07.10.2011
Sicherheit
Von: Siegfried Dannehl

IT-Sicherheit in Deutschland

Mitarbeiter sind potentielle IT-Schwachstellen

Die Bedrohungsszenarien für die Unternehmens-IT werden komplexer und die Vielfalt der Angriffsszenarien wächst laut der IDC-Studie "IT Security in Deutschland 2011*" kontinuierlich. Neue Attacken, begünstigt durch die Nutzung von Cloud Computing, Mobility und Social Media sowie unzulängliche IT-Sicherheitskonzepte in den Unternehmen, erfordern neue ganzheitliche IT Security-Strategien. Vor allem die eigenen Mitarbeiter müssen stärker in die Sicherheitsüberlegungen mit einbezogen werden.


Angesichts der ständig zunehmenden Zahl an mobilen Kommunikationsgeräten, komplexeren IT-Infrastrukturen und Geschäftsprozessen, die auch Plattformen sozialer Netzwerke in ihre Kommunikation mit einbeziehen, sind die spezifischen Herausforderungen an die Sicherheit nicht nur immens, sondern auch einem stetigen Wandel unterworfen. Ein großer Teil der Unternehmensdaten liegt nicht mehr auf Servern im Unternehmen sondern ist verstreut – auf mobilen Datenträgern, auf Notebooks von Mitarbeitern, in E-Mail-Postfächern beim Provider oder in der Cloud. Ein Verlust der Daten, ob aus Versehen oder durch Vorsatz, kann dem Unternehmen schaden. Durch Verlust von Kundendaten kommt es zu Vertrauensverlust und Rufschädigung. Der Verlust von Unternehmensdaten schädigt das Geschäft. Zudem kommen auf das Unternehmen Bußgelder und Strafen zu wenn Compliance-Richtlinien zum Schutz von Daten verletzt worden sind.

„Was den Schutz von kritischen Unternehmensdaten angeht, so stehen die Firmen vor zwei Problemen. Zum einen gibt es Angriffe aus dem Netz – es bedarf also hier effektiver Abwehrmechanismen. Auf der anderen Seite müssen Unternehmensdaten, die sich auf Datenträgern wie externen Festplatten oder USB-Sticks bei den Mitarbeitern befinden, ebenfalls abgesichert werden“, sagt Sascha Pfeiffer, Principal Security Consultant bei Sophos.

Trügerisches Sicherheitsgefühl

Die im Rahmen der IDC-Studie befragten Unternehmen geben sich hinsichtlich der Qualität ihrer Schutzvorkehrungen und Schutzeinrichtungen durchaus überzeugt. 21 Prozent der befragten Unternehmen stufen den Schutz gegen Angriffe von außen als absolut sicher und 60 Prozent als in hohem Maße sicher ein. 15 Prozent der Unternehmen attestieren sich eine teilweise Sicherheit, vier Prozent der Befragten schätzen den Schutz gegen Angriffe von außen als unsicher ein. Die Sicherheitsverantwortlichen sind sich laut IDC der Tatsache bewusst, dass der erforderliche Sicherheitsstandard permanent Ressourcen erfordert und dass diese Ressourcen nicht immer zur Verfügung stehen. Um den heutigen IT-Sicherheitslevel zu halten oder zu verbessern muss kontinuierlich in Technologie, Know-how und Awareness investiert werden. Neue Angriffsmethoden müssen als solche zunächst einmal erkannt werden. Dann gilt es so rasch wie möglich geeignete Abwehrmaßnahmen zu implementieren und gegebenenfalls Wiederherstellungsmaßnahmen umzusetzen.

