IT-Sicherheit

Schon mit kleinen Maßnahmen wird der Betrieb abwehrbereiter

NEUER KOMMENTAR
Beitrag teilen

Obwohl Viren auf vielen Wegen in die IT gelangen, schützen nur drei Prozent der Unternehmen ihre Rechner und Netze richtig. Dabei erleichtern Sicherheitschecks und Berechtigungen die Verteidigung.

Smart Home, Smart Building, Smart Factory, Smart City, Smart Grid, Smart Device, Smart Was-auch-Immer – mittlerweile ist das Internet der Dinge auf dem besten Weg, jedes noch so kleine Produkt über Sensoren und Sender in immer größer werdenden Netzwerken miteinander zu verbinden. Seit heute ist das wieder zu beobachten bei der IFA in Berlin, früher Internationale Funkausstellung genannt, neuerdings beworben mit dem Motto „Consumer Electronics Unlimited“. Vielleicht ist es ja wirklich nur noch ein kleiner Schritt bis zur künstlichen Intelligenz, die den Menschen früher oder später als wahre Bürde des Planeten identifiziert und à la „Terminator“ von der Erde zu tilgen versucht.

Viren gelangen auf zahllosen Wegen ins Unternehmensnetz

Aber das ist reine Spekulation. Realität sind dagegen Angriffe von Hackern auf IT-Netzwerke in Privathaushalten sowie in Firmen jeder Größenordnung – oft mit dem Ziel, entweder über nachgeordnete Systeme die Gesamtsteuerung zu übernehmen oder durch gefährliche Eingriffe beispielsweise Geld zu erpressen. Realität ist leider auch die Tatsache, dass es bei der IFA 2017 wieder relativ wenig um das Thema IT-Sicherheit geht, so wie bereits vergangenes Jahr. Irgendwie unverständlich angesichts von Meldungen wie diesen: Ein Anbieter von Antiviren-Software warnt, zahllose Smart-Home-Geräte seien kaum vor Cyberattacken geschützt und könnten jederzeit gekapert werden. Automatisierte Waschstraßen lassen sich von Dritten steuern, was Fahrzeuge beschädigen und Personen verletzen könnte. In einer Fabrik stand die Produktion über eine Woche still, nachdem die Erpressersoftware „Petya“ dort Daten verschlüsselt hatte.

Nur drei Prozent der Betriebe schützen ihre IT ausreichend

Messen wie IFA oder CeBIT, aber auch Verbände und IT-Experten sollten vor allem Unternehmer viel offensiver darüber informieren, welche Gefahren aus dem Internet in Firmennetze gelangen könnten. Nicht, um sie zu ängstigen, sondern die Abwehr von Cyberattacken zu erleichtern. Denn die Wege der Infiltration sind unglaublich: Google hat 500 Apps aus dem Playstore geworfen, die Nutzer überwachen und Infos über Telefonate sammeln konnten. Die Polizei warnt erneut vor gefälschten Rechnungen, die via E-Mail eingehen und Trojaner auf dem Rechner installieren. Wer mit bestimmten Videoplayern einen Film im Internet ansieht und dabei die Untertitel aktiviert, kann sich Viren einfangen. Über den Facebook Messenger kommt angeblich von einem Freund der Link zu einem Film, der Schadsoftware aufspielt. Und IBM hat als Installationsmedium einen USB-Stick verschickt, auf dem Malware war. Dass angesichts solcher vielfältigen Bedrohungen nach Einschätzung des TÜV Nord nur drei Prozent der deutschen Unternehmen ihre IT ausreichend vor Hackerangriffen schützen, macht sprachlos.

Für die IT gilt: Vertrauen ist gut, Kontrolle ist besser

Dabei ist die Abwehr zumindest gewöhnlicher Cyberattacken relativ leicht. Am Anfang steht ein Sicherheitscheck zur Bestandsaufnahme, wie es aktuell um die Verteidigungsfähigkeit des Unternehmens bestellt ist. Hier bietet etwa die Initiative „Deutschland sicher im Netz“ (DsiN) ein interessantes Tool. Dann sollte überlegt werden, wie sich die IT-Abteilung besser aufstellen lässt, egal ob mit eigenen Leuten oder – gerade in kleinen Betrieben – mit einem Dienstleister. Wichtig sind klare Berechtigungen für jeden Mitarbeiter und nachvollziehbare Dokumentationen über Aktivitäten in der IT, die das Erkennen und Verhindern nicht autorisierter Zugriffe erleichtern. Wesentlich dabei ist, auch privilegierte Nutzer wie den Systemadministrator einer gewissen Kontrolle zu unterwerfen und bei weitreichenden Entscheidungen das Vier-Augen-Prinzip einzuhalten. Der Schutz des IT-Systems und der Daten sollte für jedes Unternehmen höchste Priorität haben, egal wie vertrauensvoll ansonsten die innerbetriebliche Zusammenarbeit ist. Gerade bei der IT kann schon ein unbedachter Klick eine Katastrophe auslösen. Deshalb muss hier unbedingt gelten: Vertrauen ist gut, Kontrolle ist besser.