicherheits-Management-Systems (ISMS).
Information Security Management System (ISMS)
Das Information Security Management System definiert Regeln und Methoden, um die Informationssicherheit zu gewährleisten, zu überprüfen und zu verbessern. Dafür müssen Risiken kontinuierlich ermittelt und bewertet werden.
Die Formulierung von Schutzzielen und Definitionen, sowie die Dokumentation von Verantwortlichkeiten und Kommunikationsabläufen gehören ebenfalls dazu. Das ISMS ist ein wichtiger Baustein für ein umfassendes IT-Sicherheitskonzept.
Welche Bereiche umfasst IT-Sicherheit?
Endpoint-Security:
mit der Endpoint-Security können alle Anwendungen und Betriebssysteme auf Endgeräten wie Smartphones, Tablets und Notebooks geschützt werden.
Anwender-Security:
Da alle Anwender in einem Unternehmen ein gewisses Risiko darstellen, sollte das Thema IT-Sicherheit immer präsent sein. Bei Fragen zum Thema sollten Mitarbeiter auf Unterstützung aus der Unternehmens-IT zurückgreifen können um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu wahren.
Internet- und Cloud-Sicherheit:
Ab dem Zeitpunkt, ab dem Informationen über das Internet zum Beispiel in Form einer E-Mail versendet werden, spielt das Thema IT-Sicherheit eine zentrale Rolle. Daten und Systeme können leichter angegriffen werden und der Datenschutz ist schnell gefährdet. Sobald ein User im Internet unterwegs ist, hinterlässt er Fußspuren über die eigene digitale Identität, die es zu schützen gilt.
10 wirksame Maßnahmen für Ihre IT-Sicherheit
Unternehmen können sich schnell bei der Suche und der Auswahl der richtigen Maßnahmen zur Erhöhung der IT-Sicherheit überfordert fühlen. Dabei sollte man eine Reihe von Aspekten wie beispielsweise organisatorische und finanzielle Aspekte berücksichtigen.
Im Folgenden werden zehn wirksame Maßnahmen vorgestellt, die die eigene Angriffsfläche signifikant reduzieren.
Natürlich ersetzen sie kein umfassendes Management zur IT-Sicherheit, bieten aber konkrete Ansatzpunkte, von denen aus gestartet werden kann.
1. Schulung und Sensibilisierung von Mitarbeitern
Mitarbeiter, die geschult und informiert sind, erkennen Probleme und Gefahren schneller und können diese effizienter lösen als ungeschulte Mitarbeiter. Durch Sensibilisierung können Folgen und Auswirkungen von Tätigkeiten besser wahrgenommen und evaluiert werden, das Bewusstsein für Sicherheitsprobleme wird geschärft und Handlungsempfehlungen können befolgt werden. So erreicht ein Unternehmen eher seine Ziele und löst die Sicherheitsprobleme.
2. Zwei-Faktor-Authentifizierung
Jeder kennt die Überlegungen vor der Passworterstellung. Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen reichen heute nicht mehr aus um seine Daten zu schützen. Schadprogramme wie Trojaner oder Keylogger erkennen Nutzernamen und Passwörter und verschaffen sich Zugriff zu den Daten. Solche Schadprogramme können nur mithilfe eines zweiten, außerhalb des Systems liegenden Faktors wie zum Beispiel einem Hardwaretoken, abgewehrt werden.
3. VPN
Ein VPN (Virtual Private Network) verschlüsselt die Kommunikation und sichert das Netzwerk ab. Zugriffe von Außen können so abgewehrt werden. Da ein VPN ebenfalls angreifbar ist, sollte auch hier eine Zwei-Faktor-Authentifizierung genutzt werden.
4. Klassifizierung der Daten
Es gibt immer Daten, die wichtiger sind als andere. Im Unternehmen sollte eine Analyse der Vertraulichkeit festgehalten werden. Wie schützenswert ist eine Kundenliste oder die Gehaltsliste der Mitarbeiter? Wie geht man mit Daten vom Einkauf oder der Buchhaltung um? Welche Auswirkung hätte eine Entfremdung dieser Daten oder gar ein Verlust?
