Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Umgang mit Risiken in der IT
Die reale Gefahr einer Kompromittierung der eigenen Informations- und Kommunikationstechnik (ITK) steigt. Um ein Gefühl für die notwendigen Maßnahmen zu erhalten, muss zunächst das eigene Risiko eingeschätzt werden können.
Durch die zunehmende Vernetzung und den Einsatz neuer IT-gestützter Technik im Alltag verliert man gerne den Überblick; zum einen, wo überall „Computer“ eingebaut sind, zum anderen welche Auswirkungen dies im Gesamtsystem der Informations- und Kommunikationstechnik hat.
Wie prominente Beispiele der Tagespresse regelmäßig zeigen, werden sowohl Unternehmen als auch deren Produkte gehackt. Dabei macht es keinen Unterschied, wie groß ein Unternehmen ist, oder welcher Branche es angehört. Laut Verizon bekommt jedoch das gezielte Hacking immer mehr Bedeutung im Portfolio der Cyberattacken. Unternehmen sind daher gut beraten, sich mit den Anforderungen aus dieser Entwicklung auseinander zu setzen.
Lagebericht zur IT-Sicherheit in Deutschland
Liest man den Lagebericht zur IT-Sicherheit in Deutschland bekommt man eine ungefähre Vorstellung davon, welche Art von Angriffen möglich ist. Die Dunkelziffer ist jedoch hoch: Zum einen möchte kein Unternehmen gerne Art und Umfang von Angriffen offenlegen. Zum anderen, weil so genannte „Sicherheitsforscher“ ihr Wissen zurückhalten und mehrfach für teures Geld an Geheimdienste, Staaten oder den Meistbietenden verkaufen.
Im Lagebericht findet sich auch eine Liste der häufigsten Ursachen und Bedrohungen.
Im privaten Bereich:
1. Veraltete Software, fehlende Patches
2. Spam-Mails mit Schadcode
3. Kompromittierte Webseiten / Werbebanner
4. Angriff auf
5. Diensteanbieter
6. Sorglosigkeit mit Endgeräten/Apps
Wenn auch privat, so ist dies durch die Auflösung des traditionellen „Arbeitsplatzes“ und das Zusammenwachsen von Beruf und Privat ebenso zu beachten, z.B. durch „Bring your own device“.
Für Wirtschaft und Staat:
- Gezielte Spionage-Angriffe
- Angriffe auf Unternehmenswebseiten oder Dienstangebote
- Unzureichende Absicherung vernetzter industrieller Steuerungssysteme
- Integration mobiler Endgeräte / BYOD
- Veraltete Software, fehlende Patches
Wer hierzu eine schnelle Lösung sucht, wird dann in den Grundschutzkatalogen des BSI fündig.
Ursachenforschung ist langfristig gesehen günstiger und besser
Wer nicht nur nach dem Prinzip „Quick & Dirty“ gegen die am meisten verbreiteten Ursachen und Bedrohungen vorgehen möchte, sollte sich mit 3 Dingen auseinander setzen.
- Aus welchen „Komponenten“ setzen sich die Kronjuwelen des Unternehmens zusammen: Homepage, Know-how (Köpfe oder Dokumentation), Kontakte (Kunden, Lieferanten, Netzwerk), Fähigkeiten/Fertigkeiten von Mitarbeiten bzw. der Organisation (Aufbau und Abläufe), spezifische (Informations-)Technik etc.
- Welche Schwachstellen haben die Komponenten
- Wie sieht das Notfallmanagement aus, wenn doch etwas passiert.
Nur wer die Gefährdungen und Schwachstellen kennt, kann fundiert entscheiden, was aus dem Fundus an möglichen Maßnahmen tatsächlich umgesetzt werden soll – und in welchem Umfang. Der BITKOM bietet hierfür einen „Leitfaden zum IT-Risiko- und Chancenmanagement im Unternehmen“ an.
Ausblick: Auswirkungen auf Unternehmen
Die Computerwoche sieht Folgendes auf Unternehmen zukommen: „Die Hacker werden nicht müde, nach immer neuen Einfallstoren in Unternehmen und Organisationen zu suchen, um diese für ihre Zwecke auszunutzen. In Deutschland war es Unternehmen bislang möglich, Cyberattacken und Hackerangriffe2 — zumindest vor der breiten Öffentlichkeit — “unter den Teppich” zu kehren. Das wird künftig dank des kürzlich verabschiedeten IT-Sicherheitsgesetzes3 und der damit einhergehenden Informationspflicht für Unternehmen nicht mehr so ohne Weiteres möglich sein — eine anonymisierte Meldepflicht wird zumindest dafür sorgen, dass das Bewusstsein für das Thema IT-Security wächst.“
Fazit:
Zwei Dinge sind bei der Beurteilung des Risikos und des eigenen Status zu beachten:
Wer keine Maßnahmen zur Erkennung von Angriffen implementiert hat, kann diese auch nicht feststellen. Kurz: Nur weil ich nichts mitbekommen habe, bedeutet nicht zwangsläufig, dass ich nicht betroffen bin.
Es wird für Unternehmen zunehmend schwerer, „frei von Sicherheitsvorfällen“ zu sein. Wer dann auch noch Sicherheitsvorfälle melden muss, wird im Nachgang deutlich mehr für Sicherheit ausgeben müssen.
Damit könnte die Vorgehensweise „wird schon nichts passieren – ist ja bisher auch nichts passiert“ bei der aktuellen Entwicklung abgelöst werden von der Einsicht „wird ja nicht gleich wieder passieren“. Der Status am Ende eines solchen Weges lautet allerdings „kann nichts mehr passieren“.
Bild: © Tim Reckmann / pixelio.de
Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare