IT-Security: 7 Tipps für den Mittelstand

Wer kennt es nicht – das wohltuende Gefühl von Sicherheit, wenn man nach einem langen Tag als letzter den Betrieb verlässt: Ein kurzer Kontrollgang, man löscht die Lichter, schließt die Türen und aktiviert am Ende die Alarmanlage. Bis zum nächsten, hektischen Tag. Ist es dabei nicht irgendwie beruhigend, dass nun alles sicher ist in diesem unveränderbaren Zustand der nahezu absoluten Ruhe?

Dieses Gefühl kennt vermutlich jeder – selbst ich als Geschäftsführer eines IT-Systemhauses. Hingegen kennen nur sehr wenige das Gefühl des IT-Personals, welches am Morgen feststellen muss, dass die Systeme sich etwas seltsam verhalten. Das Supportaufkommen steigt, die Benutzer melden zunehmende Probleme, das Chaos und der Druck wachsen ins unermessliche. Während die Verantwortlichen zwischen immer neuen Meldungen verzweifelt nach Lösungen ringen, wird eines zunehmend klar: Man hat die Kontrolle über die eigene Infrastruktur verloren und ist nicht mehr Herr(in) über die eigenen Systeme.

Was nach Spielfilm klingt, ist für immer mehr Unternehmen jeder Größe traurige Realität geworden. Manche der Unternehmen, die solche Situationen durchlaufen haben, publizieren diese Erfahrungen, damit andere daraus lernen.

Doch wie kam es überhaupt soweit? War dieses wohlige Gefühl der Sicherheit nicht echt? Wusste man das vielleicht sogar, hat sich aber selbst dazu verleiten lassen es zu glauben?

Das Themengebiet IT-Security ist äußerst umfangreich. Während man damit beschäftigt ist, die Infrastruktur zu erweitern, erneuern und zu pflegen wird man regelmäßig mit neuen und immer perfideren Angriffsmethoden und ebenso komplexeren Sicherheitsmechanismen konfrontiert. Es ist nicht verwunderlich, dass IT-Abteilungen hier nicht immer Schritt halten können und aufgrund der Komplexität stellenweise sogar resignieren.

Um hier die Kontrolle zu behalten, ist es notwendig sich intensiv mit IT-Security auseinanderzusetzen. Unternehmen, die ohne IT nicht länger handlungsfähig sind und sich keinen Ausfall leisten können, bleibt nichts anderes übrig als IT-Security an zentraler Stelle in den Prozessen zu integrieren. Deshalb gilt es folgende Punkte zu beachten und umzusetzen:

1) Setzen Sie auf erfahrene Verantwortliche

Sorgen Sie dabei dafür, dass die verantwortlichen Personen ausreichende Erfahrungen mit sich bringen und das Wissen durch Fortbildungen aktuell gehalten wird. Ziehen Sie nach Bedarf externe Spezialisten hinzu, welche die notwendige Erfahrung beim Aufbau eines Sicherheitskonzeptes mit sich bringen.

2) Suchen Sie regelmäßig nach Schwachstellen

Analysieren Sie Infrastruktur und Prozesse regelmäßig auf Schwachstellen, gewichten diese und arbeiten nach Bewertung Maßnahmen zur Behebung aus. Ziehen Sie bei Audits externe Unternehmen hinzu, um objektive Ergebnisse zu erhalten.

3) Setzen Sie auf aktuelle Software

Setzen Sie aktuelle Software und Technologie ein und isolieren Sie – falls notwendig – veraltete Systeme (beispielsweise Anlagensteuerungen) so, dass diese keinen Zugriff auf die kritische Infrastruktur erhalten.

4) Nutzen Sie das Potential vorhandener Technologie

Nutzen Sie vorhandene Schutzmechanismen von Betriebssystemen und Systemen, welche oftmals nicht ab Werk aktiv sind und auf die Umgebung abgestimmt werden müssen. Aktivieren Sie auch die Next-Generation-Sicherheitsfunktionen der Firewalls. Denn letztlich gilt: Nichts ist weniger effektiv als ein deaktivierter Sicherheitsmechanismus.

5) Schützen Sie das Netzwerk vor Angriffen von innen

Die Gesamtsicherheit des Systems darf nicht durch Kompromittierung eines einzelnen Systems gefährdet werden. Anwender dürfen niemals in der Lage sein die Sicherheit des Gesamtsystems zu gefährden (ob mutwillig oder nicht). Die Administration in einem Multi-Tier-Modell reduziert das innere Risiko durch administrative Konten.

6) Verstehen Sie Ihre Technologie

Wenn, dann richtig. Solide Sicherheitsmechanismen sind nachweisbar sicher und basieren nicht auf der Geheimhaltung des Mechanismus selbst. Lassen Sie sich die verwendeten Technologien von den Anbietern erklären und hinterfragen Sie diese!

7) Schulen Sie Anwender

Um die erste Hürde für die täglichen Einfallsvektoren (z.B. E-Mail) höher zu setzen, ist es wichtig, die eigenen Anwender nicht zu vergessen und diese regelmäßig zu schulen. Das hilft nicht nur, das Risiko externer, technischer Angriffe zu reduzieren, sondern stellt auch die Basis zum Schutz vor Angriffen im Bereich Social Engineering dar. Anwender, welche aufgrund der konstanten Bedrohungslage oftmals verunsichert sind, bekommen hierdurch zudem etwas mehr Selbstsicherheit.

Und zu guter Letzt: Warten Sie beim Thema IT-Security nicht – Ihr Gegenüber macht das auch nicht!