diese internen, oft übersehenen Bedrohungen eliminieren können, wie itseccity.de berichtete.
Der Benutzer als Sicherheitsrisiko
Viele Benutzer sind ahnungslos, dass selbst kleine Unvorsichtigkeiten und zu viel Vertrauen sie zu einer Schwachstelle in der Unternehmenssicherheit machen können. Allein die menschliche Neigung zu Fehlern bietet Angreifern ein breites Spektrum krimineller Möglichkeiten, zum Beispiel mittels Phishing, "Wasserlochangriffen" (Watering-Hole-Angriffen) und anderen Social-Engineering-Attacken. Hierbei sind nicht einmal unbedingt ausgeklügelte Malware oder die Ausnutzung technischer Schwachstellen nötig, es geht viel mehr um psychologische Tricks und Nachlässigkeiten im menschlichen Verhalten. Doch auch ohne Cyber-Kriminelle im Hintergrund kann es zum Verlust sensibler Daten kommen. Schuld sind in solchen Fällen ungeschulte oder unvorsichtige Mitarbeiter oder übermäßig komplizierte Prozeduren. Doch wenn solche Daten erst einmal das Unternehmen verlassen, werden sie ebenso leicht für böswillige Zwecke verwendet.
Eine (nahezu unmögliche) Aufgabe der IT ist es, die täglichen Aktivitäten der Benutzer so zu steuern, dass diese nicht unabsichtlich sensible Unternehmensdaten preisgeben. Dabei ist der erste Schritt – wie so oft – der schwerste. Daher haben wir im Folgenden ein paar Tipps aufgelistet, wie sich die interne Sicherheit verbessern lässt:
• >> Schulungen sind das A und O. Ein Anfang ist die Schulung der Benutzer im Hinblick auf vorbeugende Alltagsmaßnahmen, mit denen sie ihre eigenen Daten und die des Unternehmens schützen können. Dazu zählen Ratschläge zur Erstellung von Kennwörtern, zum Umgang mit externen Technologien (akzeptable und nicht akzeptable Verwendungszwecke) und zum Erkennen eines Social-Engineering-Angriffs. Praktische Vorführungen sind dabei in aller Regel wirkungsvoller als reine Theorie.
• Unterstützung einholen. Die IT sollte mit Abteilungen wie der Personal- und Finanzabteilung zusammenarbeiten, um den Benutzern die geschäftlichen Konsequenzen von Verstößen gegen die Sicherheitsrichtlinien vor Augen zu führen. So könnte zum Beispiel die Finanzabteilung Benutzern, die sich vor Cyberangriffen oder eigenen Verstößen sicher wähnen, zeigen, welche Kosten ein Datenleck haben kann und wie sich diese auf die Rentabilität der Firma und damit den Erfolg des Benutzers selbst auswirken.
• Vereinfachen und für Dialog sorgen. In Zusammenarbeit mit der Personalabteilung und der Führungsebene sollten IT-Profis die täglichen Geschäftsabläufe analysieren. Mitarbeiter neigen dazu, übermäßig komplexe oder verschlungene Prozeduren nicht immer strikt zu befolgen. Dasselbe gilt für unbeliebte Richtlinien. Ein Beispiel: Viele Benutzer verwenden ein Speicher-Tool in der Public Cloud, z. B. Dropbox, und führen damit eine "inoffizielle" IT ein. Es ist also unter Umständen besser, die Plattform als offizielles und damit zentral verwaltetes Tool einzuführen, anstatt den Zugang verhindern zu wollen.
• Organisierter werden und vorhandene Tools nutzen. Ohne einen Gesamtplan und Richtlinien zur Sicherheit, bei denen der Benutzer im Vordergrund steht, geht es nicht. Bei der Erstellung solcher Richtlinien müssen alle Stadien der Anstellung eines Benutzers berücksichtigt werden. Dazu gehören auch Änderungen, die eintreten können, ohne dass der Benutzer die Firma verlässt. So können sich Zugriffsfreigaben für bestimmte Daten für einen Benutzer ändern. Dies kann beispielsweise durch einen Wandel der beruflichen Rolle geschehen oder durch einen Wechsel in eine andere Abteilung. Schließlich muss auch die Überwachung verschärft werden. Eine unternehmensweite Sicherheits-Überwachungsplattform ergänzt vorhandene Tools gegen Malware, Datenverlust und für die E-Mail-Sicherheit. Sie erfasst auffällige und potenziell gefährliche Verhaltensweisen. Dies erleichtertes der IT, den Fehlerfaktor Mensch in Schach zu halten. Zudem erhält die IT einen besseren Überblick darüber, wie die Benutzer Anwendungen, Netzwerke, Systeme usw. verwenden. Anhand dieser Daten können dann Benutzerschulungen erstellt und Prozesse verbessert werden.
