Strategien für mehr Sicherheit im Unternehmen

Als Schatten-IT bezeichnet man Programme und Dienste, die von Mitarbeitern verwendet werden, obwohl das Unternehmen diese nicht dafür freigegeben hat.

Ein Beispiel aus der Praxis: Wenn Plattformen nicht mehr zeitgemäß sind, weichen Nutzer auf moderne Chat-Clients wie Viber oder WhatsApp aus und schicken einander über diese Fotos oder Dokumente. Die Fotos haben die Nutzer mit ihren Smartphones, die ebenfalls nicht vom Unternehmen zugelassen sind, gemacht. So kann sich eine riesige, nicht vom Unternehmen betriebene Schatten-IT entwickeln, die für die Nutzer fast genauso wichtig ist wie die zertifizierten und zugelassenen Systeme.

Schatten-IT-Lösungen entsprechen aber oftmals nicht den organisatorischen Anforderungen an Kontrolle, Dokumentation, Sicherheit und Zuverlässigkeit. Deshalb sollten Unternehmen neben der dokumentierten IT- und IT-Security-Architektur unbedingt die Schatten-IT im Auge behalten. Hier spielt die sogenannte „Shadow Cloud“ eine besondere Rolle – z.B. die Verwendung von Dropbox und ähnlichen Anbietern für den Dateiaustausch. In den meisten Fällen stellt sich heraus, dass Mitarbeiter gerne auf unternehmenseigene Systeme umsteigen und die „Shadow Cloud“ verlassen, wenn diese die notwendigen Funktionen anbieten.

Größere Unternehmen sollten ein Identitäts- und Zugriffsmanagement-System (IAM) einrichten, das intelligent mit dem Verzeichnis der Benutzer in der Organisation verbunden ist. Jede Benutzerinteraktion sollte aufgezeichnet werden und so für spätere Auswertungen zur Verfügung stehen.

Scheiden Benutzer aus dem Unternehmen aus, sollte man ihre E-Mail-Adresse zumindest noch drei Monate in Betrieb halten. Auf diese Wiese kann man feststellen, ob einlangende E-Mails auf ein rechtswidriges Verhalten hinweisen, mit dem beispielsweise Compliance-Vergehen oder Computerkriminalität verbunden sein könnten.

Falls im Unternehmen eine Single-Sign-on-Lösung implementiert ist, die Benutzer rollenspezifisch gleichzeitig an mehrere Systeme anmeldet, sollte der Einsatz von Zwei-Faktor-Authentifizierung unbedingt überlegt werden (z.B. durch Sicherheits-Token oder Smartcards). Im Zuge der Einrichtung eines solchen Systems ist es ratsam, ein Inventar der gesamten Hard- und Software im Unternehmen anzulegen und sicherzustellen, dass diese im Sinne der Benutzer- und Zugriffsverwaltung richtig konfiguriert ist und bekannte „Hintertüren“ geschlossen wurden.

Wichtig für die Sicherheit im WLAN ist die Verwendung von qualifizierten Passwörtern für Router und Clients und auch die regelmäßige Information, welche Geräte darüber angeschlossen sind. Generierte Berichte über das Netzwerk, von dem man umgeben ist, sollte man aufmerksam analysieren, auf Schwachstellen überprüfen und gegebenenfalls korrigierend eingreifen.

Unternehmen sollten analysieren, wie weit ihre drahtlosen Netze reichen, damit von der Straße aus keine Hacking-Versuche unternommen werden können. Für hochsichere Unternehmensteile ist eine separate Konfiguration vorzusehen, die auf keinen Fall mit dynamisch generierten Netzwerkadressen arbeiten sollte, sondern jedes verwendete Device erst mittels autorisierter MAC-Adresse in das Netzwerk lässt.

Unternehmen sollten den Einsatz von übergreifenden Security Information and Event Management (SIEM)-Lösungen in Betracht ziehen. Diese überwachen Netzwerke und Systeme rund um die Uhr und lösen bei Angriffen einen Alarm aus.

Zudem ist der Einsatz spezieller Software zur Entdeckung von Eindringlingen (Intrusion Detection) und von Datenabflüssen (Data Leak Prevention) gerade in Organisationen wie Banken anzuraten. Hier versuchen Kriminelle häufig, über technische Mittel einzudringen oder über Social Engineering Mitarbeiter dazu anzustiften, ihnen sensible Informationen zu senden.

