DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

IHK Stuttgart macht den Internet-Sicher­heits-Check

Die IHK Region Stuttgart hat bei ihren Mit­glieds­un­ter­nehmen die Sicherheit über­prüfen lassen. Die gerne in Studien fest­ge­stellten Defizite in der IT kommen hier jedoch nicht aus einer Selbst­aus­kunft.

Die IHK schreibt in ihrer Pres­se­mit­teilung : „Der Aus­schuss für Infor­ma­ti­ons­tech­no­logie, ‑dienste und Tele­kom­mu­ni­kation der Industrie- und Han­dels­kammer (IHK) Region Stuttgart hat mit einem anonymen Test die Daten­über­tragung im Internet von rund 16.000 Mit­glieds­be­trieben auf Sicherheit geprüft. Die Ergeb­nisse zeigen, dass die Mehrheit der Web­seiten und Mail­server deutlich vom emp­foh­lenen Standard des Bun­desamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI) ent­fernt und somit einer Vielzahl von Angriffs­ri­siken aus­ge­setzt ist.“


Ein solches Vor­gehen ist ein wich­tiger Schritt! Gerne kri­ti­siert man bei Mel­dungen zur Lage der Sicherheit die zugrunde lie­gende Grund­ge­samtheit der Unter­su­chung, die Form der Erhebung oder den Auf­trag­geber. Gerade bei nicht unab­hän­gigen Studien könnte man unter­stellen, dass ein Abhän­gig­keits­ver­hältnis exis­tiert und die Studie daher wohl­wollend aus­fällt.
 

Recht­liche Folgen
Es ist kein Kava­liers­delikt, leicht­fertig mit den Daten seiner Geschäfts­partner umzu­gehen.
Nur weil bisher noch nicht medi­en­wirksam durch­ge­griffen wurde, bedeutet dies nicht, dass nicht emp­find­liche Strafen ver­hängt werden bzw. werden können. Nicht nur Tele­me­di­en­gesetz und Bun­des­da­ten­schutz­gesetz ver­pflichten Unter­nehmen tech­nische und orga­ni­sa­to­rische Maß­nahmen durch­zu­führen.


Je nach Berufs­stand oder Unter­neh­mensform etc. kommen weitere Gesetze hinzu; das gerne belä­chelte Bun­des­da­ten­schutz­gesetz ist in diesem Kontext eigentlich nur ein „Auf­fang­gesetz“. Das BDSG stellt eher die untere Marke für Sicher­heits­maß­nahmen dar. Die Emp­feh­lungen des Bun­des­amtes für Sicherheit in der Infor­ma­ti­ons­technik (BSI)legen die Mess­latte eher auf die obere Marke.
Je mehr Auf­klärung betrieben wird und je klarer die Stan­dards, desto schwie­riger wird es für Unter­nehmen, bei einem Sicher­heits­vorfall ihren Kopf aus der Schlinge zu ziehen.
 

Gele­genheit macht Diebe
Je mehr die geschäft­lichen Abläufe durch IT abge­wi­ckelt werden, desto inter­es­santer und lukra­tiver wird es für die Schat­ten­wirt­schaft und Kri­mi­nelle diese Leicht­fer­tigkeit aus­zu­nutzen. Eine Ent­wicklung, die auch an den Angriffs­werk­zeugen nicht spurlos vorüber geht. Pro­fes­sio­nelle Tools bieten Bau­kästen, die variable und zuge­schnittene Angriffe für bestimmte Sze­narien ermög­lichen.


Vor diesem Hin­ter­grund ist es mehr als fahr­lässig, seit Jahren bekannte Sicher­heits­lücken wei­terhin zu igno­rieren und offen zu lassen. Für Angriffs­tools eine Ein­ladung.
Heise hat im Beitrag einige Aspekte zur Imple­men­tierung sicherer Kom­mu­ni­kation her­aus­ge­griffen. Neben Posi­tivem (6760 der 16383 Web­server der IHK Mit­glieds­un­ter­nehmen bieten laut den aktu­ellen Zahlen prin­zi­piell ver­schlüs­selte Ver­bin­dungen, das sind immerhin 41 Prozent) gab es aller­dings zu Recht auch Schelte für Server, die bei­spiels­weise noch für Heart­bleed angreifbar sind oder die Drown-Lücke auf­weisen.
Ob 41% sichere Ver­bin­dungen ein Grund zum Jubeln sind? Wohl eher nicht! Stellen Sie sich nur vor, ein Dritter klinkt sich in die Daten­ver­bindung zu einem Kunden oder Lie­fe­ranten ein und ver­ändert Inhalte. So erhalten Sie eine unge­fähre Vor­stellung von dem, was pas­sieren könnte.
 

Fazit:
Aus gesundem Eigen­in­teresse sollten Unter­nehmen die Bedeutung der IT und des Internets neu bewerten und ihre Sicher­heits­vor­keh­rungen auf den aktu­ellen Stand bringen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.