Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Schlendrian mit bitteren Folgen

Schlendrian mit bitteren Folgen

27. September 2007, 13:10 Uhr |

Datensicherheit – Haftung ist Chefsache. Obwohl die Bosse für Schäden, die durch Hacker, Viren oder Datendiebstahl entstehen, teilweise sogar mit ihrem Privatvermögen geradestehen müssen, wird das Thema IT-Sicherheit in vielen Unternehmen nach wie vor stiefmütterlich behandelt. Ein Leitfaden für einen effizienten Schutz.

Mit Hunden patroullierende Sicherheitsdienstleister, Werkschutz, regelmäßige Brandschutzübungen, per Standleitung mit der Polizei verbundene Alarmanlagen – Unternehmen investieren eine Menge Kapital und Manpower in den Schutz des Firmeneigentums vor Einbruch oder Brand. Geht es jedoch um die Datensicherheit, herrscht vielerorts noch immer der Schlendrian. Zu diesem Ergebnis kommt die Studie IT-Security 2006, für die das Markforschungsunternehmen »research+consulting« in Zusammenarbeit mit »Information Week« Sicherheitsverantwortliche und IT-Manager aus 827 Unternehmen befragt hat. Die Ergebnisse zeugen von erschreckendem Leichtsinn in vielen Chefetagen.

Mangel an Risikobewusstsein
Die Zahl der Unternehmen, die ihre Sicherheitsstandards, -ziele und -abläufe 2006 komplett definiert haben, liegt mit 20 Prozent nur marginal höher als im Vorjahr (19,4 Prozent). In 20,7 Prozent der Firmen gibt es überhaupt keine Richtlinien. Weitere gut 20 Prozent der befragten Unternehmen arbeiten nur mit »informellen« Vorgaben und hinterfragen die Effizienz der Schutzmaßnahmen nur im Bedarfsfall. Immerhin 20,4 Prozent der Teilnehmer geben an, Richtlinien und regelmäßige Überprüfungen und Evaluierungen zu planen. Eine echte IT-Security-Policy gibt es also nur in jedem fünften Unternehmen.

Auch stellen die Verantwortlichen oft nur geringe finanzielle Mittel bereit, um die IT-Sicherheit zu verbessern. So hat nur zirka jedes fünfte Unternehmen innerhalb des vergangenen Jahres die Ausgaben erhöht. Mehr als die Hälfte der Befragten verfügt über ein unverändertes Budget, fast jeder Zehnte gibt sogar weniger für die Sicherheit aus als im Vorjahr. Der Anteil der Informationssicherheit am gesamten IT-Budget ist von nahezu 15 Prozent auf weniger als 12 Prozent zurückgegangen. Einer der Hauptgründe dafür liegt in der grundsätzlichen Beurteilung der Datensicherheit. Häufig stuft das Management Sicherheitsrisiken als technische und weniger als betriebswirtschaftliche Probleme ein.

Dazu tragen sicher auch die Anbieter der Security-Lösungen bei, die Bedrohungen von innen und außen in den Vordergrund ihrer Kampagnen stellen und ihre Produkte als technische Lösungen vermarkten. Es wäre dem Absatz sicher förderlich, Sicherheitslösungen als das zu präsentieren, was sie auch sind: unverzichtbare Werkzeuge bei der Optimierung von Geschäftsprozessen und übergreifende Unterstützer beim datensicheren Zusammenspiel zwischen Mitarbeitern, Abteilungen, Niederlassungen, Lieferanten, Partnern und Kunden – also als essenzielle, betriebswirtschaftliche Instrumente.

Unternehmensbedrohende Folgen
Denn wie schnell sich mangelnder Schutz wichtiger Dokumente und vertraulicher Kundendaten zu einem massiven wirtschaftlichen Problem ausweiten kann, zeigen zwei vom unabhängigen »Ponemon Institute« erstellte und durch die PGP Corporation verbreitete US-Untersuchungen. Demnach brechen nahezu 20 Prozent der Kunden die Geschäftsbeziehung zu Unternehmen, die fahrlässig mit ihren Daten umgehen, sofort ab, und weitere 40 Prozent stellen entsprechende Überlegungen an. Firmen, die an einer ergänzenden Studie teilnahmen, berichten von geschätzten Kosten pro Datenschutzverletzung von durchschnittlich 14 Millionen Dollar, in einem Fall sogar bis zu 50 Millionen Dollar.

