Hoher Bedarf an IT-Sicherheit im Mittelstand

Artikel drucken Artikel drucken

Gefahren lauern in jedem Netzwerk. Kein System kann einen 100%igen Schutz garantieren. u8_wortbildmarkeAber ein durchdachtes  Schutzsystem minimiert die eventuellen Risiken.

Die Vernetzung im lokalen und im globalen Bereich wirft Sicherheitsfragen auf. Kein Unternehmen kann sich heute dem Problembereich „Sicherheit“ mehr entziehen, ohne große Gefährdungen zu riskieren. Neben dem unabdingbaren Schutz aller externen Netzzugänge müssen auch Vorkehrungen zur sicheren Nutzung der Anwendungen über Netzgrenzen hinaus getroffen werden.

Authentisierung, Verschlüsselung und Schutz vor importierten Viren seien hier nur als allgemeine Synonyme für den Gesamtkomplex „IT-Sicherheit“ genannt.
Generell gilt:

  • Nur wer die Gefahren kennt, kann Strategien zur Abwehr entwickeln.
  • Wer an der Sicherheit spart, setzt nicht nur leichtfertig seine Firma aufs Spiel, sondern auch seine Karriere.
  • Sicherheits-Budgets und -Maßnahmen müssen in Relation zu Risiken und Werten im Unternehmen gesehen werden. Das bedeutet, dass sich die IT-Abteilung von der Vorstellung verabschieden muss, Sicherheit könne man als fertige technische Lösung kaufen.

Die grundlegende Sicherheit geschäftskritischer Anwendungen und Geschäftsprozesse muss untersucht werden, so dass man daraus ein vernünftiges Budget für Schutzmaßnahmen ableiten kann. Eine präzise Ausformulierung dieser Richtlinien trägt entscheidend dazu bei, ein an den praktischen Erfordernissen orientiertes Sicherheitskonzept für das betreffende Unternehmen umsetzen zu können. In den Unternehmensrichtlinien müssen alle Anforderungen des Unternehmens über den ordnungsgemäßen Umgang mit Firmeninformatione und Firmen- bzw. Benutzerdaten dargestellt werden. Dies beinhaltet ebenso entsprechende Verfahren zur Verhinderung von Verstößen gegen diese Vorschriften wie auch Maßnahmen als Reaktion auf Verstöße gegen diese Richtlinien.
Immer noch gehen die gefährlichsten Angriffe von Schadprogrammen (Viren, Würmern und trojanischen Pferden) aus. Der durch Viren verursachte wirtschaftliche Schaden wird für Zentraleuropa auf einen dreistelligen Millionenbetrag geschätzt.

Die Angriffe auf die Unternehmen verursachen zunehmend Datenverluste und durchschnittlich in jedem zwölften Störfall einen Totalausfall des Netzes und aller Dienste. Die Angriffe nutzen inzwischen Phishing-Techniken und ferngesteuerte Computernetze (Botnets) und sind permanent auf der Suche nach Daten und Passwörtern in Unternehmen. Meist folgt dem Diebstahl vertraulicher Informationen ein finanzieller Verlust für das Unternehmen. Wenn es sich dabei um Wirtschaftsspionage handelt, liegen die Schäden in einer Größenordnung von mehreren Milliarden Euro pro Jahr.

Es sind die Gefahrenpotenziale technisches Versagen, menschliche Fehler, vorsätzliche Handlungen, organisatorische Mängel und höhere Gewalt, die Vorkehrungen für die IT-Sicherheit erfordern. Die Realisierung eines Sicherheitskonzeptes wird in der Regel immer stufenweise umgesetzt. Daher muss stets geprüft werden, ob eine Maßnahme erforderlich ist, ob die angestrebte Sicherheit erreicht werden kann, ob die entstehenden Einschränkungen der Funktionalität toleriert werden können und ob der notwendige personelle und finanzielle Aufwand vertretbar ist. Besonders zu berücksichtigen sind dabei auch gesetzliche Vorgaben wie beispielsweise der Datenschutz und die Vorgaben der Compliance-Gesetze.

