Unternehmen müssen sich nicht nur vor kriminellen Hackern fürchten. Auch die eigenen Mitarbeiter stellen eine Bedrohung dar - manche sogar eine ganz besondere.
Hacks, Scams und sonstiger Sicherheitsvorfälle sind ein dauerndes und mitunter teueres Ärgernis für Unternehmen. Dabei sind sich viele Untersuchungen zum Thema einig: Das Gros der Bedrohungen kommt von Innen.
Der verschwiegene Hackerangriff
Viel schlimmer noch ist allerdings, dass viele Unternehmen von den Sicherheitsvorfällen, die durch Innentäter verursacht werden gar nichts mitbekommen. In 40 Prozent aller Unternehmen weltweit haben Mitarbeiter schon einmal Vorfälle mit IT-Security-Bezug unter den Teppich gekehrt. Zu diesem Ergebnis kommt eine Studie von Kaspersky Lab und B2B International, die zu diesem Thema Mitarbeiter aus 5000 Unternehmen aus aller Welt befragt haben.
Trotzdem ist den Firmen das erhöhte Sicherheitsrisiko durch die eigenen Mitarbeiter durchaus bewusst: Mehr als die Hälfte aller Unternehmen (52 Prozent) glaubt fest daran, dass die eigene Belegschaft den größten Security-Schwachpunkt darstellt. Dabei sind es in der Regel nicht einmal böse Absichten, die Mitarbeiter dazu bringen, die IT-Sicherheit mit Füßen zu treten.
Nachlässigkeit und Unwissenheit von Mitarbeitern stellen die größten Risiken im Business-Umfeld dar, wenn es um zielgerichtete Attacken geht. Der Studie zufolge sind 28 Prozent aller Cyberangriffe auf Phishing und Social Engineering zurückzuführen, weitere 30 Prozent entfallen auf Exploits und den Verlust von mobilen Endgeräten. Laut Kaspersky waren im vergangenen Jahr 46 Prozent aller Cybersecurity-Vorkommnisse auf uninformierte oder nachlässige Mitarbeiter zurückzuführen.
Als Hauptprobleme identifiziert die Studie von Kaspersky und B2B das Verschweigen von Sicherheitsvorfällen und die unautorisierte Nutzung von mobilen Endgeräten im Firmennetzwerk. Insbesondere erstgenannter Fall kann zu weiteren Konsequenzen führen, denn es besteht die Möglichkeit, dass weiterer Schaden entsteht. Versucht etwa ein Mitarbeiter selbstständig, die gerade eingefangene Ransomware auf dem Firmenrechner dadurch zu besiegen, dass er einfach das Lösegeld zahlt, ist noch lange nicht sichergestellt, dass das System danach komplett bereinigt ist.
Die Malware könnte weiterhin aktiv sein und sich auch auf andere Rechner ausbreiten. Die Studienmacher mahnen daher die Unternehmen, das Problem des "Unter-den-Teppich-Kehrens" offen anzusprechen - und zwar nicht nur bei den Mitarbeitern, sondern auch in Management- und HR-Kreisen. Schließlich müsse es ja einen Grund für das Verschweigen geben. Dieser könne etwa in einem Klima der Angst liegen.
Die Nutzung von mobilen Endgeräten im Unternehmensnetzwerk sorgt weiterhin für Kopfschmerzen: Immer noch ist laut der Studie jedes dritte Unternehmen weltweit besorgt über die Thematik "Bring your own device" (ByoD). Hierbei spielt auch der mögliche Verlust von mobilen Devices eine Rolle. Laut Studie sind mehr als die Hälfte aller Sicherheitsvorfälle bei den befragten Unternehmen auf den Verlust eines solchen Geräts zurückzuführen.
Sorgen bereitet den Unternehmen aber auch, dass es bei ByoD im Wesentlichen an den Mitarbeitern selbst liegt, verantwortungsvoll und im Sinne der Security-Policy mit Unternehmensdaten umzugehen. Das wiederum scheint leider alles andere als selbstverständlich: 44 Prozent der befragten Firmen gab an, dass die Mitarbeiter den Sicherheits-Richtlinien nicht Folge leisten.
Machen Sie Ihr Security Awareness Training besser
Bestimmen Sie Metriken Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.
Bleiben Sie flexibel Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.
Lassen Sie Regeln brechen Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.
Wählen Sie einen neuen Ansatz Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.
Holen Sie sich Unterstützung vom C-Level Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.
Machen Sie gemeinsame Sache mit anderen Abteilungen Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.
Seien Sie kreativ Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.
Setzen Sie sinnvolle Zeitfenster Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.
Wählen Sie einen multimedialen Ansatz Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Die gute Nachricht: Die Mehrheit der befragten Unternehmen will tätig werden. In erster Linie durch die Einführung neuer Security-Softwarelösungen (43 Prozent), doch auch die Weiterbildung über Trainings und Awareness-Programme steht hoch im Kurs (35 Prozent).
Top 10: Mitarbeiter, die die IT-Sicherheit bedrohen
Für Sam Elliot vom Security-Anbieter Bomgar sind Mitarbeiter und externe Partner mit entsprechenden Zugriffsrechten in der Regel die Hauptverdächtigen, wenn es um (gewollte oder ungewollte) Angriffe durch Innentäter geht. Elliot warnt insbesondere vor diesen zehn Mitarbeiter-Kategorien:
Top 10: Diese Mitarbeiter gefährden Ihre Sicherheit
10. Die Charity-Organisation
9. Der Cloud-Manager
8. Der befristet Beschäftigte
7. Der externe Partner
6. Der Social Media Manager
5. Der neue IT-Entscheider
4. Der Ex-Mitarbeiter
3. Der Security-Berater
2. Die Assistenz der Geschäftsleitung
1. Der CEO
10. Die Charity-Organisation
Der Weg ins Verderben kann mit integren Absichten beschritten werden: "Wie man beim Hack von JP Morgan Chase im Jahr 2014 gesehen hat, kommt die Kreativität bei solchen Angriffen nie zu kurz", betont Elliot. "Viele große und kleine Wohltätigkeitsorganisationen erhalten im Rahmen von Kooperationen Zugriff auf die Mitarbeiter-Datenbanken von Unternehmen oder halten sensible Informationen über teilnehmende Mitarbeiter vor."
9. Der Cloud-Manager
Daten in der Cloud vorzuhalten kann ein Risiko darstellen: "Je mehr Daten ihren Weg in die Cloud finden, desto wichtiger werden die privilegierten User, die die Infrastruktur managen," so Elliot. "Diese Personen haben umfassenden Zugriff auf Unternehmens-Daten und stellen deshalb lukrative Ziele für Hacker dar."
Wenn Cloud Security dem CISO den Schlaf raubt
Security-Verantwortlichkeiten Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.
Unmanaged Traffic Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.
Managed Traffic Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.
User-Eigenmacht Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.
Kein Mut zur Lücke Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.
Wahl der richtigen Security-Lösung Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
8. Der befristet Beschäftigte
Gerade bei zeitlich befristeten Verträgen ist Nachlässigkeit der falsche Ansatz: "In der Einzelhandelsbranche und anderen serviceorientierten Bereichen der Industrie werden Saison- und Zeitarbeiter eingestellt - auch in den IT-Abteilungen. Diese werden oft mit zeitlich begrenzten Zugriffsrechten auf Online-Systeme und entsprechender Hardware ausgestattet. Für diese Mitarbeiter sollten die gleichen IT-Sicherheitsregeln gelten, wie für alle anderen", empfiehlt der Experte.
7. Der externe Partner
"Viele Unternehmen - insbesondere große - setzen für ihr Tagesgeschäft auf ein komplexes Netzwerk von externen Händlern", erklärt Elliot. "Wie bereits mehrere schlagzeilenträchtige Fälle gezeigt haben, stellt es ein Risiko dar, diese Händler via VPN mit direktem Zugriff auf das Unternehmensnetzwerk auszustatten. Denn diese Zugänge könnten Hackern als Gateway dienen. Unternehmen sollten den Zugriff ihrer Händler limitieren und kontrollieren."
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
6. Der Social Media Manager
Viele Social-Media-Experten glauben daran, dass jede Art von Aufmerksamkeit gut ist. "Social-Media-Admins sind ständig online und stehen in der Netz-Öffentlichkeit. Über diese Personen findet man wahrscheinlich schnell erste Kontaktinformationen über Karriere-Netzwerke wie LinkedIn", gibt Elliot zu bedenken. "Kriminelle Hacker könnten außerdem versuchen, sich selbst als Social Media Manager auszugeben, um Zugriff auf Systeme oder Informationen zu bekommen."
5. Der neue IT-Entscheider
Unwissenheit schützt vor Schaden nicht: "Hacker agieren oft überraschend raffiniert und informieren sich zunächst online, um dann über Social-Engineering-Taktiken ihr Glück zu versuchen," weiß der Experte. "Neue IT-Administratoren, die noch nicht mit Protokollen und Prozessen vertraut sind, könnten von Cyberkriminellen ins Visier genommen, beziehungsweise in die Falle gelockt werden."
4. Der Ex-Mitarbeiter
"Eine Sicherheitslücke, die so gut wie alle Unternehmen betrifft, ist die Löschung von Zugangsdaten, nachdem Mitarbeiter ausgeschieden sind", so Elliot. "Wer diese Zugänge nicht löscht, geht das Risiko ein, angegriffen zu werden. Die Angriffsfläche so zu reduzieren, gehört zum Einmaleins der IT-Sicherheit."
3. Der Security-Berater
Extern bleibt extern: "Eine ganzheitliche IT-Sicherheitsstrategie erfordert oft auch die Unterstützung von mehreren Security-Anbietern", ist sich Elliot sicher. "Bevor Sie jedoch Zugangsdaten verteilen, sind Sie gut damit beraten, zu überprüfen, wie es eigentlich um die Sicherheit des Anbieters selbst bestellt ist."
2. Die Assistenz der Geschäftsleitung
Kleine Info, große Sache: "In vielen Unternehmen besitzt die Assistenz der Geschäftsleitung umfassende Zugriffsrechte - unter anderem auf Personal- und Finanzdaten. Das macht sie zu einem besonders attraktiven Ziel für kriminelle Hacker."
1. Der CEO
Der Mann oder die Frau an der Spitze, sollte auch auf Ihrer Security-Liste ganz oben stehen: "Das FBI hat den monetären Verlust durch Scams, die gezielt auf das C-Level ausgerichtet waren, für die letzten drei Jahre auf circa 2,3 Milliarden Dollar geschätzt", sagt Elliot. "Diese Art der Angriffe auf die Daten von Geschäftsführern zeigt, dass die kriminellen Hacker auf sämtlichen Hierarchie-Ebenen angreifen."
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten