Ganzheitliche IT-Sicherheitsstrategie

IT-Sicherheit ist Chefsache

| Autor / Redakteur: Michael Heuer / Peter Schmitz

IT-Sicherheit muss zu einer Aufgabe der Geschäftsleitung werden. Auf der Tagesordnung muss die Entwicklung einer ganzheitlichen IT-Sicherheitsstrategie stehen, damit das Unternehmen für künftige Cyber-Attacken gewappnet ist.
IT-Sicherheit muss zu einer Aufgabe der Geschäftsleitung werden. Auf der Tagesordnung muss die Entwicklung einer ganzheitlichen IT-Sicherheitsstrategie stehen, damit das Unternehmen für künftige Cyber-Attacken gewappnet ist. (Bild: lassedesignen - Fotolia.com)

IT-Sicherheit kostet nur Geld, der Nutzen ist kaum erkennbar – nach diesem Motto haben viele Unternehmen jahrelang gehandelt. Langsam ist es Zeit zum Umdenken, denn immer öfter gibt es schwerwiegende Sicherheitsvorfälle, bei denen Angreifer auf Passwörter, Schlüssel oder Zertifikate zugreifen und inzwischen kosten solche Fälle sogar CEOs den Job.

Trotz der großen Publizität vieler Datendiebstähle sind viele Websites und Webapps von Unternehmen noch immer verwundbar gegen teils Jahrelang bekannte Angriffe. Fast überall gibt es bei Anwendungen, die über das Web zugänglich sind, einen erheblichen Handlungsbedarf.

Ein hoher Prozentsatz aller Web-Applikationen weist gravierende Sicherheitslücken auf. Fast jede davon kann für Datenklau und Industriespionage ausgenutzt werden. Und bei erfolgreichen Cyber-Attacken drohen, wenn sie publik werden, Unternehmen auch noch drastische Imageverluste.

Security-Verantwortung wird von Führungskräften vernachlässigt

Kommentar zum Rücktritt von Target-Chef Gregg Steinhafel

Security-Verantwortung wird von Führungskräften vernachlässigt

07.05.14 - Sechs Monate nach dem schweren Datendiebstahl beim drittgrößten US- Einzelhändler Target gab der Verwaltungsrat am Montag den 5. Mai 2014 den Abgang von Konzernchef Gregg Steinhafel bekannt. Nach Ansicht von Craig Carpenter, Chief Security Strategist bei AccessData zeigt der Steinhafel-Rücktritt, dass die Security-Verantwortung von Führungskräften riesig ist und oft vernachlässigt wird. lesen

Bezüglich der IT-Sicherheit von Webanwendungen hinken Unternehmen den Möglichkeiten der Angreifer hinterher – sehr oft sehr deutlich. Besonders gefährlich wird es, wenn eine schnelle Web-Lösung benötigt wird und Unternehmen vorhandene Softwarebausteine mit neuem Programmcode kombinieren.

Eine solche Anwendung ist schnell fertig und bietet ausreichend Funktionalität. Um rasch den Betrieb aufnehmen zu können, wird häufig auf umfangreiche und langwierige Sicherheitstests verzichtet. Nach genau solchen Gelegenheiten halten Hacker gezielt Ausschau.

IT-Sicherheit braucht Struktur

Wenn es um IT-Sicherheit geht, überlassen Unternehmen noch immer zu vieles dem Zufall. Sehr oft sind einzelne Lösungen vorhanden, die Aufgaben wie Virenschutz, Passwort- und Identitätsmanagement, die Verschlüsselung sensibler Unternehmensdaten oder Angriffe auf die Website und auf Web-Anwendungen angehen. Mehrere Personen kümmern sich um zugegebenermaßen wichtige Einzelthemen, es gibt aber kaum jemand, der für alle IT-Sicherheitsaufgaben zuständig und verantwortlich ist. Daher bleibt das meiste Stückwerk.

Erfolgreiche Hackerangriffe

Details: Aus Sympathie für den inhaftierten Wikileaks-Gründer Julian Assange startet Anonymous im Dezember einen 'Operation Payback' genannten Rachefeldzug gegen Wikileaks-Gegner. Hierzu zählen sie die Kreditkartenfirmen Visa und MasterCard, Postfinance und den Bezahldienst PayPal, der Wikileaks-Spenden zurückgehalten hatte. Der Angriff der Webseiten führte zu deren Ausfall. Details: Mitte Januar wird der Online-Handel mit Emissionszertifikaten nach Bekanntwerden von Hackerangriffen ausgesetzt. Nach Schätzung der Kommission entwendeten Kriminelle Zertifikate im Wert von 28 Millionen Euro. Details: Im Februar wird die amerikanische Sicherheitsfirma HBGary, die eigentlich dem FBI helfen sollte gegen das Hacker-Kollektiv Anonymous vorzugehen, von eben diesem gehackt. Neben 50.000 veröffentlichten internen E-Mails wurden einige ihrer Systeme lahmgelegt. Angeblich wollte Anonymous mit seiner 'Operation Paback' Wikileaks unterstützen.

Fotostrecke starten: Klicken Sie auf ein Bild (317 Bilder)

IT-Sicherheit muss zu einer Aufgabe der Geschäftsleitung werden. Auf der Tagesordnung steht die Entwicklung einer ganzheitlichen IT-Sicherheitsstrategie, die alle Aspekte berücksichtigt. Für die Umsetzung und ständige Anpassung ist ein Chief Security Officer verantwortlich. Insellösungen, die an einzelnen Problemen ansetzen, reichen nicht mehr aus. Unternehmen müssen jetzt handeln, um für künftige Sicherheitsattacken gewappnet zu sein.

Nachholbedarf bei Security Awareness

Der Autor Michael Heuer ist Regional Vice President und Country Manager Central Europe bei Akamai in Garching bei München.
Der Autor Michael Heuer ist Regional Vice President und Country Manager Central Europe bei Akamai in Garching bei München. (Bild: Proofpoint)

Eine ganzheitliche IT-Sicherheitsstrategie umfasst technische und organisatorische Maßnahmen. Viele der klassischen Sicherheitswerkzeuge wie der Schutz vor Viren, Malware, Phishing sowie ein regelmäßiges Sicherheits- und Patchmanagement haben nicht ausgedient. Sie liefern den notwendigen Basisschutz. Nachholbedarf gibt es beispielsweise in den Bereichen Schulung, Training und Sensibilisierung der Mitarbeiter bezüglich neuerer Bedrohungen durch Social Engineering oder Social Hacking. Wichtig ist, dass Unternehmen Prozesse und Lösungen etablieren, die vorhandene und erfolgreiche Maßnahmen und Investitionen schützen.

Ein nachhaltiger Ansatz muss darüber hinaus Bedrohungen durch immer neue Formen von Cyber-Attacken aufgreifen. Eine Reihe von Unternehmen arbeitet bereits verstärkt mobil und cloudbasiert. Mit Security-Services aus der Cloud die den Schutz und die Verfügbarkeit von cloudbasierten Applikationen und Daten sicherstellen, können Unternehmen einen Ansatz verfolgen, der die Grenzen der herkömmlichen Sicherheitslösungen ergänzt und verstärkt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42862163 / Sicherheits-Policies)