IT-Security Management

Sicherheitsrisiken durch die digitale Transformation

| Redakteur: Peter Schmitz

Der Mensch selbst ist die größte Bedrohung für die IT-Sicherheit, ob als böswilliger Täter oder gutgläubiger Nutzer.
Der Mensch selbst ist die größte Bedrohung für die IT-Sicherheit, ob als böswilliger Täter oder gutgläubiger Nutzer. (Bild: Pixabay / CC0)

Durch die zunehmende Verlagerung von Diensten und Daten ins Internet entstehen zahlreiche neue Risiken. Generell sind diese bei der Digitalisierung nicht vermeidbar und können nicht gänzlich ausgeschlossen werden. Parallel zur Ausarbeitung einer digitalen Strategie sollten Unternehmen deshalb auch eine stringente Security-Strategie einführen.

Die analoge Welt ist bereits seit einigen Jahrzehnten bestens abgesichert und gut strukturiert. Der Einfluss, den die digitale Welt bei der Vermischung von beiden Umgebungen hierbei eingenommen hat, ist in vielen Fällen vernachlässigt worden. Die daraus resultierenden erforderlichen Anpassungsmaßnahmen sind entsprechend gar nicht oder nur ungenügend umgesetzt worden. Ein Beispiel der jüngeren Vergangenheit ist der nachlässige Umgang der ehemaligen US-Außenministerin Hillary Clinton im E-Mail Gebrauch, die ihren privaten Server genutzt hat, um auch dienstliche E-Mails zu versenden und die Sicherheitslücken dabei ungeachtet ließ.

So vielfältig die Möglichkeiten der Digitalisierung auch sind, so groß sind aber auch deren Gefahren. Sowohl Staaten als auch Unternehmen sind immer häufiger im Fokus von Cyberangriffen.

Die Qualität der Cyberangriffe hat sich deutlich verändert: Für die Betroffenen sind sie kaum noch vorhersehbar, da es an extrem vielen Stellen des Unternehmens zu Angriffen kommen kann. Die Attacken sind zudem für die Angreifer deutlich effizienter geworden und ermöglichen den Kriminellen damit, dass die Anzahl der Angriffe auch künftig weiter steigen wird.

Dieses Thema betrifft nicht nur staatliche Einrichtungen, Konzerne oder große Industriebetriebe, auch kleine und mittelständische Unternehmen sind in der Pflicht, sich um die Sicherheit ihrer Daten zu bemühen. Sei es die Anbindung, die Integration oder der Schutz von Nebenstellen des eigenen Unternehmensnetzwerks, wie beispielsweise externe Lager, Filialen oder Niederlassungen. Insbesondere die IT ist häufig Dreh- und Angelpunkt in Unternehmen mit hohen Anforderungen an Sicherheit, Zuverlässigkeit und Haftungsaspekten. Viele Unternehmen befinden sich nach wie vor in heterogenen IT-Insellösungen. Diese sollten - wo möglich - in homogene IT-Welten integriert auf Plattform-übergreifende Anwendungen eingebunden werden.

Ständige neue und innovative Bedrohungen

Cyberkriminelle suchen ständig nach neuen innovativen Möglichkeiten, um Unternehmen anzugreifen und Firmendaten oder gar Gelder zu stehlen. Eines der neuesten Phänomene ist das CEO-Fraud. Hierbei handelt es sich um Angriffe mit betrügerischen Geschäfts-E-Mails, um Mitarbeiter dazu zu bewegen, bewusst Geld oder sensible Daten aus dem Unternehmen zu versenden. Unbekannte geben sich als Chefs aus und fordern Mitarbeiter mit fingierten E-Mails auf, Geld oder Daten zu transferieren.

Auch die Chefs von Snapchat und Seagate waren bereits Ziele solcher Attacken. Hierbei wurde nicht ein monetärer Transfer angeordnet, sondern es wurde verlangt, dass wichtige Steuerunterlagen für alle Beschäftigten gesammelt und verschickt werden sollen und damit auch deren Social-Security-Nummer. Mit dieser Nummer kann in den USA auf einfache Weise eine Kreditkarte beantragt werden.