Die Studie mit dem Titel »Lost Customer Information: What Does a Data Breach Cost Companies?« enthält Statistiken über den Verlust von Kundendaten und die damit verbundenen Wiederherstellungskosten. Sie behandelt insgesamt 14 verschiedene Vorfälle. Untersucht wurden dabei 1,4 Millionen Kundendatensätze und ein erlittener Gesamtschaden von 200 Millionen Dollar. Die Schadensschätzungen umfassen den internen Nachforschungsaufwand sowie die externen Anwaltskosten und zusätzliche Kosten zur Benachrichtigung der Kunden, insbesondere durch Call-Center und durch die Abteilungen für Öffentlichkeitsarbeit und Investor-Relations.

Darüber hinaus wurden ebenfalls berücksichtigt: Einbußen durch Preisnachlässe bei bestimmten Serviceleistungen, Belastungen durch verminderte Produktivität der Mitarbeiter und der Verlust von bestehenden und potenziellen Kunden.

Eine verwandte Studie mit dem Titel »National Survey on Data Security Breach Notifications« stellt die Ergebnisse einer Befragung von 9000 Verbrauchern vor, von denen 12 Prozent angaben, schon einmal darüber informiert worden zu sein, dass unbefugte Dritte Einblick in ihre Daten hatten. Hochgerechnet auf die Bevölkerung der Vereinigten Staaten haben somit etwa 23 Millionen Verbraucher bereits eine Benachrichtigung dieser Art erhalten. Dabei erwies sich auch, dass 60 Prozent der betroffenen Personen die Geschäftsbeziehung sofort beendet haben oder Entsprechendes in Erwägung ziehen. Die Ergebnisse zeigen, wie erfolgreich und richtungweisend die vor wenigen Jahren eingeführten US-Datenschutzgesetze in der Durchsetzung von Datenschutzrichtlinien sind. Da deutsche Unternehmen mit Kunden oder Niederlassungen in den USA ebenfalls diesen Gesetzen unterliegen, ist zu erwarten, dass künftige deutsche Studien ähnliche Trends zum Vorschein bringen.

Datensicherheit ist Chefsache
Diese Zahlen machen deutlich, dass die Datensicherheit kein solitäres Problem der IT-Abteilung sein kann, sondern in den Fokus der Geschäftsführung und damit des gesamten Unternehmens rücken muss. Dem hat auch der Gesetzgeber Rechnung getragen. Verschiedene Gesetze und Regelungen belegen die persönliche Haftung von Geschäftsführern beziehungsweise Vorständen im Falle von Versäumnissen.

Doch trotzdem regieren der Controller oder der sparsame Chef oftmals mit spitzem Stift und Gottvertrauen nach dem Motto: »Bisher ist ja auch nichts passiert!« So gab in der IT-Security-Studie ein Drittel der Befragten zu Protokoll, Sicherheitsprojekte im Unternehmen scheiterten an mangelndem Budget. Das hat häufig zur Folge, dass das komplette Sicherheitskonzept schleifen gelassen wird oder schlichtweg nicht vorhanden ist. Dazu besteht aber in der Praxis kein Grund, denn die wichtigsten Faktoren für funktionierende Sicherheitsstrukturen sind gesunder Menschenverstand, durchdachte organisatorische Regelungen und zuverlässige und gut informierte Mitarbeiter, die selbstständig Sicherheitserfordernisse diszipliniert und routiniert beachten. Einige der wirksamsten Maßnahmen sind überraschend simpel und noch dazu oft kostenlos.

