+

IT-Sicherheit

Offen wie Scheunentore – die IT-Sicherheit im Mittelstand

Es ist ein Wettrüsten. Je mehr Firmen etwas für ihre IT-Sicherheit tun, desto stärker halten Datendiebe und Hacker dagegen. Investitionen in den Schutz eines Systems kommen daher nie an ihr Ende.

Wer Firewalls und Virenscanner eingerichtet hat, braucht bald ein Zugriffsmanagement und ausgeklügelte Verschlüsselungen. Besonders dringend geboten sind Vorkehrungen im Mittelstand. Er hinkt am meisten hinterher. Wir haben fünf IT-Experten zu ihren Tipps befragt.

Nach Entwarnung klingt das nicht, wie Jan Bindig die IT-Sicherheit im Mittelstand beschreibt: „Zwar nutzen alle Unternehmen Basis-Schutzmaßnahmen, eine durchgängige Sicherheitsarchitektur findet sich aber selten. Dramatisch, denn im Zweifel hängt hiervon die Existenz des gesamten Unternehmens ab“, sagt der Chef des Leipziger Unternehmens Datarecovery, das sich auf die Rettung von Daten spezialisiert hat.

Die Begehrlichkeiten bei Hackern und anderen Angreifern sind groß. Und dabei geht es nicht nur um klassische Diebe, die den schnellen Euro machen wollen. Geheimdienste, die Firmenspionage betreiben, oder Erpresser gehören genauso auf die Liste des Bösen. Bindig sagt daher ganz pragmatisch: „Sie sollten immer die Erwartungshaltung einnehmen, jederzeit Opfer eines Hackerangriffs werden zu können. Diese Alarmbereitschaft kann vor allem technikfernen Chefs helfen, sich für das Thema zu sensibilisieren.“ Aktuelle Sicherheitsvorkehrungen setzen dabei etwa auf Mehrfaktor-Authentifizierungsverfahren mit Smart-Cards, USB-Tokens oder sogar eine biometrische Authentifizierung, nennt Bindig eine von zahlreichen Maßnahmen.

Die Einfallstore werden immer größer, je mehr internetfähige Geräte es gibt – und diese wiederum zunehmend mobil eingesetzt werden. „Wer an seinem Hauptsitz die IT im Griff hat, ist noch lange nicht aus dem Schneider. Was unterwegs mit den Daten passiert, das müssen Firmen genauso beherrschen“, fordert Bindig. Unternehmen sollten daher eine systematische Verwaltung aller mobilen Geräte einrichten, ein sogenanntes Mobile Device Management. Denn viele Mitarbeiter haben ein Notebook, ein Smartphone und oft ein branchenspezifisches Gerät, etwa ein Messgerät, einen Barcodescanner oder eines für den Außendienst, mit dem Aufträge eingespeist oder abgerechnet werden.

Endpoint Security ist unverzichtbar

Dabei kommt es auf die Sicherheit eines jeden einzelnen "Endpoints" an. „Eine Festplattenverschlüsselung von Notebooks und aller anderen mobilen Arbeitsgeräte ist unverzichtbar“, ergänzt Jens Albrecht, einer von drei Geschäftsführern der concentrade GmbH aus Dortmund, ein Dienstleister für Cybersecurity. Das Wertvollste sei nicht das Gerät, sondern die Daten. Und da nicht etwa Bilder oder Worddokumente, vielmehr interessieren sich Hacker für die auf dem Gerät gespeicherten Passwörter und Zugänge. „Ohne funktionierende Festplattenverschlüsselung lassen sich Passwörter in vielen Fällen rekonstruieren. In unserer Firma ist daher kein Berater ohne festplattenverschlüsseltem Notebook unterwegs – und genau das empfehlen wir auch unseren Kunden.“ Ebenso wichtig wie Bindig hält Albrecht die Zweifaktor-Authentifizierung und verweist auf die neue Generation von Schutzprogrammen vor Malware hin: Next Generation AV. Diese erkennen deutlich mehr als die altbekannten Programme.

Mit VPN sicher in öffentlichen WLANs surfen

Passwörter bilden also die Basis und sind eine Selbstverständlichkeit – doch diese müssten natürlich auch sicher sein, betont Luc Mader, Geschäftsführer des Berliner IT-Dienstleisters Luckycloud. Dies erreiche man durch eine geschickte Kombination von Groß- und Kleinschreibung, Zahlen und Sonderzeichen – und zwar extra für jedes Gerät und möglichst mit vielen Zeichen.

Auch Mader hat mobile Geräte als besonders anfällig für Eindringlinge ausgemacht, besser gesagt: die Nutzung unterwegs. Schließlich logge man sich dabei oft in öffentliche WLANs ein – und die sind alles andere als sicher. Im Bahnhofs- oder Café-Netz empfiehlt Mader daher ein Virtual Private Network (VPN): „Die hierfür installierte Software stellt eine verschlüsselte Verbindung zum Server des VPN-Anbieters her. So lässt es sich sicher im Internet surfen. Für kleine Firmen ist so etwas sogar über Fritz-Box machbar.“

Auf keinen Fall sollte man Gratis-Lösungen nutzen – ohnehin eine Grundregel: „Alles, was nichts kostet, bezahlt man mit seinen Daten. Dieser Punkt ist geradezu ein Zeichen dafür, dass persönliche Daten bei einem IT-Dienstleister nicht sicher sind“, so Mader. Ein Beispiel hierfür sind auch Clouds, deren Vertreter in Übersee allesamt theoretisch Zugang haben, allein schon aufgrund dortiger Gesetze. Als besonders sicher gelten daher sogenannte Zero-Knowledge-Clouds. Das sind Anbieter, die schlichtweg „nichts wissen“ – und zwar nicht in Hinblick auf die Sicherheit, sondern was die Inhalte der in der Cloud gespeicherten Daten betrifft. Sie haben allein schon technisch keinen Zugriff, alles ist verschlüsselt ab dem Zeitpunkt, an dem der Nutzer die Datei von seinem lokalen Gerät hochgeladen hat. Nachteil: Man muss auf den „Schlüssel“ aufpassen, sonst sind die Daten unwiderruflich verloren.

Mitarbeiter – das schwächste Glied in der Sicherheitskette

Bei all der Technik gerät schnell aus dem Blick, dass die wohl größte Schwachstelle die eigenen Mitarbeiter sind. Sie sind für einen Großteil der Datenpannen verantwortlich – unfreiwillig, aber auch vorsätzlich. Begrenzen oder gar verhindern kann das ein modernes Rechtemanagement, wie sie etwa die Berliner Spezialisten von der aikux.com GmbH offerieren. Solch eine Software sorgt dafür, dass ein Mitarbeiter nur auf jene Inhalte Zugriff hat, die ihn oder seine Abteilung betreffen. „Zeitlich begrenzte Rechte sind bei solchen Programmen genauso möglich, wie eine Rezertifizierung, bei der die vergebenen Zugriffsrechte nach einem vorher definierten Zeitraum verpflichtend wieder überprüft und bestätigt werden müssen“, sagt aikux-Chef Thomas Gomell. Ein beliebtes Beispiel in der Branche ist der „Azubi-Effekt“ – den Thomas Gomell und seine Marktbegleiter verhindern möchten. Schließlich ist ein Azubi jemand, der im Verlauf seiner Ausbildung in viele Abteilungen gelangt. „Leider wird dann oft vergessen, ihm nach dem Wechsel zur nächsten Station auch die Zugriffsrechte auf die Daten der vorherigen Abteilung wieder zu entziehen“. Oft häufen Lehrlinge auf diese Weise Zugangsberechtigungen an, die nicht einmal der Firmenchef hat. Mit der richtigen Software schiebt man solch einer Entwicklung von vornherein einen Riegel vor.

