FAQ: Informationssicherheit

Verantwortlichkeiten und Maßnahmen kennen

Informationssicherheit

Nachfolgend wollen wir ein paar FAQ zur Informationssicherheit beantworten:

Die richtige Antwort in jedem Unternehmen: Die Geschäftsleitung. Aber das ist auch nur die halbe Wahrheit. Eindeutig ist, dass sich Cyber-Sicherheit nicht zum wegdelegieren eignet.
Konkret: Es muss bei der Unternehmensleitung ein Bewusstsein für das Thema vorhanden sein; andernfalls muss dies geschaffen werden. Denn wer hier nachlässig ist, indem er das Thema nicht ernst nimmt und zu geringe Ressourcen bereitstellt, der gefährdet die Geschäftsgrundlagen und im schlimmsten Fall die Existenz des Unternehmens. Eine Hackerattacke kann weit mehr als nur das Image des Unternehmens gefährden. Auch wochenlange Produktionsausfälle mit allen damit verbundenen Konsequenzen sind möglich.

Neben dem Bewusstsein in der Unternehmensleitung müssen aber natürlich auch klare Zuständigkeiten für den Betrieb der IT Systeme und die IT Sicherheit festgelegt werden und den Zuständigen die notwendige Zeit eingeräumt werden. Auch: Wer ist wann zu beteiligen? Welche Handlungsempfehlungen sind anzuwenden?

Um sich zielgerichtet vor Cyberkriminellen schützen zu können, ist eine Inventarisierung der im Unternehmen verwendeten Hard- und Software, der bestehenden Datensätze und Verarbeitungsprozesse notwendige Voraussetzung. Dazu gehört auch eine Auflistung aller Zugriffsrechte sowie der IT-Verbindungen mit der Außenwelt. Es muss klar sein, was zu schützen ist. Die im Unternehmen verwendeten und verarbeiteten Daten sollten klassifiziert werden, um das Schutzniveau zielgerichtet anzupassen. Welche Daten sind unverzichtbar und bedürfen eines maximalen Schutzes? Welche Daten besitzen eventuell ein nicht ganz so hohes Schutzinteresse? Diese Fragen sind aus 2 Gründen wichtig: Kritische Daten und Systeme sind angemessen zu schützen; bei weniger wichtigen Daten/Systemen sollten nicht unnötig ressourcenverbrauchende Maßnahmen ergriffen werden. Stichwort „Fokussierung“.

Die Beantwortung dieser Fragen bringt wichtige Impulse für die Sicherheit des eigenen Unternehmens. Sie bilden die Grundlagen für eigene zielgerichtete Anstrengungen in diesem Bereich und bieten den Einstieg in eine pragmatische Sicherheits-Organisation bzw. ein praktikables Informationssicherheits-Managementsystem.

Erstes Handlungsfeld sind regelmäßige Datensicherungen (Backups). Sie bieten den Vorteil, dass der Geschäftsbetrieb nach einem Hackerangriff zeitnah wieder aufgenommen werden kann. Kurz: Die Geschäfte können viel schneller wieder anlaufen, wenn das Unternehmen eine kluge, regelmäßige und passgenaue Datensicherungsstrategie umsetzt.
Konkret:

  1. Es werden die wesentlichen für die Geschäftstätigkeit notwendigen Daten gesichert.
  2. Das Intervall der Datensicherung muss in Abhängigkeit von dem anfallenden Datenvolumen gewählt werden.
  3. Die Vor- und Nachteile des Speichermediums sollten abgewogen werden. Eignet sich eine externe Festplatte besser oder bietet eine Cloud-Lösung mehr Nutzen?
  4. Die Funktionsfähigkeit der Datensicherung muss regelmäßig überprüft werden. Nichts ist ärgerlicher, als wenn die gesicherten Daten im Ernstfall unbrauchbar sind.
  5. Die Verschlüsselung der gespeicherten Daten sollte beachtet und nicht vernachlässigt werden.

Updates bilden ein zweites wichtiges Handlungsfeld. Betriebssysteme und Anwendungssoftware sollten stets aktualisiert werden. Dadurch wird den Cyberkriminellen ihr perfides Geschäft so schwer wie möglich gemacht. Durch rechtzeitige Updates werden Sicherheitslücken kostenlos geschlossen. Zu spät erfolgte oder nicht installierte Updates stellen einen der häufigsten Gründe dar, warum Cyberangriffe auf kleine und mittlere Unternehmen erfolgreich sind. Kurz: Regelmäßige Updates steigern die Informationssicherheit jedes Unternehmens!

