IT-Sicherheit: Was ist für Unternehmen wichtig?
In einer Welt, in der Cyber-Bedrohungen täglich zunehmen, steht die IT-Sicherheit für Unternehmen an vorderster Front im Kampf gegen unsichtbare Gefahren. Doch wie schützen Sie Ihre sensiblen Daten und Systeme effektiv? Lernen Sie die IT-Sicherheitsrisiken und Grundlagen der IT-Security kennen und erhalten Sie praxisnahe Tipps, wie Sie Ihre IT-Infrastruktur, Netzwerke und Endgeräte wirkungsvoll absichern können.
Die Grundlagen der IT-Sicherheit für Unternehmen
IT-Sicherheit ist heutzutage in aller Munde, nicht zuletzt weil täglich neue Cybervorfälle bekannt werden. Daher ist es wichtig, dass Sie die Grundlagen der IT-Sicherheit kennen, um Ihr Unternehmen adäquat absichern zu können. In einer Welt, in der Cyberbedrohungen täglich zunehmen, steht die IT-Sicherheit für Unternehmen an vorderster Front im Kampf gegen unsichtbare Gefahren. Doch wie schützen Sie Ihre sensiblen Daten und Systeme effektiv?
Die Vielfalt der aktuellen IT-Sicherheitsrisiken, verbunden mit einem rasanten technischen Fortschritt, macht es für uns alle erforderlich, das Thema IT-Sicherheit, OT-Sicherheit und Computersicherheit ganzheitlich anzugehen. Mit dem einfachen Aufrüsten der IT ist es leider nicht mehr getan – vielmehr ist ein tiefer gehendes Verständnis von der Bedrohungslage erforderlich, damit Sie sich und Ihre Organisation adäquat schützen können. Denn eine funktionierende IT-Sicherheit beginnt immer in der Leitungsebene bei den Verantwortlichen.
Was bedeutet IT-Sicherheit?
Um den Begriff „IT-Sicherheit“ oder „IT-Security“ richtig einordnen zu können, ist eine Auseinandersetzung mit den einzelnen Begriffsbestandteilen erforderlich. Die Informationstechnik (kurz „IT“) umfasst sowohl Hard- als auch Software, die in Unternehmen für die elektronische Datenverarbeitung eingesetzt wird und auch noch in weitere Untergebiete aufgeteilt werden kann. Daneben ist „Sicherheit“ die abstrakte Abwesenheit von Gefahr.
IT-Sicherheit hat per Definition die Aufgabe, IT-Systeme und -Anlagen, die zur Verarbeitung von Informationen eingesetzt werden, zu schützen und Gefahren abzuwehren. Zu solchen IT-Systemen und Anlagen gehören beispielsweise größere Netzwerkstrukturen, zentrale Server, aber auch die unmittelbaren Endgeräte wie Computer oder Smartphones. Indirekt ist auch der Schutz digitaler Daten Gegenstand der IT-Sicherheit. Darüber hinaus müssen Unternehmen sich auch mit der Sicherheit ihrer Betriebstechnologie auseinandersetzen. Informieren Sie sich über den Unterschied zwischen IT- und OT-Security und über die Cybersecurity von Maschinen und Anlagen.
Gesetzliche Vorgaben zur IT-Sicherheit werden in diesem Zusammenhang immer relevanter und wurden in den vergangenen Jahren auch immer konkreter. Sowohl im Datenschutz nach der DSGVO (Datenschutz-Grundverordnung) als auch für KRITIS (Kritische Infrastrukturen) im Rahmen des BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) finden sich Vorschriften, die mal mehr und mal weniger konkret Vorgaben zu IT-Sicherheitsmaßnahmen machen.
Wichtige Vorgaben für die IT-Sicherheit in Ihrem Unternehmen finden Sie in der DSGVO und dem BSIG.
Bei größeren Organisationen hat es sich mittlerweile etabliert, das Thema IT-Sicherheit im Rahmen eines ISMS (Informationssicherheits-Managementsystem) zu organisieren. Die Möglichkeiten für einen solchen Ansatz reichen von der internationalen Norm ISO/IEC 27001 über den BSI-Standard 200-1 bis hin zur VdS-Richtlinie 10.000 für kleine und mittlere Unternehmen.
