Konzepte der IT-Sicherheit als strategischer Faktor in Unternehmen

Die IT-Sicherheit (auch: IT-Security) in Unternehmen oder im privaten Umfeld bezieht sich auf die gesamte Informationstechnik:

• Hardware (z. B. PCs, Server, Drucker, USB-Sticks)
• Mobile Geräte (z. B. Laptops, Tablets und Smartphones)
• Netzwerke (z. B. Unternehmens- oder Heimnetzwerke)
• Betriebssysteme und Software-Anwendungen, Open-Source-Software
• Cloud-Dienste (z. B. Apple iCloud, Google Drive, Microsoft OneDrive)
• Speichern und Übertragen von Daten (z. B. E-Mail, in der Cloud)

IT-Sicherheit bezeichnet also den Schutz der IT-Systeme vor Bedrohungen, Angriffen, Manipulationen, Beschädigungen, unrechtmäßigen Zugriffen und Diebstahl. Sie umfasst zudem die korrekte Funktionsweise und Zuverlässigkeit der genutzten IT.

Die Informationssicherheit ist breiter gefasst als die IT-Sicherheit: Mit der Informationssicherheit sollen analoge wie digitale und personenbezogene wie nicht personenbezogene Daten aller Art geschützt werden:

• Kundendaten
• Rechnungsdaten
• Personaldaten
• Buchhaltungsdaten
• Prozessdaten
• Forschungs- und Entwicklungsdaten

Cyber Security im Unternehmen ähnelt der IT-Sicherheit – mit einem Unterschied: Sie bezieht sich auf den Schutz von IT-Systemen mit einer Verbindung zum Internet.

Datenschutz beschreibt die organisatorischen und technischen Maßnahmen, damit Daten nicht missbraucht werden. Der Umgang mit der Datensicherheit ist für Unternehmen genauso wichtig wie ein IT-Sicherheitskonzept, denn sie müssen in jedem Fall die gesetzlichen Datenschutzvorgaben erfüllen.

Die Cyber-Bedrohungen nehmen von Jahr zu Jahr an Intensität zu. Durch eine unzureichende IT-Sicherheit wird es dadurch nur wahrscheinlicher, irgendwann zum Angriffsziel zu werden. Die Folgen sind häufig verheerend:

Ein erfolgreicher Cyber-Angriff führt nicht nur dazu, dass Geräte nicht mehr bedienbar sind oder Daten verloren gehen. Die Opfer haben darüber hinaus einen immensen finanziellen Schaden, wenn sie z. B. Strafzahlungen aufgrund von Datenverlusten leisten müssen. Außerdem führt eine Kompromittierung oft zu Image- und Vertrauensverlust.

Cyberangriffe kommen in verschiedenen Formen vor:

• Phishing: Gefälschte, aber authentisch wirkende E-Mails enthalten bösartige Links oder Anhänge.
• Ransomware: Gelingt es einem Angreifer, diese Malware-Art auf einem Gerät zu installieren, kann er den Zugriff auf das Gerät unterbinden oder Daten auf dem Gerät verschlüsseln. Für die (angebliche) Freigabe des Geräts oder der Daten wird ein Lösegeld verlangt.
• Man-in-the-Middle-Angriff: Die Kommunikation zwischen zwei Personen per E-Mail wird von einem Dritten abgefangen.
• Potenziell unerwünschte Anwendungen (PUA): Diese Schadsoftware wird mit einer anderen Software unbemerkt heruntergeladen. Ziel ist es, dem Opfer übermäßig viel Werbung anzuzeigen oder Daten über das Surfverhalten des Opfers zu sammeln.
• Malware: Diese bösartigen Programme stehlen persönliche Daten oder die Zugänge zu Geräten. Es gibt verschiedene Malware-Arten, wie Viren, Trojaner, Spyware oder Keylogger.