Monika Schaufler, Regional Director Central EMEA, Proofpoint: „Angriffe durch Hochstapler-E-Mails sind anders als die meisten Cyberattacken. Hier wird mit sehr guten Fakes an die Loyalität von qualifizierten und vertrauenswürdigen Mitarbeitern appelliert. Weltweit verwenden Cyber-Kriminelle diese Schwachstellen, um systematisch hoch angesehene Organisationen anzugreifen und zu schädigen. Da die E-Mail ein elementares Kommunikationsmittel in unserer digitalen Gesellschaft ist, versuchen Kriminelle diese stetig zu kompromittieren.“

IT-Sicherheit sollte kein Flaschenhals sein

Selbst das ausgefeilteste Sicherheitskonzept ist nicht in der Lage, das Restrisiko komplett zu eliminieren, jedoch kann es dieses weitestgehend minimieren. Es muss die Balance zwischen der totalen Abschottung sensibler Daten, der Nutzerfreundlichkeit sowie der Wirtschaftlichkeit von IT-Systemen halten.

Ein strategisch erstelltes Sicherheitskonzept kann hierbei helfen, bereits im Vorfeld ganzheitlich Risiken zu erkennen, zu bewerten und mögliche Schäden vom Unternehmen abzuwenden. Der Erfolg des Sicherheitskonzeptes beruht zum großen Teil darauf, dass seine Erstellung und Umsetzung in den richtigen Händen liegt.

Proaktives Handeln

Unternehmen, die lediglich reagieren, werden früher oder später mit Problemen konfrontiert, daher sollte möglichst proaktiv gehandelt werden. Dazu gehört neben der Ausarbeitung von strategischen Maßnahmen und der Einführung von Sicherheitskonzepten auch zwingend, das erforderliche Know-how an Bord zu holen. Die Rekrutierung von Experten kann sogar als Wettbewerbsvorteil verstanden werden.

IT-Sicherheitsexperten sollten direkt im Unternehmen beschäftigt sein, in dem sie auch tätig sind, denn sie haben den besten Überblick über die IT-Infrastruktur und können schnell auf die Entdeckung von Sicherheitslücken reagieren und proaktiv tätig werden. Gleichzeitig ist es für die Unternehmen essenziell, dass die Mitarbeiter dem Unternehmen eng verbunden und möglichst loyal sind, was bei eigenem Personal meistens leichter zu erreichen ist.

Die Rekrutierung von Sicherheitsexperten ist allerdings keine leichte Aufgabe. Viele Arbeitgeber nutzen daher verstärkt externe Unterstützung und sind vielfach bereit, großzügige Zugeständnisse zu machen, um geeignete - eventuell nicht einmal ideale - Mitarbeiter zu gewinnen.

Erforderliche Qualifikationen

Die für den Sicherheitsbereich gesuchten Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein als reine IT-Experten. Effektive Präventionsarbeit und auch die Planung potenzieller Angriffsszenarien gehören zu den Standardaufgaben. Für eine derartige Planung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security und Netzwerkbereich sowie Kryptografie erforderlich.

Der CISO, Security Manager, Manager Informationssicherheit oder die entsprechend betraute Person entwickelt innovative und nachhaltige Lösungen unter Berücksichtigung der fachlichen und technischen Industriestandards und ist gefordert, auf die aktuellsten Technologien und Methoden zurückzugreifen. Idealerweise kann sich der Verantwortliche sogar in die Denkweise der Hacker hineinversetzen, um geeignete Gegenmaßnahmen zu ergreifen. Neben der theoretischen Konstruktion von ‚worst case Szenarien‘ ist es auch erforderlich, mögliche Schlupflöcher im System aufzufinden.

Die wichtigsten Skills für Sicherheitsexperten:

  • Präventionsarbeit und Planung von Angriffsszenarien
  • Fundierte Kenntnisse im Security- und Netzwerkbereich
  • Ausgeprägtes Wissen der Kryptografie
  • Gute fachliche und technische Erfahrungen mit Lösungen der industriellen Standards
  • Gute Kommunikationsfähigkeiten und analytische Denkweise

Fazit:

Der Mensch selbst ist die größte Bedrohung für die IT-Sicherheit, ob als böswilliger Täter oder gutgläubiger Nutzer – Jäger und Gejagter. Es lohnt sich deshalb, in hochqualifizierte Mitarbeiter und Weiterbildungsangebote zu investieren, um die größtmögliche Expertise im Unternehmen zu bündeln und zu halten.

Über den Autor

Martin Krill
Martin Krill (Bild: Hager Unternehmensberatung)

Martin Krill ist seit über fünfzehn Jahren für die Hager Unternehmensberatung tätig und wurde 2004 zum Geschäftsführer berufen. Er besetzt gehobene Vertriebs- und Management-Positionen in der Technologiebranche sowie in weiteren ausgewählten Branchen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44568293 / Sicherheits-Policies)