Leitlinien für Cyber-Security – Grundlagen für Neulinge

Um eine höchstmögliche Cyber-Security zu gewährleisten, reichen heute einzelne Schutzmaßnahmen oft nicht mehr aus. Was notwendig ist, ist die Entwicklung eines umfassenden Konzepts für die unternehmenseigene IT-Sicherheitsinfrastruktur. Zu einem solchen Konzept gehört beispielsweise die Beantwortung wichtiger Fragen, etwa welche Daten, Personen, Software, etc. für das eigene Unternehmen essenziell sind.

Identifizieren kritischer Daten und Strukturen 

Bezüglich der Datenfrage geht es um besonders sensible Informationen wie Geschäfts- und Kundendaten, Zahlungsinformationen, Patentdaten und Personaldaten. Ihre Sicherung hat oberste Priorität, denn sie bilden die wichtigste Ressource von Unternehmen und sind dadurch bevorzugtes Ziel von Cyberkriminellen.

Die für das Unternehmen essentiellen Personen sind zu identifizieren, weil sie mit entsprechenden, auch abgestuften Zugangsberechtigungen ausgestattet werden müssen. Zugleich sollte das Unternehmen dafür Sorge tragen, dass die Accounts der Unternehmensführung, aller Mitarbeitenden sowie eventueller Geschäftspartner besonders geschützt sind, damit es professionellen Hackern nicht durch Phishing-Mails oder andere Methoden gelingt, sich über diese Accounts Zugang zum System zu verschaffen.

Auch Software ist kompromittierbar, wenn sie z. B. Programmierfehler enthält oder falsch konfiguriert wurde. Daher sollten für verwendete Programme, die von den Herstellern regelmäßig bereitgestellten Updates durchgeführt werden, um identifizierte Schwachstellen und Sicherheitslücken zu schließen. Am Ende eine umfassende Liste mit allen kritischen Dingen und Personen stehen, die für meinen Betrieb unabdingbar sind.

Identifizieren vorhandener Schutzmaßnahmen 

Ein bereits bestehendes System zur Cyber-Sicherheit lässt sich nur effizient optimieren, wenn man genau weiß, welche Maßnahmen schon ergriffen worden sind. Aus diesem Grund gehört es zu den wichtigen Aufgaben, die bereits eingerichteten Kontrollmaßnahmen sorgfältig zu dokumentieren. Dazu gehören vor allem vorhandene Firewalls, das Passwort-Management, die 2-Faktor-Authenfikation oder auch das genutzte Zugangsberechtigungsverfahren. Auch vermeintlich simple Maßnahmen wie Gebäude- oder Bürosicherungsvorrichtungen sollten in einer solchen Dokumentation enthalten sein. Auf Basis des Istzustands lassen sich schrittweise Verbesserungen im Bereich Cyber-Security durchführen. Auch hier sollte schlussendlich eine Auflistung alle Maßnahmen entstehen.

Bewertung der Gefahren und Schwachstellen 

Natürlich sollte ein Unternehmen den nun bekannten, kritischen Strukturen für den Fall, dass diese ihre Integrität, Verfügbarkeit oder Vertrautheit verlieren, jeweils Auswirkungen zuordnen. Das bedeutet, dass man für jedes System bewertet, was passiert, wenn das System komplett ausfällt (Verfügbarkeit), seine Funktionsfähigkeit verliert (Integrität) oder ein Datenleck hat (Vertrautheit). Welche der kritischen Strukturen haben Schwachstellen? An dieser Stelle könnte ein sogenannter Penetrationstest vorteilhaft sein, denn er ist in der Lage schon vorhandene oder möglicherweise noch auftauchende Schwachstellen zu identifizieren.

Bewertung der Risiken 

Die Risikobewertung ist eine wesentliche Aufgabe bei der Entwicklung eines IT-Sicherheitskonzepts. Im Rahmen einer solchen Bewertung gilt es zu ermitteln, wie viele Schwachstellen eine spezifische Struktur hat (a) und wie groß die Auswirkungen im Fall eines Verlusts der Struktur (b) wären. Aus diesen beiden Bewertungen ergibt sich letztlich das Risiko, dem die Struktur ausgesetzt ist.

Schließen von Sicherheitslücken

Ergibt die Bewertung hohe Risiken und damit dringenden Handlungsbedarf, muss sich das Unternehmen überlegen, mit welchen Kontroll- sowie Sicherheitsmaßnahmen und Redundanzen, sich das Unternehmen im Hinblick der Cyber-Security aufstellen kann, dass es sich gegenüber Hackerangriffen resilienter erweist.

Cyber-Security ist Thema für die Entscheider-Ebene

Unternehmen sollten das Thema IT-Sicherheit mit höchster Priorität behandeln und es deshalb auf der Ebene der Geschäftsführung ansiedeln. So ist sichergestellt, dass auftretende Probleme zeitnah angegangen, entsprechende Maßnahmen eingeleitet und Sicherheitslücken ohne großen Zeitverlust geschlossen werden.

Fazit: Tipps für Unternehmen ohne große IT-Abteilung

Vor allem Unternehmen mit fehlender oder nur knapp besetzter IT-Abteilung sind besonders anfällig für Cyber-Attacken. Deshalb ist der beste Tipp, die vorhandenen „Schweißnähte“ möglichst zu reduzieren bzw. ihre Anzahl von Beginn an gering zu halten. Denn je weniger Anbieter, für Cloud, Kollaboration usw. ein Unternehmen nutzt, desto weniger Sollbruchstellen hat das Gesamtsystem. Je mehr Software verwendet wird, desto höher ist auch das Compliance Risiko (DSGVO Konformität). Eine weitere sinnvolle Maßnahme ist die Nutzung eines InHouse-Servers. Er garantiert einem Unternehmen volle Datensouveränität und das Unternehmen profitiert von einem vollkommen geschlossenen System.

Matthias Bollwein

Ist Mitbegründer und Geschäftsführer der Firma UNIKI GmbH. Das Unternehmen wurde unter anderem durch die Schlagzeile „Münchner Cloud-Startup macht Microsoft Konkurrenz“ bekannt. Der gebürtige Bayer war zuvor als Unternehmensberater mit Fokus auf die Bereiche Energie und IT-Management tätig.