Die Investition in IT-Sicherheitskonzepte lohnt sich in vielerlei Hinsicht. Behalten Sie dabei die folgenden Punkte im Hinterkopf:

1. Sie sind optimal vor Bedrohungen geschützt.
2. Sie schützen nicht nur Daten, sondern auch Ihr gesamtes Know-how.
3. Sie halten dank des Sicherheitsmanagements Gesetze und Vorgaben ein.
4. Sie sichern sich die Zufriedenheit und das Vertrauen Ihrer Kunden.
5. Sie vermeiden die Kosten sowie den Stress, Frust und Aufwand eines Sicherheitsvorfalls.

Wenn Sie ein IT-Sicherheitskonzept ausarbeiten möchten, ist es definitiv sinnvoll, schrittweise vorzugehen.

1. Bewahren Sie Ihre Kennwörter in einem Passwort-Manager auf.
Ein Password-Safe ist nicht knackbar, da es mit einem Master-Kennwort geschützt ist. (Das Bundesamt für Informationssicherheit empfiehlt auf seinem Internetauftritt die kostenlose Software Keepass.) Denken Sie daran, sichere Kennwörter zu verwenden und diese regelmäßig zu ändern.

2. Nutzen Sie die Zwei-Faktor-Authentifizierung.
Sie schützt Ihre Onlinekonten gleich doppelt: Sie geben nicht nur Ihr Kennwort ein, sondern müssen auch ein weiteres Einmalkennwort eingeben (das Ihnen per E-Mail zugeschickt wird) oder eine generierte, elektronische TAN verwenden (z. B. beim Online-Banking).

3. Nutzen Sie eine E-Mail-Verschlüsselung.
Damit können Sie sensible Informationen zwischen Sender und Empfänger austauschen. Ihre Nachrichten können nicht gelesen werden, selbst wenn sie abgefangen werden. Weisen Sie Ihre Mitarbeiter außerdem darauf hin, unbekannte Mails und vor allem deren Anhänge nicht zu öffnen. 

4. Richten Sie Ihren Spamfilter besser ein.
Konfigurieren Sie die Einstellungen Ihres Spamfilters, damit Sie weniger Phishing- und Junk-Mails erhalten.

5. Verschlüsseln Sie Ihre Festplatte.
Mit einer Verschlüsselungssoftware wie VeraCrypt erstellen Sie verschlüsselte Container für Ihre Daten. (VeraCrypt wird vom BSI empfohlen.)

6. Richten Sie ein VPN ein.
Ein VPN (Virtual Private Network) bietet zwei Vorteile: Die Datenübertragung wird verschlüsselt und Ihre Privatsphäre im Internet geschützt. Ein VPN wird beispielsweise beim Surfen in öffentlichen WLANs empfohlen.

7. Installieren Sie eine gute Anti-Viren-Software.
Anti-Viren-Software wehrt Bedrohungen ab und schützt aktiv Ihre Geräte. Es gibt kostenlose und kostenpflichtige Sicherheitssoftware. Letztere liefert meist einen höheren Schutz.

8. Richten Sie eine Firewall ein.

Eine Firewall, ist wie die Anti-Viren-Software, eine der Maßnahmen, die so gut wie jedes Unternehmen von Beginn an nutzt. Dennoch sollte dieser Sicherheitsmechanismus nicht vernachlässigt werden und immer auf aktuellem Stand sein. 

9. Halten Sie Software, Betriebssystem und Browser aktuell.
Installieren Sie nur Original-Software. Achten Sie darauf, dass Sie kein Update auslassen: Das ist Ihr bestes Schwachstellenmanagement! Updates schließen Sicherheitslücken, durch die Hacker auf Ihre Geräte gelangen.

10. Sichern Sie Ihre Daten regelmäßig.

Damit Sie Ihre Daten auch im schlimmsten Fall nicht verlieren, sollten Sie regelmäßig Back-Ups vornehmen. Das ist auch unabhängig von der IT-Sicherheit von Vorteil, technische Defekte können schließlich auch zu einem Datenverlust führen. 

