Der tägliche Geschäftsbetrieb erfordert von jedem Unternehmen die Nutzung des Internets zum Beschaffen von Informationen und zum Datenaustausch. Eine gewisse Vorsicht ist dabei allerdings zu empfehlen.
Wer sein internes Netzwerk an das Internet anbindet, muss es damit zumindest teilweise für den Datenaustausch öffnen. Das bringt Risiken mit sich, die man erkennen und minimieren muss: Wer die eigene IT-Infrastruktur öffnet, geht die Gefahr von Spionage, Manipulation und Zerstörung ein. Potenziellen Angreifern stehen verschiedene Möglichkeiten zur Kompromittierung des eigenen Netzes zur Verfügung. Sie können beispielsweise Viren, Würmer oder Trojanische Pferde in das System einschleusen, sich unberechtigt Zugang zum System verschaffen oder dessen Verfügbarkeit beeinträchtigen.
Schäden durch Computerviren
Der Schaden, den ein einzelner Virus verursacht, wird von den Teilnehmern der aktuellen KES/KPMG-Sicherheitsstudie 2002 auf ca.
26 000 Euro im Unternehmen eingeschätzt.
Einer Umfrage zur IT-Security von Pricewaterhouse-Coopers und Informationweek zufolge waren im Jahr 2001 57 Prozent aller
befragten Unternehmen in Deutschland Sicherheitsverletzungen in Form von Computerviren und Trojanischen Pferden ausgesetzt.
Üblicherweise haben gerade mittelständische Unternehmen Maßnahmen gegen diese Gefahren getroffen. Auf den PCs der Mitarbeiter sind zumeist Virenscanner und Personal Firewalls installiert; der Zugang zum Internet wird durch einen vorkonfigurierten IDSN- oder DSL-Router realisiert. Diese Strategie ist aber nur dann weitgehend ausreichend:
? wenn alle PC-Anwender mit der Sicherheits-Software vertraut sind
? wenn alle Mitarbeiter an den PCs keine Freemail-Anbieter benutzen
? wenn alle Systeme ständig fachgerecht administriert und gewartet werden
? wenn jeder Download aller Mitarbeiter aus dem Internet auf Viren geprüft wird.
Das heißt, die Disziplin, die Loyalität und vor allem das technische Know-how der Mitarbeiter spielen eine sehr große Rolle. Diese Rolle darf aber nicht jedem einzelnen Mitarbeiter aufgebürdet werden, da er z. B. auf Grund seiner Ausbildung oder seiner Tätigkeit gar nicht in der Lage sein kann, sie zu erfüllen.
Abgesehen vom immensen Administrations- Aufwand einer solchen Lösung sind einige wichtige Sicherheits-Ziele auch im Idealfall auf diese Weise prinzipiell nicht zu realisieren:
? Gewährleistung eines firmenweiten Sicherheits-Standards
? Zentrale Konfiguration und Kontrolle des Übergangspunktes zum Internet
? Schutz des internen Netzwerks trotz Kompromittierung des Zugangspunktes zum Internet
? Allgemeine oder arbeitsplatzbezogene Zugangsbeschränkungen für bestimmte Internet-Seiten und -Dienste
? Zentrale Protokollierung des Datenverkehrs mit dem Internet
? Heterogene Umgebung, z. B. Windows-Arbeitsplatz-Rechner und Internet-Zugang über Unix/Linux-Rechner
? Einsatz von „Open Source Software“ für den Internet-Zugang
Die angeführten prinzipiellen Schwächen und Unwägbarkeiten in der Durchführung machen es zur Managementaufgabe, die Mitarbeiter zu entlasten und eine Strategie zu entwerfen, die den zusätzlichen Sicherheits-Zielen gerecht wird.
Empfehlungen
Ein IT-Verantwortlicher für Sicherheit wird benannt (und ausgebildet), der als Schnittstelle zu einem externen Sicherheits-Dienstleister fungiert. Letzterer stellt das sicherheitstechnische Spezialwissen bereit und legt die Sicherheits-Anforderungen zusammen mit dem IT-Verantwortlichen fest. Gemeinsam definieren und realisieren sie das Sicherheits-Konzept. Der Sicherheits-Dienstleister wartet das Sicherheits-System ständig und passt es neuen Anforderungen an. Darüber hinaus sollten von ihm auch Mitarbeiter sicherheitstechnisch geschult werden.
