Gefahr erkannt, Gefahr gebannt: Die drei häufigsten IT-Sicherheitslücken in Unternehmen

Gefahr erkannt, Gefahr gebannt: Die drei häufigsten IT-Sicherheitslücken in Unternehmen

Das Thema Sicherheit ist für Unternehmen hochaktuell. Dabei sollte sich der Fokus nicht nur auf die IT richten: Denn verschlüsselte Emails und teure Firewalls nützen wenig, wenn die Tür zum Serverraum unverschlossen bleibt. Dr. Timo Neumann, Consulting-Abteilungsleiter der Bundesdruckerei, klärt über mehr und weniger offensichtliche Sicherheitsmängel in Unternehmen auf.

Zuerst die gute Nachricht: Viele deutsche Unternehmen sind schon ganz gut ausgerüstet. Antivirensoftware, Firewalls, Passwort-Richtlinien und einfache Bildschirmsperren gehören zum Standard, Server befinden sich meist in eigens gesicherten Räumen. Die weniger gute Nachricht: Oft fehlt noch das Verständnis dafür, wo die Risiken wirklich liegen. Denn auch vermeintliche Kleinigkeiten ermöglichen Unbefugten den Zugang zu sensiblen Bereichen.

Seit zwei Jahren berät die Bundesdruckerei (BDr) mittelständische Unternehmen bei ihrer digitalen Transformation. Dabei liegt der Schwerpunkt zwar auf der digitalen Sicherheit. Doch das Consulting-Team der BDr rund um Dr. Timo Neumann erstellt individuelle Lösungen, um auch andere Sicherheitslücken zu schließen: "Vor allem bei Zutrittsregelungen, der Mitarbeitersensibilisierung und der Netzwerk-Absicherung gibt es noch einiges zu verbessern", sagt Neumann. Er stellt uns die häufigsten Sicherheitslücken für Unternehmen vor.

Gefahr 1: Ungeregelter Zutritt

Dass der Zugang zum Herzstück des Unternehmens, zu Produktionshallen und Serverräumen, gesichert sein sollte, leuchtet ein. Dennoch reibt sich Sicherheitsberater Neumann manchmal die Augen: "Mir begegnen immer wieder offenstehende Türen. Und das in manchen Unternehmen durchgehend von vorne bis hinten. Ist man erst einmal im Gebäude, kann man durchmarschieren und steht plötzlich in der Leitstelle eines Energieunternehmens – und alle wundern sich, wie man dahin kam", erzählt er. Wenn Mitarbeiter die Türen offen lassen, hilft auch kein Hochsicherheitszaun. Dabei gebe es oft auch einen geregelten Zutritt durch eine gesicherte Tür, inklusive Klingel und Summer. "Aber dann ist da noch eine zweite Tür, und die ist halt einfach da."

Sicherung und Sensibilisierung: Nur zuständige Personen dürfen Zugang zu Serverräumen erhalten

Die Lösung dieses Sicherheitsproblems ist bestechend simpel: "Einfach die ungesicherte Tür abschließen", rät Neumann. "Dann haben Sie zunächst schon mal eine einfache Lösung. Und der zweite Punkt ist die Mitarbeitersensibilisierung." Denn wenn die Mitarbeiter nicht ausreichend sensibilisiert sind, ist auch der Zutritt meistens ungeregelt.

Gefahr 2: Unbedarfte Mitarbeiter

Einer der größten Unsicherheitsfaktoren ist der Mensch, der die Daten und technischen Geräte nutzt. Das auf der Rückseite der Tastatur befestigte Passwort taucht leider immer noch auf – aus reiner Bequemlichkeit, um sich das Passwort nicht merken zu müssen. Auch Cyberkriminelle versuchen zunehmend, unbedarfte Mitarbeiter für ihre Zwecke einzuspannen. Immer häufiger werden E-Mails im Namen des Geschäftsführers an Mitarbeiter der Finanzabteilung geschrieben und eine Überweisung angefordert, berichtet Neumann. In der Mail heißt es: "Es ist dringend, lassen Sie uns nur per Mail kommunizieren, ich bin in einem Meeting". Diese Betrugsfälle müssen die Mitarbeiter erkennen, um darauf richtig zu reagieren: "E-Mails, sei es Spam, Phishing oder solche Handlungsanweisungen, müssen die Mitarbeiter hinterfragen: Ist es schon mal vorgekommen, dass der Geschäftsführer per Mail die Überweisung eines sechsstelligen Betrags fordert?", so Neumann. Blinder Gehorsam ist da fehl am Platz. Die Mitarbeiter sollten zudem wissen, an wen sie sich in einem solchen Fall wenden können.

Die Führungskräfte wiederum müssen sich ihrer Vorbildfunktion bewusst sein: "Wenn ich die Mitarbeiter für diese Themen sensibilisieren möchte, muss ich auch als Vorgesetzter entsprechend handeln", empfiehlt der BDr-Sicherheitsberater. Das betreffe zum Beispiel die Nutzung privater Geräte: Ein iPhone, das privat genutzt werden soll, muss von der IT in die Infrastruktur eingebunden werden, was Sicherheitsprobleme an der Schnittstelle verursachen kann. Neumann: "Wenn sich der Geschäftsführer dieses Privileg erlaubt, sollte das auch für die Mitarbeiter gelten. Für die Konsistenz ist es wichtig, dass Vorgesetzte nicht nur Richtlinien und Vorgaben predigen, sondern sich auch selbst daran halten – auch wenn das vielleicht gewisse Einschränkungen mit sich bringt."

