Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Risiken eindämmen
Software und Technik alleine sind dumm! Wer Sie bedient sollte wissen was er tut. Der fünfte Teil der Serie zur Digitalisierung zeigt, dass nicht nur Angriffe und Malware für Verlust und Verfälschung von Daten verantwortlich sind.
Schutz vor Viren und Angriffe aus dem Internet sind die Feinde, vor denen man sich im Internet in Acht nehmen muss. So suggerieren es ja auch gerne die Online-Medien. Fehler, Fehlbedienung, Defekte und Sabotage dagegen sind weit weniger gefährlich und gehören einer aussterbenden Art an – so scheint es. Man möchte fast meinen, diese gehören nicht zu den ernstzunehmenden, alltäglichen Risiken, deren sich Unternehmer bewusst sein sollten. Dies belegt auch die DsiN-Sicherheitsstudie 2012 , bei der die Benutzer- und Rechteverwaltung oder der Umgang mit mobilen Geräten etc., also Grundlagen für den „Sicheren Betrieb“ für Sicherheitssoftware, deutlich hinter dem nackten Einsatz von Sicherheitssoftware zurückbleibt. Auch nehmen es, lt. Umfrage des BITKOM , die Arbeitgeber mit der Sicherheit scheinbar nicht so genau.
TÜV und Kundendienst gab es ja früher auch nicht. Ebenso wenig wie Sicherheitsgurte. Warum nochmal wurden diese eingeführt? War es die Sicherheit in immer dichter werdendem Verkehr und dessen zunehmende Geschwindigkeit – oder auch die Ingenieure, die immer billigere Produkte entwerfen sollten? Es ist schon seltsam, dass die Wahrnehmung in unterschiedlichen Lebensbereichen so weit auseinander liegt.
Schöne heile Welt?
Das Thema Mobilität kommt laut DsiN-Sicherheitsstudie an! Schön!? Nur nicht bei dem Aspekt „Sicherheit“! Hier ist prozentual sogar ein Rückgang zu verzeichnen. Besonders toll finde ich auch, dass nur 2% keine Internetsicherheit haben. Sieht auf den ersten Blick wirklich gut aus – leider wissen wir nicht, wie viele dieser Nutzer als Administrator ins Internet gehen und wegen Nutzung sozialer Medien auch aktive Inhalte und Flash etc. verwenden. Vorkehrungen durch Benutzer-/Rechteverwaltung werden bei knapp 30% vernachlässigt. Bei Organisation & Compliance sieht es noch etwas schlechter aus. Geschäftsbriefe werden nun in ¾ der Fälle per E‑Mail ausgetauscht, nur leider in über 50 % der Fälle ohne Sicherheit.
Fazit: Echt schräg! Wer die Wechselwirkungen nicht beachtet, kann sich in Summe kaum geschützt nennen.
Warum der kurze Abriss? Ich will mal im Bild bleiben: Bremsen sind dran! Aber kein ABS, keine Nackenstütze oder Gurt etc. Auch der TÜV ist abgelaufen (äh: nicht vorhanden;-) – und dann hat der Fahrer auch noch keinen Führerschein! Aber hallo!
Den Anbietern von Sicherheitslösungen wird’s ganz warm ums Herz! Da kommt es auch nicht von ungefähr, dass mit DE-Mail und nPA versucht wird, die Kommunikation mit der staatlichen Verwaltung auf sichere Beine zu stellen: Wer ist tatsächlich der Absender, wurde unverfälscht übermittelt und ist die Mail frei von schädlicher Software? Aber der Otto-Normalverbraucher wettert: „Alles nur Verkaufsstrategie!“ Nun, wenn jeder bei einem Sicherheitsvorfall das Mäntelchen des Schweigens darüber legt, ist es nicht verwunderlich, dass so wenig vermeldet wird.