Gute IT’ler, schlechte IT’ler

Am Ende helfen die beste Software und die saubersten Richtlinien nichts, wenn die IT’ler diese schlecht umsetzen. Ein Beispiel ist der berühmt gewordene „PC-Wahl-Hack“ des Chaos Computer Clubs. Hier haben die Aktivisten am Ende sogar Hinweise gegeben, nach welchen Richtlinien die Software sauber aufgebaut werden sollte, damit die Sicherheitslücken geschlossen werden. Die Entwickler waren jedoch trotz Fachwissens nicht in der Lage, das umzusetzen, denn es kommt bei der Digitalisierung auf mehr an, als formal die Programmiersprachen und Softwarerichtlinien zu beherrschen. „Es ist nicht mehr entscheidend, ob ein Softwareentwickler eine bestimmte App beherrscht, sondern ob er in der Lage ist, sich immer wieder in neue Technologien und Programmiersprachen einzuarbeiten“ sagt Michael Eger, Partner bei Mercer Promerit. Die Personalauswahl ist beim agilen Thema IT-Sicherheit am Ende das Schlüsselloch, das entscheidet ob ich auch den Angriff von Übermorgen überstehe, an den heute noch keiner denken kann. Dabei sind Fähigkeiten wie vernetztes Denken, Kommunikationsfähigkeit und Komplexitätsbewältigung entscheidende Softskills für die IT-Sicherheit, aber Mercer Promerit begleitet die Unternehmen beim HR-Prozess während der Digitalisierung. Eger ist wiederum selber als Partner für Digitalisierung verantwortlich und so gleich doppelt mit dem Thema befasst. Er blickt hier sehr optimistisch in die Zukunft, denn „letztlich bringt die viel gescholtene Generation Y schon viele Fähigkeiten mit, die von den ohne Internet aufgewachsenen Vorgängergenerationen noch erlernt werden müssen.“

Ordnung halten

Aufräumen sollte man allerdings nicht nur bei den Zugriffsrechten. Ordnunghalten ist auch beim Erstellen, Speichern und Verwalten von Dokumenten wichtig. Thomas Gomell weiß aus Erfahrung, dass bis zu 70 Prozent der Dateien in Unternehmen eigentlich sofort gelöscht werden könnten. Freilich müssen sie dazu erst einmal als überflüssig, veraltet oder doppelt identifiziert werden. Wer sich und seinen Mitarbeitern diese Arbeit ersparen möchte, der sollte sich nach einer Softwarelösung für Data Retention umsehen. „Mit Data Retention können Sie ohne langwierige Vorbereitung das Aussortieren von Daten implementieren, weil die separierten Daten weiter leicht verfügbar bleiben. Sie verschwinden zunächst lediglich aus dem direkten Blickfeld des Nutzers“, erklärt Thomas Gomell die Idee. Solch ein Großreinemachen macht dabei nicht nur die Firmen-IT sicherer, weil sie übersichtlicher wird. Mitarbeiter arbeiten in übersichtlichen Strukturen auch effizienter und sind produktiver.

Jedes Unternehmen – egal wie groß – kann und sollte diese Maßnahmen, die beileibe nicht vollständig sind, rasch umsetzen. Alle Experten weisen aber auch daraufhin hin, dass man diese Maßnahmen nur mit den Nutzern umsetzen kann. Mehr Sicherheit muss deshalb effizient und praktikabel sein, die Firma muss arbeitsfähig bleiben. „Nur wenn die Belegschaft die Sicherheitsmaßnahmen akzeptiert, wendet sie sie auch an“, resümiert Thomas Gomell die Projekterfahrungen der aikux.com. So werden sie von der Schwachstelle zum größten Schutzschild. Der Chef muss dabei natürlich Vorbild sein.

Das könnte Sie auch interessieren

Kommentare

Liebe Leserinnen und Leser,

wir bitten um Verständnis, dass es im Unterschied zu vielen anderen Artikeln auf unserem Portal unter diesem Artikel keine Kommentarfunktion gibt. Bei einzelnen Themen behält sich die Redaktion vor, die Kommentarmöglichkeiten einzuschränken.

Die Redaktion