Ernst zu nehmende Cyberangriffe zielen grundsätzlich darauf ab, in eine IT-Infrastruktur einzugreifen, um dieser signifikant zu schaden. Für Angreifer mit dem Ziel der Erpressung, der finanziellen Bereicherung oder Rufschädigung sind Firmen dabei ein weitaus lohnenderes Ziel als Privatpersonen. Das macht IT-Sicherheit (auch: Cybersicherheit oder Cybersecurity) in Unternehmen zu einem Bereich, den Sie in keinem Fall vernachlässigen sollten.
Doch Angreifer werden immer tückischer und die Bedrohung steigt seit einigen Jahren – wo also Anfangen mit den Sicherheitsvorkehrungen? Wir geben Ihnen einen Überblick über dieses umfangreiche Thema, der Ihnen zur ersten Orientierung dienen kann.
IT-Sicherheit bezeichnet einen ganzheitlichen Ansatz zum Schutz von Computersystemen, Netzwerken und Daten vor einer Vielzahl von Bedrohungen, die aus der digitalen Umgebung resultieren. Dies umfasst den Schutz vor unbefugtem Zugriff, Manipulation oder Diebstahl sensibler Informationen sowie vor Schäden, die durch Cyberangriffe verursacht werden können.
IT-Sicherheitsmaßnahmen zielen darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen zu gewährleisten. Dazu gehören die Implementierung von Firewalls, Antivirensoftware, Verschlüsselungstechnologien, Zugriffskontrollen, Sicherheitsrichtlinien und Schulungsprogrammen für Mitarbeiter.
Da die Bedrohungslandschaft ständig im Wandel ist, erfordert IT-Sicherheit kontinuierliche Überwachung, Anpassung und Aktualisierung, um mit den neuesten Bedrohungen Schritt zu halten und ein angemessenes Schutzniveau aufrechtzuerhalten.
In einem IT-Sicherheitskonzept gibt es verschiedene Schutzziele, die je nach Branche und Infrastruktur unterschiedlich gewichtet sein können. Immer und überall unverändert relevant sind aber die drei Grundpfeiler der Informationssicherheit.
Die drei primären Ziele (auch CIA-Triade) werden dabei vom BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert:
Hacker, Phishing-Mails und andere Online-Gefahren sind nicht die einzige Bedrohung. Auch an physische Risiken müssen Sie in Ihrem Sicherheitskonzept denken. Das können beispielsweise Einbrecher sein, die in Ihren Serverraum gelangen möchten oder äußere Einflüsse wie ein Feuer, das Ihre Festplatten beschädigt.
IT-Sicherheit befasst sich also mit allen Maßnahmen, die notwendig sind, um alle eingesetzten Hard- und Softwaresysteme zu schützen. Das Ziel ist umfassende Informationssicherheit, also alle Informationen und Daten auf jede mögliche Art und Weise zu sichern. Die Verantwortung in Unternehmen liegt immer bei der Unternehmensleitung.
Genau das macht diese Disziplin so komplex, denn die IT-Infrastruktur Ihres Unternehmens muss dauerhaft überwacht und gegen eine Vielzahl an Gefahren geschützt werden.
Wichtig: IT-Sicherheit in Unternehmen liegt in der Verantwortung der Geschäftsführung. Diese muss dafür Sorge tragen, dass die entsprechenden Ressourcen und das Personal vorhanden sind.
Malware ist ein Kunstwort für „Malicious Software“, also schadhafte Software, die in Ihr Netzwerk geschmuggelt wird. Diese kann beispielsweise als Viren oder Trojaner ihre Infrastruktur infizieren. Im Unternehmenskontext spielt aber vor allem die Ransomware eine Rolle.
Ransomware stellt laut BSI die größte und häufigste Bedrohung für die IT-Sicherheit in Unternehmen dar. Sie verbreitet sich häufig durch Makros, die in per E-Mail versendeten Dateianhängen versteckt sind. Um Angriffe zu vermeiden, sollten solche Makros grundsätzlich nicht ausgeführt werden.
Die eingeschleuste Schadsoftware sorgt dafür, dass Geräte, Server oder Teile davon für Sie und alle anderen Nutzer gesperrt werden. Mit dem Zugriff auf Ihre eigenen Daten in der Hinterhand stellen die Angreifer Forderungen – meist in Form einer Lösegeldforderung.
Beim Phishing versuchen Kriminelle, mithilfe gefälschter Mails (oder anderen Nachrichten wie SMS) an vertrauliche Daten (z. B. Zugänge oder Bankdaten) zu gelangen. Sind die Massen-Mails hier eher unpersönlich, richten sich Spear-Phishing-Angriffe gezielt an Mitarbeiter konkreter Unternehmen oder Branchen. Sie sind ausführlich recherchiert und können aussehen wie firmeninterne Mails. Noch einen Schritt weiter geht man mit Whaling – die Fake-Mails zielen auf Führungskräfte und andere hochrangige Personen im Unternehmen ab.
Das Bundesamt für Sicherheit in der Informationstechnik hat einen Bericht zur IT-Sicherheit 2022 in Deutschland vorgelegt. Dieser macht deutlich, wie stark und in welcher Weise die Bedrohung in den vergangenen Jahren angestiegen ist.
Als häufigste Sicherheitsrisiken für Unternehmen kamen dabei heraus:
Das bedeutet allerdings nicht, dass die anderen in diesem Beitrag genannten Gefahren vernachlässigt werden sollten. IT-Sicherheit sollte grundsätzlich zuverlässig und so breit wie möglich aufgestellt sein.
Im Falle eines Cyberangriffes sind nicht nur firmeninterne, sondern auch Kundendaten betroffen. IT-Sicherheit in Unternehmen ist daher nicht obligatorisch, sondern folgt mitunter branchenspezifischen rechtlichen Vorschriften.
Diese werden beispielsweise durch die EU-Datenschutzgrundverordnung und die IT-Sicherheitsgesetze 1.0 und 2.0 vorgegeben (Stand: Juni 2024). Besonders strikte Vorgaben der IT-Sicherheit müssen dabei Unternehmen der kritischen Infrastruktur einhalten. Dazu zählen unter anderem Kernkraftwerke, Krankenhäuser und Telekommunikationsunternehmen. Diese müssen mögliche Angriffe sogar zwingend an offizieller Stelle, nämlich beim Bundesamt für Sicherheit in der Informationstechnik (BSI), melden.
Dass es ein eigenes Bundesamt zu diesem Thema gibt, zeigt allerdings schon: Mit mangelnder IT-Sicherheit ist auch in der freien Marktwirtschaft nicht zu spaßen. Cyberkriminalität betrifft letztlich alle – von kleinen und mittleren Unternehmen (KMU) bis zum Großkonzern.
Ein Wort an dieser Stelle: Dieser Beitrag soll Ihnen helfen, die Wichtigkeit und den Umfang des Themas zu verstehen und stellt keine Rechtsberatung dar. Zu entsprechenden Fragen empfehlen wir Ihnen, einen IT-Sicherheitsmanager zu beauftragen oder sich auf der offiziellen Seite des BSI zu erkundigen.
Mit dem voranschreitenden digitalen Wandel wachsen auch potenzielle Gefahrenstellen, die Sie in Ihrer IT-Sicherheitsstrategie mitdenken müssen. Dabei spielt auch das veränderte Arbeitsverhalten eine Rolle, das sich vor allem seit der Corona-Pandemie entwickelt hat.
Immer mehr Menschen arbeiten remote. Ob im Homeoffice oder unterwegs aus dem Café – die Sicherheitsmaßnahmen müssen hier ebenso greifen wie vor Ort in Ihrem Unternehmen. Das ist allerdings oft nicht der Fall. Das Einwählen in öffentliche, mitunter nicht gesicherte Netzwerke stellt hier ein großes Problem dar.
Damit einhergehend sind die verschwimmenden Grenzen zwischen privater und geschäftlicher Nutzung von Geräten ein Problem für die IT-Sicherheit in Unternehmen. Firmeninterne Messenger auf einem privaten Smartphone zu installieren, stellt nach aktueller Rechtslage beispielsweise bereits einen Verstoß gegen die DSGVO dar. Grund dafür sind die Daten, die gar nicht erst außerhalb von firmeninternen Geräten und Anwendungen gespeichert werden dürfen.
Eine weitere steigende Gefahr geht vom wachsenden Internet of Things (IoT) aus. Smarte Geräte aller Art – ob Smart Home oder intelligente Anschaffungen im Büro – vergrößern die mögliche Angriffsfläche im Cyberraum.
Es gibt Maßnahmen, die unverzichtbar sind und oft auch ohne IT-Spezialisten im Haus umgesetzt werden können. Grundlegend sind sie deshalb, weil sie die absolute Basis der IT-Sicherheit in Unternehmen – aber auch überall anders – bilden. Auch die Umsetzung dieser wird wieder vom BSI dringend empfohlen:
Mit regelmäßigen Updates sorgen Sie dafür, dass Ihre Software auf dem aktuellen Sicherheitsstand ist.
Auch regelmäßige Datensicherungen dürfen nicht vernachlässigt werden. Diese Daten sollten entweder auf einer externen Festplatte oder in Cloud-Diensten gesichert werden, wobei auch eine Kombination beider Methoden möglich ist. Zudem sollte die Integrität und Funktionsfähigkeit der Datensicherung regelmäßig überprüft werden. Virenschutzprogramme und Firewalls sollten auf jedem System installiert sein, um durch automatische Updates grundlegende Sicherheit zu gewährleisten. Alle gewählten Passwörter sollten möglichst stark sein und nicht mehrfach verwendet werden. Ein Passwort-Manager kann Sie dabei unterstützen. Verlassen Sie sich nicht ausschließlich auf ein sicheres Passwort. Nutzen Sie Zwei-Faktor-Authentisierung, bei der neben einem Codewort im zweiten Schritt beispielsweise eine TAN abgefragt wird. Erfahren Sie mehr über sichere Passworterstellung in unserem Blogbeitrag "Sichere Passwortpraxis: Tipps für die Erstellung und Verwaltung robuster Passwörter".
Grundsätzlich sollten alle Geräte in Ihrem Unternehmen durch Virenschutzprogramme und Firewalls vor Malware und Viren geschützt werden.
Auf gute Passwörter und Virenschutz sollten Sie sich keinesfalls ausruhen. Im privaten Umfeld mag das ausreichen, doch Ihre Daten sind zu wichtig (und die Richtlinien oft zu streng), als dass dies genügen könnte.
Vielmehr benötigen Sie ein ausführliches Sicherheitskonzept und IT-Fachpersonal, das dieses umsetzt. Denn IT-Sicherheit ist nichts, das einmal gemacht wird – sie muss dauerhaft angepasst werden, denn auch die Schädlinge entwickeln sich stetig weiter. Grundsätzlich sollte Ihr Vorgehen immer dauerhaft Planung, Umsetzung und Überwachung umfassen.
Erleichtert wird das durch ein sogenanntes Information Security Management System (ISMS). Dieses definiert Regeln und Vorgehensweisen, um die IT-Sicherheit in Unternehmen zu gewährleisten. Vor allem große Konzerne kommen um ein solches nicht drumherum, um Risiken und Probleme schnell ausfindig zu machen und beheben zu können. Wichtig: Ein solches System fällt in die Verantwortung der Geschäftsführung und verfolgt einen Top-down-Ansatz. Entscheidungen können demnach von fachlich kompetenten Mitarbeitern (etwa IT-Personal und DSGVO-Beauftragte) ausgeführt werden.
Wichtig bei der IT-Sicherheit in Unternehmen ist, dass alle Mitarbeiter geschult sind. Das IT-Fachpersonal und die Geschäftsführung können die Umsetzung nicht allein stemmen. Alle Menschen mit Zugriff auf Unternehmensdaten müssen bestimmte Regeln befolgen, damit das Sicherheitskonzept aufgeht.
Dazu gehört beispielsweise der sorgsame Umgang mit Passwörtern, das Herunterladen von Updates und die Vermeidung von öffentlichen WLAN-Spots. Aber auch dass Ihre Mitarbeiter frühzeitig Sicherheitsrisiken erkennen, vermeiden und melden können, ist wichtig.
Vergessen Sie nicht, Risiken vorzubeugen, die Ihre Hardware direkt betreffen. Ob aus böser Absicht von außen oder durch ein Versehen – auch Computer, Server und Festplatten im physischen Sinne können zum Angriffsziel werden. Bedenken Sie diesen Fakt bei Ihrem IT-Sicherheitskonzept.
Ihre Server, Ihr Rechenzentrum und Laptops nach Nutzung ab- bzw. wegzuschließen, kann eine mögliche Maßnahme sein. Um Datenverlust vorzubeugen, sollten grundsätzlich Back-ups erstellt und auf externen Festplatten oder in RAID-Systemen (Redundant Array of Independent Discs) gespeichert werden.
Darüber hinaus sollten Sie bei der Wahl Ihrer Hardware genau auf die angegebenen Sicherheitsfaktoren achten. Serverracks erhalten Sie beispielsweise mit einer feuerfesten Bauweise. Grundsätzlich lohnt es sich aber, auf hochwertige Komponenten wie Switches, Transceiver oder Netzwerkserver zurückzugreifen. Interessieren Sie sich für nachhaltige, gebrauchte Produkte, kaufen Sie diese nicht von privat, sondern aus seriöser Quelle.