5. Berechtigungskonzept
Wurde eine Datenanalyse vorgenommen und die Vertraulichkeit klassifiziert, kann man entscheiden, wer überhaupt Zugang zu diesen Daten haben soll. Nicht alle Daten eines Unternehmens müssen allen Mitarbeitern zur Verfügung stehen. Es muss differenziert werden zwischen Daten, die für die tägliche Arbeit von Mitarbeitern genutzt werden und Daten, auf die zum Beispiel nur der Unternehmer oder die Personalabteilung Zugriff haben. Durch ein durchdachtes Berechtigungskonzept kann man die Datensicherheit und Cyber- Sicherheit stark erhöhen.
6. Datensicherung
Die regelmäßige Datensicherung, oder auch Backup genannt, ist empfehlenswert, wenn man keine Daten verlieren will. Das Backup sollte man am besten einmal täglich durchführen und ein wöchentliches Gesamtbackup anschließen, um die Datensammlung immer auf dem neusten Stand zu halten.
7. Update-Management
Regelmäßige Updates der Anwendungen erhöhen ebenfalls die IT-Sicherheit. Mit Software-Updates kann man Sicherheitslücken schließen, Fehler korrigieren und Funktionen erweitern. Ein Unternehmen sollte sich überlegen, ob die Updates automatisiert laufen sollen, oder ob jemand in regelmäßigen Abständen den Schutz von Sicherheitslücken gewährleistet indem er oder sie die IT-Systeme wartet.
8. Penetrationstest zur Schwachstellenanalyse
Mithilfe eines Penetrationstests können Sicherheitslücken entdeckt werden. Er prüft die Sicherheit eines Netzwerks- oder Softwaresystems und guckt, ob Bedrohungen von IT-Systemen erkannt und Cyberangriffe verhindert werden können oder ob die Schutzmaßnahmen nicht ausreichend sind und eine Re-Evaluierung vom IT-Sicherheitskonzept notwendig ist.
9. Risikoabschätzung
Für die Risikoabschätzung ist geschultes und sensibilisierter Personal notwendig. Es sollten verschiedene Angriffsmöglichkeiten und deren potentielle Verluste durchgespielt werden. Der Schutz der Daten sollte mithilfe von Schutzzielen, der richtigen Software und einer guten Organisation gewährleistet sein. Ein gutes IT-Sicherheitsmanagement vereinfacht die Risikoabschätzung von Cyberangriffen und nimmt eine System-Bedrohung schneller wahr. Somit ist es eine wichtige Voraussetzung für den Datenschutz.
10. Notfallpläne erstellen
Wie kann man verhindern, Opfer von Cyberangriffen zu werden und was tun, wenn die Daten eines Unternehmens in Gefahr sind? Für solche Situationen sollte man Notfallpläne haben. Ein Cyberangriff stellt eine Bedrohung für das Image eines Unternehmens dar und könnte unter anderem zu großen wirtschaftlichen Schäden und Verlusten führen. Sobald Unternehmen Opfer von Cyberkriminalität werden, ist die Presse nicht weit entfernt und die Nachrichten verbreiten sich schnell. Kundenverlust und Imageverlust sind die Folgen.
Was gehört zum Basisschutz?
Um das Minimum an IT-Sicherheit gewährleisten zu können, sollten Unternehmen bestimmte Schutzmaßnahmen ergreifen. Grundsätzlich sollten die genutzten Geräte mit einem Virenscanner und einer Firewall ausgestattet sein. Zusätzlich können weitere Tools installiert werden.
Diese Programme gehören zum Basisschutz gegen Viren, Würmer, Trojaner und Malware. Vor allem in der Wirtschaft können solche Angriffe gravierende Folgen haben.
