Suchen

IT-Sicherheit geht weit über die Technik hinaus

IT-Sicherheit

Sicherheit ist ein heißes Thema, das brauchen wir niemandem mehr zu erklären. Aber die Tatsache, dass Sicherheit nicht nur eine technische „Sache“ ist, wird von vielen Menschen übersehen. Bei guter IT-Sicherheit geht es nicht nur um Technologie, sondern auch um organisatorische Abläufe, Rechtsvorschriften und Verhalten. Jetzt erfahren, wie das funktioniert.

Größter Cyberangriff aller Zeiten

Es wird niemandem entgangen sein: der Hack auf Kaseya. Eine russische Gruppe brach in die Büros des Softwareanbieters ein und nutzte eine Schwachstelle in der Authentifizierung der Kaseya-Verwaltungssoftware, um in die IKT-Systeme der Kunden weltweit einzudringen. Nach dem Eindringen konnten sie die Verwaltungssoftware nutzen, um Malware zu installieren, Antivirensoftware zu deaktivieren und alle Daten auf den Systemen zu verschlüsseln und unzugänglich zu machen. Die Cyberkriminellen verlangten rund 59 Millionen Euro in Bitcoin für einen universellen Entschlüsselungsschlüssel und dieser Hack ist nun als der größte Cyberangriff aller Zeiten bekannt.

Lektionen

Bei MostWare haben wir den Vorfall natürlich aufmerksam verfolgt. Welche Lehren können wir daraus ziehen, um die Wahrscheinlichkeit ähnlicher Vorfälle bei unseren Kunden weiter zu verringern? Mit den gewonnenen Erkenntnissen überprüften wir unsere eigenen Managementsysteme und taten, was wir tun mussten, um ihre Sicherheit noch weiter zu erhöhen. Aber was können Sie daraus lernen?

Es beginnt mit der Technologie

Zunächst einmal muss die Technik in Ordnung sein. Versorgen Sie alle Ihre Workstations, Server und Netzwerkgeräte strukturell mit den neuesten Updates oder Firmware. Kollege Maurice Breed hat in einer Reihe von Blogs die Sicherheit einer IT-Umgebung mit der Sicherung Ihres Hauses gegen unerwünschte Eindringlinge verglichen. Das beginnt mit einer soliden Tür, dann braucht man ein solides Schloss und eine zuverlässige Alarmanlage. Im fünften Blog warnt er vor dem vergessenen offenen Fenster, und schließlich spricht er über die Bedeutung eines guten Wachhundes.

Überprüfen Sie Ihre organisatorischen Abläufe

Wenn die Technologie in Ordnung ist, sollten Sie sich Ihre Geschäftsprozesse ansehen. Stellen Sie sicher, dass die Sicherheitsmaßnahmen effizient in Ihre täglichen Abläufe integriert sind, und sorgen Sie für ein gutes Back-up-System. Sollte es doch einmal schief gehen, müssen Sie nicht Ihr hart verdientes Geld für einen Entschlüsselungsschlüssel ausgeben, sondern können Ihr letztes Backup wiederherstellen und in kürzester Zeit wieder mit der Arbeit beginnen.

Die Rolle des menschlichen Verhaltens

Unterschätzen Sie auch nicht die Rolle des Benutzers, stellen Sie sicher, dass er sich der Gefahren bewusst ist. Sie können eine noch so gut aufgebaute Firewall haben, aber wenn Ihre Mitarbeiter ihre Anmeldedaten mit einem Post-it an den Bildschirm kleben, nützt Ihnen das nicht viel. Aber das Bewusstsein reicht weiter: eine E-Mail, die versehentlich an die falsche Person geschickt wird, ein bösartiger Link, der angeklickt wird, oder ein verlorener USB-Stick, den jemand mit gutem Willen in einen Computer steckt. Verständliche Maßnahmen, aber sie bergen enorme Risiken für die Sicherheit Ihres Unternehmens. Sorgen Sie also dafür, dass Ihre Mitarbeiter in Sachen Sicherheit geschult sind.

Und dann gibt es noch die Gesetzgebung

Eine gute Sicherheit in Ihrer IT-Umgebung ist nicht nur für Ihren eigenen Seelenfrieden wichtig, sondern Sie müssen auch die immer strengeren Anforderungen in diesem Bereich erfüllen. Dazu kann die EU-weite Datenschutzgesetzgebung gehören: die „Allgemeine Datenschutzverordnung“ (GDPR). Es kann aber auch branchenspezifische Bestimmungen oder internationale Richtlinien geben, die Sie beachten müssen. Denken Sie an ISO-27001, eine weltweit anerkannte Norm, die beschreibt, wie Organisationen prozessorientiert mit der Sicherheit von Informationen umgehen können. Gerade jetzt, wo wir immer mehr aus der Ferne und in der Cloud arbeiten, ist es wichtig, zusätzliche Vorsichtsmaßnahmen zu treffen.