Viele Unternehmen halten an veralteter oder schlecht gewarteter Software fest. Die Risiken, die man damit eingeht, sind meist viel größer als die Folgen einer kontrollierten Ablöse. Eine Bestandsaufnahme und Erneuerung der IT-Architektur bringt neben funktionalen Vorteilen, der leichteren Handhabbarkeit durch Benutzer und der guten Administrierbarkeit auch immense Verbesserungen im Sicherheitsbereich.

Verschlüsselung verwenden

Neue Programme sollten verschlüsselt kommunizieren und Daten speichern können. Das gilt auch für extern zugekaufte Software (z. B. Instant-Messaging-Dienste), die man maßgeschneidert für viele Unternehmen konfigurieren kann, auch um die Benutzer von den in der Schatten-IT benutzten Services abzubringen.

Künstliche Intelligenz (KI) kann keine bestehenden Systeme ersetzen, aber Reaktionszeiten und manuellen Aufwand verringern und somit die Gesamtsicherheit eines Unternehmens erhöhen. KI ist in vielen IT-Bereichen einsetzbar. Moderne Schwachstellen-Scanner liefern beispielsweise nicht nur statische Informationen über Angriffsvektoren, sondern können in selbst lernender Manier auch neue Angreifer entdecken.

Mittels Penetrationstests werden Angriffe auf ein Rechnersystem oder eine Webseite simuliert, um mögliche Schwachstellen, Verwundbarkeiten oder Konfigurationsfehler zu finden. Dabei können Tools zum Einsatz kommen, die denen von Hackern ähneln. Werden solche Tests im Rahmen eines größeren Audits durch externe Spezialisten durchgeführt, sollten daher vorher die für IT-Security Verantwortlichen informiert werden, da ja ihre Warnsysteme anschlagen sollten. Vertraut man diesen nicht, empfiehlt es sich, vorab jeden Schritt zu dokumentieren, damit keine langwierige Diskussion über etwaige Hacking-Versuche entsteht, die dann zumeist weit über die Maßnahme selbst hinausgeht.

Werden bei solchen Tests wichtige, geschäftskritische Systeme eines Unternehmens überprüft, muss unbedingt sichergestellt sein, dass Backup- oder Ausfallssicherungsmöglichkeiten bestehen, falls ein solches System durch den Penetrationstest zum Stillstand kommt.

„Ethische Hacker“ oder „White Hats“ überprüfen die Sicherheitsvorkehrungen im Auftrag von Unternehmen oder Organisationen. Um einen Eindruck von diesen Tests zu bekommen, kann man auch im Internet frei verfügbare Scanner verwenden. Eine Übersicht findet man auf der Webseite der OWASP (Open Web Application Security Project).

Jedes Unternehmen sollte einen Business-Continuity-Plan in der Schublade haben. Dieser hilft, nach Cyber-Attacken zumindest für einige Zeit analog im Notbetrieb weiterzuarbeiten. Zusätzlich sollten Kommunikation und Krisenorganisation im Vorfeld festgelegt werden.

Unternehmen sollten laufend die von ihnen im Rechenzentrum und von ihren Benutzern verwendete Hardware evaluieren. Veraltete Desktop-Computer und Smartphones werden in manchen Organisationen nicht ausgetauscht, sondern es wird den Benutzern freigestellt, eigene Geräte zu verwenden. Was am Anfang wie eine Einsparung, gepaart mit einem zusätzlichen Komfort für die Anwender aussieht (sie können ja ihre privaten und beruflichen Programme am gleichen System verwenden), rächt sich im Fall von einem Schadsoftwarebefall auf diesen Geräten, der durch den privaten Nutzungsteil verursacht wird.

Besondere Vorsicht ist bei USB-Sticks geboten, hier sollten Unternehmen ausschließlich die Nutzung von verschlüsselten, vom Unternehmen ausgegebenen Devices zulassen. Zufällig im Büro gefundene Sticks sollten nicht in Computer gesteckt, sondern sofort der Sicherheitsabteilung zur Auswertung übergeben werden.

Die Nutzung der neuen Informations- und Kommunikationstechnologien hat vielfältige Gefahrenquellen entstehen lassen. Versicherungen haben für den Bereich Cyberversicherung eine große Produktbandbreite definiert. Bereits die Diskussion über die Versicherbarkeit mit dem potenziellen Versicherer kann den Ausschlag für den Start einer unternehmensweiten Sicherheitsoffensive geben, da Versicherer häufig vor dem Abschluss bestimmte Maßnahmen anregen, um Risiken einzudämmen.