Interview mit Tobias Schrödel - Vorsorge ist das oberste Gebot - Seite 2

Interview mit Tobias Schrödel „Hundertprozentige Sicherheit gibt es nicht“ - Vorsorge ist das oberste Gebot

Cyberkriminalität und interne IT-Sicherheitslücken stellen eine zunehmende Bedrohung für Wirtschaftsunternehmen dar. Fachinformatiker Tobias Schrödel, Inhaber IT Security & Awareness, klärt über Fehler sowie sinnvolle Schutzmaßnahmen auf.

Freitag, 11. April 2014, 23:03 Uhr

Bettina Röttig

Artikelbild „Hundertprozentige Sicherheit gibt es nicht“ - Vorsorge ist das oberste Gebot

Bildquelle: Hangen

Inhaltsübersicht

Seite 2 von 2

Vorsorge ist das oberste Gebot. Wie sind deutsche Unternehmen aufgestellt gegen Gefahren für die IT-Sicherheit?
Jedes größere Unternehmen hat heute eine eigene IT-Abteilung. Darin arbeiten in der Regel gut ausgebildete IT-Spezialisten, die wissen, was sie tun, sieben Tage die Woche zur Verfügung stehen, und es gibt Systeme wie Firewalls, Intrusion-Detection-Systeme (Angriffserkennungssysteme) etc. Wenn aber interne Sicherheitslücken bestehen, weil Mitarbeiter unachtsam mit ihren Passwörtern umgehen, kann auch die beste IT-Abteilung nichts ausrichten. Hierfür muss ein Bewusstsein geschaffen werden.

Wie steht es um kleinere Unternehmen?
Bei kleinen und mittelständischen Unternehmen sieht es zwangsläufig oft anders aus, denn dort gibt es nicht immer eine IT-Abteilung. Aber auch hier kann viel erreicht werden durch die Sensibilisierung der Mitarbeiter und wichtige Basis-Maßnahmen.

Welche Maßnahmen sind dies?
Zunächst muss jeder Zugang, der in den Backend-Bereich eines Netzwerks führen kann, versteckt und geschützt werden. Zweitens müssen sichere Verbindungen von außen durch Firmenlaptops auf das Unternehmens-Netzwerk gewährleistet sein, d.h. es müssen hochgradig verschlüsselte Zugänge installiert werden. Virenschutz und Firewall setze ich jetzt einfach mal voraus. Vor allem jedoch gilt es, die Mitarbeiter zu sensibilisieren, zu vermitteln, warum die Sicherheitsmaßnahmen wichtig sind und wie sie die Daten der Firma schützen können. Viren, die durch USB-Sticks von extern eingeschleppt werden können, stellen z. B. eine Gefahr dar. Oft werden deshalb die USB-Ports zugeklebt. Dies führt schnell zu Unverständnis und dem Gefühl, gegängelt zu werden. Schließlich muss man beispielsweise als Außendienstmitarbeiter oft digitale Kataloge und Ähnliches zum Kundenbesuch mitnehmen. Wenn der Mitarbeiter die Risiken und Konsequenzen aber verstanden hat, wird er einen USB-Stick, der bei seinem Kunden im Rechner steckte, erst auf Viren prüfen, bevor er ihn wieder in seinem eigenen Netzwerk ansteckt, und dann sind so drastische Maßnahmen nicht nötig.

Welche Fehler werden am häufigsten in Unternehmen gemacht, und was können diese dagegen tun?
Häufige Gefahren gehen unter anderem von externen Webmail-Zugängen aus. Werden diese Zugänge nicht geschützt, kann ich mich relativ leicht darüber einhacken, weil irgendein Mitarbeiter schon ein schlechtes, weil zu erratendes, Passwort haben wird. Das gleiche gilt für den Zugang zum Smartphone, auf dem heutzutage ja auch brisante Informationen und Kontaktdaten liegen. Übrigens, entsprechende Programme brauchen zum Knacken lokaler Zugänge oder Dateien bei vierstelligen Kennwörtern, die nur aus Buchstaben oder Zahlen bestehen, maximal drei Sekunden. Hat das Kennwort jedoch acht Stellen und Sonderzeichen, dauert es schon über 24 Jahre. Da sieht man die Wichtigkeit komplexer und langer Kennwörter. Wichtig ist natürlich auch, dass man das Passwort regelmäßig – etwa alle sechs Monate – ändert. Darüber hinaus stelle ich immer wieder fest, wie unbedacht viele unterwegs am Handy über firmeninterne Informationen sprechen oder im Zug am Laptop mit sensible n Daten arbeiten, die der Sitznachbar einsehen kann. Auch dieses Thema gehört zu einer Mitarbeiterschulung.

Wie viel muss ein Unternehmen in etwa in IT-Sicherheit investieren?
Das kommt natürlich auf die Größe des Unternehmens an, die Kundenzahl etc. Zunächst muss der Wert der Daten im Unternehmen ermittelt werden, was es an Einbußen kostet, wenn der Wettbewerb diese hat. Wie viel dann in Schutzmaßnahmen investiert werden soll, ist Chef-Sache. Grundsätzlich gilt, wenn Sie die IT-Sicherheit hoch setzen, wird es weniger komfortabel. Man sollte daher immer die Frage stellen, ob der Aufwand in Relation steht zu dem Schaden, der entstehen könnte.

Bitte geben Sie ein Beispiel...
Wenn ich beispielsweise einen 5-kg-Schinken kaufe und mit einem vorab selbst gedruckten Barcode mit einem günstigeren Preis in den Markt komme und diesen statt des original Codes scannen lasse, entsteht dem Händler ein Schaden. Ob dieser es aber finanziell und vom Aufwand her rechtfertigt, die Waagen in den Frische-Abteilungen mit den Check-outs zu koppeln, bezweifle ich. Man muss immer noch die Kirche im Dorf lassen.

Wie sinnvoll sind IT-Sicherheits-Audits?
Umfassende Audits sind relativ teuer. Hierfür sind schnell fünf bis sechs Spezialisten für Netzwerke, Router etc. eine Woche lang beschäftigt. Das bedeutet Investitionen von 20.000 bis 40.000 Euro. Es gibt aber auch kleine Audits, die grundlegende Kriterien prüfen: Ist die Firewall auf dem neuesten Stand oder offen? Gibt es offene Ports, die zu einem Einfallstor werden können? Grundsätzlich ist es sinnvoll, sein Netzwerk regelmäßig prüfen zu lassen.