Inhaltsübersicht
Die Sensibilisierung der Mitarbeiter für die Gefahren von internen IT-Sicherheitslücken – für Experte Schrödel eine elementare Stellschraube – hat gerade mal jedes zweite Unternehmen im Blick. Ein Versäumnis, das geradezu an grobe Fahrlässigkeit grenzt. Schließlich ist eine Kette bekanntermaßen nur so stark, wie ihr schwächstes Glied – in diesem Falle im Zweifel der Mitarbeiter, der ein einfachstes Passwort für mehrere Dienste nutzt oder über einen unternehmensfremden USB-Stick Viren bzw. Schadsoftware einschleppt – zwei der beliebtesten Beispiele von IT-Spezialisten wie Schrödel für interne Sicherheitslücken, die schnell zum Einfallstor für Angreifer werden können.
Bei der Metro Group liegt hierauf ein besonderer Fokus. Die Düsseldorfer schulen ihre Mitarbeiter umfangreich und sensibilisieren sie für das Thema IT-Sicherheit, z. B. auch im Umgang mit Social Media und der Verschlüsselung von E-Mails, erklärt der Leiter Konzernsicherheit, Schlossarek. Anforderungen an die Mitarbeiter sind eine gewisse Komplexität der verwendeten Passwörter sowie deren regelmäßige Änderung. Darüber hinaus werde der Anschluss externer Datenträger geblockt.
Klar ist jedoch: die Schlacht um IT- und Datensicherheit gilt es jeden Tag aufs neue zu schlagen. Mit der rasanten Weiterentwicklung der Informationstechnik wird die digitale Selbstverteidigung noch schwieriger. Die Frage nach dem nächsten Angriff auf das eigene Netzwerk ist nicht „ob“, sondern „wann“ dieser geschieht. „Eine ausreichende IT-Sicherheit ist Voraussetzung, um als Unternehmen bestehen zu können. Die Herausforderung ist, in der gleichen Geschwindigkeit IT-Sicherheit aufzubauen, wie die Risiken und Gefahren wachsen“, ist sich der Leiter der Tegut Informationstechnologie, Benjamin Beinroth, sicher.
Nach Meinung der Experten von EY müssen sich Wirtschaftsunternehmen bei ihren Schutzmaßnahmen bereits stärker um die Cyber-Risiken von morgen kümmern. Noch immer seien die Maßnahmen zu reaktiv, ausgerichtet auf bereits bekannte Gefahren. Zu den Technologien und Trends, die IT- und Datensicherheits-Experten der Unternehmen künftig im Auge haben müssten, zählten u. a. Big Data (das Management riesiger Mengen von Kundendaten), Bring your own Cloud (neue Konzepte, die es Mitarbeitern erlauben, öffentliche oder private, unternehmensfremde Datenwolken zur Datenspeicherung zu nutzen) und digitale Währungen, heißt es im GISS-Report von EY.
Eine beruhigende Nachricht kommt von Seiten der Versicherungswirtschaft. Maßgeschneiderte Versicherungslösungen decken mögliche Cyber-Risiken, beispielsweise durch Hacker-Angriffe, Datendiebstahl und Datenmanipulation, ab, informiert die auf Risikomanagement spezialisierten Unternehmensberatung Funk RMCE Firewall: Software, die ein Rechnernetz oder einen einzelnen Computer vor unerlaubte Netzwerkzugriffen von außen und somit interne Daten schützt. Die Software überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Datenpakete durchgelassen werden oder nicht.
Intrusion Detection Systeme (IDS): System zur Erkennung von Angriffen, die gegen ein Computersystem oder Computernetz gerichtet sind. Alles was im Netzwerk anormal ist, sollte von dem IDS-System erkannt und protokolliert werden.
Intrusion Prevention Systeme (IPS): Im Gegensatz zu einem IDS hat das Intrusion Prevention System (IPS) keine überwachende und alarmauslösende Funktion, sondern überwacht die ein- und ausgehenden Datenpakete der Netzwerk-Komponenten. Angriffe und vom normalen Datenverkehr abweichende Bitmuster werden über Signaturen erkannt und blockieren den Datenverkehr.
Penetration Tests: Prüfung der Sicherheit von Systembestandteilen und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer anwenden würde, um unautorisiert in das System einzudringen (Penetration genannt).
Zertifizierung nach BSI-Standard: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Jahren ein Zertifizierungsschema für IT-Grundschutz veröffentlicht. Informationen unter www.bsi.bund.de