„Es ist selten das Versagen der Sicherheitsmechanismen als vielmehr die fehlende Aufmerksamkeit der Unternehmen, die Hackern Tür und Tor öffnet. Cyber-Kriminelle missbrauchen gerne Mitarbeiterrechner oder -laptops, um Netzwerke zu infizieren. Das ist allgemein bekannt. Deshalb gibt es Firewalls und Intrusion Prevention Systeme (IPS) um die Serverdaten von diesen Geräten getrennt zu sichern. Aber die Installation solcher Schutzmechanismen alleine reicht eben nicht", konstatiert Hermann Klein, Country Manager DACH bei Stonesoft. Vielmehr müssen, so Klein, starke Sicherheitsrichtlinien hinterlegt sein und jemand muss die Alarme der Systeme auch überwachen. Dafür benötigen Administratoren ein zentrales Management um das gesamte Netzwerk im Blick zu haben. Ohne diese ständige Aufmerksamkeit tappen Unternehmen nach seinen Worten im Sicherheits-Dunkeln – in dem sich Hacker mit Methoden wie Port-Scans, Schadsoftware oder Passwortspionage in aller Ruhe nach einer Sicherheitslücke umsehen können.
Neue Hacker-Methoden wie die sogenannten Advanced Evasion Techniques (AETs), die keinerlei Spuren hinterlassen, stellen aber auch vermeintlich gut geschützte Netzwerke vor neue Herausforderungen. Eine Tatsache, die laut Klein die IT-Sicherheitsbranche mit zu verantworten hat. „Viele Anbieter haben sich in den vergangenen Jahren in der Entwicklung eher auf Geschwindigkeit oder neue Features konzentriert, die den Zugang zu einzelnen Webapplikationen sperren. Der momentane Trend in der Branche geht dahin, immer mehr kontrollieren zu wollen. Damit beeinträchtigen Unternehmen die Produktivität ihrer Mitarbeiter und verschließen sich gegenüber neuen Absatzmärkten im Netz. Die Kernaufgabe der IT-Sicherheit ist nach wie vor: Angriffe zu entdecken, aufzuhalten und eine Ausbreitung im Netzwerk zu verhindern“, so Klein.

Bodyguards für die Unternehmens-IT

IT-Security ist mit den Kern-Themen: Infrastruktur-Sicherheit, Endpunkt-Sicherheit, Messaging/Web-Sicherheit, Identitäts- und Zugriffsmanagement, Sicherheitsmanagement- und Betrieb, Backup und Recovery und Governance, Risk Management und Compliance sehr breit gefächert. Für alle diese Bereiche gilt es Ressourcen (Personal, Know-how, Organisationsstrukturen, operative Strukturen und Lösungen/Produkte) vorzuhalten und immer auf dem aktuellen Stand zu bringen. Eine Aufgabe, die für Unternehmen zu einer wachsenden Herausforderung wird. Wie aktuelle Analysen der Experton Group zeigen, nehmen derzeit knapp 20 Prozent der Unternehmen ab 10 Mitarbeiter externe Security Services in Anspruch – Tendenz steigend. Die maßgeblichen Gründe für die Auslagerung von IT-Security liegen dabei weiterhin in den Bereichen der Kostensenkungspotenziale, der Erhöhung der Sicherheit sowie Flexibilität, Leistungsfähigkeit und Verbesserung der Servicequalität. Im Rahmen der genutzten Security Services werden insbesondere im Bereich Content Security, vor allem Managed Security Services als auch Cloud Services nachgefragt.

Einschätzung, die von der IDC-Studie bestätigt werden. Laut der Befragung können mittels Security-as-a-Service aktuelle User-Ansprüche, wie sehr kurze Reaktionszeiten auf Veränderungsanforderungen (Signaturen, Files, Update und Code Fixes), geringe Bereitstellungs- und Nutzungskosten sowie eine zentrale Verwaltung der Ereignisdokumentation erfüllt werden. Zum anderen ergeben sich durch die Nutzung von Public-, Private- oder Hybrid-Cloud-Angeboten für die Unternehmen neue Anforderungen für die Bereitstellung und den Bezug von Services. Um Sicherheitsrisiken beim Bezug von Cloud Services zu vermeiden beziehungsweise abzuwehren und eine höhere Datensicherheit zu erreichen bedarf es vielfältiger Aktivitäten. So führen 54 Prozent der befragten Unternehmen beispielsweise im Vorfeld eine Optimierung der internen IT Security und 41 Prozent zumindest umfassende Sicherheitsbewertungen der internen IT durch.
Derweil rüsten auch die Anbieter von Managed Security Services auf. So hat die Bristol Group Deutschland GmbH, unabhängiger IT Security Service- und Solution Advisor, kürzlich den Cyber Threat Management Service Seculert in sein Sicherheitsportfolio integriert. Das "Sicherheitsradar" im Internet ist eine präventive Maßnahme, die in Echtzeit Aufschluss darüber gibt, inwieweit – trotz aller implementierter Sicherheitsmechanismen – interne Systeme bereits infiziert wurden und im Internet aktiv sind. Als SaaS-Lösung empfiehlt Seculert, welche Aktionen umgehend durchzuführen sind um diese Kommunikation zu unterbinden, zum Beispiel mit welchen Firewall-Einstellungen diese Bedrohungen aus dem Weg zu räumen sind. Seculert klärt zudem auf, wie mit den betroffenen Systemen zu verfahren ist.

Faktor Mensch wird zur Schlüsselkomponente

Unabhängig davon, ob Unternehmen die IT-Sicherheit in die eigenen Hände nehmen, sie komplett externen Dienstleistern übertragen oder in Teilbereichen auf externe Ressourcen zurückgreifen, ist eine Erkenntnis unstrittig: Bei genauer Risikoanalyse erweist sich das Sicherheitsbewusstsein der eigenen Mitarbeiter häufig als größte Gefahrenquelle. Unternehmen müssen sich deshalb zunehmend auf IT Security-Maßnahmen bei den Anwendern fokussieren. Die Hälfte der im Rahmen der IDC-Studie befragten Unternehmen benannte die Mitarbeiter als schwächstes Glied ihrer IT Security-Kette, gefolgt von Smartphones, Laptops und PC-Arbeitsplätzen. „Die Studienergebnisse beweisen einmal mehr, dass Mitarbeiter ein großes Sicherheitsrisiko in einem Unternehmen darstellen“, so Matthias Zacher, Senior Consultant und Projektleiter bei IDC in Frankfurt. „Dies zeigt aber auch eindrucksvoll, welchen Stellenwert der Faktor Mensch im gesamten Security-Gefüge einer Organisation innehat.“

„Datenverluste durch leichtsinnige Mitarbeiter oder Datenmissbrauch durch unzufriedene Mitarbeiter gibt es schon länger“, sagt Sascha Pfeiffer, Principal Security Consultant bei Sophos. „Vollkommen neue Herausforderungen für die Datensicherheit sind dagegen durch die schnelle Verbreitung von Mobiltechnologien und Social Media sowie eine zunehmend von Endusern geprägte IT entstanden. Durch die vermehrte Nutzung mobiler Geräte – geschäftlich wie privat – und die Verbreitung von Social Media am Arbeitsplatz entstehen neue Angriffsflächen. Für knapp die Hälfte der befragten deutschen Unternehmen stellt nach einer Untersuchung von Symantec diese „Konsumerisierung der IT“ die größte Herausforderung bei IT-Sicherheit dar. Beschleunigt wird diese Entwicklung durch die Popularität der großen mobilen Plattformen wie iOS, Android oder Windows Phone 7. So hat sich die Zahl der Attacken auf Smartphone und Co. innerhalb eines Jahres fast verdoppelt. Mit der gestiegenen Popularität von Sozialen Netzwerken überrascht es auch nicht, dass diese Plattformen verstärkt Attacken ausgesetzt waren. Eine beliebte Angriffsmethode war der Einsatz von Kurz-URLs, die per Mail oder Webpage verbreitet werden. Im vergangenen Jahr haben Cyberkriminelle Millionen von Kurz-URLs in soziale Netzwerke geschleust und darüber ihre Phishing-Attacke gestartet oder ihren Schadcode verbreitet. Die Zahl der Infektionen erhöhte sich dadurch dramatisch.

IT-Sicherheit ist vor allem Chefsache

Obwohl die IT-Sicherheit unwidersprochen ein unternehmensweites Thema darstellt, obliegt sie fast ausschließlich der IT oder den Security-Verantwortlichen. Diese funktionale Zuordnung ist zwar in fachlicher Hinsicht sinnvoll, darf aber nicht so weit gehen, dass die Business-Abteilungen von einem eigenen Engagement befreit werden. Dies ist jedoch nach Erfahrung des Netzwerk-Sicherheitsspezialisten Mikado Soft GmbH in der Praxis weit verbreitet zu beobachten. Als Konsequenz, so das Berliner Beratungs- und Serviceunternehmen, fehlt es den Initiatoren von Maßnahmen an Unterstützung und mögliche Optimierungspotenziale in der IT-Sicherheit können nicht ausreichend aktiviert werden. „Die Bedrohungslandschaft hat sich dauerhaft verändert. Deshalb müssen Unternehmen ihre Strategien zum Schutz digitaler Daten überprüfen. Die IT-Sicherheitsstrategie wird ein immer wichtigerer Bereich des Risikomanagements, der zum Aufgabengebiet des Top-Managements eines Unternehmens gehören sollte. Wenn das Thema Sicherheit von den Unternehmensverantwortlichen ignoriert und allein dem IT-Management überlassen wird, deutet das auf eine schwache Unternehmensführung hin“, sagt Hermann Klein, Country Manager DACH von Stonesoft.

