Navi: Startseite »Startseite »
IT-Sicherheit für Unternehmen
Geschrieben am Juli 19, 2020
abgelegt unter: Aktuell
Ein Unternehmen wird heute digital verwaltet. Auftragsunterlagen, Kommunikation mit Kunden und Geschäftspartnern, Gehaltsabrechnungen etc.: Kaum ein Dokument aus dem Geschäftsalltag ist heute ausschließlich analog am Arbeitsplatz vorhanden. Die IT-Sicherheit spielt daher auch für Gründer eine wichtige Rolle. Denn nichts ist schädlicher für ein Unternehmen, als wenn vertrauliche Daten in die falschen Hände geraten.
Darum ist IT-Sicherheit wichtig
In vielen Unternehmen werden vertrauliche Daten digital abgelegt. Zudem existieren üblicherweise verschiedene Schnittstellen mit dem lokalen Netzwerk und der Außenwelt. Durch diese Schnittstellen kann es böswilligen Angreifern gelingen, die Daten abzuschöpfen.
Bereits der Philosoph Francis Bacon wusste im 16. Jahrhundert, dass Wissen Macht ist. Was er noch auf wissenschaftliche Erkenntnisse bezog, lässt sich in Zeiten von Big Data auf nahezu jede Information ausweiten.
Insbesondere in geschäftlichen Zusammenhängen werden vertrauliche Informationen ausgetauscht. Dabei kann es um vertragliche Absprachen gehen, Informationen über Auftragsvolumina oder technische Details. Um diese vertraulichen Informationen sicher zu verwahren, muss die gesamte IT-Infrastruktur Ihres Unternehmens gegen Angriffe abgesichert sein.
Schwachstellen in der Firmen-IT
Üblicherweise sind Unternehmen nicht hermetisch von der Außenwelt abgeriegelt. Um mit Geschäftspartnern und Kunden zu kommunizieren, besteht eine Internetverbindung. Durch diese Verbindung können potenzielle Angreifer in das Firmennetzwerk eindringen.
Einige mögliche Schwachstellen, die in der Firmen-IT bestehen können:
- keine oder schwache Firewall: Die Firewall ist dafür zuständig, unautorisierte Zugriffe von außen zu unterbinden. Wenn dieser Mechanismus nicht ausreichend funktioniert, ist es mitunter leicht, sich in das Intranet Ihrer Firma einzuschleusen.
- veraltete Software: Jeder Arbeitsschritt, der an einem Computer erfolgt, umfasst die Nutzung von Dutzenden Softwares. Wenn in der Software Sicherheitslücken bestehen, ist es möglich, so Zugang zu internen Daten zu erlangen.
- nicht ausreichendes Sicherheitskonzept: Oft ist den Verantwortlichen nicht klar, wie fragil die Sicherheit eines IT-Systems ist. Daher hält nicht selten eine gewisse Unbekümmertheit Einzug. So können etwa fehlende Verschlüsselung, nicht aktuelle Sicherheitsprotokolle oder schwache Passwörter potenziellen Angreifern Tür und Tor öffnen. Zudem stellen die Mitarbeiter selbst oft ein hohes Risiko dar.
IT-Infrastruktur gegen Angriffe absichern
Um vor Angriffen und daraus möglicherweise resultierenden Datenverlusten geschützt zu sein, gibt es verschiedene Wege.
Eigene IT-Abteilung
Insbesondere, wenn die Firma nicht mehr nur drei Angestellte hat, kann sich der Aufbau einer eigenen IT-Abteilung auszahlen. In diesem Fall haben Sie technisches Know-how in Ihren Reihen. Die IT-Abteilung hat weitreichende Aufgaben, die von der Bereitstellung der Hardware für neue Mitarbeiter über die Sicherstellung der Funktionalität von technischen Ressourcen bis zur Sicherheit des Netzwerks reichen.
Durch die Expertise in den eigenen Reihen sind Sie unabhängig von externen Experten und haben eine gewisse Sicherheit, dass Ihre Systeme regelmäßig auf den aktuellen Stand der Dinge gebracht werden.
Externe Beratung
Für kleine Unternehmen, die nicht über eine eigene IT-Abteilung verfügen, bietet sich eine externe Beratung durch Experten an. Diese überprüfen die Sicherheit der bestehenden Systeme mithilfe sogenannter penetration tests. Dabei wird die Infrastruktur auf mögliche Sicherheitslücken untersucht.
Ablauf eines Penetrationstests
Für die auch Pentest genannte Sicherheitsüberprüfung gibt es zwei mögliche Ansätze:
- Whitebox-Ansatz: Es bestehen weitreichende Kenntnisse über die interne Struktur des Systems sowie genutzten Anwendungen und Diensten.
- Blackbox-Ansatz: Es sind lediglich rudimentäre Kenntnisse über das System vorhanden.
Üblicherweise wird bei einem Pentest der zweite Ansatz gewählt, um den möglichen Informationsgewinn von externen Angreifern nachzuempfinden. Dabei wird nach verschiedenen Schritten verfahren:
- Zunächst machen sich die Angreifer ein Bild über das System, indem sie öffentliche Informationen abfragen. So kommen sie möglicherweise an die IP-Adressen, unter denen das System erreichbar ist.
- Durch Portscans lassen sich Informationen über die genutzten Dienste sammeln. Viele Anwendungen und Dienste nutzen einen bestimmten Anschluss (Port), um ihre Kommunikation abzuwickeln. Durch die Information, welche Ports genutzt werden, können Rückschlüsse auf die genutzten Dienste gezogen werden.
- Mithilfe von Fingerprinting ist es möglich, Informationen über ein System zu bekommen. Dadurch lassen sich bspw. das Betriebssystem, genutzte Hardware und installierte Anwendungen ermitteln.
- Mit dem so gesammelten Wissen können Abgleiche in Datenbanken vorgenommen werden, die Informationen über Schwachstellen enthalten. Dabei kann es sich um Schwachstellen in der Anwendungs- oder Systemsoftware handeln.
- Unter Ausnutzung des so gewonnenen Wissens wird ein Angriff auf das System unternommen. Das Ziel ist hierbei meist, unberechtigten Zugriff zu erhalten. Je nach Auftrag können die Experten weitere Angriffe vorbereiten, um die Sicherheit des IT-Systems auf den Prüfstand zu stellen.
Erkenntnisse aus dem Pentest
Nachdem die IT-Experten Ihr System einer Überprüfung unterzogen haben, geben sie Empfehlungen. Sie haben dann die Wahl, die Empfehlungen selbst umzusetzen oder wiederum externe Experten mit der Umsetzung zu beauftragen.
Abriegelung des Systems
Ein Weg, um Angriffe von außen zu verhindern, ist die Abkopplung des Systems. Damit würde der Weg von außen in das System unmöglich gemacht. Dieser Ansatz ist für wenige Unternehmen praktikabel, da in einem vollständig abgeriegelten System keine Kommunikation nach außen, z. B. per E-Mail, möglich ist.
Lieber sicher als sauer
Auch wenn es vielen Unternehmern und Gründern unwahrscheinlich vorkommt: Ein Angriff auf Ihr System kann Sie teuer zu stehen kommen! Daher sollten Sie alle möglichen Vorkehrungen treffen, um vertrauliche Daten aus Ihrem Geschäftsleben zu schützen und üblen Überraschungen aus dem Weg zu gehen.
Kommentare
einen Kommentar schreiben