Herangehensweise
Eine mögliche Erklärung dafür könnte sein, dass wenig über die Wechselwirkungen von unterschiedlichen Maßnahmen gesprochen wird. Gut, das ist natürlich nicht so einfach: Da jedes Netzwerk anders aufgebaut ist, gibt es „im Detail“ keine Standardmaßnahmen und natürlich keinen Standard bei den Wechselwirkungen. Es ist letztlich wie bei der Einnahme verschiedenster Medikamente: fragen Sie Ihren Arzt oder Apotheker. Damit ist bei der Vielzahl der Möglichkeiten der Ceteribus-Paribus-Ansatz sowohl für die beratend Tätigen (als Verkäufer) als auch für den Unternehmer (als Kunden) einfacher und verständlicher.
Nur leider – leider ist damit das Ganze eben nicht mehr als die Summe der Einzelteile, sondern im Zweifel eben sogar deutlich weniger. Ein Beispiel: Der teuerste Virenscanner ist nichts wert, wenn eine Web-Site die Konfiguration verändern kann. Allerdings gibt es „im Allgemeinen“ durchaus beschreibbare Wechselwirkungen, die mit wenig Aufwand für ein tragfähiges Fundament an Sicherheit sorgen.
Alltäglich, aber unterschiedlich wahrscheinlich:
unvollständige Konzepte, Fehler, Fehlbedienung, Defekte und Sabotage
Internet- und E‑Mail-Sicherheit sind mit und ohne Cloud bzw. mobilen Endgeräten nur dann effektiv, wenn ein Fundament aus Benutzer-/Rechteverwaltung und Organisation & Compliance vorhanden ist. Alles andere ist Makulatur! Ein teurer Spaß, sich so in die Tasche zu lügen.
Daneben existieren natürlich auch Fehler, Fehlbedienung, Defekte und Sabotage in den eigenen Reihen. Ja, auch das Allerheiligste ist nicht ohne Fehl und Tadel. Und nicht nur der Mensch macht Fehler, sondern auch die von ihm erschaffene Hardware und die Software – ein böswilliger Angriff von außen ist für Verlust oder Verfälschung von Daten zunächst einmal gar nicht erforderlich. Nur war es im Papierzeitalter etwas schwerer, innerhalb von Sekunden alles zu verändern.
Elementare Schutzvorkehrungen
Diese Risiken müssen durch entsprechende Maßnahmen im Unternehmen abgesichert werden: Als wichtigster Punkt muss eine wirkungsvolle Datensicherung bestehen, die im Problemfall als Fallbackstrategie fungiert. Man beachte besonders das Attribut„wirkungsvoll“. Hat der Verantwortliche für die Datensicherung eine vollständige Liste aller Geräte und der tatsächlich verwendeten Datenpfade? Oder herrscht anarchisches Chaos, bei dem jeder speichert, wo es ihm gefällt – und sichert was im wichtig ist? Sind auch alle mobilen Geräte und Datenträger berücksichtigt? Funktionieren im Zweifel die Sicherungsmedien? Kein Scherz: Unsere Erfahrungswerte sprechen hier ihre eigene Sprache.
Indem Datenbestände in regelmäßigen Intervallen (täglich!?) gesichert werden, aber die Sicherungen mehrerer Tage/Wochen/Monate parallel vorgehalten werden, lassen sich Daten auch vor Fehlbedienung und Fehlern in Soft- und Hardware schützen, da dann im Zweifelsfall immer eine Sicherungskopie vorhanden ist, die vor dem Fehler erstellt wurde. Allerdings setzt dies eine gewisse Ordnung und Richtlinien zur Datenverarbeitung, Datenhaltung und Datenpflege voraus. Wer sollte sonst feststellen, dass plötzlich eine Datei oder ein Datensatz fehlt – oder die Werte diese Woche ganz anders aussehen, als noch vor einer Woche. Die DsiN-Sicherheitsstudie zeigt hier eindeutigen Handlungsbedarf auf!
Mit „Richtlinien“ ist bereits das nächste Stichwort gefallen. Damit wird eine der tragenden Säulen zur Nachhaltigkeit von Prozessabläufen und Wertschöpfung auch zum Hüter der Sicherheit. Die Rede ist hier von Compliance. Darunter versteht man sowohl die Einhaltung von internen Verhaltensregeln als auch von Gesetzen.
