Informationssicherheit
Hacker-Angriffe auf Unternehmen jeder Größenklasse. Gleichzeitig: Digitalisierung in allen Lebensbereichen. Cyberkriminalität betrifft zunehmend Privatpersonen. KI, die Schadcode schreibt. Und, und, und...
Informationen und Daten sicher zu halten, ist zum kritischen Erfolgsfaktor für die meisten Unternehmen geworden. Ebenfalls "common sense" ist: Dies kann durch die Implementierung von grundlegenden Sicherheitsmaßnahmen wie Zugriffssteuerungen, Datensicherungen und Netzwerksicherheit erreicht werden - um einmal die üblichen technischen Maßnahmen aufzulisten. Und darüber hinaus gibt es eine Reihe organisatorischer Maßnahmen, die auf Abläufe und Verhalten der Mitarbeiter einer Organisation abzielen. Schnell kann man den Eindruck gewinnen: Ohne extrem viel Aufwand keine Sicherheit! Das schreckt viele Unternehmen ab, die auf Effizienz getrimmt sind und sich wenig Overhead in der Organisation leisten können und wollen.
Die gute Nachricht ist, dass es nicht immer die großen Dinge sind, die es ausmachen: Auch kleine Schritte wie das regelmäßige Ändern von Passwörtern, Prüfung von Zugriffsrechten oder das Schulen von Mitarbeitern können dazu beitragen, die Sicherheit zu erhöhen.
In diesem Blogbeitrag wollen wir einige grundlegende Maßnahmen auflisten, die dazu beitragen können, die IT-Sicherheit eines Unternehmens zu verbessern.
Die Technik, der Mensch und die kleinen Dinge
Im Fachjargon wird zusammenfassend unter Informationssicherheit alles betrachtet, was die Integrität, Vertraulichkeit und Verfügbarkeit von wichtigen Daten und Systemen schützt. Hier mal zunächst ein paar technische Dinge:
Eine der wichtigsten Maßnahmen zur Verbesserung der IT-Sicherheit ist die Implementierung von Zugriffssteuerungen. Dies bedeutet, dass nur berechtigte Personen auf bestimmte Daten und Systeme zugreifen können. Dies kann durch die Verwendung von Benutzerkonten und Passwörtern sowie die Verwendung von Zwei-Faktor-Authentifizierung erreicht werden. Dazu gehört natürlich auch, gerade wenn eine Organisation Kontakte nach außen zu Lieferanten und Kunden pflegt: Zugriffsrechte müssen regelmäßig überprüft werden, und die Löschung von Accounts sollte zwingend Teil von Offboarding-Prozessen sein. Klar: Dazu braucht's dann auch die Infrastruktur, z.B. eine zentrale Benutzerverwaltung und andere Tools.
Eine weitere wichtige Maßnahme ist die Datensicherung. Dies bedeutet, dass regelmäßig Sicherungskopien von wichtigen Daten und Systemen erstellt werden, um im Falle eines Datenverlustes wiederhergestellt werden zu können. Dies kann durch die Verwendung von Cloud-basierten Backup-Lösungen - hier wird je nach Datenmenge dann natürlich die entsprechende Bandbreite benötigt - oder externen Festplatten erreicht werden. Häufig ist hierbei noch relevant, die Backups selbst vor Verschlüsselung oder physischen Schäden zu schützen, indem man sie außerhalb der restlichen Datenhaltung lagert. Noch ein Tipp aus eigener Erfahrung: Gerade bei komplexen Systemen sollte man nicht nur sichern (inkrementell und voll), sondern auch das Wiedereinspielen von Backups regelmäßig testen und dokumentieren.
Ein weiteres wichtiges Thema ist die Netzwerksicherheit. Dies beinhaltet in größeren Netzwerken eine entsprechende Netzwerk-Trennung, aber auch Verwendung von Firewalls und Virtual Private Networks (VPNs), um unbefugten Zugriff auf das Unternehmensnetzwerk zu verhindern. Häufig bringen integrierte Lösungen wie z.B. Palo Alto dann Features mit, um Angriffsmuster, Anomalien und Malware direkt zu erkennen und abzufangen.
