No Risk, more Fun - Wie sicher ist Ihre IT?
-
Upload
bieg-hessen-co-ihk-frankfurt-am-main -
Category
Technology
-
view
357 -
download
3
description
Transcript of No Risk, more Fun - Wie sicher ist Ihre IT?
BIEG Hessen
No Risk – More Fun Wie sicher ist Ihre IT?
Träger des BIEG Hessen
1/5
Frankfurt am Main Fulda Hanau-Gelnhausen-Schlüchtern Offenbach am Main
BIEG Hessen
No Risk – More Fun
Unzureichende Investitionen in die IT-
Sicherheit kommen teuer zu stehen
„Informationssicherheit hat zum Ziel, die Ver-
arbeitung, Speicherung und Kommunikation
von Informationen so zu gestalten, dass die
Vertraulichkeit, Verfügbarkeit und Integrität
der Informationen und Systeme in ausreichen-
dem Maße sichergestellt werden“ – soweit die
Definition von IT-Sicherheit. Doch wie sieht die
Realität in deutschen Unternehmen aus? Man-
gelhafte Systeme fordern ihren Tribut und
ziehen teils existenzbedrohende Folgen nach
sich. Ob Reparatur- oder Wiederbeschaffungs-
kosten einzelner Komponenten, Stillstandskos-
ten, Ausfallzeiten oder Imageverlust – die
Bandbreite möglicher Schäden ist groß. In der
Regel handelt es sich um fünf bis sechsstellige
Beträge, hohe zweistellige Millionensummen
gelten als Obergrenze.
Wie groß der angerichtete Schaden für die Wirt-
schaft tatsächlich ist, lässt sich kaum abschät-
zen. Die Dunkelziffer – darüber sind sich die
Experten einig – ist sehr hoch. Jene Attacken, die
ihren Weg in die Schlagzeilen der Presse gefun-
den haben, spiegeln nur die Spitze des Eisbergs
wieder. Bei drohendem Vertrauens- und Image-
verlust geben die Unternehmen ihre Sicherheits-
pannen nur ungern bekannt. „Unser Netz ist
sicher“ oder „Bei uns ist noch nie etwas passiert“
sind oft gehörte Antworten. Doch bemerken die
betroffenen Unternehmen oftmals gar nicht, dass
sie angegriffen wurden. Denn die Tricks und Me-
thoden der Angreifer werden immer raffinierter.
Und so manches Unternehmen wiegt sich in
falscher Sicherheit. Vor allem dann, wenn die
Fähigkeiten der Angreifer unterschätzt werden.
Selbst erfahrene Netz- und Sicherheitsspezialis-
ten können nicht alles wissen und machen auch
gelegentlich Fehler.
Die Viren stellen dabei nicht die einzige Bedro-
hung dar, wenngleich es sich dabei nach wie vor
um das größte Einzelproblem handelt. Je abhän-
giger die Unternehmen von der IT werden, d.h. je
mehr Geschäftsprozesse über IT-Systeme und vor
allem über das
Internet abgewickelt werden, desto breiter wird
das Spektrum möglicher
Angriffsszenarien. Zu den bekanntesten gehören:
Das Einschleusen von Schadsoftware
(Malware) in Form von Würmern und Tro-
janern, die einen unautorisierten Zugriff
auf das IT-System erlauben.
Unerlaubtes Abhören von Informationen
wie Benutzerkennungen und Passwörtern
bei Authentifizierungen (Sniffing Attack).
Denial of Service Attack beschreibt einen
Angriff auf IT-Systeme mit dem Ziel, deren
Verfügbarkeit zu beeinträchtigen (häufig
durch Überlastung).
Der weit verbreitete Phishing-Attack
tarnt sich als scheinbar seriöse E-Mail, die
2/5
BIEG Hessen
auf einen Link verweist. Wird dieser ange-
klickt, installiert sich ein Hacker-Cooky,
das beispielsweise beim Online-Banking
die Zugangsdaten an den Hacker übermit-
telt.
Bei Spyware & Adware handelt es sich um
Spionage-Programme, die Informationen
über den Rechner oder bestimmten Daten
des Anwenders an Dritte übermitteln.
Virenscanner und Firewall reichen längst nicht
mehr aus, um dieser quantitativ wie qualitativ
zunehmenden Bedrohung Herr zu werden. Hinzu
kommt, dass die böswillige Bedrohung nicht die
einzige Gefahrenquelle ist, der sich IT-Systeme
ausgesetzt sehen. Von vielen Experten als die
weitaus größere Gefahr eingestuft, sind die „un-
beabsichtigten“ Bedrohungen im digitalen Zeital-
ter: Technisches Versagen lässt Rechner abstür-
zen, es kommt zur Netzüberlastung oder Daten-
träger sind defekt. Unregelmäßige Backups, feh-
lerhaftes bzw. fehlendes Passwortmanagement
oder mangelhaftes Notfallmanagement lassen
sich auf organisatorische Mängel zurückführen.
Unzureichende Qualifikation, Bedienungsfehler,
Unachtsamkeit oder Stresssituation sind Beispie-
le für menschliches Versagen. Und schließlich
kann höhere Gewalt wie Feuer, Wasser, Staub
oder Blitzeinschlag ebenfalls erhebliche Schäden
anrichten.
Dies macht deutlich, dass nur ein individuell für
das Unternehmen ausgearbeitetes, umfassendes
Sicherheitskonzept das richtige Fundament für
das erforderliche
Sicherheitsniveau bilden kann. Doch genau hier
drückt der Schuh – vor allem bei den kleinen und
mittelständischen Unternehmen. Jüngsten Stu-
dien zufolge räumen diese aufgrund begrenzter
Ressourcen anderen geschäftlichen Aktivitäten
eine höhere Priorität ein. Der Faktor Zeit, knappe
Budgets sowie die zunehmende Komplexität der
Materie erschweren eine gründliche Auseinan-
dersetzung mit dem Thema. Zumindest solange,
bis es kracht. Erst wenn der Schaden eingetreten
ist, wird gehandelt und die eigene Sicherheitsla-
ge analysiert. Präventive Maßnahmen sind aber
die effektivere und auf lange Sicht kostengünsti-
gere Methode.
Großen Nachholbedarf sehen die Experten vor
allem bei den schriftlich dokumentierten Sicher-
heitsrichtlinien, die leider immer noch die Aus-
nahme bei kleinen und mittleren Unternehmen
darstellen. Dort werden unter anderem Verant-
wortlichkeiten inklusive Vertretungsreglungen
sowie Kommunikationswege dokumentiert. Zu-
dem hilft ein Verhaltenskodex, der den Umgang
mit Daten für alle verbindlich regelt. Denn häufig
geht die Gefahr von den eigenen Mitarbeitern
aus, wenn Nachlässigkeiten und Unwissenheit
um sich greifen. Die Mitarbeiter müssen für das
Thema, beispielsweise durch Schulungen, sensi-
bilisiert werden, sonst bleiben die teuersten In-
vestitionen in die Abwehr externer Bedrohungen
wirkungslos.
3/5
BIEG Hessen
Dies alles ist kein Projekt, das irgendwann abge-
schlossen werden kann. Sondern vielmehr ein
komplexer, fortwährender Prozess, der die eigene
Sicherheitslage immer wieder analysiert, eventu-
elle Lücken identifiziert und das eigene Sicher-
heitskonzept entsprechend auf dem neuesten
Stand hält. Keine Frage, für IT-Sicherheit muss
etwas getan werden. Aber der Aufwand lohnt
sich, denn er spart Zeit, Geld und schont die
Nerven.
Autor: Daniel Weichert BIEG Hessen [email protected]
4/5
BIEG Hessen
Für was steht BIEG Hessen?
BIEG Hessen steht für Beratungs- und Informationszentrum Elektronischer Geschäftsverkehr. Das BIEG
Hessen ist eine gemeinsame Einrichtung der Industrie- und Handelskammern Frankfurt am Main, Fulda,
Hanau-Gelnhausen-Schlüchtern und Offenbach am Main. Wir sind eines der Kompetenzzentren, die vom
Bundesministerium für Wirtschaft und Technologie gefördert werden.
Aufgaben des BIEG Hessen
Das BIEG Hessen hat zur Aufgabe, kleine und mittlere Unternehmen aller Branchen auf dem Weg zu In-
ternet und E-Business neutral zu unterstützen. Wir verstehen uns als Plattform für Anbieter und Nach-
frager und wollen dazu beitragen, dass Barrieren abgebaut und Chancen aufgezeigt werden. Das BIEG
Hessen ist eine Anlaufstelle für Unternehmer sowie Kommunikator und Koordinator für den elektroni-
schen Geschäftsverkehr.
BIEG Hessen Börsenplatz 4 60313 Frankfurt am Main Telefon 069 2197-1380 Telefax 069 2197-1497 [email protected] Auf unsere Internetseite www.bieg-hessen.de finden Sie weitere Leitfäden, Checklisten und Fachartikel zu den Themen Internet und E-Commerce.
5/5