Im Folgenden beleuchten wir die verschiedenen Aspekte der IT-Security, Computersicherheit und BSI-IT-Sicherheit, damit Sie dieses wichtige Thema bei Ihnen im Hause in Angriff nehmen können.
Wie unterscheidet sich IT-Sicherheit von Informationssicherheit, Datensicherheit und Datenschutz?
IT-Sicherheit betrachtet im Vergleich zu den anderen Gebieten grundsätzlich „weniger“. Der Begriff wird als Synonym für die Informationssicherheit verwendet, die den Schutz aller Informationen – analog wie digital – zum Gegenstand hat. Im Folgenden verwenden wir die enge Definition des Begriffs. Bitte beachten Sie, dass in anderen Zusammenhängen häufig mit der IT-Sicherheit auch die Informationssicherheit gemeint ist, insbesondere im englischsprachigen Raum.
Im Datenschutz werden auch analoge und digitale Daten geschützt, aber nur wenn sie einen Personenbezug aufweisen. Daten ohne Personenbezug, wie z.B. Geschäftsgeheimnisse, sind im Datenschutz irrelevant.
Zum Schutz von Daten bzw. Informationen werden im Sinne der Datensicherheit sowohl technische als auch organisatorische Schutzmaßnahmen ergriffen. All das kann unter dem Schirm der Informationssicherheit zusammengefasst werden. Die Schutzziele der Informationssicherheit, die für alle relevanten Informationen bzw. Daten zu garantieren sind, sind:
- Vertraulichkeit
- Verfügbarkeit
- Integrität
Warum ist IT-Security so wichtig?
IT-Security ist damit zentral, um sowohl den Schutz der technischen Infrastruktur als auch den Schutz der elektronisch verarbeiten Daten gewährleisten zu können.
- Vertraulichkeit
Daten und Informationen sind vertraulich, wenn ein Zugriff durch Unbefugte nachweislich verhindert werden kann. Um dies zu gewährleisten, wird beispielsweise ein Berechtigungsmanagement eingesetzt. - Verfügbarkeit
Die Verfügbarkeit von IT-Systemen ist gegeben, wenn ein System zum gegebenen Zeitpunkt zur Verfügung steht und die erforderlichen Daten abrufbar sind. - Integrität
Die Integrität wird gewahrt, wenn Informationen vor einer unbefugten oder unbemerkten Modifikation geschützt werden. Man kann damit auf den Inhalt von Daten vertrauen. Daneben stellt die Systemintegrität die Funktionsfähigkeit eines IT-Systems sicher. - Authentizität
Authentizität umfasst die Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit von Informationen. So ist bei einem erfolgreichen Authentifikationsprozess überprüfbar, von welchem Absender eine Nachricht ausgeht – diese Information ist damit überprüfbar und die Nachricht „echt“. - Zurechenbarkeit
Mithilfe eines funktionierenden Berechtigungs- und Identitätsmanagements lässt sich eine Zurechenbarkeit von (digitalen) Handlungen erreichen. Das heißt, es ist nachvollziehbar, wann welcher User welche Änderung im System oder an Daten vorgenommen hat.
Welche Bereiche müssen Unternehmen in der IT-Sicherheit beachten?
Die IT-Sicherheit ist sowohl im technischen Bereich, als auch im physischen sowie im organisatorischen Bereich zu berücksichtigen. So kann man die IT-Security in verschiedenen Stufen aufbauen.
Auf der untersten Geräteebene ist die Endpoint Security zu verorten – also die Sicherheit der Endgeräte, mit denen Informationen verarbeitet werden. Solche Endgeräte sind in der Regel in einem Netzwerk miteinander verbunden und greifen auf zentrale Server zu. Um das abzusichern, ist die Netzwerksicherheit erforderlich. Aber der Schutz endet nicht im eigenen Netzwerk. Heutzutage sind unsere Endgeräte über das Internet erreichbar und greifen auf Daten im Internet zu – sei es auf eine Webseite oder auf eine Cloud. Nicht selten erfolgt der Zugriff über einen dezidierten Client bzw. eine spezielle Anwendung. Damit ist auch im Bereich der Internet- und Cloudsicherheit IT-Sicherheit zu beachten.
Schließlich sind im Rahmen der Anwender-Security auch die Mitarbeiter Ihres Unternehmens in der IT-Sicherheit nicht zu vernachlässigen. Denn die besten Sicherheitsmaßnahmen sind zwecklos, wenn der Nutzer eines PC den Angreifer sprichwörtlich hereinlässt. Das bedeutet, dass auch das Sicherheitsbewusstsein (die sogenannte Awareness) der Mitarbeiter gestärkt werden muss.
Welche IT-Sicherheitsrisiken gibt es?
IT-Sicherheitsrisiken richten sich gegen die bereits beschriebenen Schutzziele der Informationssicherheit und bedrohen sowohl die IT-Infrastruktur selbst als auch die damit verarbeiteten digitalen Daten. Sie lassen sich grundsätzlich in verschiedene Kategorien einteilen: webbasiert, systembezogen, netzwerkbezogen, nutzerbezogen und anwendungsbezogen.
Nachfolgend finden Sie eine nicht abschließende Aufzählung der gängigsten Angriffsszenarien und IT-Sicherheitsrisiken.
Advanced Persistent Threats (APTs)
Bei Advanced Persistent Threats (APTs, fortgeschrittene andauernde Bedrohungen) handelt es sich um zielgerichtete Cyberangriffe auf Institutionen. Das Ziel eines Angreifers ist es, einen dauerhaften Zugriff auf ein Netz zu erhalten und diesen Zugriff sukzessive auf weitere IT-Systeme auszuweiten. APTs zeichnen sich dadurch aus, dass sie mithilfe eines hohen Ressourceneinsatzes und fortgeschrittener technischer Fähigkeiten durchgeführt werden.
Diese Komplexität von APTs sorgt dafür, dass sie in der Praxis nur schwer zu erkennen sind und dass häufig über mehrere Monate hinweg unbemerkt vertrauliche Informationen an die Angreifer abfließen können.
Malware/Schadsoftware
Malware oder Schadsoftware ist ein sehr weiter Begriff, unter der eine Vielzahl verschiedener Schadfunktionen zusammengefasst werden kann. In ihrer einfachsten Form spricht man zunächst von Viren, die ein IT-System infizieren können. Sie hängen sich an ein Wirtsprogramm und werden dann gleichzeitig ausgeführt, um Daten zu stehlen oder weitere Angriffe wie z.B. Ransomeware-Angriffe vorzubereiten.
Daneben existiert Spyware wie Keylogger oder Malware, die den Browser komplett überwachen kann. Aber auch die bekannte Ransomware gehört streng genommen zu Malware (dazu gleich mehr). Man kann also festhalten, dass die Arten von Malware so vielfältig sind wie die potenziellen Folgen. Letztere umfassen nämlich sowohl den Datenabfluss durch das Ausspionieren von Daten als auch die Sabotage ganzer IT-Landschaften.
Ransomware
Ransomware beschreibt im weitesten Sinne die digitale Erpressung. Der Anwender setzt hierfür i.d.R. Schadsoftware ein, um das Zielsystem zu verschlüsseln und nur gegen ein vermeintliches Lösegeld wieder zu entschlüsseln. Dadurch können die Zielsysteme lahmgelegt, oder Ihnen auch „nur“ wichtige Informationen bis zu ihrer Entschlüsselung entzogen werden.
Der Schaden begrenzt sich auch nicht auf den finanziellen Abfluss eines Lösegeldes. Im Zweifel müssen Sie bei einem erfolgreichen Ransomware-Angriff davon ausgehen, dass Ihre sensibelsten Daten bereits im Darknet verkauft wurden.
Phishing
Das Kunstwort Phishing setzt sich zusammen aus „password harvesting“ und „fishing“, bedeutet also das Angeln nach Passwörtern.
