IT-Security durch neue Szenarien und Technologien immer komplexer

EnterpriseManagementSicherheit

IT-Security wird immer komplexer. Dafür sind nicht nur neue Angriffsszenarien verantwortlich, sondern auch eine immer größere werden Angebotspalette an verfügbaren Abwehrtechnologien. Wie man sich als Unternehmen in diesem Geflecht zurechtfindet, erläutert IDC-Senior Consultant Matthias Zacher.

Wie mache ich mein Unternehmen halbwegs sicher? Das ist die Kernfrage, die sich viele IT-Verantwortliche immer wieder aufs Neue stellen. Die Antwort kann entweder kurz (Stichwort: Anbieterempfehlung) oder lang (Grundschutzkatalog etc.) sein.

Versuchen wir es mal mit dem Mittelweg. Aus unserer Sicht ist erforderlich, IT-Sicherheit anhand verschiedener Themenblöcke  regelmäßig “abzuklopfen”. Diese verschiedenen Themenblöcke sollten sich immer im Kontext Basisanforderungen, Entwicklungstendenzen und Ad-hoc Ereignisse bewegen.

Setzen Sie auf eine umfassende Sicherheitsarchitektur

Unterziehen Sie die Sicherheitslage in Ihrem Unternehmen regelmäßig einer Bestandsaufnahme. Das ist keine Aufgabe, die nur auf die IT-Organisation begrenzt ist. Hier müssen IT, Management, Fachbereiche und Verantwortliche aus den Bereichen Compliance, Risiko-Management usw. zusammenarbeiten. Holen Sie sich hier gegebenenfalls externe Expertise ins Haus.

Jedes Unternehmen hat seine ganz spezifischen Sicherheitsanforderungen. Diese Anforderungen müssen so umgesetzt werden, dass sie die Vielschichtigkeit und Variantenvielfalt der möglichen Angriffe auf die IT-Sicherheit effektiv beherrschen. Dabei müssen insbesondere die individuellen Gefährdungspotenziale der Unternehmen berücksichtigt werden. Prüfen Sie also welche Unternehmensbereiche und welche Daten ein besonders interessantes Ziel sind. Und schützen Sie diese Bereiche entsprechend. Dabei geht es nicht nur um Technologie, sondern auch um Personen und Prozesse.

Es ist sehr empfehlenswert, gängige Standards, Richtlinien und Regelwerke zu nutzen. Damit setzen Sie auf erprobte Methoden. Zudem fordern sehr häufig Partner oder Kunden den Nachweis über die Umsetzung solcher Regelwerke.

Schätzen Sie die Gefährdungslage realistisch ein

Hier gilt es, Risiken und umgesetzte Schutzmaßnahmen gegeneinander abzuwägen. Schaffen Sie sich ein realistisches Bild über die Gefahrenlage in Ihrem Unternehmen, Ihrer Branche und bei Ihren Wettbewerbern. Oftmals scheint das Bewusstsein für die Komplexität der Bedrohungsszenarien in den Unternehmen noch nicht ausreichend vorhanden zu sein. Eine Änderung des Bewusstseins der Mitarbeiter im Umgang mit den Bedrohungsszenarien ist unerlässlich. Das umso mehr, da das Business immer häufiger selbst IT-Ressourcen in Form von Services bezieht, entweder mit oder ohne Wissen der IT-Abteilung.

Auf der Angreiferseite sind neue Formen von Angriffsszenarien entstanden. Kriminelle Geschäftsmodelle haben sich etabliert und werden permanent verfeinert. Technologische Entwicklungen werden auch immer dahingehend evaluiert, anderen einen möglichst hohen Schaden zuzufügen oder umfangreiche Vorteile aus dem Einsatz von Schadsoftware und Schadcode zu ziehen. Neben  Attacken mit nicht spezifizierten Angriffszielen werden immer häufiger zielgerichtete Kompromittierungsversuche auf definierte Einzelziele verzeichnet.

Erweitern Sie ihre Sicherheitslösungen über den Basisschutz hinaus

Besonders kleine und mittlere Unternehmen vertreten häufig die Ansicht, mit Malwareschutz und Co. ausreichend abgesichert zu sein. Das ist ein Irrtum. Der in vielen Unternehmen ausschließlich vorhandene Basisschutz reicht nicht aus, um gegen komplexe Angriffe geschützt zu sein. Vielmehr besteht die Herausforderung darin, Schutzmaßnahmen individuell und intelligent an besonders neuralgischen Punkten im Netzwerk zu platzieren und damit zugleich einen umfassenden Schutz zu gewährleisten. Prüfen Sie, wo die besonders kritischen Punkte in Ihrem Unternehmen sind.

Schärfen Sie den Blick in Ihrem Unternehmen für interne Risiken

Neben Angriffen von außerhalb der Firewall stellen auch die eigenen Mitarbeiter potenzielle Gefahrenquellen dar, entweder bewusst oder unbewusst. Gefahr für Ihre Daten kommt also nicht nur von außen. Auch in Ihrem Unternehmen selbst ist Gefährdungspotenzial vorhanden:

  • Nachlässige Mitarbeiter: Diese betrachten IT-Security oftmals nur als lästiges Beiwerk der Informationstechnologie, die ein effektives Arbeiten erschwert. Diesen Mitarbeitern müssen mit Schulungen, Trainings und Workshops aktuelle Bedrohungspotenziale aufgezeigt werden, insbesondere im Hinblick auf entsprechende Veränderungen der Gefahrenlage und neue Lösungsansätze sowie auf betriebswirtschaftliche und rechtliche Konsequenzen. Dabei ist sensibel vorzugehen um die notwendige Aufmerksamkeit zu erzeugen und diese aufrecht zu erhalten. Wird IT-Sicherheit zu stark betont besteht eher die Gefahr, dass man das Gegenteil erreicht.
  • Bedrohlichen Insider: Das sind solche Mitarbeiter, die aus unterschiedlichsten Gründen gezielt gegen Sicherheitsrichtlinien verstoßen oder diese umgehen. Um hier Schaden zu vermeiden oder gering zu halten, sind mehrstufige Schutz- und Kontrollmechanismen erforderlich.

Der Mitarbeiter wird häufig nicht in ausreichendem Maße als Risikofaktor wahrgenommen. Vernachlässigen Sie diesen Aspekt nicht, sondern begreifen Sie alle Personen in Ihrem Unternehmen sowohl als gefährdet als auch als Aktivposten für eine hohe Sicherheit.

Sichern die aktuelle Technologien und Computing-Ansätze richtig ab

Cloud Computing, Mobile Enterprise, Soziale Netzwerke und Big Data sind Themen, die die betriebliche Informationstechnologie schrittweise aber nachhaltig verändern. Daher ist es notwendig, hier IT-Sicherheit von Anfang an zu positionieren. Angreifer suchen bei Themen, die noch nicht so stark verbreitet oder umgesetzt sind, nach Lücken. Wenn diese unerkannt bleiben, potenziert sich das Schadensrisiko. Weitere Angriffspunkte ergeben sich, wenn die genannten Technologien und Lösungen aus herkömmlicher IT-Security-Sicht angegangen werden. Das ist sehr gefährlich für Unternehmen, da viele neue Konstellationen und Stellschrauben (Layer, Prozesse und Abläufe, Berechtigungen etc.) zu berücksichtigen sind.

Gehen Sie solche Themen immer auch unter dem Aspekte IT-Sicherheit und gemeinsam mit den Endanwendern an. Auf der Fachebene geht es längst nicht mehr nur noch um Endpoint-Security. Die umfassende Integration in den Unternehmen auf horizontaler und vertikaler Ebene und die Vernetzung von Unternehmen mit Partnern und Kunden erfordern neben der Lösungs-Sicherheit auch einen umfassenden Blick auf Compliance und Risiko-Management.

Fazit

IT Security wird immer komplexer und aufwendiger. Das gilt sowohl für Angriffstechniken und Angriffsmotive als auch für alle Facetten der Schutzes, der Abwehr und des Krisenmanagements. Hohe Sicherheit erfordert Aufmerksamkeit, Aktualität und aktives Handeln. Absolute Sicherheit ist unmöglich. Ihr vorrangiges Ziel muss daher sein, Angriffspunkte in Ihrem Unternehmen so weit wie möglich zu minimieren. Darum geht es letztendlich.

 

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen