6. Dezember 2016

IT-Sicherheit: steigende Bedrohung erfordert umfangreiche Maßnahmen


Die fortschreitende Digitalisierung in Gesellschaft und Wirtschaft hat viele Abläufe vereinfacht und neue Möglichkeiten geschaffen. Leider gehören dazu auch solche für Hacker und andere Kriminelle, die durch den Diebstahl von Daten jedes Jahr Millionen von Euro an Schaden anrichten. Das Bundesamt für Sicherheit in der Informationstechnik sieht in praktisch allen Bereichen der IT eine steigende Bedrohung für Unternehmen, und der Branchenverband für die Informations- und Telekommunikationsbranche, bitkom, hat die Sicherheit für IT-Unternehmen zum Thema des Jahres erhoben.

Angesichts dieser hohen Bedrohungslage sollte man annehmen, dass die IT-Sicherheit für Unternehmen aller Branchen und jeder Größe von entscheidender Bedeutung ist. Und tatsächlich ist die Sicherheit von IT-Systemen stärker in den Fokus gerückt – allerdings haben Sicherheitsthemen aus verschiedenen Bereichen der IT laut einer Umfrage aus dem Jahr 2016 bei 25 bis 50 Prozent der Befragten noch immer keine oder nur eine geringe Bedeutung. Woher kommt diese Gleichgültigkeit gegenüber Bedrohungen aus dem Netz – und was kann man tun, um die bestehenden Risiken zu minimieren?

Die aktuelle Bedrohungslage

Um passende Maßnahmen ergreifen zu können, ist es zunächst einmal nötig, die Gefahren auch zu erkennen. Ein guter Anhaltspunkt ist hier der jährliche Bericht des Bundesamts für Sicherheit in der Informationstechnik, denn das Amt kann die Risiken als neutrale Stelle realistisch einschätzen. Für das Jahr 2015 hat das BSI die Gefahren für 17 verschiedene Bereiche ermittelt, darunter etwa
  • Cloud Computing,
  • Identitätsdiebstahl und
  • Mobilkommunikation.
In zwölf dieser Bereiche sieht das BSI eine hohe Bedrohungslage, in den restlichen fünf werden die Risiken als durchschnittlich eingeschätzt. Im Vergleich zum Vorjahr ist – bis auf Social Engineering – in allen Bereichen die Bedrohungslage gleich geblieben oder angestiegen. Entsprechend sieht das BSI sowohl bei privaten als auch bei gewerblichen Nutzern dringenden Handlungsbedarf.

Als besonders problematisch werden die Professionalisierung der Angriffe aus dem Netz sowie die weiter steigende Verfügbarkeit von Dienstleistungen und Infrastrukturen gesehen, die zur Durchführung solcher Attacken nötig sind. Immer mehr kriminelle Nutzer können sie also ohne großen Aufwand durchführen und müssen aufgrund der schwierigen Strafverfolgung nur selten mit rechtlichen Konsequenzen rechnen. Hinzu kommt, dass die Nutzer noch immer nicht ausreichend für die Gefahren aus dem Netz sensibilisiert wurden – und mit einem unbedachten Klick den Angreifern Zugang zu geschützten Systemen gewähren. Darüber hinaus kümmern sich viele Nutzer nicht um die Aktualisierung der von ihnen verwendeten Programme, sodass bestehende – und eigentlich von den Herstellern bereits behobene – Sicherheitslücken nicht geschlossen werden und den Angreifern als Einfallstor dienen können.

Wer ist besonders gefährdet?

Das fehlende Misstrauen der Nutzer gegenüber unerwarteten Kontaktaufnahmen und die Sorglosigkeit im Umgang mit der IT rühren zu einem Gutteil von der Vorstellung her, dass nur große Firmen oder Organisationen von Angriffen aus dem Netz betroffen sind – das ist allerdings ein Trugschluss. Global agierende Unternehmen haben die Risiken in der Regel seit einiger Zeit erkannt und entsprechende Maßnahmen zum Schutz ihrer Daten und ihrer IT-Infrastruktur getroffen. Damit sind sie zwar nicht vollkommen vor Attacken geschützt, Angreifer haben es aber deutlich schwerer, an Daten zu kommen.

In mittelständischen Unternehmen fehlt dagegen oft das nötige Sicherheitsbewusstsein – und vermeintlich auch das Geld und die Zeit, um ausreichende Vorkehrungen zu treffen. Daher sind solche Firmen beliebte Ziele für Cyber-Attacken, denn bei ihnen lassen sich leicht und schnell Erfolge erzielen. Zudem gelangen die Angreifer über ein einmal infiltriertes Unternehmen häufig leichter in die System von Geschäftspartnern des Unternehmens, wo sie weitere Daten abgreifen können.

Umfassendes Sicherheitskonzept ist wichtig

Angesichts der aktuellen Bedrohungslage ist es für Unternehmen jeder Größe unerlässlich, sich vor Angriffen aus dem Netz zu schützen. Die immer häufigere Nutzung von Cloud-Systemen verstärkt diese Notwendigkeit noch, denn in der Cloud wird ein großer Teil der sensiblen Unternehmensdaten gespeichert, der dann auch für einen Angreifer abrufbar ist.

Bei der Absicherung der eigenen IT ist es natürlich sinnvoll, auf ein durchdachtes Konzept zu setzen, anstatt nur einzelne Maßnahmen durchzuführen. So ergibt sich ein engmaschiges Sicherheitsnetz ohne Lücken, über die ein Angreifer doch ohne Probleme in das System eindringen kann. Allgeier bietet daher ein Konzept zu IT-Security und Compliance an, das die Umsetzung der gesetzlichen Vorgaben sowie der allgemeingültigen Best-Practice-Standards vorsieht. Ein wichtiger Teilaspekt dieses Konzepts ist die Verschlüsselung von E-Mails und Dokumenten.

Verschlüsselung als Maßnahme zur Sicherung von Daten

Wie oben bereits erwähnt, ist die Sensibilisierung der Mitarbeiter ein wichtiger Schritt zu mehr Sicherheit für die unternehmenseigene IT. Das allein ist allerdings nicht ausreichend, denn Nutzer werden trotz eines größeren Sicherheitsbewusstseins immer wieder Fehler machen. Aus diesem Grund setzt Allgeier mit JULIA, der Lösungen zur E-Mail-Verschlüsselung, und EMILY SP, einem Dienst zur Dokumentverschlüsselung für Microsoft SharePoint, auf einer grundlegenden Ebene an – verschlüsselte Daten sind für Angreifer nämlich nicht oder nur mit erheblichem Mehraufwand zu gebrauchen und von daher uninteressant. Wie erfolgreich dieses Konzept ist, zeigt sich nicht zuletzt daran, dass JULIA unter anderem in Bundesministerien und in der öffentlichen Verwaltung zum Einsatz kommt. Die Verschlüsselung von Daten sorgt zudem nicht nur für mehr Sicherheit, sondern ermöglicht auch eine wirksame Zugriffskontrolle innerhalb des Unternehmens.

Wenn Sie mehr über JULIA und EMILY SP erfahren wollen, wenden Sie sich gerne vertrauensvoll an uns.

 Quellen:
 https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015.pdf?__blob=publicationFile&v=4
https://www.bitkom.org/Presse/Presseinformation/Sicherheit-fuer-IT-Unternehmen-das-Thema-des-Jahres.html
https://www.dfn.de/fileadmin/7Veranstaltungen/Technologieforum/2016/folien/160719_KRITIS_IT-Sicherheit.pdf
https://www.eco.de/wp-content/blogs.dir/eco-report-it-sicherheit-2016.pdf
https://support.office.com/de-de/article/Zertifikate-und-Kryptografie-beim-E-Mail-Nachrichtenversand-in-Outlook-%25C3%259Cbersicht-b024d1d9-1606-4675-bd02-09350c2567d1?ui=de-DE&rs=de-DE&ad=DE
http://www.handelsblatt.com/technik/sicherheit-im-netz/it-sicherheit-im-mittelstand-die-eigenen-mitarbeiter-sind-die-groesste-schwachstelle/14550666.html

0 Kommentare: