10 Tipps, um die IT-Sicherheit zu erhöhen

Björn Holeschak, Leiter Datenschutz EIKONA Systems GmbH
Hacker an Computer welcher für hohen Wert der IT-Sicherheit in Unternehmen stehen soll

„Das trifft ja nur große Konzerne.“, „Ich habe keine interessanten Daten für Externe.“ Diese Aussagen zeigen, dass in vielen Unternehmen das IT-Sicherheitsmangement keinen großen Stellenwert einnimmt. Die Gründe für Cyberkriminelle, ein IT-System zu hacken sind vielfältig. Dazu zählen nicht nur Geld oder der Diebstahl sensibler Daten, sondern auch der Beweis der eigenen Fähigkeiten in der Community und der Spaß am Vandalismus. Vor allem letzteres zeigt, wie wichtig es ist, die IT-Sicherheit zu erhöhen.


Eine kurze Erklärung: Was ist IT-Sicherheit?

Das Ziel der IT-Sicherheit bzw. IT-Security ist der Schutz der IT-Systeme, zu denen beispielsweise Netzwerke, Computer und Cloud-Dienste zählen. Um diesen Schutz zu gewährleisten, werden Maßnahmen in IT-Sicherheitskonzepten festgelegt, die umgesetzt und regelmäßig überprüft werden sollten. Denn Sicherheitslücken sind von Angreifern schnell gefunden. Folgen einer Attacke sind zum Beispiel Ausfälle der Systeme über Stunden oder sogar Tage, Diebstahl sensibler Daten oder Verschlüsselung der Daten verbunden mit einer Lösegeldforderung. Das verdeutlicht wie wichtig es ist Lösungen und Strategien zu erarbeiten, um die IT-Sicherheit zu erhöhen.


Expertentipps, um die IT-Sicherheit zu erhöhen

Der durchschnittliche Schaden pro Jahr für Unternehmen, der auf manuelles Hacking zurückzuführen ist, beläuft sich laut des Bundesministeriums für Wirtschaft und Energie auf 43.700 Euro. Um den wirtschaftlichen Schaden, den Cyberkriminelle anrichten können, zu verringern, stellen wir Ihnen unsere Top Ten Liste mit Tipps für Sicherheitsexperten und Mitarbeiter vor, um die IT-Sicherheit in Unternehmen zu erhöhen.


Tipp 1: Sichere Passwörter

Die wohl einfachste, aber wenig gelebte Maßnahme für eine höhere IT-Sicherheit, ist die Verwendung von sicheren Passwörtern, die in regelmäßigen Abständen gewechselt werden sollten. Häufig gibt es ein Standardpasswort, das für verschiedenste Anwendungen verwendet und sogar noch auf die Arbeitsunterlage geschrieben wird. Bei einer Cyberattacke erhalten Hacker von extern und intern damit die Eintrittskarte in sämtliche Systeme. Daher ist die Verwendung eines Passworttresors, der komplexe Passwörter generiert und speichert, sinnvoll. User müssen sich so lediglich ein Passwort merken und tendieren dann eher dazu ein sicheres zu wählen. Für ein sicheres Passwort ist grundsätzlich die Länge (mindestens 12 Zeichen) und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen entscheidend. Unternehmensweite Passwortrichtlinien sind ideal, um den Mitarbeiter bei der Wahl zu unterstützen.


Tipp 2: Risiko Mensch reduzieren

Ein Angriff auf ein IT-System kann vielfältige Gründe haben. Manchmal ist es die Unwissenheit der Mitarbeiter, die den Angreifer ins System lassen, weil sie nicht ausreichend über die Gefahren informiert sind. Schwachstellen entstehen durch unsichere Passwörter, Phishing Mails, die Zugangsdaten stehlen oder Malware installieren, sowie das Arbeiten in öffentlichen Netzwerken. Die wichtigste Maßnahme, um den Risikofaktor Mensch zu reduzieren, ist die Sensibilisierung der Mitarbeiter im Rahmen von regelmäßigen Schulungen, Richtlinien und Sicherheitstests. Vor allem im Homeoffice kann das Unternehmen die Gefahren weniger beeinflussen und die Aufmerksamkeit der Nutzer ist gefragt. Gelebte Praxis sollte ein regelmäßiger Sicherheitstest sein, wo zum Beispiel alle Mitarbeiter eine Phishing Mail der IT-Abteilung erhalten und so geprüft wird, wer Anhang oder Link öffnet. Damit kann der aktuelle Wissenstand getestet und Schulungen speziell zu Themen mit Wissenslücken angeboten werden. Neue Mitarbeiter sollten ebenfalls direkt für IT-Sicherheit-Trainings vorgesehen werden. So können Bedrohungen deutlich reduziert werden. Achim Berg, Bitkom-Präsident, sagt im Rahmen der Bitkom Studie 2020 zum Thema Wirtschaftsschutz in der vernetzten Welt: „Gut geschulte Mitarbeiter sind der effektivste Schutz. So lassen sich unbeabsichtigte Schäden vorbeugen, Angriffe von außen werden besser abgewehrt und sind sie doch erfolgreich, lässt sich schnell gegensteuern.“

Tipp 3: Regelmäßige Updates

Damit die Mitarbeiter in sicheren Systemen arbeiten können, sind nicht unbedingt die neusten Anwendungen oder Betriebssysteme von Nöten, jedoch regelmäßige Updates. Die Hersteller beheben durch diese meist neben Bugs auch Schwachstellen, die zu einem erhöhten Sicherheitsrisiko führen können. Für eine hohe IT-Sicherheit, sollten Betriebssystem und Anwendungen automatisch in regelmäßigen Abständen aktualisiert werden.

Tipp 4: Backupstrategie aufsetzen

Eine Backupstrategie ist eine sehr wichtige Maßnahme, um die IT-Sicherheit zu erhöhen. Denn der Verlust von Daten kann auch andere Ursachen als einen Hackerangriff haben wie Feuer oder technische Defekte. Daher sollten regelmäßige Backups durchgeführt und an sicheren Orten – auch außerhalb des Firmengeländes – aufbewahrt werden. Außerdem muss die Funktionsfähigkeit der Backups regelmäßig geprüft werden, denn nichts ist bei einem Datenverlust schlimmer als ein fehlerhaftes Backup.

Tipp 5: Firewalls einrichten

An Firewalls denken wahrscheinlich viele im Zusammenhang mit IT-Sicherheit. Dies bestätigt auch die aktuelle Bitkom Studie, wo alle befragten Unternehmen angaben, Firewalls und Virenscanner im Einsatz zu haben. Wichtig ist, dass die Abwehrmechanismen auf dem neusten Stand gehalten werden, denn die Angreifer werden immer raffinierter und die Hersteller reagieren mit Updates darauf. Besonders Next-Generation Firewalls unterstützen, durch die Analyse der Datenpakete bis ins Detail, die Angriffsflächen für Hacker zu reduzieren. Mehr Infos zum Thema gibt es im Blogbeitrag „Sicher ist sicher: Wie Firewalls vor Netzwerkangriffen schützen “.

Tipp 6: Übertragungen verschlüsseln

Die Bitkom Studie aus dem Jahr 2020 zeigt auf, dass lediglich 39% der Unternehmen ihren E-Mail-Verkehr verschlüsseln. Informationen aus einem unverschlüsselten E-Mail-Verkehr können einfach mitgelesen und sogar verfälscht werden. Um den Zugriff auf diese Daten zu verhindern, ist eine Verschlüsselung unbedingt notwendig. Bei sensiblen Daten nach Art. 9 DSGVO sind Unternehmen sogar dazu verpflichtet. Neben E-Mails, sollten auch Netzwerke und Websites verschlüsselt werden. Denn auch hier bieten sich ohne einen ausreichenden Schutz Zugangsmöglichkeiten für Hacker. Details zum Thema Website-Verschlüsselung gibt es im Beitrag „SSL-Zertifikate: Bedeutung und deren Unterschiede“ zu lesen.

Tipp 7: IT-Sicherheitsstandards aktuell halten

Es sollte mindestens einen Verantwortlichen im Unternehmen für das Thema IT-Sicherheit geben. Dieser behält den Überblick über die im IT-Sicherheitskonzept festgelegten Maßnahmen und hält sie auf dem neusten Stand. Dazu zählt zum Beispiel das Management von Clients, Notebooks, Server, E-Mails und Patches. Bei Updates von Anwendungen oder Betriebssystemen können manchmal Einstellungen angepasst werden, die zu einer höheren IT-Sicherheit führen. Denn IT-Security ist keine Momentaufnahme, sondern ein stetiger Prozess, für den Schutz der IT-Systeme.

Tipp 8: Securitykenntnisse auf dem neusten Stand halten

Regelmäßige Weiterbildungen und Informationen über aktuelle Gefahren, sind die Basis für ein zuverlässiges IT-Sicherheitskonzept. Verantwortliche sollten die Maßnahmen ständig auf die aktuelle Gefahrenlage anpassen und die Mitarbeiter regelmäßig mit neuen Informationen, die sie betreffen, versorgen. Denn beim Thema IT-Sicherheit ziehen alle an einem Strang!

Tipp 9: Sicherheitslücken identifizieren und beheben

Wie finden Sie eine Sicherheitslücke bevor es ein Hacker tut? Am besten mit regelmäßigen Tests und Monitoringsystemen. Eine Möglichkeit die IT-Systeme zu testen sind Penetrationstests . Dabei können die gesamte Infrastruktur, einzelne Teile oder Webanwendungen von intern oder extern getestet werden. Die Tester wissen im Vorfeld nichts oder kennen ihre gesamte IT-Infrastruktur oder nur einige Daten. Je nach Ziel wird ein entsprechender Penetrationstest durchgeführt, der Probleme in den Systemen oder Anwendungen aufzeigt, die es zu beheben gilt. Außerdem helfen Monitoringtools im Betriebsalltag die Systeme zu überwachen, damit bei besonderen Ereignissen eingegriffen werden kann.

Tipp 10: Auf den Ernstfall vorbereiten

Bereiten Sie sich und Ihre Mitarbeiter auf den Ernstfall vor. Legen Sie fest wie Cyberattacken erkannt werden können, welche Strategie bei welcher Angriffsart greift und testen Sie dies regelmäßig. Damit wird sichergestellt, dass jeder im Fall der Fälle informiert ist und die Abläufe reibungslos funktionieren. So wird der Schaden bei einem Angriff so gering wie möglich gehalten.

Fazit

Keine Angst vor Cyberattacken

Haben Sie keine Angst vor Cyberangriffen, denn Angst lähmt. Aber seien Sie wachsam und unterschätzen auch als kleine und mittelständische Unternehmen die Gefahren nicht. Denn Hacker finden Sicherheitslücken schnell und der Schaden kann durch funktionierende Konzepte so gering wie möglich gehalten werden. Ein externer Sicherheitsdienstleister kann Unternehmen bei der Konzeption und Überwachung der Maßnahmen unterstützen. Besonders aktuell, wo immer mehr Unternehmen die Möglichkeit für Homeoffice anbieten, ist eine erneute Sensibilisierung der Mitarbeiter nötig. Einige Unternehmen setzen für das mobile Arbeiten immer noch das RDP-Protocol ein, das einige gravierende Risiken birgt. Und ein letzter Tipp: Sprechen Sie darüber! Es ist keine Schande angegriffen zu werden, wichtig ist, dies kein zweites Mal zuzulassen.


Björn Holeschak
Björn Holeschak
Teamlead Datenschutz

Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.


Einen Kommentar schreiben

Bitte rechnen Sie 3 plus 5.