SicherheitIst Ihr Unternehmensnetzwerk optimal geschützt?
Aus Unwissenheit, mangels personeller und finanzieller Ressourcen werden diese Risiken häufig aber nicht ausreichend beachtet. Dabei kommt der Sicherheit der Unternehmens-IT im Hinblick auf den reibungslosen Geschäftsablauf in vielen Fällen höchste Bedeutung zu. Manchem Entscheider wird dies erst bei einem Zusammenbruch des Systems bewusst, wenn die Mitarbeiter Däumchen drehen.
Gefahren unterschätzt
Jahr für Jahr nehmen die Angriffe auf Unternehmensnetzwerke zu. Vor allem sogenannte „Malware“, also Viren, Trojaner oder Spyware, machen Unternehmen zu schaffen. Innerhalb von 24 Stunden befallen manche Internetwürmer Privat- und Unternehmenscomputer weltweit. Viele deutsche Unternehmer halten ihre IT für sicher. So schätzt jedes zweite Unternehmen sein Sicherheitsrisiko als „ziemlich gering“ oder sogar als „sehr gering“ ein. Zu diesem Ergebnis kommt die Studie „IT-Security 2006“ der Fachzeitschrift InformationWeek in Zusammenarbeit mit research+consulting. Obwohl 23,6 Prozent der befragten Unternehmen beklagen, dass die Sicherheitsverstöße im letzten Jahr im Vergleich zum Vorjahr zugenommen haben, wissen 9,3 Prozent nicht einmal, ob es überhaupt solche Probleme gab. Rund 19 Prozent haben keine Ahnung, um welche Art des Datenmissbrauchs es sich gehandelt hat. Die Schäden früherer Angriffe und Sicherheitsverstöße können 16,6 Prozent nicht benennen.
Offensichtlich kennen viele Entscheider die Sicherheitslücken ihrer Systeme nicht. Daher werden für die Verbesserung der IT-Sicherheit zu wenig Mittel zur Verfügung gestellt, so die Studie. Allerdings sei in den meisten Unternehmen zumindest eine Art Grundschutz vorhanden.
Risikofaktor Mensch
Das Netzwerk und damit sensible Unternehmensdaten sind einer Vielzahl unterschiedlicher Bedrohungen ausgesetzt, auf die das Unternehmen angemessen reagieren muss. Diese Bedrohungen kommen sowohl aus dem Internet als auch aus dem Unternehmen selbst. Und nicht zuletzt muss sich ein Unternehmen schlicht gegen Datenverlust durch mangelnde Verlässlichkeit der IT-Strukturen wappnen. So haben Beobachtungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gezeigt, dass wesentliche Störungen in kritischen Infrastrukturen nicht mehr auf externe oder interne Angriffe zurückzuführen sind.
An erster Stelle der Bedrohungen aus dem Internet stehen Schadprogramme. Dort haben sich zwei Trends herausgebildet: Zum einen arbeiten die Virenschreiber bei der Verbreitung verstärkt und erfolgreich mit „social engineering“. Hier wird der Empfänger einer E-Mail zum Teil durch persönliche Ansprache dazu verführt, infizierte E-Mail-Anhänge zu öffnen. Spam-Mails bedrohen das Firmennetz nicht, aber ihre Beseitigung kostet Zeit und Geld – jedes Jahr viele Milliarden Euro. Manche Studien schätzen, dass 90 Prozent des weltweiten Mail-Aufkommens im Internet aus Spam bestehen.
Für die Hälfte aller vorsätzlichen oder ungewollten Angriffe auf ein Unternehmen sind die Beschäftigen selbst verantwortlich. Sie können auf von außen nicht zugängliche IT-Systeme zugreifen; unbeabsichtigte Fehlbedienungen richten daher leicht großen Schaden an. Über ein paar Mausklicks finden gefährliche Viren oder Trojaner ihren Weg aus dem Internet auf den Unternehmens-PC. Die Geheimhaltungspflicht kann so bewusst oder unbewusst verletzt werden.