Es gibt keine einheitliche Methode, um den Sicherheitsgrad Ihres IT-Konzepts zu messen. Stattdessen haben Sie die Möglichkeit, das beste Vorgehen für Sie zu wählen. Möglich sind dabei beispielsweise diese:
White Hat Hacker, Ethical Hacker oder auch Penetrationstester (Pen-Tester) haben es sich zur Aufgabe gemacht, Schwachstellen zu finden. Dafür versetzen sie sich in ihre kriminellen Kollegen und simulieren einen Angriff auf Ihre IT-Infrastruktur. Im Falle einer Lücke kann diese frühzeitig geschlossen werden.
Hilfreich ist auch die Schnelligkeit und Fähigkeit zu messen, in der Ihr Unternehmen auf Angriffe reagiert. Die Einschätzung von Reaktionszeiten und der Dauer bis zur Wiederherstellung der Daten hilft, die Sicherheitslage einzuschätzen.
Mittels Sicherheitsaudits überprüfen Sie Ihre IT-Sicherheitsmaßnahmen regelmäßig und bewerten mögliche Schwachstellen.
Festgelegte Sicherheitsmetriken helfen bei der gezielten Einschätzung. Hierbei können Sie beispielsweise die Anzahl an Vorfällen, die durchschnittliche Behebungszeit oder Erfolgsrate von Sicherheitsaudits erfassen.
Cybersicherheit beginnt mit einer gut geplanten und zuverlässigen IT-Infrastruktur. Sie hilft dabei, eine dichte Architektur für den Informationsfluss zu erstellen, aber auch Probleme schnell eingrenzen zu können.
IT-Sicherheit in Unternehmen bedeutet aber noch mehr als das. Auf keinen Fall sollten Sie beim Aufbau eines entsprechenden Konzepts, Soft- und Hardware oder den Personalkosten beim IT-Personal sparen. Alles sorgt dafür, dass Daten zu Ihren Projekten, Mitarbeitern und Kunden vor Angriffen geschützt sind. Mit Einhaltung der BSI-Standards, darunter BSI-Standard 200-1, 200-2, 200-3, 200-4 und 100-4, zur IT-Sicherheit haben Sie außerdem die Möglichkeit, eine ISO 27001 Zertifizierung zu erhalten. Diese wird ausschließlich durch vom Bundesamt für Sicherheit in der Informationstechnik zertifizierte Prüfer vergeben werden und sind weltweit anerkannt. Der Nachweis über die Einhaltung der Normen gibt nicht nur Ihnen Sicherheit, sondern auch potenziellen Kunden.
Wir bieten sichere Firewalls, Server, Switches und Transceiver für Ihr Unternehmen an, um umfassenden Schutz im IT-Bereich zu gewährleisten. Zu unseren namhaften Marken gehören Fortinet und SonicWall für Firewalls, Cisco und Juniper für Switches sowie HPE | Aruba für Server. Möchten Sie ein Projekt bei uns anfragen? Nutzen Sie gerne unser Anfrageformular!
Unternehmen können ihre IT-Sicherheit messen und bewerten, indem sie folgende Schritte durchführen:
Um eine ISO 27001 Zertifizierung zu erhalten, müssen Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) gemäß den Anforderungen der ISO 27001 aufbauen und diese im Unternehmen implementieren. Zusätzlich dazu müssen interne Prüfungen durchgeführt werden, worauf eine Zertifizierungsuntersuchung des Unternehmens durch eine akkreditierte Stelle folgt.
Unternehmen müssen verschiedene rechtliche Vorschriften in Bezug auf IT-Sicherheit beachten, darunter:
Die häufigsten Sicherheitsrisiken für Unternehmen sind Malware, Phishing-Angriffe, Software-Schwachstellen, menschliches Fehlverhalten und unsichere Konfigurationen von Systemen.
Die wichtigsten Schritte zur Implementierung eines IT-Sicherheitskonzepts in einem Unternehmen sind:
1. Durchführung einer Risikoanalyse
2. Entwicklung von Sicherheitsrichtlinien
3. Schulung von Mitarbeitern
4. Implementierung von Sicherheitsmaßnahmen
5. Regelmäßige Überwachung und Aktualisierung
6. Notfallplanung und Incident Response
