29 Jul

Eine Firewall ist nicht genug!

Firewall und Antivirus sind nicht genug!

Gefahren durch Cybercrime lauern nicht nur außerhalb eines Unternehmensnetzwerks. Auch von „Innen“ können Unternehmen bspw. durch Mobile Geräte, USB-Sticks oder falsch konfigurierte kabellose Netzwerke angegriffen werden.  Eine wichtige Position in Punkto IT-Sicherheit nimmt hier natürlich die Firewall ein, welche den Übergang vom Internet in das lokale Netzwerk (LAN) absichert. Über sie laufen einige wichtige Kommunikationswege, wie bspw. E-Mail, Transaktionen oder Anbindungen zu Subfirmen oder Außenstellen. Entscheidend für ein gutes Sicherheitsniveau ist die fortlaufende Betreuung und Überprüfung dieses Systems. Die beste und teuerste Firewall kann auch nur dann effektiven Schutz bieten, wenn sie richtig konfiguriert, regelmäßig überprüft und aktualisiert wird.

Doch ist das ausreichend? Nein, das Internet ist nicht der einzige Weg für böswillige Hacker,  Maleware oder Ransomeware, welche sich im internen Netzwerk verbreiten können. Schlecht gewartete Server, welche aus dem Internet erreichbar sind, USB-Sticks, Notebooks, Mobiltelefone, usw. stellen ebenfalls ein hohes Risiko dar. Ein weiter wichtiger Punkt sind die eigenen Mitarbeiter, welche über Social Engineering angegriffen werden können. (Als Beispiel wäre hier der 50 Mio. Euro Angriff auf das Unternehmen FACC zu nennen. Link)

Wie kann sich ein Unternehmen nun wirksam schützen?
Vorab muss erwähnt werden, dass es keinen 100% Schutz geben kann. Unternehmen können sich jedoch gut schützen, indem sie Bewusstsein für IT-Sicherheit schaffen, was für die Managementebene sowie für MitarbeiterInnen gilt. Die Orientierung an der IT-Sicherheitsnorm ISO27002 stellt einen weiteren wichtigen Schritt zu guter IT-Sicherheit dar. Dies hört sich kompliziert an, ist aber weitgehend einfach und kostengünstig umzusetzen. Nicht immer müssen alle Punkte der ISO 27002 Norm müssen umgesetzt werden, häufig reicht es aus die wichtigsten Punkte der Norm zu überprüfen.

Die LemonPI GmbH (Link) hat hierzu einen Quick-Test entwickelt, welcher die wichtigsten Punkte der ISO 27002 umfasst. Nach einem etwa zweistündigen Interview mit den IT-Sicherheitsverantwortlichen bzw. der Geschäftsleitung und einer technischen Überprüfung wird ein schriftlicher Bericht inkl. eines Maßnahmenplans für das Unternehmen erstellt, welcher den aktuellen Sicherheitszustand des Unternehmens abbildet. Auf Wunsch kann das Ergebnis der Sicherheitsüberprüfung auch um IT- rechtliche Haftungsfragen ergänzt werden.

29 Jul

IT-Sicherheit

IT-Sicherheit ist ein sehr umfangreiches Themengebiet, wobei die Methoden der technischen Datenabsicherung im Allgemeinen nur die absoluten Grundbausteine darstellen. Über die Wichtigkeit von Sicherheitstechnologien wie Firewalls, Virenschutz und Malwarefilter braucht man sicherlich nicht diskutieren, jedoch wird meist wenig bis gar nicht beachtet, dass IT-Sicherheit ein Thema ist, welches von der Geschäftsführung angetrieben werden muss. Diese Technologien können zwar relativ einfach implementiert werden, um diese aber effizient und sinnvoll einzusetzen, müssen gezielt Kompetenzen dafür eingesetzt werden. Die technischen Sicherheitseinrichtungen sollten regelmäßig gewartet, überprüft und am aktuellen Stand gehalten werden, um wirksam zu sein. Darüber hinaus ist es notwendig alle Mitarbeiter entsprechend zu schulen, damit sich im Unternehmen ein Sicherheitsbewusstsein entwickeln kann. Viele technischen Sicherungsmaßnahmen können nämlich auf menschlicher Ebene (Social Engineering) mit wenig Aufwand ausgehebelt werden. Technische Sicherheitseinrichtungen sind keinesfalls überflüssig, sie bedürfen jedoch der richtigen und konsequenten Anwendung im Unternehmen. IT-Sicherheit ist somit jedenfalls ein Thema der Geschäftsführung, welche dieses ganzheitlich betrachten und die erforderlichen Ressourcen zur Verfügung stellen sollte.

Eine gute Möglichkeit zur Überprüfung der unternehmensweiten IT-Sicherheit bieten sogenannte Penetrationstests. Sie dienen dazu die technische Infrastruktur auf Schwachstellen zu prüfen. Bei der Beauftragung eines Penetrationstests ist zu beachten, dass eine Prüfung sowohl von Extern als auch von Intern erfolgen sollte. Auch hier gilt: Die Kette ist so stark wie ihr schwächstes Glied. Im Zuge eines solchen Tests ist es notwendig auch die menschliche Komponente und somit die Sicherheitsrichtlinien zu überprüfen, um im Zweifelsfall mehr Bewusstsein im Unternehmen zu erzeugen. Um einen schnellen Überblick zu bekommen gibt es einen auf ISO 27002 basierenden Quicktest, welcher in Verbindung mit einem Schwachstellenscan ein gutes Bild der IT-Sicherheit des Unternehmens zeichnet.