Schutzbedarf analysieren
Schutz vor Angriffen bieten eine Netzwerk-Firewall und Antivirensoftware. Die Firewall kontrolliert den Datenverkehr zwischen dem Unternehmensnetzwerk und anderen lokalen Netzen (LAN) beziehungsweise dem Internet. Antivirensoftware spürt bekannte Viren, Trojaner oder Würmer auf, blockiert und beseitigt sie gegebenenfalls auch. Tägliche und automatische Aktualisierungen sorgen dafür, dass das Antivirenprogramm auch die neuesten Viren erkennt – auch wenn kein Programm hundertprozentigen Schutz bietet. Antispamprogramme filtern unerwünschte Werbemails heraus.
Mit Firewall und Antivirensoftware allein, die in jedem Unternehmen zur Grundausstattung gehören, ist das Unternehmensnetz aber noch längst nicht ausreichend geschützt. Doch jedes Unternehmen hat einen anderen Schutzbedarf. Bevor also das ganze Arsenal erhältlicher Hard- und Softwarekomponenten installiert wird, sollte zunächst einmal analysiert werden, was zu schützen ist. Kurz: Wovon hängen der Erfolg und die Zukunft des Unternehmens ab? Anschließend werden Risiken bestimmt, denen das Unternehmensnetz ausgesetzt ist, und die erforderlichen Schutzmaßnahmen festgelegt und umgesetzt.
Schutzmaßnahmen umsetzen
Die IT-Grundschutzkataloge des BSI helfen dabei, dem Stand der Technik entsprechende IT-Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Aber auch nach der Umsetzung der benötigten Schutzmaßnahmen lässt sich ein erfolgreicher Angriff auf das Unternehmensnetz nicht ausschließen. Intrusion-Detection-Systeme erkennen auffälliges Verhalten im System, spüren die Eindringlinge auf und machen sie unschädlich. Ein Notfallplan bestimmt, ob Teile des Netzes zur Schadensbegrenzung isoliert werden müssen.
Eine Content-Security-Richtlinie definiert für die Mitarbeiter Regeln für die Internet- und E-Mail-Nutzung im Unternehmen und klärt vor allem auch die private Internetnutzung. Lösungen für das Content Management prüfen ein- und ausgehende Daten auf ihren Inhalt. Die eingesetzten Programme sollten unter anderem über individuelle Konfigurationsmöglichkeiten verfügen und skalierbar sein. Das Access Management legt fest, welcher Benutzer in welcher Form auf welche Daten zugreifen kann und im Rahmen des Identity Managements werden Benutzer-Accounts definiert und angelegt.
VPN – wichtiger Bestandteil
Loggen sich Mitarbeiter von unterwegs, aus Filialen oder vom Home-Office in das Firmennetz ein, so sollte das über Virtuelle Private Netzwerke (VPN) geschehen. Dieses Sprach- und Datennetzwerk verhält sich nach außen wie eine interne Struktur, tatsächlich verbindet es aber räumlich getrennte Computer über das Internet. Die Übertragung erfolgt in der Regel verschlüsselt durch eine sogenannte Tunnelverbindung. Durch Passwörter oder ein digitales Zertifikat wird der unbefugte Zugriff auf die VPN-Endpunkte und damit auf das Firmennetz verhindert.
Fazit
Ein sicheres Firmennetz ist keine einmalige Investition. IT-Sicherheit ist ein fortlaufender Prozess, der eine regelmäßige Überprüfung verlangt. Jede Veränderung des Unternehmensnetzes verlangt eine erneute Risikobewertung und zieht gegebenenfalls neue Investitionen nach sich. Ausgaben für IT-Sicherheit dürfen keinesfalls nur als Kosten gesehen werden, sondern sind eine Investition, die bares Geld bringen kann. Nur mit einem kompetenten Partner, der die Zusammenhänge versteht und die daraus resultierenden Maßnahmen umsetzen kann, ist ein ausreichender Schutz zu erreichen.
Dieser Artikel wurde von der nextbusiness-IT Redaktion erstellt. „nextbusiness-IT – Exzellenz im Mittelstand“ ist eine bundesweite Leitthemenkampagne für den Mittelstand, die unter anderem die „Bibliothek des modernen IT-Wissens“ für den Mittelstand herausgibt. Diese Bibliothek können Sie hier kostenlos anfordern.
[Bild: Fotolia.com]