Die Kosten eines derartigen Systems lassen sich beziffern. Wie viel ein gutes Sicherheits-Konzept und dessen Realisierung wert sind bzw. an Schaden erspart, wird man allerdings nie in Euro und Cent ausdrücken können. Denn im Gegensatz zu einer Versicherung greift es ja bereits, bevor ein Schaden entsteht. Thomas Birnthaler/Hermann Gottschalk
Wer sein internes Netzwerk an das Internet anbindet, muss es damit zumindest teilweise für den Datenaustausch öffnen. Das bringt Risiken mit sich, die man erkennen und minimieren muss: Wer die eigene IT-Infrastruktur öffnet, geht die Gefahr von Spionage, Manipulation und Zerstörung ein. Potenziellen Angreifern stehen verschiedene Möglichkeiten zur Kompromittierung des eigenen Netzes zur Verfügung. Sie können beispielsweise Viren, Würmer oder Trojanische Pferde in das System einschleusen, sich unberechtigt Zugang zum System verschaffen oder dessen Verfügbarkeit beeinträchtigen.
Schäden durch Computerviren
Der Schaden, den ein einzelner Virus verursacht, wird von den Teilnehmern der aktuellen KES/KPMG-Sicherheitsstudie 2002 auf ca.
26 000 Euro im Unternehmen eingeschätzt.
Einer Umfrage zur IT-Security von Pricewaterhouse-Coopers und Informationweek zufolge waren im Jahr 2001 57 Prozent aller
befragten Unternehmen in Deutschland Sicherheitsverletzungen in Form von Computerviren und Trojanischen Pferden ausgesetzt.
Üblicherweise haben gerade mittelständische Unternehmen Maßnahmen gegen diese Gefahren getroffen. Auf den PCs der Mitarbeiter sind zumeist Virenscanner und Personal Firewalls installiert; der Zugang zum Internet wird durch einen vorkonfigurierten IDSN- oder DSL-Router realisiert. Diese Strategie ist aber nur dann weitgehend ausreichend:
? wenn alle PC-Anwender mit der Sicherheits-Software vertraut sind
? wenn alle Mitarbeiter an den PCs keine Freemail-Anbieter benutzen
? wenn alle Systeme ständig fachgerecht administriert und gewartet werden
? wenn jeder Download aller Mitarbeiter aus dem Internet auf Viren geprüft wird.
Das heißt, die Disziplin, die Loyalität und vor allem das technische Know-how der Mitarbeiter spielen eine sehr große Rolle. Diese Rolle darf aber nicht jedem einzelnen Mitarbeiter aufgebürdet werden, da er z. B. auf Grund seiner Ausbildung oder seiner Tätigkeit gar nicht in der Lage sein kann, sie zu erfüllen.
Abgesehen vom immensen Administrations- Aufwand einer solchen Lösung sind einige wichtige Sicherheits-Ziele auch im Idealfall auf diese Weise prinzipiell nicht zu realisieren:
? Gewährleistung eines firmenweiten Sicherheits-Standards
? Zentrale Konfiguration und Kontrolle des Übergangspunktes zum Internet
? Schutz des internen Netzwerks trotz Kompromittierung des Zugangspunktes zum Internet
? Allgemeine oder arbeitsplatzbezogene Zugangsbeschränkungen für bestimmte Internet-Seiten und -Dienste
? Zentrale Protokollierung des Datenverkehrs mit dem Internet
? Heterogene Umgebung, z. B. Windows-Arbeitsplatz-Rechner und Internet-Zugang über Unix/Linux-Rechner
? Einsatz von „Open Source Software“ für den Internet-Zugang
Die angeführten prinzipiellen Schwächen und Unwägbarkeiten in der Durchführung machen es zur Managementaufgabe, die Mitarbeiter zu entlasten und eine Strategie zu entwerfen, die den zusätzlichen Sicherheits-Zielen gerecht wird.
Empfehlungen
Ein IT-Verantwortlicher für Sicherheit wird benannt (und ausgebildet), der als Schnittstelle zu einem externen Sicherheits-Dienstleister fungiert. Letzterer stellt das sicherheitstechnische Spezialwissen bereit und legt die Sicherheits-Anforderungen zusammen mit dem IT-Verantwortlichen fest. Gemeinsam definieren und realisieren sie das Sicherheits-Konzept. Der Sicherheits-Dienstleister wartet das Sicherheits-System ständig und passt es neuen Anforderungen an. Darüber hinaus sollten von ihm auch Mitarbeiter sicherheitstechnisch geschult werden.
Die Kosten eines derartigen Systems lassen sich beziffern. Wie viel ein gutes Sicherheits-Konzept und dessen Realisierung wert sind bzw. an Schaden erspart, wird man allerdings nie in Euro und Cent ausdrücken können. Denn im Gegensatz zu einer Versicherung greift es ja bereits, bevor ein Schaden entsteht. Thomas Birnthaler/Hermann Gottschalk
