01
IT-Sicherheit bezieht sich auf die Gewährleistung der Sicherheit von Informationstechnologien (IT), einschließlich Hardware und Software. Das primäre Ziel dieser Schutztechnologien ist es, die Sicherheit der Informationsverarbeitung und Kommunikation zu gewährleisten, indem korrekte Abläufe der Hardware- und Software-Systeme sichergestellt werden. Unternehmen sind gesetzlich dazu verpflichtet, in den Aufbau und die Umsetzung von IT-Sicherheitskonzepten zu investieren. Die Implementierung solcher Konzepte im Geschäftssektor ist keine freiwillige Entscheidung, sondern eine Compliance-Verpflichtung.
Neben Richtlinien wie ISO 27001, COBIT oder ITIL sorgen auch konkrete Gesetze, Verordnungen und Richtlinien dafür, dass sich Unternehmen ihrer Handlungs- und Verantwortungsbereiche hinsichtlich der Informationssicherheit bewusst sind.
Unternehmensinformationen müssen zuverlässig in Bezug auf Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität geschützt werden. Die Einhaltung der Gesetze zum Datenschutz und zur Informationssicherheit ist daher unerlässlich, um die Rechtskonformität eines Unternehmens zu erlangen.
03
Die IT-Sicherheit von Systemen wird durch unterschiedliche Typen von Angriffsmethoden und -vektoren auf die Probe gestellt. Laut einer aktuellen Gartner-Analyse gelten Distributed-Denial-of-Service-Attacken (DDoS) als der am weitesten verbreitete Angriffstyp. Befeuert durch die geopolitischen Entwicklungen der vergangenen Jahre sehen sich Organisationen aus allen Sektoren immer häufiger schlagkräftigen DDoS-Attacken ausgesetzt.
Neben DDoS-Attacken zählen Angriffe auf (Cloud-)Anwendungen und dahinterliegende Datenbanken mittels automatisierter Bot-Attacken, Malware oder Ransomware zu den größten Risiken der IT-Sicherheit für Unternehmen.
Nachfolgend lernen Sie die drängendsten Cyberrisiken kennen, die dedizierte IT-Sicherheitssysteme zur Abwehr erfordern.
Botnetze zählen zu den geläufigsten Waffen von Cyberkriminellen. Als Botnetz sind verzweigte Zusammenschlüsse von kompromittierten Endgeräten wie Notebooks, Netzwerkdrucker, IP-Kameras und IoT Devices zu verstehen, die von Angreifern aus der Ferne kontrolliert werden. Cyberkriminelle nutzen Botnetze unter anderem zur Ausführung von DDoS-Attacken, Brute-Force-Angriffen, Credential Stuffing, Credential Cracking oder Click Fraud. Zum Schutz vor solchen und vielen weiteren Angriffstypen bieten IT-Sicherheit-Dienstleister unterschiedliche Lösungen zum Schutz von Online-Prozessen, Nutzerkonten und Clients.
Unter den Begriff Schadsoftware beziehungsweise Malware fallen alle Arten von Computerprogrammen, die unerwünschte oder schädliche Aktionen in einem System ausführen. Hierzu zählen Computerviren, Würmer, Trojaner, Spyware oder Adware. Schadsoftware gelangt in den meisten Fällen über schädliche E-Mail-Anhänge oder manipulierte Webseiten auf die Zielsysteme. IT-Sicherheitslösungen für Endpunktschutz können solche Infektionen verhindern.
Ransomware ist eine spezielle Schadsoftware, die ein System verschlüsselt und den Zugriff auf die Daten nur dann wieder freigibt, wenn das Opfer ein Lösegeld (engl. „ransom“) zahlt. Ransomware ist umgangssprachlich auch als Erpressertrojaner oder Verschlüsselungstrojaner bekannt. Zu den bekanntesten Ransomware-Typen zählen WannaCry und Petya. Häufige Verbreitungswege für Ransomware sind Spam-Mails, Phishing und Drive-by-Exploits. Letztere nutzen gezielt Schwachstellen in Browsern, Browser-Plug-ins oder Betriebssystemen aus.
Spam bezeichnet unerwünschte E-Mails und ist ein beliebtes Mittel, um Schadsoftware zu verbreiten. Phishing-Mails sind hingegen eine besondere Art von Spam. Sie wollen das Ziel dazu bewegen, eine bestimmte Aktion auszuführen – zum Beispiel Log-in- oder sogar Bankdaten preiszugeben oder Malware zu installieren. Um Spam und Phishing erfolgreich zu bekämpfen, bieten sich unter anderem IT-Sicherheitslösungen an, die mittels Awareness-Schulungen und Simulationsangriffen Angestellte in Firmen für das Thema sensibilisieren.
05
Für den Ausbau der IT-Sicherheit in Unternehmen gilt es, sicherheitsrelevante Problemfelder in digitalen Geschäftsprozessen gleichrangig zu adressieren. Egal, ob diese nun Software, Hardware oder aber die Anwender:innen selbst betreffen. Unternehmen, die IT-Sicherheit bei allen aktiven Akteuren im Prozess mitbedenken, können die virtuelle Angriffsfläche so gering wie möglich halten. Konkret sind lückenlose Programme, manipulationssichere Hardware, geschulte Anwender und skalierbare IT-Sicherheitslösungen gefragt.
Security by Design bezeichnet in der Software-Entwicklung das Grundkonzept, ganzheitliche IT-Sicherheit als festen Bestandteil von der ersten Projektplanung bis hin zum finalen Produkt miteinzubeziehen. Programme, die unter dieser Prämisse entwickelt wurden, weisen seltener kritische Schwachstellen auf und sind weniger anfällig für Attacken von außen. Darüber hinaus fällt die Entwicklung kostengünstiger aus, da eine nachträgliche Implementierung von sicherheitsspezifischen Änderungen per Update meist deutlich aufwendiger ist. Wer dahingegen Probleme bei der IT-Sicherheit so früh wie möglich im Entwicklungsprozess adressiert, muss später keine umfangreichen Anpassungen am Code vornehmen.
Konsequent weitergedacht endet IT-Sicherheit aber nicht beim Programm-Code, denn selbst die fähigsten Entwicklerinnen und Entwickler können keine Software programmieren, die vollends vor Anwenderfehlern gefeit ist. Vielmehr muss auch die Person vor dem Bildschirm in einer holistischen IT-Sicherheitsstrategie mit bedacht werden. Nicht ohne Grund sind in den BSI-Vorgaben für ISO 27001 auf Basis von IT-Grundschutz konkrete Anforderungen für Sensibilisierung und Schulung des Personals angegeben. Ebenso sieht auch das internationale Regelwerk für den Zahlungsverkehr PCI-DSS Awareness-Trainings für alle Mitarbeitenden vor.
Zu den drängendsten Awareness-Themen zählen unter anderem: Passwort-Sicherheit, Vorteile mehrstufiger Anmeldeverfahren wie 2FA/MFA, Vorteile und Einsatz von Datenverschlüsselung, Phishing und Social Engineering sowie Identifikation von Angriffen und Malware-Befall.
Auf Hardware-Ebene spielt IT-Sicherheit ebenfalls eine bedeutende Rolle. Schon bei der Geräte-Evaluierung und dem Deployment lauern die ersten Stolpersteine – speziell in den Bereichen IoT beziehungsweise IIoT & Industrie 4.0. Unternehmen sollten sich bei der Hardware-Wahl auf die zuvor definierten Mindestanforderungen beschränken, um die Angriffsfläche des Netzwerks nicht unnötig zu vergrößern. Ist etwa ein USB-Slot am Gerät für den Betrieb erforderlich oder öffnet die Schnittstelle unnötig Angreifern einen Zugang zu den Systemen?
