Informationssicherheit ist machbar!

Informationssicherheit ist machbar!

 

IT-Sicherheit wird heute meist als Informationssicherheit definiert: Damit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.* (*Quelle: Wikipedia)

Was wir derzeit an Bedrohungen für die Informationssicherheit sehen, ist nur die Spitze des Eisbergs. Anfang 2016 zählten Security Anbieter alle 2 Minuten eine Ransomware-Attacke auf Unternehmen. Gegen Ende des Jahres 2016 schrumpfte die Taktrate schon auf 40 Sekunden. Im Falle von WannaCry ist eine Taktrate schon nicht mehr messbar, da es sich praktisch um eine weltweite Malware Flut handelte. Erpressungen durch Verschlüsselungstrojaner erweisen sich für Kriminelle als äußerst lukrativ. So zahlte kürzlich der südkoreanische Webhoster Nayana die Rekordsumme von 1,14 Mio. US Dollar um wieder an verschlüsselte Daten zu kommen.  Für Ungeübte finden sich im Dark Web einfache Anleitungen und buchbare Services für derartige Angriffe. Das führt unter anderem dazu, dass Straftaten über das Internet immer weiter anwachsen. Das „Internet der Dinge“ wächst laut Gartner von aktuell 8,4 Milliarden vernetzten Objekten bis 2020 auf 20,4 Milliarden an – ob smarte Stromzähler, IP Kameras oder intelligente Messgeräte – die Möglichkeiten für neue Angriffsformen wachsen mit der Digitalisierung und den über IP erreichbaren Objekten exponentiell.

IT-Sicherheit wird auch für kleinere und mittelgroße Unternehmen ein immer wichtigeres Thema. Wer sich nicht ausreichend schützt, riskiert Ausfälle und Datenverluste, die für den Betrieb schnell verheerende Folgen haben können. Es ist eine weit verbreitete Fehleinschätzung, dass das eigene Unternehmen zu klein sei, um für einen Angriff interessant zu sein. Der „Cyber Readiness Report 2017“ von Forrester Consulting zeigt, dass 62 Prozent aller deutschen Unternehmen sogenannte „Cyber-Anfänger“ seien – also unzureichend geschützt. Im Ländervergleich bildet Deutschland hier das Schlusslicht.

Auch an unserer Veranstaltung am 30.03.2017 hat sich gezeigt, dass dieses Thema präsenter ist, als jemals zuvor. SOPHOS hat bei dieser ausgebuchten Vortragsreihe eindrucksvoll demonstriert, wie Ransomware Angriffe in Sekunden gestoppt und repariert werden können. Mark Semmler, Autor der VdS 3473, hat in einem LiveHacking Vortrag die volle Aufmerksamkeit des Publikums auf sich gezogen und gezeigt, wie einfach es heute ist, Unternehmen anzugreifen. In ziemlich direkter und klarer Sprache wurde gezeigt, dass es mit ganz einfachen Mitteln möglich ist, schwere Schäden auf dem digitalen Weg anzurichten. Den Nutzen für ein zertifiziertes Verfahren in Sachen Informationssicherheit konnte sich jeder Teilnehmer nun anhand seiner eigenen Organisation selbst vorstellen. In einem zweiten Vortrag fiel es Mark Semmler leicht, die wichtigsten Inhalte der VdS Richtlinie zur Informationssicherheit zu vermitteln. Ebenfalls gespannt waren die Teilnehmer auf den abschließenden Vortrag von Dirk Kalinowski. In seinem selbstkritischen Vortrag zum Thema „Cyber-Versicherung“ hat der Produktinnovator der AXA Versicherung Inhalte, sowie Vorteile und Praxisbeispiele einer neu entstandenen Versicherungspolice mit den Zuhörern diskutiert.

Unser Fazit zu dieser gelungen Vortragsreihe: Informationssicherheit ist machbar!

 

Was muss ich tun? – Die Basics:

Updates installieren: Betriebssystem und alle installierten Anwendungen auf Computern, Smartphones oder Tablets sollten kontinuierlich auf den aktuellen Stand gebracht und gehalten werden. Programme, die vom Hersteller nicht mehr mit Updates versorgt werden, sollten gelöscht oder durch neue Software ersetzt werden. Das gilt auch für die installierte Sicherheitslösung.

