Das vergangene Jahr war durchaus erfolgreich – allerdings für die Cyber-Kriminalität. Erpressungen mit Verschlüsselungstrojanern oder der Angriff auf Router von fast einer Million Telekom-Kunden zeigt: Die IT-Sicherheit ist vielerorts noch nicht auf dem entsprechenden Stand. Höchste Zeit zu handeln, zumal in 2018 ein strengeres Datenschutzgesetz in Kraft tritt. Das IT-Systemhaus CEMA nennt die wichtigsten Risiken sowie Trends für einen wirksamen Schutz.
Das neue EU-Datenschutzgesetz General Data Protection Regulation (GDPR) ist für viele Unternehmen ein triftiger Grund, ihre Sicherheitsstrategie auf Vordermann zu bringen. Die strikteren Regularien treten zwar erst im März 2018 in Kraft. Doch die Androhung saftiger Strafen und der Zwang, auch kleinere Verletzungen des Datenschutzes bekannt zu geben, machen eine gute Vorbereitung unerlässlich.
Mitarbeiter größeres Risiko als Cyberkriminelle
Traditionell konzentrieren sich Unternehmen darauf, ihr Firmennetz gegen drohende Gefahren von außen zu schützen. Laut aktueller Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI), stellen Mitarbeiter ein größeres Risiko dar als Cyberkriminelle, indem sie unwillentlich zu Helfern eines Angriffs werden. Das meistgenutzte Einfallstor für Schädlinge ins Firmennetz bleibt das unbedachte Öffnen von E-Mail-Anhängen. Im Klartext bedeutet das: Wenn sich technische Schutzmaßnahmen umgehen lassen, dann muss das Sicherheitsbewusstsein der Mitarbeiter geschärft werden. Und da die meisten Security-Technologien nur vor den Gefahren schützen können, die sie kennen, gewinnen achtsame Mitarbeiter als Schutzfaktor die größte Bedeutung.
Was nicht bekannt ist, kann nicht geschützt werden
Zwischen zehn und 50 Prozent einer normalen Systemlandschaft zählen zur Schatten-IT. Dabei handelt es sich um kostenlose Apps wie DropBox, aber auch um Cloud-Anwendungen, die Mitarbeiter ohne Kenntnis der IT-Abteilung nutzen. Aus Sicherheits- und Compliance-Gründen stellen diese Dienste jedoch ein Risiko dar. So ist nicht immer ersichtlich, in welchem Rechenzentrum oder Rechtsgebiet die Daten landen. Fehlende Verschlüsselung und Tests sowie eine unzureichende Dokumentationen vergrößern die Risiken. Damit die IT-Abteilung die Kontrolle behält und die Fachanwender die bestmögliche IT-Unterstützung erhalten, ist ein enger Austausch nötig, bei dem sich beide Seiten als Partner verstehen. Chronisch unterbesetzte IT-Abteilungen verschaffen sich Freiraum für ein agiles Weiterentwickeln der Firmen-IT durch Auslagern von Routineaufgaben wie Daten-Backup an einen professionellen Dienstleister.
Erpressungstrojaner breiten sich weiter aus
Innerhalb der vergangenen drei Jahre haben sich Erpressungstrojaner, die Rechner sperren und Daten verschlüsseln, zu einer stetig steigenden Bedrohung entwickelt. Meistens breiten sich die Schadprogramme per E-Mail-Anhang oder Weblink im Firmennetz aus. Ein Drittel der durch das BSI befragten Unternehmen waren in den letzten sechs Monaten von dieser sogenannten Ransomware betroffen. Bei manchen fielen Teile der IT-Infrastruktur aus, andere verloren wichtige Daten. Firmen können sich jedoch auf die Bedrohung vorbereiten. Wesentliche Vorkehrungen sind regelmäßige Sicherheitskopien der Firmendaten, ein hohes Sicherheitsbewusstsein der Mitarbeiter, angepasste Browsereinstellungen, Netzwerksegmentierung, Technologien („United Threat Management“), die verdächtige Aktivitäten im Netz rechtzeitig aufdecken, eingrenzen oder stoppen sowie ein Notfallplan.