Live-Hacks seien ein beliebtes Mittel, um auf Gefahren hinzuweisen: Profi-Hacker führen vor, wie sie Telefone oder einen WLAN-Router knacken oder Informationen an einen Drucker schicken. Wer mit eigenen Augen gesehen hat, wie manipulierbar Hard- und Software sind, ist sich seiner Angreifbarkeit bewusster – und handelt eher nach den Sicherheitsrichtlinien.

Gefahr 3: Ungesicherte Netzwerke

Ein weiteres wichtiges Thema sind die Netzwerke: "Sie müssen ja auf das Internet zugreifen und Kunden oder Zulieferer in ihre Infrastruktur hineinlassen. Wenn die Netzwerke dabei nicht sauber getrennt sind, haben die Leute Zugriff auf alles Mögliche", warnt Neumann. Damit sensible Bereiche nicht für alle zugänglich sind, empfiehlt es sich, einen internen Netz-Sequenter aufzubauen: Damit lässt sich das lokale Netz in mehrere voneinander getrennte Netze gliedern, zwischen denen Sicherheitsbarrieren aufgebaut werden können. Besonders relevant ist das, wenn es um Dienstleistung, Fernzugriff und Fernwartung geht.

Ohne Sicherheitsbarrieren sind sensible Bereiche im lokalen Netz nicht vor Unbefugten geschützt

Denn viele Unternehmen besitzen keine eigene Softwareentwicklung, sondern kaufen ihre Software zu. Der Lieferant kümmert sich dann um die Software, um Wartung und Updates. Wenn der Dienstleister regelmäßig darauf zugreifen muss, braucht das Unternehmen eine gute Schnittstelle. Und die sauber hinzubekommen, sei eine Herausforderung, sagt Neumann. "Wenn der Dienstleister zu jeder Zeit beliebig auf das System zugreifen kann, ohne dass ich es sehe, hätte ich als Kunde ein bisschen Bauchschmerzen." Zwar ließe sich auch vereinbaren, dass sich der Dienstleister telefonisch meldet, wenn er auf das System zugreift. Aber ob er sich daran hält, lässt sich nicht überprüfen. "Optimal ist es, dem Dienstleister nur dann den Zugriff zu erlauben, wenn ich ihn freigebe. Und auch zu tracken, was er da macht." Nur dann kann das Unternehmen dem Dienstleister einen Fehler nachweisen, falls etwas schiefgeht. Solche technologischen Lösungen gibt es bereits auf dem Markt, auch von der Bundesdruckerei-Gruppe. Doch die Unternehmen müssten darauf noch verstärkt hingewiesen werden, konstatiert der Unternehmensberater.

Letztlich ist eine hundertprozentige Sicherheit zwar unmöglich, so Neumann. Aber man könne es den Hackern schwerer machen und versuchen, die Auswirkungen zu verringern. Der Trend gehe weg von der Prävention: "Früher hat man versucht, sich so weit es geht abzuschirmen, damit bloß keiner reinkommt. Heute hat man erkannt, dass das nicht geht, wenn alles mit allem vernetzt ist. Der Fokus geht jetzt mehr in die Richtung: Wie kann ich den Schaden minimieren?"

Deshalb sei auch das Verständnis für die individuellen Risikofaktoren so wichtig: Unternehmen sollten nicht nur teure Maßnahmen treffen, sondern auch wissen, wo sie am dringendsten sind, und warum. Das A und O sei ein systematisches Vorgehen: "In der Vergangenheit wurde das Thema Sicherheit oft einfach in der IT geparkt. Aber es ist kein IT-Thema, sondern es geht darum, den Betrieb des Unternehmens aufrechtzuerhalten." Das größte Risiko kann ganz woanders liegen als gedacht: Steht das Rechenzentrum im Erdgeschoss nah an einem überschwemmungsgefährdeten Fluss, dann ist die wichtigste Maßnahme nicht die nächste teure Firewall – sondern das Rechenzentrum da rauszuholen.

Verbesserungsbedarf bei IT-Sicherheitsmaßnahmen

In einer Studie im Auftrag der Bundesdruckerei zur Digitalisierung im Mittelstand sehen die IT-Sicherheitsverantwortlichen nahezu jedes befragten Unternehmens Verbesserungsbedarf bei IT-Sicherheitsmaßnahmen. Zwei Drittel der Unternehmen mit 100 oder mehr Mitarbeitern erkennen einen hohen Verbesserungsbedarf im organisatorischen Bereich, der zum Beispiel Richtlinien und Notfallpläne umfasst. Mit deutlichem Abstand folgt der Bedarf an personellen Maßnahmen wie Schulungen oder Background-Checks (40 Prozent). Bei den technischen IT-Maßnahmen, zum Beispiel Firewalls und Verschlüsselungen, sieht lediglich ein knappes Viertel der Unternehmen hohen Verbesserungsbedarf.

Die Studie "IT-Sicherheit im Rahmen der Digitalisierung" können Sie hier kostenlos von der Bundesdruckerei beziehen.

 

Bildquelle: shepherd302, Visty, Texelart - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.