DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Umgang mit Risiken in der IT

Die reale Gefahr einer Kom­pro­mit­tierung der eigenen Infor­­ma­­tions- und Kom­mu­ni­ka­ti­ons­technik (ITK) steigt. Um ein Gefühl für die not­wen­digen Maß­nahmen zu erhalten, muss zunächst das eigene Risiko ein­ge­schätzt werden können.

Durch die zuneh­mende Ver­netzung und den Einsatz neuer IT-gestützter Technik im Alltag ver­liert man gerne den Über­blick; zum einen, wo überall „Com­puter“ ein­gebaut sind, zum anderen welche Aus­wir­kungen dies im Gesamt­system der Infor­­ma­­tions- und Kom­mu­ni­ka­ti­ons­technik hat.
Wie pro­mi­nente Bei­spiele der Tages­presse  regel­mäßig zeigen, werden sowohl Unter­nehmen als auch deren Pro­dukte gehackt. Dabei macht es keinen Unter­schied, wie groß ein Unter­nehmen ist, oder welcher Branche es angehört. Laut Verizon bekommt jedoch das gezielte Hacking immer mehr Bedeutung im Port­folio der Cyber­at­tacken. Unter­nehmen sind daher gut beraten, sich mit den Anfor­de­rungen aus dieser Ent­wicklung aus­ein­ander zu setzen.

Lage­be­richt zur IT-Sicherheit in Deutschland
Liest man den Lage­be­richt zur IT-Sicherheit in Deutschland bekommt man eine unge­fähre Vor­stellung davon, welche Art von Angriffen möglich ist. Die Dun­kel­ziffer ist jedoch hoch: Zum einen möchte kein Unter­nehmen gerne Art und Umfang von Angriffen offen­legen. Zum anderen, weil so genannte „Sicher­heits­for­scher“ ihr Wissen zurück­halten und mehrfach für teures Geld an Geheim­dienste, Staaten oder den Meist­bie­tenden ver­kaufen.
Im Lage­be­richt findet sich auch eine Liste der häu­figsten Ursachen und Bedro­hungen.


Im pri­vaten Bereich:
1. Ver­altete Software, feh­lende Patches
2. Spam-Mails mit Schadcode
3. Kom­pro­mit­tierte Web­seiten / Wer­be­banner
4. Angriff auf
5. Diens­te­an­bieter
6. Sorg­lo­sigkeit mit Endgeräten/Apps

Wenn auch privat, so ist dies durch die Auf­lösung des tra­di­tio­nellen „Arbeits­platzes“ und das Zusam­men­wachsen von Beruf und Privat ebenso zu beachten, z.B. durch „Bring your own device“.

Für Wirt­schaft und Staat:

  1. Gezielte Spionage-Angriffe
  2. Angriffe auf Unter­neh­mens­web­seiten oder Dienstan­gebote
  3. Unzu­rei­chende Absi­cherung ver­netzter indus­tri­eller Steue­rungs­systeme
  4. Inte­gration mobiler End­geräte / BYOD
  5. Ver­altete Software, feh­lende Patches

Wer hierzu eine schnelle Lösung sucht, wird dann in den Grund­schutz­ka­ta­logen des BSI  fündig.

Ursa­chen­for­schung ist lang­fristig gesehen güns­tiger und besser
Wer nicht nur nach dem Prinzip „Quick & Dirty“ gegen die am meisten ver­brei­teten Ursachen und Bedro­hungen vor­gehen möchte, sollte sich mit 3 Dingen aus­ein­ander setzen.

  1. Aus welchen „Kom­po­nenten“ setzen sich die Kron­ju­welen des Unter­nehmens zusammen:   Homepage, Know-how (Köpfe oder Doku­men­tation), Kon­takte (Kunden, Lie­fe­ranten, Netzwerk), Fähigkeiten/Fertigkeiten von Mit­ar­beiten bzw. der Orga­ni­sation (Aufbau und Abläufe), spe­zi­fische (Informations-)Technik etc.
  2. Welche Schwach­stellen haben die Kom­po­nenten
  3. Wie sieht das Not­fall­ma­nagement aus, wenn doch etwas pas­siert.

Nur wer die Gefähr­dungen und Schwach­stellen kennt, kann fun­diert ent­scheiden, was aus dem Fundus an mög­lichen Maß­nahmen tat­sächlich umge­setzt werden soll – und in welchem Umfang. Der BITKOM bietet hierfür einen „Leit­faden zum IT-Risiko- und Chan­cen­ma­nagement im Unter­nehmen“ an.

Aus­blick: Aus­wir­kungen auf Unter­nehmen
Die Com­pu­ter­woche  sieht Fol­gendes auf Unter­nehmen zukommen: „Die Hacker werden nicht müde, nach immer neuen Ein­falls­toren in Unter­nehmen und Orga­ni­sa­tionen zu suchen, um diese für ihre Zwecke aus­zu­nutzen. In Deutschland war es Unter­nehmen bislang möglich, Cyber­at­tacken und Hackerangriffe2 — zumindest vor der breiten Öffent­lichkeit — “unter den Teppich” zu kehren. Das wird künftig dank des kürzlich ver­ab­schie­deten IT-Sicher­heits­­­ge­­setzes3 und der damit ein­her­ge­henden Infor­ma­ti­ons­pflicht für Unter­nehmen nicht mehr so ohne Wei­teres möglich sein — eine anony­mi­sierte Mel­de­pflicht wird zumindest dafür sorgen, dass das Bewusstsein für das Thema IT-Security wächst.“

Fazit:
Zwei Dinge sind bei der Beur­teilung des Risikos und des eigenen Status zu beachten:
Wer keine Maß­nahmen zur Erkennung von Angriffen imple­men­tiert hat, kann diese auch nicht fest­stellen. Kurz: Nur weil ich nichts mit­be­kommen habe, bedeutet nicht zwangs­läufig, dass ich nicht betroffen bin.
Es wird für Unter­nehmen zunehmend schwerer, „frei von Sicher­heits­vor­fällen“ zu sein. Wer dann auch noch Sicher­heits­vor­fälle melden muss, wird im Nachgang deutlich mehr für Sicherheit aus­geben müssen.
Damit könnte die Vor­ge­hens­weise „wird schon nichts pas­sieren – ist ja bisher auch nichts pas­siert“ bei der aktu­ellen Ent­wicklung abgelöst werden von der Ein­sicht „wird ja nicht gleich wieder pas­sieren“. Der Status am Ende eines solchen Weges lautet aller­dings „kann nichts mehr pas­sieren“.

Bild: © Tim Reckmann / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.