Fehlende Fachkenntnisse steigern Verwundbarkeit
Der Fachkräftemangel im Bereich IT-Sicherheit wird zunehmend problematisch. Im Rahmen einer aktuellen Studie von Intel verweisen 76 Prozent der befragten deutschen IT-Entscheider auf mangelnde Fähigkeiten in der IT-Sicherheit als Grund für messbare Schäden in ihren Unternehmen. Denn der Bedarf an qualifizierten Fachkräften wächst schneller, als IT-Security-Personal auf den Markt kommt. Zahlreiche IT-Abteilungen bleiben daher unterbesetzt und unterqualifiziert. Auf dem leergefegten Markt sind die Gehälter der IT-Sicherheitsexperten geradezu in die Höhe geschossen. Immer mehr Unternehmen lagern daher ihre IT-Sicherheit an IT-Systemhäuser aus. Sie erhalten dadurch Zugang zu Ressourcen wie Expertenwissen und Sicherheitsvorkehrungen, die sie auf diesem Niveau selbst nicht vorhalten könnten.
Sorgloser Umgang mit Mobilgeräten
Das Gefahrenpotenzial beim Nutzen mobiler Endgeräte ist nach wie vor außerordentlich hoch. Während auf der einen Seite massenhaft schadhafte Apps die Sicherheitslücken der Geräte ausnutzen, kann von einer schnellen und flächendeckenden Bereitstellung von Sicherheits-Patches durch die Hersteller keine Rede sein. Hinzu kommt der häufig sorglose Umgang der Anwender. Beispielsweise indem sie ohne Sicherheitsvorkehrungen öffentliche Hotspots nutzen, sodass Daten unverschlüsselt übertragen und von unbefugten Dritten mitgelesen werden können. Oder indem sie mit ihrem privaten Gerät auf sensible Daten zugreifen. Aufgrund der großen Vielfalt von Gerätetypen ist eine effiziente und praktikable Absicherung und Verwaltung der Endgeräte gemäß der Sicherheitsrichtlinien der Unternehmen nur mit einem Enterprise Mobility Management möglich.
Das neue EU-Datenschutzgesetz General Data Protection Regulation (GDPR) ist für viele Unternehmen ein triftiger Grund, ihre Sicherheitsstrategie auf Vordermann zu bringen. Die strikteren Regularien treten zwar erst im März 2018 in Kraft. Doch die Androhung saftiger Strafen und der Zwang, auch kleinere Verletzungen des Datenschutzes bekannt zu geben, machen eine gute Vorbereitung unerlässlich.
Mitarbeiter größeres Risiko als Cyberkriminelle
Traditionell konzentrieren sich Unternehmen darauf, ihr Firmennetz gegen drohende Gefahren von außen zu schützen. Laut aktueller Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI), stellen Mitarbeiter ein größeres Risiko dar als Cyberkriminelle, indem sie unwillentlich zu Helfern eines Angriffs werden. Das meistgenutzte Einfallstor für Schädlinge ins Firmennetz bleibt das unbedachte Öffnen von E-Mail-Anhängen. Im Klartext bedeutet das: Wenn sich technische Schutzmaßnahmen umgehen lassen, dann muss das Sicherheitsbewusstsein der Mitarbeiter geschärft werden. Und da die meisten Security-Technologien nur vor den Gefahren schützen können, die sie kennen, gewinnen achtsame Mitarbeiter als Schutzfaktor die größte Bedeutung.
