DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wie daten­sicher ist Ihr Büro?

Moderne Men­schen sind ständig am Kom­mu­ni­zieren. Das Büro — ob mobil oder sta­tionär — stellt den Mit­tel­punkt dieser Kom­mu­ni­ka­ti­ons­tä­tig­keiten dar. Ent­spre­chend stellt sich Frage: ist das Büro „daten­sicher“? Kann ich mich darauf ver­lassen, dass meine Kom­mu­ni­kation — aus Sicht des „Büros“ — ver­traulich ist?

Für den Fachmann stellen sich keine anderen Her­aus­for­de­rungen als etwa im Falle des Know-How-Schutzes in Indus­trie­un­ter­nehmen dar — theo­re­tisch stimmt das auch. Doch in der Praxis müssen „im Büro“ viele Ent­schei­dungen rund um Kom­mu­ni­kation schnell getroffen werden, und oft steht die Zeit für eine besonders sichere Lösung nicht zur Ver­fügung. Dieser Beitrag widmet sich daher dieser Über­­­sichts-Per­­spektive, spe­ziell für Büro­ar­beiter.

Einen Über­blick, wie es um die Daten­si­cherheit des eigenen Büros bestellt ist, bekommt man sehr gut,  wenn man sich vier Fragen stellt:

  • Wer sind die Angreifer?
  • Wo sind die Ein­fallstore?
  • Wie kann ich mich schützen? und
  • Was kann meine Orga­ni­sation tun?

Die Angreifer haben sich in den letzten Jahren sehr gewandelt, die ursprünglich ver­ein­zelten „Schmutz­finken“ und „Trick­be­trüger“ haben sich zu aus­ge­wach­senen pro­fes­sio­nellen Struk­turen der orga­ni­sierten Kri­mi­na­lität ent­wi­ckelt. Dazu gesellen sich hoch­ef­fi­zient orga­ni­sierte Hacker-Net­z­­werke, die im Wesent­lichen ihre Dienst­leis­tungen (Werbe-Mails ver­senden, Iden­ti­täten stehlen, Infor­ma­tionen beschaffen) inter­es­sierten Kunden — meist Kon­kur­renten — anbieten, ergänzt durch die Nach­rich­ten­dienste, die — wie die öffent­liche Dis­kussion in den letzten Wochen gezeigt hat — deutlich mehr können und auch tun, als wir alle gedacht haben. Hin und wieder sind enga­gierte Ein­zel­täter zu beob­achten, diese sind aber inzwi­schen deutlich in der Min­derzahl.

Die Angreifer machen sich zunutze, dass es immer schwie­riger wird, die Kom­ple­xität der Infor­ma­ti­ons­tech­no­logie zu beherr­schen. Neben der Beauf­tragung von Hackern wenden Kon­kur­renten zunehmend auch die Technik des Social Engi­neering an, um unter Zuhil­fe­nahme der Infor­ma­ti­ons­tech­no­logie und die Unbe­darftheit der Leute aus­nutzend sich Zugang zu Sys­temen zu ver­schaffen. Die orga­ni­sierte Kri­mi­na­lität ist tech­nisch den Betriebs­­­system- und Anwen­dungs­her­stellern inzwi­schen eben­bürtig — so „infi­ziert“ man seinen Rechner mit Schad­software heute vor­rangig durch das Besuchen von ver­seuchten Internet-Seiten.

Viren und Spam mutieren heute wie „moderne“ Viren schon während der Ver­breitung, und gezielte Angriffs­tools gibt es zum „Zusam­men­klicken“ für den Inter­es­sierten zu kaufen. Mobil­funk­geräte werden durch Apps aus­ge­späht und mani­pu­liert, die unkon­trol­liert und unter Zuhil­fe­nahme der Ungeduld der Anwender mit zu vielen Rechten instal­liert werden. Spione haben darüber hinaus die Mög­lichkeit, die Betriebs­systeme direkt anzu­greifen oder ggf. sogar aus­zu­nutzen — diese sind daher für den „nor­malen“ Bürger nicht abzu­wehren, dazu muss es poli­tische Lösungen geben.

Zu einem effek­tiven Schutz gehört daher, sich nicht auf die Technik zu ver­lassen, und mit gesundem Men­schen­ver­stand am Rechner oder Smart­phone zu agieren. Basics: die Firewall nicht aus­schalten, die auto­ma­tische Betriebs­sys­temak­tua­li­sierung ver­wenden und nicht abblocken, Anwen­dungen und Apps bald­mög­lichst aktua­li­sieren und Infor­ma­tionen einfach generell sparsam ver­teilen, getreu nach dem Prinzip des „need-to-know“ — auch und gerade in sozialen Netz­werken. Hilf­reich auch: sich nicht auf die Anti-Virus-Software ver­lassen (inzwi­schen werden dafür zu wenige Angriffe ent­deckt und ver­mieden) und einen sicheren, aktu­ellen Browser ver­wenden.

Unter­nehmen und Orga­ni­sa­tionen sollten einen Ver­ant­wort­lichen für die Infor­ma­ti­ons­si­cherheit benennen, einen inte­grierten Management-Prozess für die Infor­ma­ti­ons­si­cherheit eta­blieren (etwa: IT-Grun­d­­schutz oder nach der Norm ISO 27001) und geeignete Tech­no­logien ein­setzen, um die sich ständig ändernde Sicher­heitslage in den Griff zu bekommen. Wichtig dabei: im Zentrum der Akti­vi­täten muss eine Risi­ko­stra­tegie stehen, die die Lage ständig neu bewertet und ent­spre­chend Maß­nahmen emp­fiehlt. Die Zeiten, dass die Infor­ma­ti­ons­tech­no­logie mit dem Einsatz von ein paar Werk­zeugen „sicher“ ist, sind leider schon lange vorbei.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.