IT-Profis und die zunehmend komplexe moderne IT
Dass Benutzer ein Risiko darstellen, ist bekannt, doch dass IT-Mitarbeiter und ihre Abteilung ebenfalls ein potenzielles Einfalltor für Angriffe darstellen, ist vielen neu – ebenso das "wie". Die verkannten Helden eines jeden Unternehmens, die IT-Mitarbeiter, müssen die enorme Komplexität moderner IT-Infrastrukturen im Griff behalten. Mit BYOD, der Cloud, Virtualisierung und Mobilgeräten, um nur einige zu nennen, lastet auf der IT der große Druck, neue Technologien mit begrenzten Ressourcen und knappem Budget zu verwalten. Noch komplizierter wird es für sie auch, weil diese neuen Technologien und die Zunahme der Telearbeit die Außengrenzen des Unternehmens aufweichen: Alles und jeder ist jederzeit und überall erreichbar.
Wenn man sich diesen Druck vor Augen führt, wird verständlicher, wie auch IT-Profis bei aller Vorsicht Fehler begehen können. Kurz gesagt: Mit der Komplexität der modernen IT erhöht sich die Wahrscheinlichkeit, dass IT-Profis beim Versuch, diese Infrastrukturen zu verwalten, einfache Fehler begehen – und diese haben unter Umständen schwerwiegende Konsequenzen für die Sicherheit. Wie lässt sich das verhindern?
Hier einige Tipps:
• >> IT- und Sicherheitsverwaltung vereinfachen, um die Fehleranfälligkeit zu senken. Dass Infrastrukturen immer komplexer werden, lässt sich nicht verhindern. Doch anhand der Leistungsdaten, der einfachen Fehlerbehebung und Automatisierung, die die richtigen Tools bieten, vereinfachen sich die täglichen Verwaltungsaufgaben und Fehler werden vermieden. Zu diesen Tools zählen die Netzwerk-, Server-, Anwendungs- und Datenbanküberwachung, Virtualisierungs-, Cloud- und Konfigurationsverwaltung sowie Remote-Support- und Helpdesk-Software. Darüber hinaus gibt es Spezialprodukte für die Verwaltung der Infrastruktursicherheit, z. B. Patch-Verwaltungs-Tools und Tools für die Sicherheitsdaten- und Ereignisverwaltung (SIEM).
• >> Überwacher überwachen. Um die korrekte Verwaltung potenziell sensibler Daten sicherzustellen, sollten IT-Abteilungen die Aktivitäten der Administratorkonten überwachen. Zudem sollte die Verwendung der Administratorkonten regelmäßig einem Audit unterzogen werden, um zu gewährleisten, dass sensible Daten in den richtigen Händen verbleiben.
• >> Gesundes Misstrauen gegenüber Externen. IT-Abteilungen sollten Subunternehmern und externen IT-Serviceanbietern nicht zu sehr vertrauen und stattdessen deren Zugang und Berechtigungen beschränken. Ihr Aufgabengebiet muss klar umrissen sein, sie müssen umfassend überwacht werden und sollten wenn möglich nur eingeschränkten Remote-Zugriff erhalten.
• >> So viel wie nötig, so wenig wie möglich. IT-Profis sollten bei sich selbst keine Ausnahme machen und für Alltagsaufgaben Konten einrichten, die nur mit dem nötigen Minimum an Berechtigungen ausgestattet sind. Umfassende Administratorrechte sollten sie sich nur zuweisen, wenn dies absolut nötig ist.
Mithilfe dieser Best Practices können IT-Profis die Sicherheit der Unternehmensinfrastrukturen deutlich verbessern. Bei der Geschwindigkeit, mit der neue, größere Bedrohungen auf uns zukommen, ist dies ein absolutes Muss.