Schritte zum Erfolg

  • Zunächst einmal muss eine umfassende Sicherheitsstrategie entwickelt und implementiert werden, die sowohl den Bereich der Data-Safety (Schutz gegen unbeabsichtigte Ausfälle), als auch den der Data-Security (Schutz gegen absichtliche Angriffe), enthält. Sie muss dem Unternehmen vor allem ermöglichen, in puncto Sicherheit zu agieren, anstatt zu reagieren.
  • Zudem ist unbedingt zu beachten, dass IT-Sicherheitsaspekte bei allen Projekten, von der Anschaffung neuer Software bis zur Einführung neuer Geschäftsprozesse, frühzeitig und ausreichend berücksichtigt werden müssen. Nachträgliche Anpassungen sind nicht nur kosten- und zeitintensiv, sondern in manchen Fällen schlichtweg nicht möglich.
  • Im nächsten Schritt werden Sicherheitsrichtlinien festgelegt und allen Mitarbeitern in Schulungen nahegebracht. So wird IT-Security-Awareness gebildet. Übrigens fordern bereits die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines Verstoßes gegen die Firmenrichtlinien.In diesen Mitarbeiterschulungen sollte den Anwendern auch eingeschärft werden, wie mit unternehmenskritischen Daten insbesondere bei einer Client-Server-Architektur umzugehen und wie private E-Mail- und Internetnutzung während der Arbeitszeit geregelt ist. Denn gerade über diesen Weg finden Viren und Würmer oft ein Tor ins Unternehmensnetz. Im Rahmen der Schulungen sollte allen Beteiligten bewusst gemachet werden, dass die absichtliche oder versehentliche Missachtung von Sicherheitsvorgaben Konsequenzen nach sich zieht. Um diesen Sachverhalt zu unterstreichen, sollte jeweils klar vermerkt sein (beispielsweise in der organisationseigenen Sicherheitsrichtlinie), mit welchen Folgen im Ernstfall zu rechen ist.
  • Es ist dafür Sorge zu tragen, dass die Mitarbeiter wichtige Daten nicht lokal auf ihrem Desktop-Computer, sondern auf einen bestimmten Platz im Netzwerk abspeichern. Sämtliche wichtigen Daten sollten an einer Stelle gesammelt werden; dort lassen sich dann relativ einfach Sicherheitskopien anfertigen. »Das größte Problem für die Datensicherheit sind tatsächlich die Leute vor dem Computer, die Daten löschen – sei es absichtlich, beispielsweise nach einer Kündigung, oder unabsichtlich –, die große Mengen an wichtigen Daten auf Speichermedien haben, die nur sie selbst verwalten (auf ihren Festplatten, CDs, USB-Sticks). Mit der Begründung, dass sie darauf besser aufpassen können als die IT-Abteilung, oder dass die Daten so geheim und wichtig sind, dass nicht mal der Computer das sehen darf«, bestätigt Thomas Singbartl, ICT-Systems-Manager bei der »Bavarian International School«, nicht ohne Kopfschütteln.
  • Sparen am Backup ist fatal. »Dass ein Backup gut und nützlich ist, weiß jeder. Aber nicht jeder sichert seine wichtigen Daten dann auch entsprechend. Es ist eher eine Sekt-Empfangs-Sicherheit« so Singbartl. »Statt eines Raid-Systems, das aus mehreren Festplatten besteht, die einzeln und ohne Datenverlust ausgetauscht werden können, geht man zum Media-Markt und holt für 230 Euro eine 500-GByte-Platte, die man ganz schnell an den Server hängt. Geht die aber kaputt, ist wahrscheinlich das Unternehmen ruiniert.« Empfehlenswert ist auch der Einsatz einer integrierten Wiederherstellungslösung. »IBM Tivoli Continuous Data Protection (CDP) for Files« ist eine Echtzeitlösung für den kontinuierlichen Datenschutz für Datenserver und Endbenutzersysteme wie Desktop-Computer und Laptops. Statt Backups in bestimmten Zeitintervallen zu erstellen, sichert IBM-CDP wichtige Dateien in Echtzeit in dem Moment, in dem sie gespeichert werden. Es lassen sich dabei bis zu drei verschiedene Backup-Ziele beziehungsweise Replikationslokationen definieren, um Dateien mit hoher Priorität zu sichern. Im Gegensatz zum täglichen, wöchentlichen oder monatlichen Backup entstehen keine ungeschützten Zeitfenster für sensible Daten.
  • Definitionen von Berechtigungsprofilen. Eine der goldenen Regeln der IT-Sicherheit ist das »Need-to-Know-Prinzip«: Jeder Benutzer (und auch jeder Administrator) sollte nur auf die Datenbestände zugreifen und die Programme ausführen dürfen, die er für seine tägliche Arbeit auch wirklich benötigt. Dazu gehört auch, dass Informationen einer Abteilung nicht ohne Weiteres von abteilungsfremden Mitarbeitern einsehbar sind, sofern sie diese Informationen nicht für ihre Arbeit benötigen. Anwendungsprogramme – insbesondere Programme für die Systemadministration – sollten ebenfalls nur den Mitarbeitern zur Verfügung stehen, die diese wirklich brauchen. In regelmäßigen Abständen sollte überprüft werden, ob die von einer Person verfügbaren Zugriffsrechte noch deren Tätigkeitsprofil entsprechen oder ob Einschränkungen zweckmäßig wären. Ebenso muss ein geeigneter Prozess existieren, um Berechtigungen bei Einstellung, Funktionsänderung oder Weggang von Mitarbeitern entsprechend einzuräumen beziehungsweise zu widerrufen.
  • Es sollten regelmäßige Sicherheitsaudits durchgeführt werden, bei denen die Schwachstellen in Systemen und Anwendungen analysiert werden. Am Ende einer solchen Untersuchung sollten geeignete Abwehrmaßnahmen definiert werden, um Lücken und Schwachstellen zu schließen.
  • Regelmäßige Aktualisierung der Anti-Viren-Software. Es kann nicht oft genug gesagt werden, aber die einmalige Installation von Anti-Viren-Software reicht für einen angemessen Schutz nicht aus. Die jeweils neueste Version der Software kann und sollte automatisch vom Hersteller bezogen werden.
  • Installation einer Firewall. Viele unerwünschte Zugriffe auf den Computer und unbeabsichtigte Zugriffe vom eigenen Computer, die vom Benutzer meist gar nicht bemerkt werden, lassen sich auf diese Weise verhindern.
  • Einsatz von Unified-Threat-Management-Appliances (UMTA). Dabei handelt es sich um komplette Sicherheitssysteme, welche die verschiedenen Sicherheitslösungen in einer Box integrieren. Dazu gehören die Funktionen von Firewalls, IDS-Systemen, IPS-Systemen und Antiviren-Gateways. UMTA-Lösungen wie beispielsweise das »Self-Defending Network Cisco ASA 5500« erkennen Bedrohungen wichtiger Daten und Geschäftsprozesse durch Angriffe aus dem Netz, wehren sie ab und verhindern sie durch Prävention. Damit steigt das Sicherheitsniveau und schwindet gleichzeitig die Komplexität der Sicherheitsarchitektur.
  • Gewissenhafte Wartung des Systems. Administratoren spielen oftmals Sicherheits-Patches nicht rechtzeitig ein. Viele durch Viren oder Würmer entstandene Schäden treten erst geraume Zeit nach dem Bekanntwerden des Schädlings auf. Zu diesem Zeitpunkt gibt es in der Regel bereits Sicherheits-Patches von den jeweiligen Herstellern. Inzwischen werden zu den meisten Produkten Sicherheits-Patches in sehr kurzen Abständen veröffentlicht. Auswahl und Tests der im eigenen Kontext tatsächlich relevanten Patches beanspruchen zusätzliche Zeit. Viele Administratoren warten daher lieber bis zur Installation des nächsten regulären Software-Updates. Ein solches Verhalten ist fahrlässig.
  • Schutz des Systems vor den Gefahren, die mobile Datenträger mit sich bringen. USB-Speichersticks von der Größe eines Fingers können mittlerweile mehrere Gigabyte an Informationen speichern. Ihr hoher Datendurchsatz und die große Verbreitung in Betracht gezogen, stellen sie eine ernsthafte Gefahr für die interne Sicherheit von Unternehmen dar. Dabei geht es nicht nur um den eventuellen Diebstahl von Daten (der sich mit Windows-XP und dem Servicepack-2 unterbinden lässt, indem dem Benutzer ausschließlich Lesezugriff auf USB-Datenträger eingerichtet wird), sondern auch um das Einschleusen von Malware durch unachtsame Angestellte, die Dokumente zu Hause auf ungeschützten Rechnern bearbeiten und anschließend wieder auf dem Firmen-PC speichern. Hier helfen vor allem Aufklärung und Schärfung des Sicherheitsbewusstseins der Mitarbeiter.

