Fahrplan für eine sichere IT-Infrastruktur
Ein ITQ-Artikel von Dennis Joist | Die Bedrohungslage durch Cyber-Kriminelle steigt ebenso wie die Abhängigkeit von der eigenen Informationstechnik. Um Sie vor Hackerangriffen, Datenverlust und Systemausfällen zu schützen, gebe ich Ihnen nachfolgend den Fahrplan für eine sichere IT-Infrastruktur an die Hand.
Wo fange ich an?
Sie starten dort, wo die IT-Infrastruktur Sicherheitslücken aufweist und bei den Systemen, die dringend für Ihre wichtigsten Geschäftsprozesse benötigt werden.
Betrachten Sie Ihre Geschäftsprozesse ganz allgemein, um sich möglicher Risiken bewusst zu werden und angemessene Entscheidungen treffen zu können. Der erforderliche Aufwand zur Absicherung kritischer Geschäftsprozesse ist maßgeblich davon abhängig, wie lange man auf diese verzichten kann, ohne dass ein existenzgefährdender Schaden eintritt. Im nächsten Schritt sollte eine spezielle Prüfung stattfinden, inwiefern die IT-Systeme, von denen Ihre Geschäftsprozesse abhängig sind, ausreichend gegen Angriffe durch Dritte und vor Datenverlust geschützt sind.
Es gibt eine Vielzahl wirksamer Maßnahmen zur Steigerung der IT-Sicherheit – die passenden werden jedoch selten genutzt. Externe Angreifer bedient sich vorrangig an den Früchten, die am niedrigsten am Baum hängen.
Leiten Sie daher zunächst Sicherheitsmaßnahmen ein die verhindern, dass Ihr Unternehmen von außen als leichtes Angriffsziel erscheint. Womit wir zum eigentlichen Fahrplan für eine sichere IT-Infrastruktur kommen:
1. Informationssicherheits-Audit und Penetrationstest
Untersuchen Sie regelmäßig, ob und inwieweit die getroffenen Schutzmaßnahmen angemessen sind.
Empfehlenswert hierfür ist die Basisprüfung ITQ. Zugeschnitten auf die Ansprüche von kleineren und mittleren Unternehmen liefert diese Infrastrukturprüfung einen Maßnahmenkatalog zur Beseitigung möglicher Missstände gleich mit. Zudem sollte die IT-Infrastruktur einem Penetrationstest unterzogen werden – dieser simulierte Hacker-Angriff untersucht Ihr Netzwerk auf Sicherheitsmängel.
2. Datenklassifizierung
Ermitteln Sie Ihre ‘Kronjuwelen’. Das sind die Daten, die den höchsten unternehmerischen Wert darstellen oder als besonders vertraulich gelten.
Wichtig: Welche Daten das sind, sollte allen Mitarbeitern bekannt sein. Denn nur so können sie sich im Umgang mit diesen Daten angemessen verhalten.
3. Berechtigungskonzept
Mitarbeiter sollten grundsätzlich nur solche Informationen einsehen können, die zur Erledigung ihrer Aufgaben notwendig sind. Das Gleiche gilt für den Zugang zu IT-Systemen.
Ist der Schutzbedarf von Daten bekannt, schließt sich die Frage an, welche Personen auf diese zugreifen sollten. Damit die Rechte klar definiert sind, sollte ein Berechtigungskonzept nach Benutzern oder Benutzergruppen erstellt werden.
4. Mitarbeiter
Schulen und sensibilisieren Sie Ihr Personal kontinuierlich.
Die stärksten Sicherheitsvorkehrungen sind wirkungslos, wenn Mails ungeprüft geöffnet oder USB Sticks unbekannter Herkunft an Rechner angeschlossen werden und Mitarbeiter ihre Passwörter sichtbar am Arbeitsplatz platzieren. Oft ist dieses Verhalten nicht auf Faulheit, sondern fehlendes Problembewusstsein seitens der Mitarbeiter zurückzuführen.
5. Datensicherung
Ein funktionierendes Datensicherungskonzept ist essenziell, um verlorene Daten bei Bedarf wieder einspielen zu können.
Die Frage ist nicht, ob Daten verloren gehen, sondern wann. Der Zeitraum, über den ein Datenverlust hingenommen werden kann, definiert hierfür die passenden Sicherungsintervalle. Prüfen Sie die Datensicherung regelmäßig, um deren kontinuierliche Funktion zu gewährleisten. Lagern Sie die Datenträger wichtiger Sicherungen aus – zum Beispiel in ein Bankschließfach.
6. Patchmanagement
Spielen Sie aktuelle Updates zeitnah ein.
Beliebtes Angriffsziel für Hacker sind Sicherheitslücken, die durch Programmierfehler entstanden sind. Achten Sie daher dringend darauf, dass alle aktuellen Updates zeitnah eingespielt werden. Neue Soft- und Hardware sollte zudem immer sofort inventarisiert und in Ihr Patchmanagement aufgenommen werden.
7. Passwortschutz
Regeln Sie den Umgang mit Passwörtern verbindlich und stellen Sie genau Vorgaben auf.
Zu empfehlen ist der Einsatz eines Passwortmanagers, mit dem man sichere Kennwörter automatisch generiert und verwaltet. Systeme und Anwendungen, die besonders vertrauliche Informationen verarbeiten, sollten durch eine Zwei-Faktor-Authentifizierung geschützt werden.
8. Notfallmanagement
Erstellen Sie einen Notfallplan für Ihre IT-Systeme
Genauso sicher wie Datenverlust ist (leider), dass sich irgendwann ein Notfall bezüglich der Funktion Ihrer IT-Systeme ereignen wird. Ein Notfallplan legt fest, wie der Betrieb im Ernstfall auf schnellstem Weg wiederhergestellt werden kann. Es empfiehlt sich, verschiedene Schadensszenarien durchzuspielen und Überlegungen anzustellen, welche Maßnahmen sinnvoll sind.
9. Virenschutz
Implementieren Sie Virenschutzlösungen – auf allen Systemen.
Software zum Schutz vor Schadprogrammen sollte auf allen IT-Systemen installiert sein. Gerne werden hierbei mobile Endgeräte wie Smartphones, Tablets und Laptops vergessen, obwohl diese noch anfälliger für Viren sind. Die Konfiguration muss den Sicherheitsanforderungen des Unternehmens entsprechen und regelmäßig kontrolliert werden – gleiches gilt übrigens für Firewalls.
Es existiert eine Vielzahl notwendiger Schutzmaßnahmen, um die IT-Sicherheit im Unternehmen auf ein angemessenes Niveau zu bringen – die Ergebnisse eines Informationssicherheits-Audit (siehe Punkt 1.) ermöglichen die richtigen Rückschlüsse, um Sicherheitslücken Stück für Stück zu schließen.
Sie haben Fragen zum Fahrplan für eine sichere IT-Infrastruktur? Rufen Sie uns an unter 0800 4883 338. Weitere Details zum Thema Sicherheit finden Sie hier.