* Im Rahmen der Studie „IT Security in Deutschland 2011“ hat das Marktforschungs- und Beratungsunternehmen IDC im Juni 2011 eine Befragung unter 202 deutschen Unternehmen mit mehr als 100 Mitarbeitern durchgeführt.


Weiterführende Links
www.idc.de/anwenderstudie_security2011/
www.sophos.de/
www.stonesoft.de/
www.experton-group.de/
www.bristol.de/
www.symantec.de/
www.mikadosoft.de/

„Unverzichtbare Sicherheitsmechanismen“

Die Anforderungen an Daten- und Kommunikationssicherheit sind durch den deutschen Gesetzgeber für den Mittelstand ebenso vorgegeben wie für Großunternehmen. Um den Schutz von Daten und Unternehmenswerten zu gewährleisten, stellt sich in mittelständigen Unternehmen die Problematik, dass nur ein überschaubares Budget und eine geringe Personaldecke für IT-Sicherheit vorhanden sind. Oft müssen einzelne Personen unterschiedliche Aufgaben- und Themengebiete betreuen. IT-Sicherheit kann so leicht auf der Strecke bleiben. Der Trend zeigt uns jedoch, dass diese Problematik bekannt ist und neue Lösungsansätze in den Unternehmen diskutiert werden. So ist es möglich, regelmäßig externe  Beratung und Unterstützung für den Betrieb der Sicherheitssysteme in Betracht zu ziehen, um die eigenen Mitarbeiter zu entlasten und einen regelmäßigen Informationsaustausch zu fördern. Erfahrungsgemäß kann so der reibungslose Betrieb für sensible Sicherheitssysteme  gesichert werden. Grundsätzlich sind in den ‚Standardbereichen‘ Firewall, Virenschutz und URL-Filter auch im Mittelstand unverzichtbare Sicherheitsmechanismen seit vielen Jahren etabliert. Anders sieht es bei weiteren speziellen Themengebieten, wie zum Beispiel Datenbanksicherheit, WAF, DLP und Application Control aus. Hier gibt es aktuell noch großes Potenzial, um den Schutz der Daten noch effektiver gestalten zu können.

Quelle: Susanne Daum, Geschäftsführerin, The Bristol Group Deutschland GmbH



„Notwendige Evolution der IT“

Wie lässt sich ein verlässliches Sicherheitskonzept erarbeiten, wenn niemand weiß, welches Gerät in zwei Jahren, geschweige denn in zehn Jahren so populär sein wird wie das iPad heutzutage? Wie wird sich der Schadcode selbst entwickeln vor dem Hintergrund, dass er immer öfter für politische Zwecke genutzt wird? Wir müssen uns, um kluge Antworten darauf zu finden, von dem liebgewonnen systemorientierten Ansatz zu Gunsten eines auf Informationen zentrierten Modells trennen. Dieses informations-zentrische Modell von Symantec besagt, dass wir uns auf die Daten selbst konzentrieren müssen und diese absichern, kontrollieren, verwalten und steuern – unabhängig von einem speziellen System, Ort oder Gerät. Diese „Evolution“ der IT ist für Firmen jeder Größe überlebensnotwendig. Denn der Druck nimmt auf allen Ebenen zu. Die bisherigen Schutzwälle um die Rechenzentren und Netzwerke der Firmen sind löchrig oder wirkungsschwächer. Die Unternehmensdaten wandern überall hin und werden zu jeder Zeit bearbeitet, modifiziert, kopiert und verschoben. Sie liegen nicht mehr an dem Ort, über den die Organisation volle Kontrolle hatte. Schon das Konzept der Virtualisierung hat diese Emanzipation von Information und Plattform vorangetrieben. Die Einbindung mobiler Geräte und Cloud-Dienste beschleunigt diese Trennung von Hardware, Plattform und Betriebssystem nur noch mehr.