Die eingesetzte Hardware muss darüber hinaus über ein Mindestmaß an Manipulationssicherheit verfügen, um Angreifern den Zugriff auf das Netzwerk zu erschweren. Hierzu zählen etwa fest montierte Gehäuseabdeckungen und Sensoren, die physische Manipulationsversuche umgehend melden. Das Thema Manipulationssicherheit ist insbesondere für Geräte von Bedeutung, die im öffentlichen Raum installiert werden. Dort fällt der Zugangsschutz weg, der innerhalb von Büros, Produktionsanlagen oder Fabrikhallen gewährleistet ist.
Hardware-Probleme oder Defekte aufgrund äußerer Einflüsse (Überschwemmungen, Brände, etc.) lassen sich nie zur Gänze ausschließen. Deshalb sollten kritische Anwendungen stets auf redundant gesicherter Hardware ausgeführt werden. Fällt etwa ein Server aufgrund von Hardware-Defekten aus, kann so eine weitere Instanz dessen Prozesse übernehmen, um teure Ausfälle zu vermeiden. Mittels Geo-Redundanz schließen Unternehmen auch Standort-bedingte Ausfälle aus.
Mit dem einmaligen Aufsetzen und Konfigurieren von Geräten und Software ist es nicht getan. Mit steigenden Anforderungen an die IT-Sicherheit und neuen Geschäftsprozessen müssen Firmen ihre Netzwerke oftmals anpassen oder ausbauen. Zudem sind auch die einzelnen Endpunkte nicht für die Ewigkeit gemacht und erfordern Wartungs- und gegebenenfalls Austauscharbeiten. Um dabei nicht den Überblick über das eigene Netzwerk zu verlieren, bedarf es einem detaillierten Lifecycle Management für Deployment, Decommissioning, Onboarding zur Cloud und Maintenance (Soft- und Hardware). Die auf ausgemusterten Geräten enthaltenen Daten gilt es unwiederbringlich zu löschen, sonst droht ein unkontrollierter Datenabfluss.
IT-Sicherheit umfasst verschiedene Aspekte, um Computersysteme, Netzwerke und Daten vor Bedrohungen zu schützen. Hierzu zählen unter anderem Network Security, System & Client Security, Data Security, Cloud Security & Backup, Business Continuity, Threat Intelligence oder auch Incident Response. Insgesamt zielt IT-Sicherheit darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen sicherzustellen und potenzielle Risiken zu minimieren.
IT-Sicherheit für Unternehmen ist kein Selbstzweck und sollte daher nicht um jeden Preis, sondern individuell, risikospezifisch und bedarfsgerecht umgesetzt werden. So gilt es je nach Organisationsgröße, Digitalisierungs- und Bedrohungsgrad geeignete IT-Sicherheitssysteme und Maßnahmen einzusetzen, um die primären Schutzziele zu verfolgen.
Der Markt für IT-Sicherheitslösungen ist groß, komplex und international – und damit auch schwer zu überblicken. Dennoch lässt sich anhand verschiedener Indikatoren schnell herausfinden, ob eine IT-Sicherheitsfirma seriös ist: professionelle IT-Sicherheitsdienstleister verfügen über anerkannte Zertifizierungen und Audit-Nachweise, die ihre Kompetenzen bestätigen. Hierzu zählen etwa eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz (BSI), ein Testat für BSI C5 (Cloud Computing Compliance Criteria Catalogue) oder eine Zertifizierung für PCI-DSS (Payment Card Industry Data Security Standard). Darüber hinaus können Kundenreferenzen bei der Einschätzung einer IT-Sicherheitsfirma hilfreich sein. Große Unternehmen, Banken, Versicherungen und behördliche Organisationen achten darauf, nur mit etablierten und seriösen Dienstleistern zusammenzuarbeiten, um die regulatorischen Anforderungen an die digitale Lieferkette zu erfüllen.