Die regelmäßige Aktualisierung der Software ist wichtig, um Sicherheitslücken, die zum Beispiel im Rahmen von Programmierfehlern der Software entstehen können, rechtzeitig zu beseitigen.
Sichere Passwörter und die regelmäßige Änderung dieser gehört ebenfalls zum Basisschutz. Wenn Mitarbeiter die Initiative ergreifen und die IT-Sicherheit verbessern wollen, sollten sie darauf achten, bei der Passwortwahl keine Geburtsdaten, KFZ-Kennzeichen oder Namen zu benutzen. Ein sicheres Passwort besteht aus einer zufälligen Kombination von mindestens acht Buchstaben, Ziffern und enthält Sonderzeichen. Das ausgesuchte Passwort sollte nicht mehrfach verwendet werden.
Ein weiteres potentielles Risiko verbirgt sich hinter der Nutzung kabelloser WLAN-Netzwerke. WLAN ist zwar kostenlos und flexibel und wird zum Beispiel in der Wirtschaft viel genutzt, man sollte aber darauf achten, dass die Netzwerke verschlüsselt sind.
Unternehmen sollten auch darauf achten, dass die Bezeichnung des WLANs keine Rückschlüsse auf sie zulässt, damit Angreifer nicht direkt auf die Idee kommen, gezielt diese Verbindung auf Schwachstellen zu prüfen.
Ist das Netzwerk nicht verschlüsselt werden Daten, wie beispielsweise eine E-Mail, ungeschützt und für jeden einsehbar über das Internet verschickt.
Auch die Festplatte eines Rechners kann zum Risiko werden, falls diese verkauft, zur Reparatur gebracht oder unüberlegt entsorgt wird. Sogar manuell gelöschte Dateien können in der Regel noch aufgerufen werden, denn durch die Löschung werden lediglich Informationen über den Speicherort, aber nicht die Inhalte entfernt. Gleiches gilt auch für das Formatieren der Festplatte. Zur Verbesserung der Sicherheit sollten daher spezielle Programme eingesetzt werden.
Welche Auswirkungen hat ein Cyberangriff auf meine Informationen?
Die Verletzung der IT-Sicherheit kann für Unternehmen schwere Konsequenzen bedeuten. Gelangen Hacker durch Cyberattacken an vertrauliche Informationen wie interne Unternehmensdaten, persönliche Daten der Mitarbeiter wie E-Mail, Passwort oder Kreditkarten-Daten, kann unter anderem ein großer wirtschaftlicher Schaden entstehen.
Die Datensicherheit ist auch für den Bereich Wirtschaftsspionage und Raub von Personen-Identitäten sehr wichtig. Ist kein guter Basisschutz vorhanden, kann es zum Produktionsstillstand kommen, vor allem wenn automatisierte Systeme betroffen sind, sowie zum Imageverlust vom betroffenen Unternehmen.
Daher ist es für jedes Unternehmen sehr wichtig, sich mit dem Thema IT-Sicherheit auseinanderzusetzen, seine Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren und Schutzziele zu formulieren.
Welche Cyberangriffe gibt es?
Da die Cyberkriminalität ständig im Wandel ist, gibt es immer wieder neue Methoden, um Sicherheitslücken in Systemen zu finden. Allgemein stellt sich IT-Sicherheit asymmetrisch dar: Um den Betriebsablauf eines Unternehmens erheblich beeinträchtigen zu können, muss ein Angreifer lediglich eine einzige Schwachstelle erfolgreich ausnutzen. Unternehmen müssen hingegen einen ganzheitlichen Schutz gewährleisten, um sich umfassend abzusichern.
- Advanced Persistent Threats (ATPs): als ATPs bezeichnet man eine andauernde, fortgeschrittene Bedrohung. Die Hacker verwenden sehr viel Zeit, Aufwand und Ressourcen, um in ein System einzudringen. Durch das Eindringen in die Informationstechnik und die Spionage interner Prozesse haben sie die Möglichkeit das gesamte Netz zu sabotieren. Sie verschaffen sich dauerhaften Zugriff zu einem Netzwerk und können dann weitere Schadprogramme steuern und das gesamte System angreifen.