Werden diese einfachen Ratschläge beherzigt, werden sich nach einiger Zeit – neben dem Sicherheitsgewinn – weitere Vorteile einstellen. IT-Leiter beobachten häufig, dass die Mitarbeiter zuverlässiger werden und die Arbeitsqualität steigt, denn die gelebte IT-Sicherheit fördert eine Unternehmenskultur, in der verantwortungsbewusstes Handeln, Kundenorientierung und die Identifikation mit den Unternehmenszielen fest verankert sind. Die nachgewiesene IT-Sicherheit schafft Vertrauen bei Kunden und anderen Geschäftspartnern und verhilft so zu Wettbewerbsvorteilen.

Zudem erfordern Wartungsarbeiten an den IT-Systemen deutlich weniger Zeit, denn Administratoren und Anwender kennen sich besser mit ihren Systemen aus. Die IT-Systeme sind gut dokumentiert, was Administrationsarbeiten, Planung, Neuinstallation von Software und Fehlerbeseitigung erleichtert und somit die Effizienz erhöht und gleichzeitig die Kosten senkt.
info@hermannbraeuer.com

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
AixpertSoft GmbH

AixpertSoft GmbH
Zyxel Networks A/S

Zyxel Networks A/S
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Vodia Networks GmbH

Vodia Networks GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
Plusnet GmbH

Plusnet GmbH