Der Benutzer als Sicherheitsrisiko
Viele Benutzer sind ahnungslos, dass selbst kleine Unvorsichtigkeiten und zu viel Vertrauen sie zu einer Schwachstelle in der Unternehmenssicherheit machen können. Allein die menschliche Neigung zu Fehlern bietet Angreifern ein breites Spektrum krimineller Möglichkeiten, zum Beispiel mittels Phishing, "Wasserlochangriffen" (Watering-Hole-Angriffen) und anderen Social-Engineering-Attacken. Hierbei sind nicht einmal unbedingt ausgeklügelte Malware oder die Ausnutzung technischer Schwachstellen nötig, es geht viel mehr um psychologische Tricks und Nachlässigkeiten im menschlichen Verhalten. Doch auch ohne Cyber-Kriminelle im Hintergrund kann es zum Verlust sensibler Daten kommen. Schuld sind in solchen Fällen ungeschulte oder unvorsichtige Mitarbeiter oder übermäßig komplizierte Prozeduren. Doch wenn solche Daten erst einmal das Unternehmen verlassen, werden sie ebenso leicht für böswillige Zwecke verwendet.
Eine (nahezu unmögliche) Aufgabe der IT ist es, die täglichen Aktivitäten der Benutzer so zu steuern, dass diese nicht unabsichtlich sensible Unternehmensdaten preisgeben. Dabei ist der erste Schritt – wie so oft – der schwerste. Daher haben wir im Folgenden ein paar Tipps aufgelistet, wie sich die interne Sicherheit verbessern lässt:
• >> Schulungen sind das A und O. Ein Anfang ist die Schulung der Benutzer im Hinblick auf vorbeugende Alltagsmaßnahmen, mit denen sie ihre eigenen Daten und die des Unternehmens schützen können. Dazu zählen Ratschläge zur Erstellung von Kennwörtern, zum Umgang mit externen Technologien (akzeptable und nicht akzeptable Verwendungszwecke) und zum Erkennen eines Social-Engineering-Angriffs. Praktische Vorführungen sind dabei in aller Regel wirkungsvoller als reine Theorie.
• Unterstützung einholen. Die IT sollte mit Abteilungen wie der Personal- und Finanzabteilung zusammenarbeiten, um den Benutzern die geschäftlichen Konsequenzen von Verstößen gegen die Sicherheitsrichtlinien vor Augen zu führen. So könnte zum Beispiel die Finanzabteilung Benutzern, die sich vor Cyberangriffen oder eigenen Verstößen sicher wähnen, zeigen, welche Kosten ein Datenleck haben kann und wie sich diese auf die Rentabilität der Firma und damit den Erfolg des Benutzers selbst auswirken.
• Vereinfachen und für Dialog sorgen. In Zusammenarbeit mit der Personalabteilung und der Führungsebene sollten IT-Profis die täglichen Geschäftsabläufe analysieren. Mitarbeiter neigen dazu, übermäßig komplexe oder verschlungene Prozeduren nicht immer strikt zu befolgen. Dasselbe gilt für unbeliebte Richtlinien. Ein Beispiel: Viele Benutzer verwenden ein Speicher-Tool in der Public Cloud, z. B. Dropbox, und führen damit eine "inoffizielle" IT ein. Es ist also unter Umständen besser, die Plattform als offizielles und damit zentral verwaltetes Tool einzuführen, anstatt den Zugang verhindern zu wollen.
• Organisierter werden und vorhandene Tools nutzen. Ohne einen Gesamtplan und Richtlinien zur Sicherheit, bei denen der Benutzer im Vordergrund steht, geht es nicht. Bei der Erstellung solcher Richtlinien müssen alle Stadien der Anstellung eines Benutzers berücksichtigt werden. Dazu gehören auch Änderungen, die eintreten können, ohne dass der Benutzer die Firma verlässt. So können sich Zugriffsfreigaben für bestimmte Daten für einen Benutzer ändern. Dies kann beispielsweise durch einen Wandel der beruflichen Rolle geschehen oder durch einen Wechsel in eine andere Abteilung. Schließlich muss auch die Überwachung verschärft werden. Eine unternehmensweite Sicherheits-Überwachungsplattform ergänzt vorhandene Tools gegen Malware, Datenverlust und für die E-Mail-Sicherheit. Sie erfasst auffällige und potenziell gefährliche Verhaltensweisen. Dies erleichtertes der IT, den Fehlerfaktor Mensch in Schach zu halten. Zudem erhält die IT einen besseren Überblick darüber, wie die Benutzer Anwendungen, Netzwerke, Systeme usw. verwenden. Anhand dieser Daten können dann Benutzerschulungen erstellt und Prozesse verbessert werden.