Quelle: Andreas Zeitler, Vice President und regional Manager Zentraleuropa bei Symantec



Drei Tipps für Datensicherheit und Compliance-Konformität:

1. Verschlüsselung

Die Datenverschlüsselung gehört zu den wichtigsten Maßnahmen für mehr Datensicherheit. Gerade beim Austausch von Daten zwischen zwei Geräten, zwischen Cloud- und Unternehmensserver sowie bei der Speicherung in der Cloud verhindert die Verschlüsselung, dass diese Daten von Unbefugten gelesen werden können. Nur die Personen, die zum Zugriff berechtigt sind, erhalten den „Schlüssel“ und können die Daten sehen. Eine unternehmensweite Festplattenverschlüsselung ist ein weiteres Muss.

 2. Compliance – schützt und spart Kosten

Viele Unternehmen zögern aus Kostengründen, umfassende Compliance-Maßnahmen wie operative Prozesse, Richtlinien, geschulte Arbeitskräfte und technologische Verfahren zu implementieren. Dabei zeigt eine Studie des Ponemon Instituts, dass die Kosten bei mangelnder Compliance um den Faktor 2,6 höher sind, als die Kosten für die Implementierung und Anwendung von Compliance-fördernden Maßnahmen. Die Kosten für Compliance lassen sich zudem durch eine aufeinander abgestimmte Kombination aus Verfahrens- und Kontrollprozessen sowie mit einer professionellen und guten Prozesssteuerung reduzieren.

 3. Strategie und Verhinderung von Datenverlust


Eine Datenschutzstrategie setzt sich aus drei Hauptkomponenten zusammen: Maßnahmen, die durch geltende Gesetze notwendig sind, operative Prozesse und Maßnahmen, die von Unternehmen selbst aufgestellt und durchgeführt werden sowie technologische Verfahren, die diese Maßnahmen und Prozesse bei der Umsetzung unterstützen. Data Loss Prevention identifiziert sensible Daten und prüft größere Datenvolumina auf Richtlinienverstöße und kann die Beteiligten und Verantwortlichen sofort alarmieren sowie die Übertragung stoppen.

Quelle: Sophos Deutschland GmbH www.sophos.de
Bildquelle: iStockphoto.com/alashi

Aktuelle Ausgabe

Titelinterview: ERP-System-Einführung
mit Philipp Hess und
Dr. Ralf Kampker von der Hans Hess Autoteile GmbH

Industrie 4.0 im Mittelstand
Gut vernetzt in die Zukunft

Neue Wege des Arbeitens

Windows 8
Mit mehr Sicherheit besser - und flexibler

Das neue Office
Immer und überall produktiv

Internet Explorer
Der Webbrowser rückt in den Fokus

Top-Jobs auf IT-MITTELSTAND

Interview mit Philipp Hess (re.), Geschäftsführer des Kölner Familienunternehmens Hess Autoteile, und Dr. Ralf Kampker, verantwortlich für IT-Projekte bei dem Mittelständler

Im Interview berichten Philipp Hess (re.), Geschäftsführer des Kölner Familienunternehmens Hess Autoteile, und Dr. Ralf Kampker, verantwortlich für IT-Projekte bei dem Mittelständler, über die Implementierung einer SAP-Branchensoftware. Die neue ERP-Lösung sollte dem raschen Unternehmenswachstum begegnen und interne Prozesse beschleunigen...mehr lesen »

IT Mittelstand Newsletter
Industrie 4.0: Vernetzte Produktionsprozesse

Industrie 4.0 ist ein Schlagwort, die Vision dahinter ist mitunter nicht ganz so eingängig. Folgender Definitionsversuch trifft es relativ gut:
Industrie 4.0 bedeutet die konsequente industrielle Automation unter Einbindung aller relevanten Informationen, die über weltweite, offene Netze zur Verfügung stehen. Doch auch der Mensch soll wohl Teil der modernen Produktionsprozesse bleiben...mehr lesen »