Brian Jackson - Fotolia
10 Tipps für mehr IT-Sicherheit im Unternehmen
Unsere Top-10-Liste mit Ratschlägen zu Cybersicherheit enthält Best Practices und Tipps für Sicherheitsexperten ebenso wie für Mitarbeiter. Jeder kann seinen Beitrag leisten.
Jeder Mitarbeiter eines Unternehmens, von den Endanwendern über die Security-Experten bis hin zu den Führungskräften, spielt eine wichtige Rolle beim Schutz des Unternehmens vor Cyberangriffen.
Eine Aktion, die ein Anwender ausführt oder eben nicht ausführt, kann darüber entscheiden, ob es für ein Unternehmen ein ganz normaler Alltag ist, oder sich ein Sicherheitsvorfall ereignet, der das Unternehmen existenziell gefährden kann.
Wir haben nachfolgend eine Reihe von Maßnahmen und bewährten Vorgehensweisen zusammengestellt, mit denen IT-Teams und die Mitarbeiter selbst die Gesamtsicherheit deutlich stärken können.
Best Practices für IT-Teams
Sicherheitsrichtlinien aktualisieren. Unternehmen arbeiten oft mit veralteten Sicherheitsrichtlinien, die nicht die neuesten Technologien, Cyberbedrohungen und Security-Empfehlungen berücksichtigen. Wie beispielsweise das Umsetzen eines Zero-Trust-Ansatzes. Sicherheitsrichtlinien sind die Grundlage für die Sicherheit des Unternehmens. Stellen Sie sicher, dass Sie zuerst Ihre Richtlinien auf den neuesten Stand bringen und dann ihre Vorgehensweisen aktualisieren. Danach gilt es die Mitarbeiter zu schulen, damit diese die neuen Richtlinien verstehen und verinnerlichen.
Eine starke Authentifizierung für alle Anwender einrichten. Cyberangriffe nutzen oft kompromittierte Benutzerkonten, um Zugriff auf die internen Ressourcen eines Unternehmens zu erhalten. Die Einrichtung einer Multifaktor-Authentifizierung für jeden Nutzer, unabhängig davon, für welchen Faktor man sich entscheidet, kann viele Cyberangriffe wirksam abwehren. Wenn dies sich, aus welchen Gründen auch immer, nicht umsetzen lässt, versuchen Sie die Passwortpolitik so solide wie möglich zu gestalten. Alle Konten, bei denen es möglich ist, wie etwa denen von Admins oder andere privilegierte Konten, sollten dennoch so weit wie möglich mit Multifaktor-Authentifizierung versehen werden.
Die Sicherheitskontrollen des Netzwerks aktualisieren. Wenn bereits einige Zeit vergangen ist, nachdem man sich näher mit den Netzwerkkontrollen in Sachen Sicherheit beschäftigt hat, sollte man über deren Aktualisierung nachdenken.
Unterstützen beispielsweise die Firewalls und VPNs (Virtual Private Network) die neuesten Funktionen? Vielleicht wäre es ein guter Zeitpunkt, über eine Aktualisierung nachzudenken. Wie ist es um die Transparenz des Netzwerkverkehrs bestellt? Hat eine beschleunigte Cloud-Migration dafür gesorgt, dass sich die Sichtbarkeit der Datenwege verringert hat? Eventuell ist neue Netzwerksicherheitssoftware erforderlich oder es müssen Ansätze wie SASE (Secure Access Service Edge) in Betracht gezogen werden.
Sich auf Sicherheitsvorfälle vorbereiten. Trotz aller Maßnahmen sind Sicherheitsvorfälle meist unvermeidlich. Und daher ist es außerordentlich wichtig, darauf gut vorbereitet zu sein, um im Falle eines Falles den möglichen Schaden zu begrenzen.
Unternehmen müssen zudem in der Lage sein, Security-Vorfälle so früh wie möglich zu erkennen. Das bedeutet, dass nicht nur Lösungen vorhanden sein müssen, um verdächtige Aktivitäten zu erkennen und zu analysieren. Die Mitarbeiter müssen auch über mögliche Anzeichen eines Vorfalls in Kenntnis gesetzt werden, und an wen sie diese bei Auftreten melden sollen.
Das Unternehmen sollte da eine offene Kultur fördern, die dafür sorgt, dass Mitarbeiter auch eigene Fehler melden. Andernfalls können Sicherheitsvorfälle länger dauern und mehr Schaden anrichten.
Die Security-Kenntnisse auf dem aktuellen Stand halten. Ein typisches Risiko im Bereich IT-Sicherheit ist, dass das Tagesgeschäft die Teams so beschäftigt, dass kaum Zeit bleibt, das eigene Wissen kontinuierlich auf den neuesten Stand zu bringen.
Selbstverständlich ist die Bewältigung aktueller Probleme von großer Bedeutung. Man sollte jedoch nicht nur in seinem Spezialgebiet auf dem aktuellen Stand sein, sondern alle Entwicklungen im Bereich Cybersicherheit verfolgen. Häufig entstehen neue Bedrohungstypen in relativ kurzer Zeit. Security-Themen wie Risikobewertung, Cyberbedrohungen und Bedrohungserkennung gelten für sehr viele Bereiche, die man nicht immer alle im Blick hat. Themen wie physische Sicherheit und Zugangskontrollen werden manchmal komplett übersehen.
