Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Ganzheitliche Sicherheitskonzepte im Mittelstand erforderlich
Internet der Dinge, Big Data und Smart Home sind u.a. die Trends fürs kommende Jahr. Zunehmend raffiniertere Angriffsmethoden, wie z.B. bei Phishings-Mails verändern die Herausforderungen an die Informationssicherheit im Unternehmen.
Die IT-Trends für 2015
Laut Gartner liegen in 2015 die 10 heißesten IT-Trends bei: Computing Everywhere, Internet der Dinge, 3D-Druck, Neue Formen der Datenanalyse, Kontextbasierte Systeme, Intelligente Maschine, Cloud Computing, Software-Defined Applications and Infrastructure, Web-Scale IT und risikobasierte Sicherheits- und Schutzmaßnahmen.
Generelle Trends, die sicherlich auch auf kleine und mittelständische Unternehmen zukünftig unterschiedlich starke Auswirkungen haben werden.
Dazu kommen die bekannten Risikoaspekte bei der Nutzung von Apps, WLAN, Bluetooth etc. sowie weitere Trends wie Wereables oder das IT-Sicherheitsgesetz, deren Nutzung weiter stark steigen wird. Dessen Auswirkungen auf die Informationssicherheit in Unternehmen jedoch noch gar nicht ausreichend einzuschätzen sind.
Für mich stehen 2015 folgende Themen für die Unternehmen im Fokus:
Verstärkte Angriffe auf mobile Devices
Angriffe auf Smartphones nehmen weiter zu. Zwischen August 2013 und Juli 2014 seien weltweit die Internethandys von 588.000 Nutzern angegriffen worden. Und damit waren sechs Mal so viele Verbraucher wie im Vorjahreszeitraum betroffen. Das ergab eine Studie der IT-Sicherheitsfirma Kaspersky Lab und der internationalen Polizeibehörde Interpol. Hier ist akuter Handlungsbedarf gegeben. Lt. DsiN-Sicherheitsmonitor 2014 hält der Zuwachs an vorhandenen Schutzmaßnahmen nicht mit dem der geschäftlichen Nutzung mit. siehe http://www.welt.de/wirtschaft/webwelt/article133547897/Smartphones-sind-die-neuen-Hauptziele-der-Hacker.html
Lösungen wie Verschlüsselung von Gesprächen und Daten sollten genauso in Betracht gezogen werden, wie ein MDM bei dem die Devices und deren Nutzungsmöglichkeiten vorgegeben werden. Ebenso Richtlinien zur Nutzung der betrieblichen Nutzung der mobilen Geräte und der darauf befindlichen Anwendungen/Apps.
Internet der Dinge – Zunahme von Smart-Home-Systeme
Das Internet der Dinge soll einer der größten Trends in der Industrie werden. Alles wird künftig miteinander verknüpfbar sein und Daten austauschen können. Fahrzeuge, Haushaltsgeräte und Produktionsmaschinen – bis 2020 rechnen Experten weltweit mit rund 50 Milliarden vernetzten Geräten. siehe www.welt.de/134543706
Geringes Bewusstsein für Risiken beim Endkunden. Verschlüsselte Verbindungen und Authentifizierungs-Mechanismen sind noch nicht überall Standard. Und Hacker finden auch hier neue Angriffsmöglichkeiten. So wurden von dem US-Unternehmen Proofpoint im Januar 2014 erstmals ein sogenanntes Botnetz aus mehr als 100 000 zu ferngesteuerten E‑Mail-Robotern umgewandelten Haushaltsgeräten mit Web-Anschluss (sogenannte Smart-Home-Systeme) entdeckt. Tendenz steigend. Das BSI berichtet aktuell über eine erfolgreiche Cyber-Attacke auf ein deutsches Stahlwerk bei der offenbar ein Hochofen nicht mehr geregelt heruntergefahren werden konnte. Die Angreifer sollen über Spear-Phishing gezielt das Büronetz des Werks infiltriert und sich von da aus zu den Steueranlagen vorgehangelt haben. Als sie Zugriff zum Produktionsnetz hatten, haben sie die Steuerkomponenten des Werks manipuliert.
