Sie sind hier:

Contentbrocken der Woche: No Risk, More Fun: Wie sicher ist Ihre IT?

17 Jul
Foto: ra2 studio - Fotolia.com

Unzureichende Investitionen in die IT-Sicherheit kommen teuer zu stehen

(17.07.2014) „Informationssicherheit hat zum Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen und Systeme in ausreichendem Maße sichergestellt werden“ – soweit die Definition von IT-Sicherheit. Doch wie sieht die Realität in deutschen Unternehmen aus? Mangelhafte Systeme fordern ihren Tribut und ziehen teils existenzbedrohende Folgen nach sich. Ob Reparatur- oder Wiederbeschaffungskosten einzelner Komponenten, Stillstandskosten, Ausfallzeiten oder Imageverlust – die Bandbreite möglicher Schäden ist groß. In der Regel handelt es sich um fünf bis sechsstellige Beträge.

Wie groß der angerichtete Schaden für die Wirtschaft tatsächlich ist, lässt sich kaum abschätzen. Die Dunkelziffer – darüber sind sich die Experten einig – ist sehr hoch. Jene Attacken, die ihren Weg in die Schlagzeilen der Presse gefunden haben, spiegeln nur die Spitze des Eisbergs wieder. Bei drohendem Vertrauens- und Imageverlust geben die Unternehmen ihre Sicherheitspannen nur ungern bekannt. „Unser Netz ist sicher“ oder „Bei uns ist noch nie etwas passiert“ sind oft gehörte Antworten. Doch bemerken die betroffenen Unternehmen oftmals gar nicht, dass sie angegriffen wurden. Denn die Tricks und Methoden der Angreifer werden immer raffinierter. Und so manches Unternehmen wiegt sich in falscher Sicherheit. Vor allem dann, wenn die Fähigkeiten der Angreifer unterschätzt werden. Selbst erfahrene Netz- und Sicherheitsspezialisten können nicht alles wissen und machen auch gelegentlich Fehler.

Die Viren stellen dabei nicht die einzige Bedrohung dar, wenngleich es sich dabei nach wie vor um das größte Einzelproblem handelt. Je abhängiger die Unternehmen von der IT werden, d.h. je mehr Geschäftsprozesse über das Internet abgewickelt werden, desto breiter wird das Spektrum möglicher Angriffsszenarien. Zu den bekanntesten gehören:

  • Das Einschleusen von Schadsoftware (Malware) in Form von Würmern und Trojanern, die einen unautorisierten Zugriff auf das IT-System erlauben.
  • Unerlaubtes Abhören von Informationen wie Benutzerkennungen und Passwörtern bei Authentifizierungen (Sniffing Attack).
  • Denial of Service Attack beschreibt einen Angriff auf IT-Systeme mit dem Ziel, deren Verfügbarkeit zu beeinträchtigen (häufig durch Überlastung).
  • Der weit verbreitete Phishing-Attack tarnt sich als scheinbar seriöse E-Mail, die auf einen Link verweist. Wird dieser angeklickt, installiert sich ein Hacker-Cookie, das beispielsweise beim Online-Banking die Zugangsdaten an den Hacker übermittelt.
  • Bei Spyware & Adware handelt es sich um Spionage-Programme, die Informationen über den Rechner oder bestimmten Daten des Anwenders an Dritte übermitteln.

Virenscanner und Firewall reichen längst nicht mehr aus, um dieser quantitativ wie qualitativ zunehmenden Bedrohung Herr zu werden. Hinzu kommt, dass die böswillige Bedrohung nicht die einzige Gefahrenquelle ist, der sich IT-Systeme ausgesetzt sehen. Von vielen Experten als die weitaus größere Gefahr eingestuft, sind die „unbeabsichtigten“ Bedrohungen im digitalen Zeitalter: Technisches Versagen lässt Rechner abstürzen, es kommt zur Netzüberlastung oder Datenträger sind defekt. Unregelmäßige Backups, fehlerhaftes bzw. fehlendes Passwortmanagement oder mangelhaftes Notfallmanagement lassen sich auf organisatorische Mängel zurückführen. Unzureichende Qualifikation, Bedienungsfehler, Unachtsamkeit oder Stresssituation sind Beispiele für menschliches Versagen. Und schließlich kann höhere Gewalt wie Feuer, Wasser, Staub oder Blitzeinschlag ebenfalls erhebliche Schäden anrichten.

Dies macht deutlich, dass nur ein individuell für das Unternehmen ausgearbeitetes, umfassendes Sicherheitskonzept das richtige Fundament für das erforderliche Sicherheitsniveau bilden kann. Doch genau hier drückt der Schuh – vor allem bei den kleinen und mittelständischen Unternehmen. Jüngsten Studien zufolge räumen diese aufgrund begrenzter Ressourcen anderen geschäftlichen Aktivitäten eine höhere Priorität ein. Der Faktor Zeit, knappe Budgets sowie die zunehmende Komplexität der Materie erschweren eine gründliche Auseinandersetzung mit dem Thema. Zumindest solange, bis es kracht. Erst wenn der Schaden eingetreten ist, wird gehandelt und die eigene Sicherheitslage analysiert. Präventive Maßnahmen sind aber die effektivere und auf lange Sicht kostengünstigere Methode.

Großen Nachholbedarf sehen die Experten vor allem bei den schriftlich dokumentierten Sicherheitsrichtlinien, die leider immer noch die Ausnahme bei kleinen und mittleren Unternehmen darstellen. Dort werden unter anderem Verantwortlichkeiten inklusive Vertretungsreglungen sowie Kommunikationswege dokumentiert. Zudem hilft ein Verhaltenskodex, der den Umgang mit Daten für alle verbindlich regelt. Denn häufig geht die Gefahr von den eigenen Mitarbeitern aus, wenn Nachlässigkeiten und Unwissenheit um sich greifen. Die Mitarbeiter müssen für das Thema, beispielsweise durch Schulungen, sensibilisiert werden, sonst bleiben die teuersten Investitionen in die Abwehr externer Bedrohungen wirkungslos.

Dies alles ist kein Projekt, das irgendwann abgeschlossen werden kann. Sondern vielmehr ein komplexer, fortwährender Prozess, der die eigene Sicherheitslage immer wieder analysiert, eventuelle Lücken identifiziert und das eigene Sicherheitskonzept entsprechend auf dem neuesten Stand hält. Keine Frage, für IT-Sicherheit muss etwas getan werden. Aber der Aufwand lohnt sich, denn er spart Zeit, Geld und schont die Nerven.

IT-Sicherheitstag 2014 am 23. September in Darmstadt

Unter dem Motto "Passwörter, Emailverschlüsselung..ist das schon alles?" können Sie sich auf dem IT-Sicherheitstag 2014 darüber informieren, wie sie mit überschaubarem Aufwand ihre IT-Sicherheit gewährleisten und verbessern können.

Archiv

Der BIEG Newsletter

Immer auf dem Laufenden bleiben Sie mit unserem monatlichen Newsletter. Wir informieren Sie über aktuelle Veranstaltungen und unsere neuesten Leitfäden!