ComSafe       Computersicherheit / IT Security


IT Security in Unternehmen und Organisationen



Wirtschaftliche Folgen mangelnder IT Sicherheit
Die Folgen eines Datenverlustes bzw. eines EDV-Ausfalls werden allgemein unterschätzt oder verdrängt. Solange alles halbwegs gut läuft, versucht man die Kosten für ein Sicherheitskonzept und die damit verbunden Anschaffungen von Sicherheitsmitteln im Sinne der "Vogel-Strauss-Politik" zu umgehen. Eine kurzsichtige und gefährliche Entscheidung!

Die Kosten eines Datenverlustes oder eines Ausfalls der EDV sind für Unternehmen heutzutage nicht unerheblich und können im schlimmsten Fall bis an den Rand des Konkurses führen. Dies sei anhand der folgenden Szenarien verdeutlicht:

Fehlende oder mangelhafte Datensicherung

Eine regelmäßige Sicherung aller Firmendaten ist unerläßlich. Bei einem Hardwaredefekt können die Daten von mehreren Jahren verloren gehen. Die Rekonstruktion anhand von Ausdrucken und sonstigen Unterlagen ist sehr zeit- und kostenintensiv, abgesehen von den auftretenden Behinderungen des normalen Geschäftsbetriebes durch fehlende aktuelle Daten.

Hinweis: Nur durch eine Überprüfung (verify after write) der Datensicherung wird ein evtl. Ausfall der Datensicherung wirksam erkannt. Diese Funktion ist bei allen professionellen Datensicherungssystemen verfügbar, wird aber oft nicht aktiviert.

Die beste Datensicherung nützt nichts, wenn die Sicherungsmedien nicht an einem sicheren Ort gelagert werden. So sind bei einem Brand im Serverraum die dort gelagerten Sicherungsbänder meistens ebenso zerstört.


Schädlingsbefall eines oder mehrer Computersysteme

Eine Infektion selbst nur eines Arbeitsplatzes mit Schädlingen hat in einem Netzwerk weitreichende Folgen und führt zu einer Einschränkung des gewöhnlichen Geschäftsbetriebs. Zur Behebung des Fehlers muss nicht nur der betroffene Arbeitsplatz sondern auch der/die Server sowie die anderen Arbeitsplätze untersucht werden. Dies führt zu einer nicht unerheblichen Bindung von menschlichen Ressourcen.

Zur Vermeidung einer weiteren Schädigung des Unternehmens muss die Verbindung ins Internet sofort gekappt werden und damit werden weitere betriebliche Prozesse behindert. Die Säuberung der betroffenen Systeme muss per Hand von qualifiziertem Personal vorgenommen werden. Zerstörte Daten müssen über die Datensicherung (soweit vorhanden) wiederhergestellt werden. Diese bindet nicht nur IT-Personal, sondern führt auch zu einer Beeinträchtigung der Arbeitsfähigkeit der betroffenen Arbeitsplätze.

Tipp: Neben der Beseitigung des Schädlings und der Wiederherstellung der Daten ist eine Überprüfung des Schadensverlaufs und die Installation geeigneter Gegenmaßnahmen zur künftigen Abwehr dringend angeraten.


Ausspionieren betriebswichtiger Daten

Die Weitergabe betriebswichtiger Daten (Kalkulationsdaten, Einkaufs- und Lieferbedingungen, Kundendaten, Entwicklungsdaten) an Mitbewerber bewirkt in der Regel entscheidende Wettbewerbsnachteile für das betroffene Unternehmen.

Ebenso wirkt sich das Bekanntwerden von Sicherheitslücken negativ auf die Reputation des Unternehmens aus. Auch dadurch kann die Existenz eines Unternehmens gefährdet werden.



Ursachenforschung
Die Ursachen für die mangelhafte IT-Sicherheit in Unternehmen und Organisationen sind sowohl strategischer als auch operativer Art. Auch hier kann durch frühzeitige Einbindung der Unternehmensleitung eine deutliche Steigerung der Effizienz geplanter Sicherungsmaßnahmen erreicht werden. Die aufgeführten Fehler zeigen, dass in vielen Fällen die IT-Abteilung mit der Planung und Durchsetzung der Maßnahmen überfordert ist.

Strategische Fehler

  • Fehlender Stellenwert der Datensicherheit in der Organisation: Kosten die durch Verlust oder Spionage von Daten entstehen, werden unterschätzt. Es besteht kein Sicherheitskonzept, und es fehlen Sicherheitsrichtlinien.
  • Der Sicherheitsprozess wird als statische Maßnahme begriffen und nicht als dynamischer Prozess. Daraus resultiert ein mangelndes Sicherheitsbewusstsein. Es findet keine Anpassung des Sicherheitskonzepts an veränderte Rahmenbedingungen statt.
  • Fehlende Klassifikation der betrieblichen Daten nach Sicherheitsstufen. Dadurch wird ein situationsgerechtes Sicherheitskonzept erst möglich.
  • Fehlendes Notfallmanagement.

Operative Fehler

  • Kein ausreichendes Rechte-Management (wer darf was und wann)
  • Mangelhafte Implementierung der vorhandenen Sicherheitsfunktionen im Hard- und Softwarebereich durch den Administrator
  • Nichtbefolgen der Sicherheitsvorgaben und keine Überprüfung derselben (keine Datensicherung, laxer Umgang mit Passwörtern, keine Richtlinien für den Einsatz von Notebooks etc.)
  • Unzureichende Ausbildung der Mitarbeiter (Administratorfunktion wird oft von Personen nebenbei erledigt, die zudem wenig Ahnung und wenig Zeit haben).
  • Unzureichende Aufklärung und Verpflichtung der Mitarbeiter bezüglich des Sicherheitskonzepts. Kontrollmechanismen und Aufklärung im Fall von Verstößen fehlen
  • Schlechte Wartung der IT-Systeme (z. B. fehlende Sicherheitspatches)
  • Mangelhafte physische Sicherheit (Absicherung der EDV gegen Elementarschäden, Diebstahl, Vandalismus)
  • Die Umsetzung von Sicherheitsmaßnahmen wird nicht dokumentiert und kontrolliert

Die oben aufgeführten Punkte ergeben schon erste Ansätze für eine vernünftige IT-Sicherheitsstrategie. Auf der folgenden Seite wollen wir Ihnen erste Maßnahmen zur Erhöhung der IT-Security für Ihr Unternehmen vorstellen.
pfeil Maßnahmen zur Erhöhung der IT-Security!



Stand: 1.8.2013


© 2004-2013
Carl Klüter
 
Web-Design & Realisation by cfpk 
Diese Seite drucken