IT-Profis und die zunehmend komplexe moderne IT
Dass Benutzer ein Risiko darstellen, ist bekannt, doch dass IT-Mitarbeiter und ihre Abteilung ebenfalls ein potenzielles Einfalltor für Angriffe darstellen, ist vielen neu – ebenso das "wie". Die verkannten Helden eines jeden Unternehmens, die IT-Mitarbeiter, müssen die enorme Komplexität moderner IT-Infrastrukturen im Griff behalten. Mit BYOD, der Cloud, Virtualisierung und Mobilgeräten, um nur einige zu nennen, lastet auf der IT der große Druck, neue Technologien mit begrenzten Ressourcen und knappem Budget zu verwalten. Noch komplizierter wird es für sie auch, weil diese neuen Technologien und die Zunahme der Telearbeit die Außengrenzen des Unternehmens aufweichen: Alles und jeder ist jederzeit und überall erreichbar.
Wenn man sich diesen Druck vor Augen führt, wird verständlicher, wie auch IT-Profis bei aller Vorsicht Fehler begehen können. Kurz gesagt: Mit der Komplexität der modernen IT erhöht sich die Wahrscheinlichkeit, dass IT-Profis beim Versuch, diese Infrastrukturen zu verwalten, einfache Fehler begehen – und diese haben unter Umständen schwerwiegende Konsequenzen für die Sicherheit. Wie lässt sich das verhindern?
Hier einige Tipps:
• >> IT- und Sicherheitsverwaltung vereinfachen, um die Fehleranfälligkeit zu senken. Dass Infrastrukturen immer komplexer werden, lässt sich nicht verhindern. Doch anhand der Leistungsdaten, der einfachen Fehlerbehebung und Automatisierung, die die richtigen Tools bieten, vereinfachen sich die täglichen Verwaltungsaufgaben und Fehler werden vermieden. Zu diesen Tools zählen die Netzwerk-, Server-, Anwendungs- und Datenbanküberwachung, Virtualisierungs-, Cloud- und Konfigurationsverwaltung sowie Remote-Support- und Helpdesk-Software. Darüber hinaus gibt es Spezialprodukte für die Verwaltung der Infrastruktursicherheit, z. B. Patch-Verwaltungs-Tools und Tools für die Sicherheitsdaten- und Ereignisverwaltung (SIEM).
• >> Überwacher überwachen. Um die korrekte Verwaltung potenziell sensibler Daten sicherzustellen, sollten IT-Abteilungen die Aktivitäten der Administratorkonten überwachen. Zudem sollte die Verwendung der Administratorkonten regelmäßig einem Audit unterzogen werden, um zu gewährleisten, dass sensible Daten in den richtigen Händen verbleiben.
• >> Gesundes Misstrauen gegenüber Externen. IT-Abteilungen sollten Subunternehmern und externen IT-Serviceanbietern nicht zu sehr vertrauen und stattdessen deren Zugang und Berechtigungen beschränken. Ihr Aufgabengebiet muss klar umrissen sein, sie müssen umfassend überwacht werden und sollten wenn möglich nur eingeschränkten Remote-Zugriff erhalten.
• >> So viel wie nötig, so wenig wie möglich. IT-Profis sollten bei sich selbst keine Ausnahme machen und für Alltagsaufgaben Konten einrichten, die nur mit dem nötigen Minimum an Berechtigungen ausgestattet sind. Umfassende Administratorrechte sollten sie sich nur zuweisen, wenn dies absolut nötig ist.
Mithilfe dieser Best Practices können IT-Profis die Sicherheit der Unternehmensinfrastrukturen deutlich verbessern. Bei der Geschwindigkeit, mit der neue, größere Bedrohungen auf uns zukommen, ist dies ein absolutes Muss.