Virenschutzprogramme sind nützlich zum Schutz der eigenen IT. Sie können helfen, externe Angriffe abzuwehren. Klar ist deshalb: Ein Virenschutzprogramm muss auf allen IT-Systemen installiert sein. Aber nicht vergessen: Auch diese Software muss aktuell gehalten und regelmäßig Updates erfahren.
4. Handlungsfeld: Eine Richtlinie für sichere Passwörter ist im Unternehmen zu etablieren. Simple Passwörter helfen den Hackern bei ihrer Arbeit. Oftmals werden einfache Passwörter auch noch bei verschiedenen Dienstleister-Plattformen verwendet. Große (Schaden-)Freude bei den Cyberkriminellen ist die Folge. Deshalb ist eine kluge Passwort-Richtlinie elementar, um die IT Sicherheit des eigenen Unternehmens zu optimieren. Wie schaut ein sicheres Passwort aus? Grundsatz: Je länger, desto besser. Mindestens acht Zeichen lang und mit Sonderzeichen, Ziffern sowie Groß- und Kleinschreibung. Bei besonders kritischen Systemen sollten die Anforderungen entsprechend höher sein (siehe 1. Teil der UIMC-Reihe).

Makros sind Handlungsfeld Nummer 5. Die großen Gefahren, die mit ihnen einhergehen, sollte sich jedes Unternehmen bewusst machen. Daher die klare Empfehlung von UIMC: Schließen Sie das Einfallstor für Ransomware. Verbieten oder reglementieren Sie das Ausführen von Makros.

In der Regel ist das Unternehmensnetz besser geschützt als der Mitarbeitende zu Hause. Vorsicht sollten Unternehmen auch rund um das Homeoffice walten lassen. Das mobile Arbeiten, ob von zu Hause oder von unterwegs, wird geschätzt. Es birgt aber auch Risiken. Risikobehaftet ist grundsätzlich die Verbindung von IT-Anwendungen mit dem Internet. Die Risiken in Stichworten: Datenexfiltration, Identitätsdiebstahl, Missbrauch des Unternehmensinformationssystems oder Ransomware dringt ein und verschlüsselt ganze Systeme.

Einige Handlungsempfehlungen sind hierbei leicht umgesetzt:

  • Daten sollten immer verschlüsselt gespeichert werden,
  • Geräte sollten auf Geschäftsreisen mit Blickschutzfiltern ausgerüstet sein,
  • Passwörter sollten nicht gespeichert werden,
  • der Zugriff auf das Unternehmensnetzwerk sollte ausschließlich über VPN (Virtual Private Network) erfolgen.
  • Eine lokale Firewall sollte ebenfalls auf jedem Rechner aktiviert sein.

Aber: Das Vorhandensein einer lokalen Firewall reicht bei weitem nicht aus. Vielmehr empfiehlt die UIMC hier, in eine „menschliche“ Firewall zu investieren und Security Awareness-Schulungen zur Mitarbeitersensibilisierung zu etablieren (siehe unten). Auch Administratoren sollten entsprechend geschult und sensibilisiert werden, auch oder weil sie viel stärker in der digitalen Welt leben.

Es gibt klare und konkrete Hinweise für einen besseren Schutz vor den Gefahren:

  • Jede Mitarbeiterin und jeder Mitarbeiter besitzt ein eigenes Nutzerkonto.
  • Administratorenkonten bleiben nur den Verantwortlichen vorbehalten und sind ansonsten für niemanden zugänglich.
  • Auch Administrationsrechte sind soweit wie möglich zu beschränken und zu differenzieren.
  • Besonders zu beherzigen ist der folgende Tipp: Kein Surfen im Internet von einem Administratorenkonto!
  • Unverzüglicher Entzug von Administrationsrechten bei Verlassen des Unternehmens.

Eigentlich eine Selbstverständlichkeit, aber immer noch nicht überall praktiziert, ist eine effiziente Benutzerkonto-Verwaltung. Zugriffsrechte müssen bei Beschäftigten zeitnah widerrufen werden, wenn sie das Unternehmen verlassen. Gerade in Zeiten von Home-Office wird dies manchmal komplizierter, da weniger auffällt, wenn ein Mitarbeiter im Home-Office oder krank, im Urlaub oder ausgeschieden ist.

Zur Erinnerung: Der Mensch ist der größte „Risikofaktor“ bei der IT Sicherheit. Unabhängig von der Unternehmensgröße sind die Mitarbeiterinnen und Mitarbeiter ein beliebtes Angriffsziel. Ein beispielhaftes Problem: Früher waren Phishing-E-Mails vergleichsweise leicht zu erkennen. Das hat sich verändert. Ein paar einfache Fragen erhöhen den Schutz bereits: Ist der Absender bekannt? Erwarte ich irgendwelche Informationen von ihm? Steht der eingefügte Link im Zusammenhang mit dem erwähnten Thema?

Für das UIMC-Expertenteam steht fest: Zur effektiven Umsetzung von Anforderungen ist es unerlässlich, die Mitarbeiter zu sensibilisieren und auf die zu ergreifenden Maßnahmen zu schulen. Hierzu bietet sich heutzutage eine webbasierte Schulungsplattform an. So können Mitarbeiter sensibilisiert und geschult werden; unabhängig, ob Sie im Büro, im Home-Office oder unterwegs sind. E-Learning kann eine sinnvolle Alternative zu klassischen Schulungen sein. Es kann aber auch den persönlich geschulten Mitarbeitern die Möglichkeit geboten werden, ihr Wissen zu vertiefen oder zu festigen (Kombination aus Präsenzschulungen und E-Learning).

Ein weiteres Feld zur Verbesserung der IT-Sicherheit ist das frühzeitige Melden von IT Sicherheitsvorfällen. Das Melden solcher Vorfälle muss gefördert werden, so die UIMC, denn nur so ließe sich ein Maximum an Vorfällen erfassen. Eine „Kultur des nicht Bestrafens für Fehler“ ist hierbei eine wichtige Empfehlung, damit Probleme frühzeitig kommuniziert werden. Das Thema IT-Sicherheit gehört in die Unternehmenskommunikation, ob Newsletter, Infoschrift oder Weihnachtsfeier. Alles mit dem Ziel, das Thema im Bewusstsein der Belegschaft zu verankern und Cyberattacken als wesentliche Bedrohung der eigenen Arbeit sowie des eigenen Unternehmens frühzeitig zu erkennen.

Ob eine Cyberversicherung sinnvoll ist oder nicht, muss in einem Abwägungsprozess festgestellt werden, dem eine Kosten-Nutzen-Analyse zugrunde liegt. Dabei ist von entscheidender Bedeutung, wie hoch das eigene Risiko, Opfer einer Cyberattacke zu werden, eingeschätzt wird. Einige Faktoren für den Abschluss einer Versicherung sind:

  •  Wahrscheinlichkeit des Schadenseintritts
  • Geschäftsfeld/Gewerbe (Abhängigkeit von der IT)
  • Höhe des zu erwartenden Schadens
  • Unternehmensgröße


Auch die Art der Absicherung muss gewählt werden, da hier gravierende Unterschiede in den Versicherungsbeiträgen bestehen. Beispiele für Versicherungsarten sind: Garantien gegen Betriebsausfälle, Identitätsdiebstahl oder die vollständige Wiederherstellung des Informationssystems nach einem Cyber-Angriff. In jedem Fall sollten die Risiken, die für den Fortbestand eines Unternehmens elementar sind, tatsächlich abgesichert werden. Eine Versicherung ist sicher einer der letzten Schritte bei der IT Sicherheit des eigenen Unternehmens. Zunächst sollte gut und wirkungsvoll investiert werden, denn die Versicherungsunternehmen verlangen bereits einen Katalog an Mindestanforderungen. Dazu gehören unter anderem ein Backup, das gut gegen Manipulation abgesichert ist, Patch-Management zur raschen Schließung von Sicherheitslücken, Firewalls, E-Mail-Security, Schutz privilegierter Konten und Multi-Faktor-Authentifizierung.

Wichtiger ist noch die Frage: Was aber ist zu tun, wenn das eigene Unternehmen Opfer einer Cyber Attacke ist? Hierzu sind Meldewege zu definieren, alle betroffenen Personen zu informieren und Kontaktdaten auch offline bzw. analog verfügbar zu halten, schließlich kann eine digitale Kontaktliste ebenfalls vom Cyber-Angriff betroffen sein.

Bei einem IT-Sicherheitsvorfall sollten die Geräte und das IT-System des Unternehmens vom Internet getrennt werden. Folge: Der Angreifende wird daran gehindert, seinen Angriff zu steuern. Eine mögliche Datenexfiltration wird verhindert. Vom Angriff betroffene Geräte und Computer sollten nach Möglichkeit nicht abgeschaltet werden, um die Arbeit von Ermittlern nicht zu behindern. Für das Unternehmen ist es in einem solchen Angriffsfall von hoher Bedeutung, ob zu normalen Zeiten regelmäßig passgenaue Backups erstellt wurden. Wenn dies so ist, kann der Geschäftsbetrieb zeitnah wieder anlaufen. Lösegeld sollte auch nicht voreilig gezahlt werden, schließlich weiß man nie, ob die Systeme wieder ‚freigegeben‘ werden und man nicht beim nächsten Mal gezielt angegriffen wird.

Haben Sie konkrete Fragen zum Thema Informations­sicherheit?

Dann wenden Sie sich an uns. Gerne klärt ein erfahrener Berater erste Fragen bereits am Telefon.

Ihr Ansprechpartner

Tim Hoffmann
Tim Hoffmann
Leiter Vertrieb / Marketing
Telefon: 0202 / 9467726-200

Immer gut informiert

Newsletter

Bleiben Sie mit unserem Info-Brief auf dem Laufenden.

Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.

Sie haben Fragen?

Sie benötigen Beratung zum Datenschutz, eine Schulung des Daten­schutz­­beauftragten der Firma oder einen externen Daten­schutz­beauftragten?

Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.