Was nicht bekannt ist, kann nicht geschützt werden
Zwischen zehn und 50 Prozent einer normalen Systemlandschaft zählen zur Schatten-IT. Dabei handelt es sich um kostenlose Apps wie DropBox, aber auch um Cloud-Anwendungen, die Mitarbeiter ohne Kenntnis der IT-Abteilung nutzen. Aus Sicherheits- und Compliance-Gründen stellen diese Dienste jedoch ein Risiko dar. So ist nicht immer ersichtlich, in welchem Rechenzentrum oder Rechtsgebiet die Daten landen. Fehlende Verschlüsselung und Tests sowie eine unzureichende Dokumentationen vergrößern die Risiken. Damit die IT-Abteilung die Kontrolle behält und die Fachanwender die bestmögliche IT-Unterstützung erhalten, ist ein enger Austausch nötig, bei dem sich beide Seiten als Partner verstehen. Chronisch unterbesetzte IT-Abteilungen verschaffen sich Freiraum für ein agiles Weiterentwickeln der Firmen-IT durch Auslagern von Routineaufgaben wie Daten-Backup an einen professionellen Dienstleister.
Erpressungstrojaner breiten sich weiter aus
Innerhalb der vergangenen drei Jahre haben sich Erpressungstrojaner, die Rechner sperren und Daten verschlüsseln, zu einer stetig steigenden Bedrohung entwickelt. Meistens breiten sich die Schadprogramme per E-Mail-Anhang oder Weblink im Firmennetz aus. Ein Drittel der durch das BSI befragten Unternehmen waren in den letzten sechs Monaten von dieser sogenannten Ransomware betroffen. Bei manchen fielen Teile der IT-Infrastruktur aus, andere verloren wichtige Daten. Firmen können sich jedoch auf die Bedrohung vorbereiten. Wesentliche Vorkehrungen sind regelmäßige Sicherheitskopien der Firmendaten, ein hohes Sicherheitsbewusstsein der Mitarbeiter, angepasste Browsereinstellungen, Netzwerksegmentierung, Technologien („United Threat Management“), die verdächtige Aktivitäten im Netz rechtzeitig aufdecken, eingrenzen oder stoppen sowie ein Notfallplan.
Fehlende Fachkenntnisse steigern Verwundbarkeit
Der Fachkräftemangel im Bereich IT-Sicherheit wird zunehmend problematisch. Im Rahmen einer aktuellen Studie von Intel verweisen 76 Prozent der befragten deutschen IT-Entscheider auf mangelnde Fähigkeiten in der IT-Sicherheit als Grund für messbare Schäden in ihren Unternehmen. Denn der Bedarf an qualifizierten Fachkräften wächst schneller, als IT-Security-Personal auf den Markt kommt. Zahlreiche IT-Abteilungen bleiben daher unterbesetzt und unterqualifiziert. Auf dem leergefegten Markt sind die Gehälter der IT-Sicherheitsexperten geradezu in die Höhe geschossen. Immer mehr Unternehmen lagern daher ihre IT-Sicherheit an IT-Systemhäuser aus. Sie erhalten dadurch Zugang zu Ressourcen wie Expertenwissen und Sicherheitsvorkehrungen, die sie auf diesem Niveau selbst nicht vorhalten könnten.
Sorgloser Umgang mit Mobilgeräten
Das Gefahrenpotenzial beim Nutzen mobiler Endgeräte ist nach wie vor außerordentlich hoch. Während auf der einen Seite massenhaft schadhafte Apps die Sicherheitslücken der Geräte ausnutzen, kann von einer schnellen und flächendeckenden Bereitstellung von Sicherheits-Patches durch die Hersteller keine Rede sein. Hinzu kommt der häufig sorglose Umgang der Anwender. Beispielsweise indem sie ohne Sicherheitsvorkehrungen öffentliche Hotspots nutzen, sodass Daten unverschlüsselt übertragen und von unbefugten Dritten mitgelesen werden können. Oder indem sie mit ihrem privaten Gerät auf sensible Daten zugreifen. Aufgrund der großen Vielfalt von Gerätetypen ist eine effiziente und praktikable Absicherung und Verwaltung der Endgeräte gemäß der Sicherheitsrichtlinien der Unternehmen nur mit einem Enterprise Mobility Management möglich.
