Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Vorabbericht zur DsiN-Studie
Die häufigsten IT-Schwachstellen im Unternehmen
Bereits 2011 zeigte die Studie, dass neben dem Thema Compliance hauptsächlich drei Schwachstellen in den Unternehmen bestehen, nämlich
- die Kommunikation via E‑Mail
- die Nutzung von mobilen Endgeräten und
- die Benutzer- und Rechteverwaltung
Grundsätzlich hat sich an dieser Schwachstellenkonstellation binnen Jahresfrist nicht viel verändert:
Die Ergebnisse des Sicherheitschecks 2012 bestätigen weitgehend die bisherigen Erkenntnisse, zeigen aber in Teilbereichen sogar eine Absenkung des Sicherheitsniveaus an. Die größten Veränderungsanteile finden sich bei Kleinst- und Kleinunternehmen (unter 10 Mitarbeiter bzw. 10–50 Mitarbeiter).
Positiv hervorzuheben sind leichte Verbesserung bei der IT-Sicherheitslage in den Bereichen Datensicherung, Betriebsfähigkeit der EDV und Datenentsorgung. Auch bei der Benutzer- und Rechteverwaltung ist dies erkennbar, wobei immer noch rund 30% der teilnehmenden Unternehmen angeben, dass jeder Mitarbeiter auf alle Daten zugreifen kann. Der Internetschutz und das Einspielen von Sicherheits-Updates liegen mit 98% bzw. 95% auf sehr hohem Niveau.
Beunruhigend ist dagegen, dass die IT-Sicherheitslage sich gegenüber 2011 in einigen Bereichen verschlechtert hat. Die beiden größten Rückgänge hinsichtlich der vorhandenen Schutzmaßnahmen liegen mit 4 Prozentpunkten beim E‑Mail-Schutz und bei der Absicherung von Smartphones/Netbooks. Danach folgen mit je 3 Prozentpunkten die Absicherung von Notebooks und eine compliancekonforme Organisation – also die Einhaltung von gesetzlichen Bestimmungen im Unternehmen.
Gerade beim E‑Mail-Schutz war ein solches Ergebnis nicht erwartungskonform, da bereits in der Studie 2011 der E‑Mail-Schutz als größte Schwachstelle erkannt wurde und von Seiten DsiN Kommunikationsmaßnahmen ergriffen wurden, um Unternehmen auf den erforderlichen Schutz zu verweisen. Hierzu sei auf die Broschüre „Sichere E‑Mail-Kommunikation“ verwiesen.
Besonders brisant ist der Rückgang beim E‑Mail-Schutz im Hinblick auf die steigende Verbreitung von modernen Geräten der Informations- und Kommunikationstechnologie – und dies speziell bei kleinen und mittleren Unternehmen (KMU):
- Mobile Geräte werden verstärkt bei den Unternehmen, vor allem den Kleinstunternehmen, verwendet.
- Die geschäftliche Nutzung von Internet und E‑Mail kann als nahezu flächendeckend betrachtet werden.
- Der Versand von geschäftskritischen Daten nimmt über alle Unternehmensgrößen hinweg weiter zu. (Siehe Grafik)
Eine Subgruppenanalyse nach Unternehmensgröße ergibt, dass sich gerade in kleinen Unternehmen (unter 50 MA) die stärksten negativen Veränderungen bei der geschäftlichen E‑Mail-Nutzung und dem Versand von vertraulichen Inhalten per E‑Mail finden. Über die Gründe für diese Entwicklung lässt sich nur spekulieren: Mangelndes Problembewusstsein, Überforderung hinsichtlich der Technik oder schlicht Verdrängung – all dies mag eine Rolle spielen.
Datenschutz, Know-How-Schutz und die Einhaltung von Compliance spielen aber auch bei den kleinen Unternehmen eine immer größere Rolle. Zusätzlich zu den Empfehlungen aus der Studie 2011 lohnt es sich daher, die Schwachstellen etwas genauer zu betrachten.