Für die Sicherheit Ihres Unternehmens, sollten bestimmte Prozesse, wie das Versenden von Nachrichten verschlüsselt sein. Dafür gibt es mehrere Optionen und Standards. 

Eine weit verbreitete Methode bei der Kommunikation ist die sogenannte asymmetrische Verschlüsselung. Diese funktioniert mit zwei virtuellen Schlüsseln: dem Public Key, der die Nachricht verschlüsselt, und einen Private Key, den nur der Empfänger besitzt, der sie wieder entschlüsselt. Dabei ist Public Key, also der öffentliche Schlüssel, in einem Zertifikat enthalten, das wiederum Informationen über den Sender einer Nachricht bzw. dem Ersteller eines Dokuments enthält. Damit Sie mithilfe dieser Zertifikate auch extern kommunizieren können, gibt es Public Key Infrastrukturen (PKI). Diese stellen sicher, dass nur vertrauenswürdige Quellen bzw. Empfänger Zugriff auf das entsprechende Zertifikat und somit den Private Key erhalten. 

Auch mittlerweile etablierte Verschlüsselungsalgorithmen, wie RSA, das Daten verschlüsselt, die über das Internet verschickt werden, nutzen oftmals eine Art dieses Schlüsselsystems. 

Damit ein Unternehmen beispielsweise ihren Kunden die Sicherheit ihrer Daten garantieren kann, gibt es einen gewissen Standard als Orientierung. Diese festgelegte Norm ist dabei ein Leitfaden für Betriebe, nach dem Sie Ihre Maßnahmen in der IT-Sicherheit ausrichten können. Die aktuelle Norm trägt den Titel ISO/IEC 27001:2022. Um diese Norm bestmöglich zu erfüllen, gibt es auch das IT-Grundschutz-Kompendium, das jährlich vom BSI, also dem Bundesamt für Sicherheit in der Informationstechnik, veröffentlicht wird. 

Erfüllt Ihr Unternehmen die Vorgaben dieser Norm, können Sie sich dies vom BSI auch per Zertifikat bestätigen lassen. 

Entscheidend für ihre IT-Sicherheit ist ebenfalls, dass Sie eine Infrastruktur schaffen, mit deren Hilfe Sie das jeweilige Konzept umsetzen können.

1. Richten Sie Ihren WLAN-Router ein.
Ändern Sie die Standardeinstellungen Ihres Routers. Sie sollten vor allem das Standardkennwort ändern, da Router meistens mit einem Kennwort vorkonfiguriert werden. Damit könnten sich anderenfalls Angreifer einhacken.

2. Verwenden Sie ein Backup-Programm.
Erstellen Sie regelmäßig eine Sicherungskopie (Backup) Ihrer Daten. Als Backup-System eignet sich unter anderem ein NAS (Network Attached Storage), eine Art externer Mini-PC mit Festplatte. Das NAS sollte nach jeder Datensicherung vom Internet getrennt werden, damit es bei einem Angriff nicht mit infiziert wird. Falls nach einem Angriff Ihre Daten verschlüsselt sind, besitzen Sie so eine weitere Kopie.

3. Sichern Sie Mobilgeräte vor Verlust und unzulässigem Zugriff.
Laptops und Smartphones sollte immer kennwortgeschützt sein. Arbeiten Sie viel unterwegs, können Sie Ihr Gerät mit Notebook-Schlössern vor Diebstahl schützen. Sichtschutzfolien für Laptops verhindern, dass Dritte „mitlesen“.

