DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Vor­ab­be­richt zur DsiN-Studie

Die häu­figsten IT-Schwach­stellen im Unter­nehmen

Bereits 2011 zeigte die Studie, dass neben dem Thema Com­pliance haupt­sächlich drei Schwach­stellen in den Unter­nehmen bestehen, nämlich

  • die Kom­mu­ni­kation via E‑Mail
  • die Nutzung von mobilen End­ge­räten und
  • die Benutzer- und Rech­te­ver­waltung

Grund­sätzlich hat sich an dieser Schwach­stel­len­kon­stel­lation binnen Jah­res­frist nicht viel ver­ändert:

Die Ergeb­nisse des Sicher­heits­checks 2012 bestä­tigen weit­gehend die bis­he­rigen Erkennt­nisse, zeigen aber in Teil­be­reichen sogar eine Absenkung des Sicher­heits­ni­veaus an. Die größten Ver­än­de­rungs­an­teile finden sich bei Kleinst- und Klein­un­ter­nehmen (unter 10 Mit­ar­beiter bzw. 10–50 Mit­ar­beiter).

Positiv her­vor­zu­heben sind leichte Ver­bes­serung bei der IT-Sicher­heitslage in den Bereichen Daten­si­cherung, Betriebs­fä­higkeit der EDV und Daten­ent­sorgung. Auch bei der Benutzer- und Rech­te­ver­waltung ist dies erkennbar, wobei immer noch rund 30% der teil­neh­menden Unter­nehmen angeben, dass jeder Mit­ar­beiter auf alle Daten zugreifen kann. Der Inter­net­schutz und das Ein­spielen von Sicher­heits-Updates liegen mit 98% bzw. 95% auf sehr hohem Niveau.

Beun­ru­higend ist dagegen, dass die IT-Sicher­heitslage sich gegenüber 2011 in einigen Bereichen ver­schlechtert hat. Die beiden größten Rück­gänge hin­sichtlich der vor­han­denen Schutz­maß­nahmen liegen mit 4 Pro­zent­punkten beim E‑Mail-Schutz und bei der Absi­cherung von Smartphones/Netbooks. Danach folgen mit je 3 Pro­zent­punkten die Absi­cherung von Note­books und eine com­pli­ance­kon­forme Orga­ni­sation – also die Ein­haltung von gesetz­lichen Bestim­mungen im Unter­nehmen.

Gerade beim E‑Mail-Schutz war ein solches Ergebnis nicht erwar­tungs­konform, da bereits in der Studie 2011 der E‑Mail-Schutz als größte Schwach­stelle erkannt wurde und von Seiten DsiN Kom­mu­ni­ka­ti­ons­maß­nahmen ergriffen wurden, um Unter­nehmen auf den erfor­der­lichen Schutz zu ver­weisen. Hierzu sei auf die Bro­schüre „Sichere E‑Mail-Kom­­mu­­ni­­kation“ ver­wiesen.

Besonders brisant ist der Rückgang beim E‑Mail-Schutz im Hin­blick auf die stei­gende Ver­breitung von modernen Geräten der Infor­­ma­­tions- und Kom­mu­ni­ka­ti­ons­tech­no­logie – und dies spe­ziell bei kleinen und mitt­leren Unter­nehmen (KMU):

  • Mobile Geräte werden ver­stärkt bei den Unter­nehmen, vor allem den Kleinst­un­ter­nehmen, ver­wendet.
  • Die geschäft­liche Nutzung von Internet und E‑Mail kann als nahezu flä­chen­de­ckend betrachtet werden.
  • Der Versand von geschäfts­kri­ti­schen Daten nimmt über alle Unter­neh­mens­größen hinweg weiter zu. (Siehe Grafik)

Eine Sub­grup­pen­analyse nach Unter­neh­mens­größe ergibt, dass sich gerade in kleinen Unter­nehmen (unter 50 MA) die stärksten nega­tiven Ver­än­de­rungen bei der geschäft­lichen E‑Mail-Nutzung und dem Versand von ver­trau­lichen Inhalten per E‑Mail finden. Über die Gründe für diese Ent­wicklung lässt sich nur spe­ku­lieren: Man­gelndes Pro­blem­be­wusstsein, Über­for­derung hin­sichtlich der Technik oder schlicht Ver­drängung – all dies mag eine Rolle spielen.

Daten­schutz, Know-How-Schutz und die Ein­haltung von Com­pliance spielen aber auch bei den kleinen Unter­nehmen eine immer größere Rolle. Zusätzlich zu den Emp­feh­lungen aus der Studie 2011 lohnt es sich daher, die Schwach­stellen etwas genauer zu betrachten.

Hand­lungs­emp­feh­lungen zur Besei­tigung der drei häu­figsten Schwach­stellen

Kom­mu­ni­kation via E‑Mail

Nur 46% der Unter­nehmen haben einen pas­senden E‑Mail-Schutz und das, obwohl E‑Mails aus dem Geschäfts­alltag nicht mehr weg­zu­denken sind: Im Nu ist ein Termin ver­einbart, werden Doku­mente abge­stimmt, Ver­träge zuge­sandt, Rech­nungen über­mittelt. Weil E‑Mails auf ihrem Weg durch das Internet aller­dings so einfach lesbar sind wie eine Post­karte, müssen sie vor Mani­pu­lation und Miss­brauch geschützt werden ‑oder was hielten Sie davon, Ihre GuV öffentlich lesbar zu ver­senden? Deshalb gilt die Emp­fehlung, E‑Mails mit sen­siblem Inhalt zu signieren und zu ver­schlüsseln, zumindest aber die Anhänge z. B. in ein PDF mit Passwort umzu­wandeln.

Nutzung von mobilen End­ge­räten

Auch Smart­phones und Tablet-PCs bieten die Mög­lichkeit, E‑Mails zu lesen und zu ver­senden. Und noch viel mehr! Die gesamte Welt des Internets wartet, das Tor zum Unter­neh­mens­netzwerk steht offen, um dort pro­duktiv zu arbeiten. Wie ist das aber mit der Daten­si­cherung? Und ist die Ver­bindung zwi­schen dem elek­tro­ni­schen Helfer und dem Unter­neh­mensnetz sicher? Was pas­siert, wenn das End­gerät gestohlen wird, oder ver­loren geht? Viele Fragen – meist erhält man darauf leider nur die eine Antwort: “Ich weiß es nicht!” Etwa 56% der Unter­nehmen halten Ihre mobile Kom­mu­ni­kation für nicht sicher genug. Die Emp­fehlung lautet hier, ein sicheres Authen­ti­fi­zie­rungs­ver­fahren für mobile Geräte am Fir­mennetz ein­zu­richten, die Ver­bindung zum Fir­mennetz abzu­si­chern, die Geräte zentral zu admi­nis­trieren (z. B. für den Fall, dass sie gesperrt werden müssen) und sie in das Daten­si­che­rungs­konzept zu inte­grieren.

Benutzer- und Rech­te­ver­waltung

Im Internet ist es ganz normal: Benut­zername und Passwort regeln den Zugang zu Anwen­dungen und Daten. Nur wer den rich­tigen Namen und das Passwort kennt, erhält Zugang zu dem für ihn bestimmten Bereich. Dieses Vor­gehen, auf Ihr Unter­neh­mensnetz aus­ge­weitet, mündet in eine lückenlose Benutzer- und Rech­te­ver­waltung. Damit legen Sie zum einen Nutzer mit Zugangscode/Passwort fest und ver­geben ent­weder pro Nutzer oder pro Nut­zer­gruppe Rechte. Diese legen fest, wer auf welche Daten, Lauf­werke und Pro­gramme lesend, schreibend oder gege­be­nen­falls auch gar nicht zugreifen darf. So haben Sie die Mög­lichkeit, z. B. auch die Inter­net­nutzung ein­zu­schränken: Wenn nur der Admi­nis­trator instal­la­ti­ons­be­rechtigt ist, kann sich bei einem Mit­ar­beiter mit reinen Benut­zer­rechten keine Schad­software instal­lieren. Die Benutzer- und Rech­te­ver­waltung ist ein wich­tiger Teil­be­reich, um die Com­pliance im Unter­nehmen weiter zu ver­bessern und ein wei­terer Schritt in die sichere Zukunft, den etwa 30% der Unter­nehmen noch vor sich haben.

Weitere Infor­ma­tionen zu den Themen sowie weitere Aspekte zur Sicherheit im Unter­nehmen finden Sie hier im Blog.

E‑Mail-Schutz

Benutzer- Rech­te­ver­waltung

Mobile Geräte

Auf das Thema E‑Mail-Kom­­mu­­ni­­kation möchte ich — mit Fokus auf Kleinst- und Klein­un­ter­nehmen — hier im Blog in den nächsten Wochen nochmal etwas genauer ein­gehen und einige Thesen auf­stellen. Ich bin gespannt, ob Sie diesen zustimmen können oder andere Erfah­rungen haben.

Die aktu­ellen Erkennt­nisse zum DsiN-Sicher­heits­­check finden Sie in der Studie “IT-Sicher­heitslage im Mit­tel­stand 2012″ ab dem 19.6.2012 zum Download.

Bild und Dia­gramme:  © Deutschland sicher im Netz e.V.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Brandl, DATEV eG

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kom­mu­ni­kation und Ver­marktung des Bereichs IT-Lösungen und Security ist er ver­ant­wortlich für den DATEV Sicher­heits­check und DATEV-Ansprech­partner für das Hand­lungs­ver­sprechen „Start­hilfe Sicherheit für den Mit­tel­stand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicher­heits­mo­nitore „Sicher­heitslage im Mit­tel­stand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.