Handlungsempfehlungen zur Beseitigung der drei häufigsten Schwachstellen
Kommunikation via E‑Mail
Nur 46% der Unternehmen haben einen passenden E‑Mail-Schutz und das, obwohl E‑Mails aus dem Geschäftsalltag nicht mehr wegzudenken sind: Im Nu ist ein Termin vereinbart, werden Dokumente abgestimmt, Verträge zugesandt, Rechnungen übermittelt. Weil E‑Mails auf ihrem Weg durch das Internet allerdings so einfach lesbar sind wie eine Postkarte, müssen sie vor Manipulation und Missbrauch geschützt werden ‑oder was hielten Sie davon, Ihre GuV öffentlich lesbar zu versenden? Deshalb gilt die Empfehlung, E‑Mails mit sensiblem Inhalt zu signieren und zu verschlüsseln, zumindest aber die Anhänge z. B. in ein PDF mit Passwort umzuwandeln.
Nutzung von mobilen Endgeräten
Auch Smartphones und Tablet-PCs bieten die Möglichkeit, E‑Mails zu lesen und zu versenden. Und noch viel mehr! Die gesamte Welt des Internets wartet, das Tor zum Unternehmensnetzwerk steht offen, um dort produktiv zu arbeiten. Wie ist das aber mit der Datensicherung? Und ist die Verbindung zwischen dem elektronischen Helfer und dem Unternehmensnetz sicher? Was passiert, wenn das Endgerät gestohlen wird, oder verloren geht? Viele Fragen – meist erhält man darauf leider nur die eine Antwort: “Ich weiß es nicht!” Etwa 56% der Unternehmen halten Ihre mobile Kommunikation für nicht sicher genug. Die Empfehlung lautet hier, ein sicheres Authentifizierungsverfahren für mobile Geräte am Firmennetz einzurichten, die Verbindung zum Firmennetz abzusichern, die Geräte zentral zu administrieren (z. B. für den Fall, dass sie gesperrt werden müssen) und sie in das Datensicherungskonzept zu integrieren.
Benutzer- und Rechteverwaltung
Im Internet ist es ganz normal: Benutzername und Passwort regeln den Zugang zu Anwendungen und Daten. Nur wer den richtigen Namen und das Passwort kennt, erhält Zugang zu dem für ihn bestimmten Bereich. Dieses Vorgehen, auf Ihr Unternehmensnetz ausgeweitet, mündet in eine lückenlose Benutzer- und Rechteverwaltung. Damit legen Sie zum einen Nutzer mit Zugangscode/Passwort fest und vergeben entweder pro Nutzer oder pro Nutzergruppe Rechte. Diese legen fest, wer auf welche Daten, Laufwerke und Programme lesend, schreibend oder gegebenenfalls auch gar nicht zugreifen darf. So haben Sie die Möglichkeit, z. B. auch die Internetnutzung einzuschränken: Wenn nur der Administrator installationsberechtigt ist, kann sich bei einem Mitarbeiter mit reinen Benutzerrechten keine Schadsoftware installieren. Die Benutzer- und Rechteverwaltung ist ein wichtiger Teilbereich, um die Compliance im Unternehmen weiter zu verbessern und ein weiterer Schritt in die sichere Zukunft, den etwa 30% der Unternehmen noch vor sich haben.
Weitere Informationen zu den Themen sowie weitere Aspekte zur Sicherheit im Unternehmen finden Sie hier im Blog.
Auf das Thema E‑Mail-Kommunikation möchte ich — mit Fokus auf Kleinst- und Kleinunternehmen — hier im Blog in den nächsten Wochen nochmal etwas genauer eingehen und einige Thesen aufstellen. Ich bin gespannt, ob Sie diesen zustimmen können oder andere Erfahrungen haben.
Die aktuellen Erkenntnisse zum DsiN-Sicherheitscheck finden Sie in der Studie “IT-Sicherheitslage im Mittelstand 2012″ ab dem 19.6.2012 zum Download.
Bild und Diagramme: © Deutschland sicher im Netz e.V.
Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kommunikation und Vermarktung des Bereichs IT-Lösungen und Security ist er verantwortlich für den DATEV Sicherheitscheck und DATEV-Ansprechpartner für das Handlungsversprechen „Starthilfe Sicherheit für den Mittelstand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicherheitsmonitore „Sicherheitslage im Mittelstand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare