Cyber Security IT-Risiken im Mittelstand erkennen, vorbeugen, versichern

Menü

Sind Sie sicher?

Organisation

Unser Topmanagement hat sich schriftlich verpflichtet, die Verantwortung für die Informationssicherheit wahrzunehmen.
Ja oder Nein
Nein? Wenn Topmanager das Thema nicht ernst nehmen, wer dann? Sie sollten sich in einer so­ge­nannten Informa­tionssicherheitsleitlinie für Cyber Security engagieren, die:
  • Ziele und Stellenwert der Informationssicherheit im Unternehmen definiert
  • sämtliche Positionen für den Informationssicherheitsprozess definiert
  • und die Konsequenzen bei Nichtbeachtung festlegt.
Alle internen und externen Mitarbeiter werden regelmäßig über unsere Maß­nah­men zur Informationssicherheit informiert.
Ja oder Nein
Nein? Mangelndes Wissen der Mitarbeiter öffnet Türen für Angriffe durch Cyberkriminelle. Unsere Empfehlung:: Im­ple­men­tieren Sie ein Verfahren, das folgende Aspekte sicherstellt:
  • Das Personal wird zielgruppen­orientiert über Gefahren aufgeklärt und im Umgang mit Sicherheitsmaßnahmen geschult
  • Die Inhalte Ihrer Informations­sicher­heits-leitlinie und sämtlicher relevanter verwandter Richtlinien werden vermittelt
  • Ihre Mitarbeiter wissen um die Konsequenzen, sollten sie diese Vorgaben ignorieren Schulungs- und Sensibilisierungsmaßnahmen soll­ten mit einer Lernerfolgskontrolle ab­schlie­ßen.
Zugänge zu unserer IT-Infrastruktur werden konsequent nur gewährt, wenn sie für die Aufgabenerfüllung notwendig sind.
Ja oder Nein
Nein? Ganz gefährlich. Schadprogramme können sich so von einem infizierten Rechner in allen Firmensystemen ausbreiten. Wir empfehlen:
  • Zugänge und Zugriffsrechte restriktiv genehmigen
  • Vor jeder Freigabe den Dreischritt: Antrag, Prüfung, Genehmigung. Das gilt besonders streng für Admin-Rechte
  • Die Freigabevorgänge dokumentieren Zugänge zu kritischen IT-Systemen so­wie­ sämtliche Zugriffsrechte sollten jährlich erfasst und daraufhin überprüft werden, ob sie benötigt werden.

Technik

Im Fall des Verlusts oder Diebstahls eines mobilen Gerätes wissen unsere Mitarbeiter, was zu tun ist.
Ja oder Nein
Nein? Oha! Täglich gehen allein Hunderte Handys verloren. Manche sind gar nicht gesichert, viele kaum. Die „Wischcode“-Freigabe etwa lässt sich durch Spuren auf dem Display in Sekundenschnelle erkennen. Deshalb sollten Nutzer und Administratoren wissen, was sie bei einem Verlust zu tun haben. Das Verfahren sollte insbesondere festlegen, wie und an wen der Verlust zu melden ist und welche Sofortreaktion erfolgt. Ganz wichtig dabei: Sicherstellen, dass die meist zuhauf hinterlegten Zugänge zur Unternehmens-IT nach der Verlustmeldung nicht unberechtigt genutzt werden können, etwa indem die entsprechenden Authentifizierungsmerkmale umgehend zurückgesetzt werden.
Wir haben festgelegt, welche Informa­ti­o­nen des Unternehmens auf mobilen Datenträgern wie CDs, USB-Sticks, DVDs, Speicherkarten oder mobilen Festplatten gespeichert werden dürfen.
Ja oder Nein
Nein? Ein sorglos in Fir­men­computer gesteckter mobiler Datenträger kann leicht viele Sicherheitsmaßnahmen unterlaufen – zum Beispiel wird der Virenschutz auf Mailservern oder Firewalls umgangen und Schadsoftware in das Unternehmensnetzwerk eingeschleust.
Wir haben den Zugriff auf das Internet durch Schutzmaßnahmen abgesichert.
Ja oder Nein
Selbstverständlich gilt für Ihr Unternehmen: JA. Selbst jeder Privatcomputer wird bei Einrichtung automatisch mit Schutzprogrammen gegen durchs Internet wabernde Viren, Erpresser- und sonstige Schadprogramme ge­sichert. Einfache Firewalls orientieren sich an den Netzwerkadressen der Kommunikationspartner und definieren damit ein Regelwerk für den Zugriff auf Ihr Netzwerk. Je nach Komplexität der IT-Infrastruktur und der Sicherheitsanforderungen sind Standard-Firewalls und Vi­ren­scanner nicht ausreichend und müssen um professionelle Lösungen ergänzt werden. Wichtig zudem: Halten Sie diese wichtigen Schutz­programme immer auf dem aktuellsten Stand.
Der Zugriff auf unsere interne IT-Infrastruktur über öffentliche oder drahtlose Netze erfolgt ausschließlich verschlüsselt.
Ja oder Nein
Hoffentlich haben Sie auch diese Frage mit JA beantwortet. Wir reden hier schließlich von einem Haupteinfallstor für Cyberkriminelle. Schützen Sie daher drahtlose Netzwerke und die Anbindung an öffentliche Netze mindestens mit WPA2. Dieser Wi-Fi Protected Access 2 implementiert die grundlegenden Funktionen des neuen Sicherheitsstandards IEEE 802.11i – den brauchen Sie, weil auch Cyberangreifer die neuesten Techniken nutzen. Die Anbindung über öffentliche Netze sollte verschlüsselt erfolgen, mindestens mithilfe der Technologien VPN und SSL.

Prävention

Wir schützen uns vor dem Verlust der wichtigsten Unternehmensdaten durch eine Datensicherung.
Ja oder Nein
87 Prozent der Teilnehmer im Quick Check sagen JA – Sie natürlich auch. Denn Sie wissen: Daten können jederzeit unbrauchbar werden oder verloren gehen. Deshalb ist es notwendig, durch eine Datensicherung die Integrität und Verfügbarkeit der Daten si­cher­zu­stellen. Und, keine Frage, Sie testen auch regel­mäßig, dass die Datensicherung wirklich funk­tioniert. Bewahren Sie außerdem Ihre Sicherungsmedien örtlich getrennt von den übrigen Systemen auf, sodass bei einem Brand oder Wasserschaden keinesfalls beide Datenquellen betroffen sind.
Wir besitzen für unsere kritischen Systeme Wiederanlaufpläne.
Ja oder Nein
Nein, wie 46 Prozent der bisher teilnehmenden Firmen? Das könnte gefährlich werden. Denn bei einem Ausfall wollen Sie doch direkt wissen:
  • Welche Informationen und welche Arbeits-schritte in welcher Reihenfolge ermöglichen es, unser IT-System schnellstmöglich zumindest auf Notbetriebsniveau hochzufahren?
  • Wen und was brauche ich (Personal samt Kontaktdaten, Hard- und Software, Netzwerke, Dienste, Passwörter)?

Management

Für jedes IT-Outsourcing-Vorhaben haben wir die notwendigen Anforderungen an die Sicherheit definiert.
Ja oder Nein
Ja? Glückwunsch, Sie zählen zu einer gut geschützten Minderheit von 28 Prozent der Teilnehmer. Natürlich hat auch jeder externe IT-Dienstleister Ihre Sicherheitsinteressen zu berücksichtigen. Sonst nutzen Ihre eigenen Maßnahmen ja gar nichts, weil Cyberkriminelle natürlich gezielt die schwächsten Stellen angreifen. Vertraglich zu klären ist daher, welche Bestimmungen (insbesondere in Bezug auf die Vertraulichkeit, Verfügbarkeit und Integrität der ausgelagerten IT-Ressourcen) erfüllt werden müssen.

Den ausführlichen Fragenkatalog gibt es auf www.vds-quick-check.de

top