Wie viel IT-Sicherheit muss sein?

Doch wie viel Schutz bieten meine externen IT-Services tatsächlich? Können die umgesetzten IT-Kontrollen im Finanzgebaren ausgehebelt werden? Welchen Risiken bin ich intern und extern durch den Einsatz der IT ausgesetzt und in welchen Bereichen investiere ich in die „richtige" IT-Sicherheit?

Jeder ist betroffen

Jedes Unternehmen, aber auch jede Gemeinde, sieht sich heutzutage mit einer steigenden Zahl von Angriffen aus zwei Stoßrichtungen konfrontiert: externen Cyberattacken mit potenziell weitreichenden Folgen und Angriffen aus den eigenen Reihen, den sogenannten Insider-Angriffen.

Es stellt sich nicht die Frage, „ob ich gehackt werde", sondern eher „wann ich gehackt werde bzw. wurde". In Firmennetzen bleiben Hacker im Schnitt 180 Tage unentdeckt. 180 Tage, in denen sie Daten stehlen, manipulieren, missbrauchen oder löschen können. Im schlimmsten Fall gelingt es ihnen sogar, IT-Services über längeren Zeitraum komplett lahm zu legen. Und wenn ein Hacker-Angriff entdeckt wurde, dann dauert es im Schnitt nochmals rund einen Monat, bis das Datenleck geschlossen und die Sicherheit wiederhergestellt ist. Darauf sollten Sie richtig vorbereitet sein, um den Schaden möglichst gering zu halten und die Auswirkung einzudämmen und richtig damit umzugehen.

Angriffe auf Technik und den „Faktor Mensch"

Bei den Angriffen ist ein eindeutiger Trend erkennbar. Die Angreifer zielen nicht nur mehr allein auf das Ausnutzen von technischen Schwachstellen ab, sondern schaffen Angriffsszenarien, indem Sie Mitarbeiter, Technik und Prozesse miteinbeziehen.

Die häufigsten Arten von solchen Angriffen sind Phishing, Malware und Ransomware und Social Engineering. Dabei macht sich der Angreifer oft die Gutgläubigkeit und Neugierde von Mitarbeitern zunutze. Hier könnte auch der Autor aus dem Nähkästchen plaudern – falls er dürfte. Eines sollte aber an dieser Stelle aufgezeigt werden – ein Unternehmen oder eine Gemeinde kann mit Kampagnen zur Steigerung der Security Awareness darauf vorbereitet werden. Wir starten solche Kampagnen gezielt mit einem Wachrütteln – zum Beispiel mit dem Versenden manipulierter USB-Sticks und Veranstalten vermeintlicher Gewinnspielen um weitere Informationen zu bekommen.

Quick Wins

Im Folgenden finden Sie eine Reihe an „low-hanging fruits", die Sie unbedingt im Blick haben sollten, um Ihre IT-Sicherheit effizient, gezielt und nachhaltig zu erhöhen.

• Zugriffs- und Berechtigungskontrollen: Sie müssen sich bewusst sein, wie wichtig es ist zu wissen, wer welche Berechtigungen hält und ob diese tatsächlich notwendig sind. Wenn Benutzer genau die Rechte haben, die sie brauchen, um ihren Job gut machen zu können – aber eben auch nur diese –, senkt das die Risiken, dass Rechte missbraucht werden um ein Vielfaches.
• Negativbeispiele umfassen bekannte Alarmanlagen-PINs und WLAN-Passwörter, die jahrelang nicht geändert werden ebenso wie aktive Benutzerkonten zu Personen, die das Unternehmen vor Jahren verlassen haben. In allen Fällen haben unternehmensfremde Personen Zugriff auf kritische Systeme und Information.
• Klassifizierung: Aus unserer Beratungspraxis schält sich immer wieder eine wichtige und häufig vernachlässigte Maßnahme heraus: Ein in der Cybersicherheit erfolgreiches Unternehmen muss wissen, welche Informationen seine „Kronjuwelen" sind und wo diese gespeichert, verarbeitet und übertragen werden. Ohne diese Vorarbeit sind andere Sicherheitsmaßnahmen oft lange nicht so wirksam umzusetzen wie mit dieser Kenntnis.
• Privilegierte Konten: Es hat sich inzwischen vielfach schmerzlich gezeigt, dass privilegierte Konten und die mit ihnen verbundenen erweiterten Zugriffsberechtigungen eines der primären Ziele von Cyberkriminellen sind.
• Vorbereitet sein: Rechnen Sie damit, dass Sie angegriffen werden: Denken Sie niemals, Sie seien „nicht wichtig genug" um Opfer einer Hackerattacke zu werden. Bereiten Sie sich vor – identifizieren und bewerten Sie potenzielle Bedrohungen und treffen Sie praktische Vorkehrungen, um sich bestmöglich vor einem Angriff zu schützen.
• Nehmen Sie Passwortsicherheit ernst: Nutzen Sie starke Passwörter und stellen Sie sicher, dass Ihre Mitarbeiter dasselbe tun. Erwägen Sie die Nutzung eines Passwortmanagers und erklären Sie Ihren Mitarbeitern, welche Auswirkungen die Wiederverwendung oder Weitergabe von Passwörtern haben können, dienstlich ebenso wie privat.
• Sicherheitsbewusstsein: Schärfen und prüfen Sie das Bewusstsein für Informationssicherheit bei Ihren Mitarbeitern: Informieren Sie Ihre Mitarbeiter über die Bedrohungen, denen sie bei der Arbeit und zu Hause ausgesetzt sind. Wir unterstützen Sie mit zugeschnittenen Security Awareness-Trainings für sämtliche Ebenen. Mit Social-Engineering-Tests kann erhoben werden, ob Sie sicher sind oder ob bereits ein Phishing-Mail genügt, um Ihr Unternehmen zu übernehmen.
• Sichere Konfiguration: Stellen Sie sicher, dass Ihre Systeme sicher konfiguriert und aktualisiert sind: Zur Minimierung von Schwachstellen ist es wichtig, dass Sie stabile, sichere und standardisierte Betriebssystemkonfigurationen nutzen. Installieren Sie Sicherheitsaktualisierungen regelmäßig und halten Sie Ihre Systeme und Anwendungen stets auf dem neuesten Stand.
• Lassen Sie sich von Experten testen: Nutzen Sie externe Penetrationstests und/oder Schwachstellenanalysen, um Sicherheitslücken zu identifizieren, bevor diese von böswilligen Angreifern ausgenutzt werden. Im Rahmen simulierter Hackerangriffe werden tatsächliche Schwachstellen identifiziert und vertraulich berichtet – und können im Nachgang behoben werden.