Führen Sie eine IT-Sicherheitsanalyse durch. Das bedeutet, dass Sie zunächst protokollieren, welche und wie viele Geräte und Daten Sie an welchen Orten besitzen. Damit erhalten Sie einen ersten Überblick und die Basis für Ihr IT-Sicherheitskonzept. Halten Sie fest, welche Schutzmaßnahmen bereits umgesetzt wurden. Als weitere Orientierungshilfe bietet das BSI außerdem den IT-Grundschutz als Leitfaden an.

Wenn Sie ein IT-Sicherheitskonzept erstellen, sollten Sie nicht nur die rein technischen Aspekte in Ihre Überlegungen einbeziehen, sondern auch personelle Voraussetzungen schaffen.

1. Richten Sie für jeden Mitarbeiter und für jedes Gerät ein eigenes Benutzerkonto mit den entsprechenden Rechten ein.
Richten Sie zusätzlich eine Benutzerrechte-Verwaltung ein. Wenn Malware einen PC infiziert, besitzt diese automatisch die Rechte des jeweiligen Benutzers. Deshalb sollte nicht jeder Mitarbeiter Administratorrechte haben.

2. Sensibilisieren Sie Ihre Mitarbeiter für IT-Sicherheit.Sie können Ihre Mitarbeiter informieren, aber auch in Schulungen schicken. Suchen Sie nach Angeboten neutraler Anbieter einer Beratung zur IT-Sicherheit oder einem IT-Security-Dienstleister. Dabei gibt es sogenannte Phishing Simulationen, die Ihre Mitarbeiter praxisnah für den Ernstfall vorbereiten. So fällt es Ihren Mitarbeitern zukünftig leichter, Bedrohungen zu erkennen und entsprechend zu meiden.

3. Ernennen Sie einen IT-Sicherheitsbeauftragten.
Wählen Sie ggf. einen Mitarbeiter aus, der sich um die IT-Sicherheit kümmert und sie nachverfolgt.

4. Protokollieren Sie Regeln zum Arbeiten unterwegs oder im Homeoffice.
Legen Sie fest, wie mobile Geräte zum Arbeiten genutzt werden dürfen. Zum Beispiel können Sie die Nutzung öffentlicher WLANs verbieten.

5. Etablieren Sie einen Notfallplan

Sollten Sie trotz der ganzen Maßnahmen in eine missliche Lage geraten, empfiehlt es sich, einen Notfallplan, also einen Leitfaden, für sich und Ihre Mitarbeiter parat zu haben. Das BSI rät dabei beispielsweise zu folgenden Maßnahmen: 

• Den IT-Notfall so schnell wie möglich dem IT-Sicherheitsbeauftragten melden und ruhig bleiben. 

• Angaben zur meldenden Person und dem betroffenen System machen. 

• Welche Arbeit wurde gerade in welcher Form gearbeitet? 

• Welche Beobachtungen suggerieren eine Bedrohung der IT-Sicherheit? 

• Welches System ist betroffen und wo ist dieses zu finden? 

• Die Arbeit sofort einstellen und, wenn möglich, Beobachtungen notieren und nur nach Anweisung den Sicherheitsbeauftragten vorgehen. 

An dieser Stelle können Sie auch auf eine Softwarelösung zurückgreifen, denn es gibt Programme, die die Infrastruktur Ihrer IT automatisch erfassen und Ihren Notfallplan so zu jeder Zeit aktuell hält.

Eine einfache Möglichkeit, die Sicherheit aktuell zu halten, ohne dass ein Mitarbeiter eingreifen muss, sind automatische Updates, Back-Ups oder Protokolle. Diese müssen meist nur einmalig bestätigt bzw. eingerichtet werden und laufen, im Optimalfall, unbemerkt im Hintergrund. Außerdem gibt es, wie erwähnt, Software, die Ihnen dabei hilft, die Struktur Ihrer IT zu erfassen und Risiken dabei so schnell wie möglich auszumerzen. Ein komplett automatisiertes Sicherheitssystem ohne manuelles Eingreifen ist aber, zumindest zum aktuellen Zeitpunkt, noch nicht möglich.