Der Faktor Mensch
Der menschliche Faktor spielt eine entscheidende Rolle in der Informationssicherheit - er ist die größte Schwachstelle und die größte Stärke im System. Anders gesagt: Die beste Technik kann vom Menschen ausgehebelt, fehlerhafte Technik zumindest in Teilen menschlich kompensiert werden.
Es ist also wichtig, dass Unternehmen ihre Mitarbeiter über die Bedeutung von Informationssicherheit aufklären und sie dazu ermutigen, sicherheitsbewusstes Verhalten an den Tag zu legen - auch, wenn das zulasten von Flexibilität, Komfort und Geschwindigkeit gehen mag.
Eine Möglichkeit, sicherheitsbewusstes Verhalten zu fördern, ist die Durchführung von Schulungen und Workshops - am besten regelmäßig. Dies kann dazu beitragen, dass Mitarbeiter besser über die Bedrohungen im Zusammenhang mit Informationssicherheit informiert sind und wissen, wie sie sich davor schützen können.
Dazu ist auch wichtig, dass Unternehmen ihre Mitarbeiter dazu ermutigen, verdächtige Aktivitäten oder potenzielle Sicherheitsprobleme zu melden. So können Probleme frühzeitig erkannt und behoben werden. Ein Beispiel aus unserer Praxis: Wir unterhalten mehrere Rechner außerhalb unseres Firmennetzwerks, auf dem wir ggf. verdächtige Anhänge und andere Inhalte analysieren können. Jeder Mitarbeiter kann unseren Systemadministratoren verdächtige Inhalte schnell und unkompliziert übermitteln.
Außerdem ist natürlich wichtig, dass Mitarbeiter auch im privaten Umfeld sicherheitsbewusst sind: Gerade in Zeiten von Home-Office und Bring-your-own-device ist ja die Grenze zwischen Beruf und Privatem häufig fließend.
Also: Der menschliche Faktor ist ein enorm wichtiger Aspekt in der Informationssicherheit. Indem Unternehmen ihre Mitarbeiter schulen und sensibilisieren, können sie dazu beitragen, dass diese sicherheitsbewusstes Verhalten an den Tag legen und das Risiko von Angriffen deutlich verringern.
Sicherheit mit System:
Was sind ISMS und ISO27001?
Ein Informationssicherheitsmanagementsystem (ISMS) wird verwendet, um die Informationssicherheit in einem Unternehmen zu organisieren und zu steuern. Es basiert auf einem Prozessansatz und umfasst die Identifizierung, Bewertung, Behandlung und Überwachung von Risiken für die Informationssicherheit. Die Implementierung ermöglicht es einem Unternehmen, das Thema "Informationssicherheit" systematisch und proaktiv zu managen.
Die Norm ISO/IEC 27001 ist hierbei ein internationaler Standard für Informationssicherheitsmanagementsysteme (ISMS) und legt Anforderungen an die Einrichtung, Implementierung, Aufrechterhaltung und ständige Verbesserung fest. Die Zertifizierung nach ISO27001 bescheinigt, dass ein Unternehmen die Anforderungen des Standards erfüllt und ein wirksames ISMS implementiert hat.
Der Nutzen fürs Unternehmen
Bei Kittelberger haben wir uns vor etlichen Jahren entschieden, ein ISMS einzuführen - seit Anfang 2020 sind wir nach ISO27001 zertifiziert.
Aus unserer Sicht: Ein richtiger und wichtiger Schritt. Aber auch: Eine Arbeit, die nie zu Ende geht, sondern ein fortlaufender Prozess. Und es ist etwas, das eine Organisation weiterbringt: Weil viele Dinge selbstverständlich dokumentiert werden, weil viele Dinge nicht nur erwartet werden, sondern beschrieben sind. Wenn man's also richtig angeht, dann steigt die Akzeptanz des Systems schon allein dadurch, dass Informationen besser auffindbar sind.