Daten sichern: Die massiven Angriffe durch Ransomware haben einmal mehr gezeigt, dass Daten dauerhaft verloren gehen können. Ein regelmäßiges Backup sichert ab und ist deshalb für alle wichtigen Datenbestände Pflicht.

Apps aus sicheren Quellen: Anwendungen nur aus vertrauenswürdigen App Stores der Hersteller und Provider herunterladen. Bei jeder Installation sollten die eingeforderten Rechte kritisch überprüft werden.

Sicherheitslösung einsetzen: Eine leistungsstarke Security Soft-und Hardware gehört zur Grundausstattung bei PCs, Macs, Mobilgeräten und Netzwerken. Diese müssen einen umfassenden Schutz vor Schadprogrammen und anderen Cyberbedrohungen beinhalten.

Starke Passwörter nutzen: Passwörter sollten immer mindestens zehn Zeichen lang sein und eine Kombination aus Klein- und Großbuchstaben zusammen mit Ziffern und gegebenenfalls Sonderzeichen umfassen. Außerdem sollte dasselbe Passwort niemals für verschiedene Online-Portale genutzt werden.

Dokumentieren: Dokumentieren Sie kritische Systeme, die Verarbeitung sensibler Informationen, Rechte, Rollen, Verantwortlichkeiten und Änderungen. Ein Notfallplan hilft, im Schadensfall schnell wieder operativ zu werden.

 

IT-Security fängt im und am Kopf an:

Informationssicherheit ist Chefsache! Wirtschaftlich wie rechtlich bescheinigt ein zertifiziertes Informationssicherheitsmanagementsystem ein Qualitätsmerkmal, schafft Transparenz und Struktur in der IT Umgebung und deckt Optimierungspotenziale auf. Gleichermaßen werden Image- und Wettbewerbsfaktor erhöht. Im Hinblick auf die neue EU Datenschutzgrundverordnung ist es nahezu für jede Organisation notwendig, sich mit dem Thema auseinander zu setzen.  Auf dem Gebiet der Cyber-Sicherheit mangelte es bisher an einem für kleine und mittelständische Unternehmen handhabbaren und angemessenen Standard. Abseits von BSI Grundschutz und ISO 27001 hat der VdS eine aufwärtskompatible Richtlinie erstellt. Mit der VdS 3473 wird Informationssicherheit für KMU machbar, bewertbar und zertifizierbar. Die VdS-Richtlinien bilden das Schutzniveau, das kleine und mittlere Unternehmen benötigen, ohne sie finanziell oder organisatorisch zu überfordern. Der VdS selbst nennt das Thema Cyber Security auch den „Brandschutz des 21. Jahrhunderts“.

Informationssicherheit ist keine einmalige Anschaffung oder gar kurzfristige Angelegenheit. Nur wer sich regelmäßig mit dem Thema auseinandersetzt, kann zwar noch lange keine 100%ige Sicherheit garantieren, ist aber in der Lage, offensichtliche Schwachstellen zu finden, diese zu schließen und mit der Aktualität die eigene Sicherheit zu erhöhen.

 

Und wenn jemand einfach die Tür öffnet?

Im Dezember 2016 setzten mehr als 99% aller infizierten E-Mail Anhänge auf Klicks der Benutzer, statt auf automatisierte Exploits. Demnach sind logische Maßnahmen wie die Schulung der Benutzer zu aktuellen Bedrohungen ein weiteres Kernelement der IT Sicherheit.

Der physische Zugang zu IT Anlagen, Computersystemen und Netzwerkzugängen ist mit gleicher Bedeutung kritisch zu überprüfen, wie sämtliche digitalen und organisatorischen Maßnahmen. Denn was bringt die beste Firewall und der preisgekrönte Antivirenschutz, wenn man einfach direkt zu den Daten spazieren kann?

 

Die Gleich Firmengruppe unterstützt Sie in allen sicherheitsrelevanten Bereichen:
physikalisch – persönlich – digital