Die Benutzer- und Rechteverwaltung ist ein Teil der automatisierten Form von Compliance, ebenso wie Regeln zur Archivierung, Betriebsprüfung und Datenschutz etc. Die Aktenordner der früheren Zeit, zu denen nur ausgewählte Mitarbeiter Zugriff hatten, finden ihr Pendant in der Rechteverwaltung. Die Zugriffsrechte können allerdings nur dann durchgesetzt werden, wenn eine sichere Authentifikation des jeweiligen Nutzers stattgefunden hat. Dies wiederum setzt eine Benutzerverwaltung voraus, die beispielsweise mit Hilfe von Benutzername und Passwort sicherstellt, welche Person welche Benutzerkennung verwendet.
So weit so gut. Allerdings gehört es ebenfalls zu Compliance, dass sich die festgelegten Zugriffsrechte auch auf Datensicherungen und mobile Geräte erstrecken – und Festplatten nicht einfach ausgebaut werden können. Denn sonst werden diese Richtlinien so schnell unterlaufen, wie sie aufgestellt wurden. Dies ist allerdings nur durch organisatorische Maßnahmen möglich.
Durch die zunehmende Öffnung ins und Zusammenarbeit über das Internet bzw. durch die Nutzung von Cloud-Funktionen ist ebenso ein wirksamer Schutz vor unberechtigtem Zugriff auf das eigene Netzwerk notwendig. Dies gilt ebenso für die Anbindung von Home-Office-Arbeitsplätzen oder mobilen Endgeräten wie Smartphones wie auch für den Zugriff innerhalb eines Unternehmens.
Und warum der ganze Aufwand, wenn wir von den gesetzlichen Vorschriften mal absehen? Ein Beispiel: Wenn jeder nur auf die Daten zugreifen kann, die er für die Arbeit benötigt, können Fehler sich nur auf die eigenen Daten auswirken. Der ganze Rest ist geschützt, darunter fallen nicht nur die Daten anderer Mitarbeiter, sondern auch das Betriebssystem und die installierten Programme. Darüber hinaus können Fehlbedienung und Sabotage einzelnen Personen zugeordnet werden.
Ebenso wichtig wie der Schutz vor Fehlbedienung und Fehlfunktionen ist der Schutz vor schädlicher Software. Doch entgegen der gängigen, aktuellen Pressemeldungen gelangt diese nicht nur über das Internet ins Unternehmensnetzwerk. Auch durch die Unachtsamkeit von Mitarbeitern kann diese, beim Verwenden mobiler Geräte über die USB-Schnittstellen der PCs oder WLAN, ins Netzwerk gelangen. Bewusst liegengelassene USB-Datenträger sorgen immer wieder für Meldungen. Mein persönlicher Favorit ist aber immer wieder der Kauf von infizierter neuer Hardware, deren Treiber oder Software. Vor allem wenn diese Teile an einem Server verbaut werden, der über keinen eigenen Virenschutz verfügt.
Fazit:
Weder Mensch noch Maschine sind unfehlbar. Gerade durch die zunehmende Digitalisierung und die Flüchtigkeit des Mediums sollte ein Unternehmen zunächst die spezifischen Risiken im eigenen Unternehmen eindämmen. Erst dann können darauf aufbauende technische Sicherheitsvorkehrungen ihren Nutzen entfalten.
Im nächsten Beitrag, der Anfang Februar erscheinen wird, zeige ich auf, wie viel Sicherheit nötig ist um sicher im Internet zu agieren.
Die weiteren Beiträge zu dieser Serie:
Teil 1 “Handlungsbedarf bei neu entstandenen Sicherheitslücken”
Teil 2 “Die Rolle des eGovernments bei der digitalen Korrespondenz”
Teil 3 “Datenschutz und Datensicherheit beginnen am Arbeitsplatz”
Teil 4 “Prozesse organisieren, sicher arbeiten”
Teil 6 “Sicher mit dem Internet agieren”
Teil 7 “Wie viel Sicherheit ist nötig — Wie viel ist genug”
Bild: © Rainer Sturm / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare