IT-Sicherheitsmängel im Mittelstand
Offene Tore
Fortsetzung des Artikels von Teil 1
Maßenahmen für angemessene IT-Sicherheit
funkschau: Welche Maßnahmen empfehlen Sie mittelständischen Unternehmen konkret, um eine angemessene IT-Sicherheit zu gewährleisten?
Strobel: Ein Unternehmer oder auch der Verantwortliche für IT-Sicherheit sollte immer in der Lage sein, die Sicherheit im Unternehmen zu bewerten. Hierzu zählen natürlich auch die verwendeten Passwörter im Unternehmen und deren Berechtigung. Wo hinterlegen meine Mitarbeiter die Passwörter? Welcher Mitarbeiter hat auf welches Passwort Zugriff? Wann und von wem wurde der Datensatz in irgendeiner Form geändert? Welche Passwörter muss ich ändern, wenn ein Mitarbeiter ausscheidet? Komme ich im Notfall auf das System?
Alle diese grundlegenden Anforderungen erfüllen nur professionelle Passwort-Management-Lösungen. Bei der Auswahl der Produkte sollte nicht immer der Preis, sondern die Sicherheit im Vordergrund stehen.
Auf dem Markt gibt es etliche Passwort-Management-Lösungen, doch nahezu alle sind für den privaten Bereich ausgelegt. Nur sehr wenige sind überhaupt für den Unternehmenseinsatz zu empfehlen. Alle Produkte, bei denen der Client die Business-Logik enthält, sind „hackbar“. Produkte, die mit dem Slogan „unknackbar“ werben, würde ich nicht als vertrauenswürdig einschätzen. Prüfen Sie deshalb unbedingt die Sicherheit, bevor Sie eine Lösung implementieren.
Eine angemessene IT-Sicherheit kann nur erreicht werden, wenn man den Mitarbeitern auch die entsprechenden Softwarelösungen bereitstellt. Tut man dies nicht, hilft sich der Mitarbeiter selbst beispielsweise durch Papier, Excel oder Ähnliches. Nur ein einheitlicher Standard im Unternehmen bringt Sicherheit. Auch für Passwörter sollte im Unternehmen ein Standard eingeführt werden. Die Vorgabe hierfür muss von oben, das heißt von den Abteilungsleitern und den CEOs, gelebt werden. Dies sollte nicht nur für die IT-Abteilung gelten, sondern abteilungsübergreifend. Der Vertrieb, Einkauf oder auch die Marketing-Abteilung haben mittlerweile etliche Zugänge zu verwalten. Als Unternehmer möchte man es vermeiden, dass das Facebook-Konto durch ein schlechtes Passwort gekapert wird. Beispiele gibt es genug.
Der Mensch ist jedoch immer noch ein wichtiger Faktor. Die Mitarbeiter müssen entsprechend im Bereich IT-Sicherheit unterwiesen werden. Nur die richtige Kombination aus Software und Mensch bringt die gewünschte Sicherheit. Die Software ist nur so effektiv und sicher, wie Sie letztlich auch genutzt und gepflegt wird.
Checkliste für Passwort-Management-Lösungen
- Erlaubt die Software einen Aufbau unterschiedlicher Berechtigungen (teamfähig)?
- Werden Ihre Daten sicher und verschlüsselt lokal gespeichert?
- Ist die verwendete Verschlüsselung korrekt implementiert? Gibt es einen externen PenTest des Produktes?
- Können bereichsübergreifende Berechtigungen vergeben werden?
- Gibt es ein Reporting-System für Sicherheitsaudits und eine Anbindung an einen Syslog-Server?
- Ist ein Mehr-Augen-Prinzip möglich?
- Ist eine ausfallsichere Konfiguration möglich?
- Sind die Passwörter komplex und einzigartig sowie automatisch generiert?
- Können Passwörter automatisch mit einem Single-Sign-On-Agent eingetragen werden?
- Ist der Firmensitz des Herstellers in Deutschland? Nur so profitieren Sie von deutschen Datenschutzgesetzen.
- Ist die Bedienung intuitiv und benötigt wenig Schulungsaufwand?
- Offene Tore
- Maßenahmen für angemessene IT-Sicherheit
Lesen Sie mehr zum Thema