- Malware/ Schafsoftware: Malware sind Schadprogramme, die in befallenen Systemen Schaden anrichten. Dazu zählen zum Beispiel Würmer, Trojaner und Viren. Hat ein Unternehmen eine Lücke in der IT-Sicherheit, kann die Malware vom Betriebsstillstand bis hin zur Insolvenz führen.
- Phishing: Phishing ist ein auf elektronischen Weg durchgeführter Betrugsversuch, bei dem der Empfänger eine gefälschte E-Mail zugesendet bekommt, die er häufig jedoch nicht als solche erkennt. Diese Angriffsmethode, in Form von professionell wirkenden E-Mails, ist häufig so konzipiert, dass der Empfänger dazu gebracht wird, sensible Daten wie zum Beispiel persönliche Daten preis zu geben.
- DDoS-Attacken: Distributed Denial Of Service-Attacken erfolgen durch Bots. Diese senden Anfragen an die Server oder Opfer und legen durch die Überlastung des Systems Dienste und Services lahm.
Was sind kritische Infrastrukturen?
Cyberkriminalität betrifft häufig Bereiche, die eine zentrale Bedeutung für das staatliche Gemeinwesen haben. Fallen hier Systeme aus, kann das schwere Folgen haben, wie zum Beispiel die Beeinträchtigung der Grundversorgung mit Strom oder Wasser oder die Gefährdung der öffentlichen Sicherheit. Zu den kritischen Infrastrukturen gehören:
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Staat und Verwaltung
- Medien und Kultur
Die einzelnen Bereiche sind natürlich ebenfalls miteinander verknüpft, so dass ein Ausfall in einem Bereich zu einem Dominoeffekt führen kann. Das gesamte öffentliche Leben könnte bei einem Angriff auf beispielsweise den Stromsektor gefährdet sein.
Kritische Infrastrukturen richtig abzusichern ist sehr wichtig, aber auch äußert komplex. Oft sind Systeme der IT und der OT (Operational Technology) miteinander verknüpft. Durch diese Verknüpfung sind auch die Steuerungssysteme für Industrieanlagen über das Netz angreifbar. Da die OT oft keine Maßnahmen der IT-Sicherheit enthält, müssen dieses erstmal angepasst werden.
Um Cyber Resilience in kritischen Infrastrukturen herzustellen, ist es wichtig, IT- und OT-Systeme verschiedener Generationen, Prozesse und Richtlinien in ein umfassendes Sicherheitskonzept einzubinden.
Schwachstellenmanagement im Rahmen von Cyber Resilience
Um IT-Sicherheit, Informationssicherheit und einen Zustand der Cyber Resilience herzustellen, ist Vulnerability Management unverzichtbar. Darunter versteht man die Fähigkeit, Schwachstellen zeitnah zu identifizieren, zu bewerten und ihrer Priorität nach zu beseitigen.
Mithilfe des Vulnerability Managements können Unternehmen ihre Systeme im Bereich der IT-Sicherheit verbessern und die Angriffsfläche reduzieren.
Das Schwachstellenmanagement ist ein laufender Prozess. Er besteht aus folgenden vier Phasen, die einen Kreislauf bilden:
- Vorbereiten: in der Vorbereitungsphase muss man IT-Sicherheitsziele definieren. Anschließend können die IT-Sicherheitsrichtlinien mit dem Vulnerability-Management-System verknüpft werden.
- Identifizieren, Klassifizieren, Priorisieren: die Infrastruktur der Schwachstellen wird überprüft, Gefahren bewertet und beseitigt.
- Zuweisen, Entschärfen & Beheben: die gefundenen Schwachstellen werden geschlossen.
- Speichern & Wiederholen, Verbessern: das Vulnerability Management wird kontinuierlich verbessert. Dazu werden Informationen zu den Schwachstellen protokolliert und die Organisation der Problemlösung bewertet und angepasst.