Während in der Vergangenheit Phishing-Mails vor allem eingesetzt wurden, um Authentifizierungsdaten wie Anmeldenamen und Passwörter zu sammeln, werden diese Nachrichten auch dazu verwendet, um mit Schadcode behaftete Dateianhänge zu verteilen und damit Zielsysteme zu kompromittieren.
Leider gehen auch die Angreifer mit der Zeit, sodass es für Sie immer schwieriger wird, Phishing-Mails zu erkennen. Denn die Zeiten von einfach erkennbaren Gewinnversprechen sind längst vorbei. Die Angreifer sammeln vielmehr in sozialen Netzwerken Informationen Ihrer Mitarbeiter und schneidern die Nachrichten auf ihre Opfer zu. Damit zählt Phishing auch zum Social Engineering.
DDoS-Attacken
Denial-of-Service-(DoS)- und Distributed-Denial-of-Service-(DDoS)-Attacken sind darauf ausgelegt, ein Zielsystem mit einer Vielzahl von gleichzeitigen Anfragen in kürzester Zeit lahmzulegen, sodass die Beantwortung der Anfragen mit der vorhandenen Rechenleistung nicht mehr möglich ist. Damit wird das Schutzziel der Verfügbarkeit verletzt.
Der Unterschied zwischen DoS-Attacken und DDoS-Attacken ist der Einsatz eines Botnetzes bei letzterer Variante, sodass die Anfragen nicht mehr von einem individuellen System oder einer Maschine kommen, sondern von einer Vielzahl bereits kompromittierter Rechner – dem Botnetz.
Social Engineering
Social Engineering setzt bei der vermutlich größten Schwachstelle an: dem Menschen. Ihre Mitarbeiter werden also manipuliert und zu einer bestimmten Handlung gebracht.
Hierzu gehört die bereits dargestellte Form des Phishings, bei der vertrauliche Informationen herausgegeben oder schadhafte Anhänge geöffnet werden sollen. Aber auch die Überwindung einer abgeschlossenen Tür mittels einer Warnweste oder das Überreden zur Tätigung von Überweisungen gehört dazu. Beispielsweise verbindet der CEO-Fraud gängige Phishing-Methoden mit Aufforderungen zu bestimmten Handlungen.
Von IT-Security zu Cyberresilienz
Nur mit dem Ergreifen von technischen IT-Sicherheitsmaßnahmen ist es heutzutage nicht getan, wenn Sie ganzheitliche Informationssicherheit anstreben. Vielmehr ist ein umfassender Wandel zur Cyberresilienz erforderlich, um die Widerstandsfähigkeit der eigenen Organisation gegen Cyberangriffe zu erhöhen.
Im Rahmen der Cyberresilienz verfolgt man eine ganzheitliche Herangehensweise zum Schutz der Organisation. Hierzu gehören neben den Sensibilisierungsmaßnahmen bei den Mitarbeitenden risikobasierte Strategien und der Aufbau von Managementsystemen, wie einem ISMS. Dabei werden die Kerndisziplinen Governance, Risikomanagement, Incident Management und IT-Sicherheit miteinander vereint und in einer strukturierten Form in die bestehenden Geschäftsprozesse integriert.
Leseempfehlung: Wie lassen sich IT-Sicherheitsrichtlinien erarbeiten und umsetzen? Erfahren Sie, wie Sie dabei vorgehen können und laden Sie ein Gratis-Muster für die IT-Sicherheitsrichtlinie herunter.
Verantwortliche schulen – IT-Sicherheit stärken
Die Vielfalt der aktuellen Bedrohungslage und IT-Sicherheitsrisiken, verbunden mit einem rasanten technischen Fortschritt, macht es für uns alle erforderlich, das Thema IT-Sicherheit, OT-Sicherheit und Computersicherheit ganzheitlich anzugehen. Mit dem einfachen Aufrüsten der IT ist es leider nicht mehr getan – vielmehr ist ein tiefergehendes Verständnis von der Bedrohungslage erforderlich, damit Sie sich und Ihre Organisation adäquat schützen können. Denn eine funktionierende IT-Sicherheit beginnt immer in der Leitungsebene bei den Verantwortlichen.
