Cornelia Luther, PR-Managerin/Kommunikation, Heidelberg iT Management GmbH & Co. KG
Die umfassende Absicherung der IT-Systeme bleibt im Hinblick auf die digitale Transformation und die immer raffinierteren Cyber-Attacken weiterhin eine große Herausforderung für IT-Abteilungen. Standard-Security-Lösungen sind zwar in nahezu allen Unternehmen vorhanden, ganzheitliche IT-Security auf Basis eines zentralen Konzeptes für Informationssicherheit wird dagegen noch zu selten umgesetzt.
Die IDC-Studie „IT-Security-Trends in Deutschland 2018“ zeigte eine angespannte IT-Sicherheitslage in deutschen Unternehmen: 67 % der befragten Unternehmen gaben an, in den letzten 24 Monaten mit Sicherheitsvorfällen konfrontiert worden zu sein. Primär betroffen waren PCs und Notebooks mit 34 %, Netzwerkhardware mit 31 % sowie Smartphones und Tablets mit insgesamt 30 %. Befragt wurden 230 IT-Entscheider aus Organisationen mit mehr als 20 Mitarbeitern.
Die größten Sicherheitsrisiken entstehen somit durch Fehlverhalten und schwach ausgeprägtes IT-Sicherheitsbewusstsein seitens der Endanwender, mangelhaft gesicherte Endgeräte, gezielte Angriffe durch Malware, Phishing und anderer Social-Engineering-Techniken sowie die weitreichende Vernetzung von Geräten und Anwendungen.
SEMINARTIPPS
IT-Sicherheit Kompakt, 24.09.2019, Frankfurt/M.
Informationssicherheit & Datenschutz – Prozesse effizient gestalten, 05.12.2019, Frankfurt/M.
Proaktiv handeln
Angesichts dieser IT-Risikolage sind Unternehmen gut beraten, IT-Sicherheit proaktiv, strategisch und ganzheitlich anzugehen. Für die Erarbeitung und Umsetzung eines zentralen Konzeptes für Informationssicherheit, das alle Komponenten, Lösungen und Prozesse umfasst, empfiehlt sich die Zusammenarbeit mit qualifizierten Sicherheitsexperten eines externen IT-Dienstleisters.
Die folgenden Empfehlungen geben Impulse, wie eine höhere IT-Sicherheit in Unternehmen erzielt werden kann und so die Aufrechterhaltung des Geschäftsbetriebes gestärkt wird:
Transparenz schaffen
In einem ersten Schritt sollte die Schutz-, Abwehr- und Wiederherstellungsfähigkeit des Unternehmens auf den Prüfstand gestellt werden. Dafür ist eine umfassende Bestandsaufnahme aller eingesetzten Security-Lösungen notwendig. Einzubeziehen sind alle Geschäftsbereiche, auch Fachbereiche, deren IT-Ressourcen außerhalb der zentralen IT verwaltet werden. Ebenso alle Endgeräte, einschließlich Drucker und Multifunktionsgeräte, denn es gilt: Jede IP-Adresse ist ein potenzielles Angriffsziel.
Strategisch planen
IT-Security-Lösungen und -Services kommen nur innerhalb eines umfassenden IT-Sicherheitskonzeptes vollständig zum Tragen. Bei der Gestaltung eines zentralen Konzeptes hat sich die Orientierung an den Empfehlungen relevanter IT-Security-Best-Practice und IT-Sicherheits-Frameworks, z. B. BSI oder den NIST-Kategorien Identifizieren-Absichern-Aufdecken-Reagieren-Wiederherstellen, bewährt. Auch zahlt es ich aus, strategisch in IT-Security-Lösungen wie Back-up- und Recovery-Lösungen zu investieren, um die Auswirkungen eventueller Cyber-Attacken im Vorfeld zu entschärfen.
Integrieren und automatisieren
Zeitgemäße Security-Konzepte sollten nicht komplex, sondern klar und übersichtlich sein. Dies gelingt durch die Integration von etablierten Basisschutz- und Standard-Security-Lösungen wie Anti-Malware, Spamabwehr, Firewalls etc. und neuen Lösungen. Für eine End-to-End-Security-Architektur ist auch die Integration von Security-Lösungen eines oder unterschiedlicher Anbieter sowie das Zusammenspiel zwischen verschiedenen Lösungskomponenten erforderlich.
Die umfassende Automatisierung von Security-Prozessen ist ein weiteres Kernelement wirkungsvoller IT-Sicherheitskonzepte. Automatisierungstools für Grundelemente der IT-Sicherheit schützen vor Risiken wie Fehlkonfigurationen einer Lösung, die manuelle Tätigkeiten, etwa das Patchen von Systemen, das Aufsetzen von Servern oder das Konfigurieren von Firewalls mit sich bringen können.
Unified-Endpoint-Management (UEM)
Die Kenntnis aller Ressourcen und deren Abhängigkeiten sind maßgeblich für eine ganzheitliche und sichere Verwaltung der IT-Umgebung. Eine moderne UEM-Lösung unterstützt die IT-Administration dabei, ein Höchstmaß an IT-Sicherheit einzuführen und aufrechtzuerhalten. Beispiel Patchmanagement: Die schnelle, flächendeckende und automatisierte Update-Verteilung im Unternehmensnetz hat höchste Priorität. Schließlich reicht die Sicherheitslücke auf einem einzelnen Rechner in der IT-Umgebung aus, um die Sicherheit des Netzwerks und wertvolle Unternehmensdaten zu gefährden. Im Idealfall beinhaltet eine moderne UEM-Lösung, wie z. B. die baramundi Management Suite (bMS), ein automatisiertes Patchmanagement, das neben Microsoft-Patches auch Programm-Updates für populäre Anwendungen wie Adobe Reader, Java oder Mozilla Firefox verteilen kann.
Security-Kultur entwickeln
Allein mit Technik ist ein IT-Sicherheitskonzept nicht wirkungsvoll durchzusetzen. Die IT-Endanwender sind nach wie vor das größte Sicherheitsrisiko für Unternehmen. Sensibilisierungsmaßnahmen und regelmäßige IT-Sicherheitsschulungen für alle betrieblichen Akteure sind daher dringend erforderlich. Unternehmensführung und Fachverantwortliche sind hierbei gleichermaßen gefordert, damit am Ende alle Mitarbeiter die Anforderungen der Informationssicherheit und der IT-Sicherheit aus eigener Erkenntnis bei der Durchführung ihrer täglichen Arbeitsaufgaben beachten.
PRAXISTIPPS
- Informationssicherheit, IT-Sicherheit und Datenschutz strategisch in einem Gesamtkonzept umsetzen.
- Alle technologischen Ansätze evaluieren, denn IT-Security reicht über Antiviruslösungen und Firewalls hinaus.
- Prozesse und Lösungen automatisieren und integrieren. Damit verringert sich die Komplexität der IT und das Risiko manueller Fehler.
- Regelmäßige Awareness-Maßnahmen im Unternehmen durchführen – über alle Standorte und Hierarchieebenen hinweg bezüglich der Bedeutsamkeit von technischen Sicherheitsmaßnahmen und organisatorischen Vorgaben der Organisation.
Beitragsnummer: 3207