Das Sicherheitsbewusstsein der Mitarbeiter schärfen. Das Thema der Sensibilisierung der Anwender für IT-Sicherheit wird vielerorts noch nicht mir der Priorität behandelt, die der Bereich verdient.
Ein gut geschulter und wachsamer Mitarbeiter ist ein sehr wertvoller Aktivposten in der Gesamtsicherheit. Allzu häufig bestehen derlei Schulungsaktivitäten nur aus einer Stunde im Jahr mit einer Online-Präsentation und einer gelegentlichen E-Mail. Derlei Security-Awareness-Aktivitäten werden von Mitarbeitern manchmal als Zeitverschwendung wahrgenommen. Und vermutlich sind diese dies dann auch in vielen Fällen.
Es ist wichtig, ein breites Verständnis im Hinblick auf IT-Sicherheit in der gesamten Belegschaft zu erreichen. Es kann sich definitiv lohnen, Mitarbeitern sehr gezielt zu erklären, was genau sie in ihrem speziellen Bereich tun können und was sie besser unterlassen sollten. Dies kann die Akzeptanz für Sicherheitsrichtlinien deutlich verbessern. Kulturelle Entwicklungen geschehen schrittweise. Und zwar jedes Mal, wenn ein Mitarbeiter die Notwendigkeit einer Security-Praxis versteht und verinnerlicht.
Security-Tipps für die Mitarbeiter
Wachsam und skeptisch bleiben. Menschen sind häufig vertrauensvoll, aber Mitarbeiter müssen sich gewahr sein, dass hinter jedem Anruf, jeder SMS, jeder E-Mail und jeder anderen Kommunikation ein Betrüger stecken könnte.
Angreifer versuchen potenzielle Opfer auf vielfältige Weise zu täuschen. Führen Sie in allen Fällen immer eine Sicherheitsüberprüfung durch. Ob Sie nun einen Anhang öffnen, auf einen Link klicken oder am Telefon über Informationen sprechen. Fühlt sich die Kommunikation wirklich richtig an und sieht sie legitim aus? Würde diese Person oder das Unternehmen tatsächlich eine derartige Anfrage schicken? Wenn Sie nicht sicher sind, rufen Sie den vermeintlichen Absender an und lassen sich bestätigen, dass genau diese Nachricht von ihm stammt. Das kann dabei helfen, Phishing und andere Angriffe auszuhebeln, die versuchen das Vertrauen der Anwender auszunutzen.
Wählerisch sein. Internetzugänge sind fast überall verfügbar, aber die Security-Bedrohungen unterscheiden sich von Ort zu Ort. Verwenden Sie, wann immer möglich, private Netzwerke anstellen von öffentlichen Netzwerken. Vermeiden Sie öffentliche WLANs an Orten wie Flughäfen, Bahnhöfen oder anderen öffentlichen Einrichtungen. Private Netzwerke sind in der Regel die risikoärmere Variante. Statt öffentlicher Netzwerke lässt sich inzwischen meist auch gut die eigene Mobilfunkverbindung nutzen.
Gut organisiert vorgehen. Viele Sicherheitsvorfälle beginnen damit, dass ein Angreifer an die Zugangsdaten seines Opfers gelangt. Von dort aus bewegen sich Kriminelle dann meist seitwärts in der Unternehmensumgebung und können so an wertvolle und sensible Informationen gelangen. Meist auch lange Zeit unentdeckt. Um Angreifern ihr wenig redliches Tun zu erschweren, sollten Anwender ihre Passwörter gut organisieren.
Verwenden Sie einen Passwortmanager, der alle Passwörter speichert. Damit fällt es deutlich leichter für jeden Dienst und jedes Webangebot ein eindeutiges, sicheres Passwort zu erstellen. Das einzige Passwort, das sich Anwender dann merken müssen, ist jenes für den Passwortmanager. Achten Sie darauf, dass dieses Passwort sehr sicher ist und verwenden Sie, wenn möglich, eine Multifaktor-Authentifizierung, um die gespeicherten Passwörter zu schützen.
Vorbereitet sein. Auch wenn das Unternehmen sehr viel unternimmt, um den bestmöglichen Schutz zu gewährleisten, kann ein Angriff immer das System des Endanwenders erreichen. Verwenden Sie eine Antimalware-Lösung und achten Sie darauf, Betriebssystem wie alle Anwendungen immer auf dem aktuellen Stand zu halten. Und auch wenn Sie gut vorbereitet sind, dennoch kann ein Ransomware-Angriff bis auf Ihr System durchschlagen und damit System und Daten unzugänglich machen.
Stellen Sie sicher, dass Ihre Daten in Übereinstimmung mit den Richtlinien des Unternehmens gesichert werden. Überprüfen Sie von Zeit zu Zeit, ob diese Sicherungen auch wirklich korrekt erfolgen. So stellen Sie sicher, dass Ihre Daten im Falle eines Falles geschützt sind.