Auch sind die jeweiligen Sicherheitsbereiche genau festzulegen. Die Erfahrung zeigt, dass mit der Größe der Bereiche meist auch die Gefahr durch Angriffe von Insidern (Mitarbeitern) wächst. Für alle beteiligte Systeme ist festzulegen, welche Anforderungen an die spezifische Sicherheit bestehen. Unter Umständen ist es notwendig, verschiedene Bereiche unterschiedlicher Sicherheit einzurichten und gegebenenfalls auch Einzelgeräte mit hohen Sicherheitsanforderungen separat zu schützen.

Eine Sicherheitsplanung erfolgt immer in Schritten:

Durchführung einer Gefahrenanalyse:

  • Welche Systeme müssen besonders gesichert werden?
  • Was sind die Gründe dafür?
  • Unterliegen die zu sichernden Daten besonderen Datenschutzbestimmungen?
  • Wer darf auf Bereiche mit welchen Funktionen zugreifen?

Prüfung der Nutzung:

  • Welche Verkehrsbeziehungen sind notwendig?
  • Welche Applikationen werden eingesetzt?

Planung der Implementierung:

  • Welche Sicherheitsbereiche sind zu bilden?
  • Wie können Gefahren beseitigt oder wenigstens ausreichend reduziert werden?

Der wichtigste Schritt in Richtung eines Sicherheitskonzeptes ist die Formulierung präziser Zielvorgaben. Ausgangspunkt ist eine allgemeine Definition von Funktion und Aufgabe der Datennetze und Computersysteme.
Danach werden die gewünschten Dienste und Applikationen festgelegt, und im nächsten Schritt sind die zu erfüllenden Sicherheitsanforderungen festzulegen. Die Zielsetzungen hängen sehr stark von individuellen Gegebenheiten in den jeweiligen Unternehmen ab.

Sicherheit ist ein fortwährender Prozess, der mit einer fundierten Konzeption beginnt, durch Produktauswahl und Realisierung von Schutzmaßnahmen umgesetzt und durch eine gute Betriebsorganisation und Überwachung ständig begleitet wird.

Kosten-Nutzen-Analyse
Eine Kosten-Nutzen-Analyse beschreibt die Risikoreduktion, die quantifizierbaren finanziellen Vorteile und andere erwartete Verbesserungen:

  • Investitionen: Was ist der erwartete Wert hinsichtlich des finanziellen Nutzens, der Wettbewerbsdifferenzierung etc.?
  • Integrität: Wie verbessern sich Verlässlichkeit und Verfügbarkeit im Tagesgeschäft hinsichtlich größerer Vertraulichkeit, Verfügbarkeit und Genauigkeit von Geschäftsabläufen?
  • Versicherung: Wie wird das Risikomanagement hinsichtlich eines genaueren Verständnisses von Gefahren und geeigneter Risikovermeidungsstrategien verbessert?
  • Schadloshaltung: Wie erleichtert eine höhere Sicherheit die Einhaltung gesetzlicher Vorschriften, so dass juristische und finanzielle Risiken für das Personal und andere reduziert werden?

In der Vergangenheit war es übliche Praxis, dieser Vielfältigkeit an Bedrohungen mit einer Sicherheitsarchitektur aus  mehreren unabhängigen Verteidigungs- bzw. Sicherheitsebenen zu begegnen. Anstatt eine Vielzahl unterschiedlicher Systeme einzusetzen, die jeweils nur einen Teil der oben genannten Funktionen erfüllen, hat underground_8 mit dem MF Security Gateway™ ein umfassendes Werkzeug für den Mittelstand gegen alle gefährlichen Bedrohungen des Internets entwickelt. Diese Komponente wird im Markt auch als „Unified Threat Management“ (UTM) bezeichnet.

Aus diesem Grund hat sich NETecture für die Produkte von underground_8 entschieden.

Gerne helfen wir Ihnen bei der Planung und Implementierung Ihrer massgeschneiderten Sicherheitslösung.

Die Kommentfunktion ist nicht aktiviert.