Das Internet der Dinge bedeutet für KMUs: Abläufe und Prozesse müssen hier insbesondere vor dem Aspekt der Datensicherheit und des Datenschutzes genauestens analysiert werden. Dazu bedarf es der Beratung durch Netz-Spezialisten. Mehr dazu können sie hier im Blog nachlesen. siehe https://www.dsin-blog.de/das-internet-der-dinge
Updates, updates, updates… vs. steigende Angriffsqualitäten
Es wird wohl auch in 2015 laufende Meldungen zu neuen oder wieder offenen Sicherheitslücken geben. Hier bleibt zu hoffen, dass diese deutlich weniger werden und ein besseres Qualitätsmanagement der Anbieter erfolgt. Jeder Anwender sollte trotzdem immer für eine zeitnahe Installation der Patches sorgen.
Bedenklich stimmt auch die immer perfekter werdende Qualität der Angriffe durch Cyberkriminelle. So zeigt uns bereits die Warnung der Deutschen Telekom vor Phishing-Mails mit nun persönlicher Ansprache, wo der Weg in 2015 hingehen wird.
Angepasste Sicherheits-Strategien und Awareness-Bildung zwingend erforderlich
Verfassungsschützer und das BSI sehen, lt. einem Beitrag auf heise.de Milliardenschäden durch Wirtschaftsspionage und gehen von einer weiteren Zunahme der Cyberkriminalität in den nächsten Jahren aus. Prävention mit reinen technischen Maßnahmen alleine reicht nicht mehr aus um die Informationssicherheit im Unternehmen zu gewährleisten!
Vorhandenes und gelebtes Sicherheitsbewusstsein der Mitarbeiter sowie das Kennen der neuen Angriffsmethoden (z.B. Advanced Persistent Threats oder Phishing-Methoden) sind erforderlich um sich zukünftig effektiv gegen diese Gefahren zu behaupten. Die Mitarbeiterinnen und Mitarbeiter werden zukünftige einen beträchtlichen Anteil an der Abwehr solcher Cyberattacken haben.
Falls ein Einbruch erfolgreich war, ist eine schnellstmögliche Erkennung und Bereinigung sicher zu stellen. Es wird eine Verschiebung der Verteilung von technischen Präventionsmaßnahmen hin zu Detektion und Reaktion erforderlich sein.
Fazit:
Das Jahr 2015 wird wieder eine Herausforderung für die Informationssicherheit im Unternehmen werden. Es gilt die neuen IT-Trends und die immer besser werdenden Angriffsmethoden mit effektiveren Sicherheits-Konzepten zu meistern und die Rolle des Mitarbeiters als wichtigster Schutzfaktor zu fördern und zu nutzen.
Die Unternehmen müssen besser auf Sicherheits-Attacken vorbereitet zu sein. Zuständigkeiten, Ablaufpläne, Notfallpläne für die schnellstmögliche Wiedereinsatzfähigkeit sind zu erarbeiten. Die Mitarbeiter müssen entsprechend geschult werden und ihren Anteil an der Vermeidung von möglichen Angriffschancen beitragen können.
Hierfür stehen dem Mittelstand unserer unterstützenden Informationen im Blog- Archiv zur Verfügung.
Bild: © Rainer Sturm / pixelio.de

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kommunikation und Vermarktung des Bereichs IT-Lösungen und Security ist er verantwortlich für den DATEV Sicherheitscheck und DATEV-Ansprechpartner für das Handlungsversprechen „Starthilfe Sicherheit für den Mittelstand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicherheitsmonitore „Sicherheitslage im Mittelstand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

Neueste Kommentare