Eine sichere Burg

Eine effiziente Büroorganisation ist ohne Client-Server-Strukturen nicht mehr denkbar. Dokumente, E-Mails und andere Daten werden zentral auf Servern verwaltet und sind durch alle berechtigten Mitarbeiter abrufbar und frei verfügbar. Unternehmen können mittels einer solchen Infrastruktur und durch den Einsatz entsprechender Software von den vielen Vorteilen des sogenannten kollaborativen Arbeitens profitieren.

Doch der hohe Grad der Vernetzung bedeutet auch ein erhöhtes Risiko für die Datensicherheit. Allerdings schrecken zahlreiche Unternehmen vor den Investitionen in eine sichere IT-Infrastruktur zurück. Dabei zeigen die folgenden Szenarien, wie verheerend sich Lücken im Sicherheitssystem und der Datenverwaltung auf die Arbeit und den Ruf einer Firma auswirken können.

Bedrohungen von außen

Zu den schwerwiegendsten Bedrohungen von außen zählt ein Hacker-Angriff auf die firmeninterne Software. Meistens erfolgen diese Angriffe, indem bekannte Sicherheitslücken bei gängiger Software bzw. im Betriebssystem ausgenützt werden. Der Benutzer wird dazu verleitet, E-Mail-Anhänge zu öffnen oder entsprechend programmierte Webseiten (mit sogenannten „Drive-by-Downloads“) zu besuchen. So kann ein schadhafter Code unbemerkt in das System des ahnungslosen Mitarbeiters eingeschleust werden.

Schon die Übernahme eines einzelnen Bürorechners durch einen gezielt eingeschleusten Trojaner kann ausreichen, um Fremden Zugriff auf die Daten des gesamten Unternehmens zu gewähren. Ein solcher Schaden kann sich schnell zu einer Existenzbedrohung entwickeln – vor allem dann, wenn Kunden und Mandanten bekannt wird, dass Daten gestohlen oder manipuliert worden sind. Diese Rufschädigung ist für die meisten Firmen ebenso gefährlich wie der Diebstahl von Firmengeheimnissen und Know-how.

Unternehmen können jedoch schon durch einfache Maßnahmen die Sicherheit spürbar erhöhen. Die aktuellsten Sicherheits-Updates sollten sowohl auf den Servern als auch auf den einzelnen Arbeitsstationen eingespielt sein. Auch auf den Einsatz aktueller Antiviren-Software sollte nie verzichtet werden. Darüber hinaus empfiehlt es sich, alle Einstellungen und Informationen der Infrastruktur zentral vom Server aus verwalten zu lassen, der bei Fehlkonfiguration und erkannten Bedrohungen unverzüglich das zuständige IT-Personal alarmiert. So sind die firmeninternen Daten stets vor Bedrohungen von außen geschützt und die einzelnen Mitarbeiter von der Verantwortung für den Schutz der gesamten Firmen-IT befreit.

Bedrohungen von innen

Viele Arbeitgeber unterschätzen, wie schnell firmeninterne Daten nach außen gelangen können. Traditionelle Sicherheitskonzepte berücksichtigen dies meist nur unzureichend. Selbst für Laien ist es einfach, sensible Daten unbemerkt per E-Mail oder USB-Stick an Dritte weiterzugeben. Die Motivationen der Mitarbeiter sind dabei ebenso vielfältig wie die von ihnen genutzten technischen Möglichkeiten. So kann z.B. ein gekündigter Mitarbeiter dem Finanzamt eine CD mit sensiblen Daten aus der Buchhaltung zukommen lassen, ein Praktikant technische Daten auf seinem privaten USB-Stick speichern oder ein Gast, der Zugriff auf das WLAN der Firma hat, interne Dateien auf sein Notebook kopieren. 

Um dieses Risiko der unbemerkten Datenweitergabe und -beschaffung zu minimieren, bedarf es eines durchdachten Berechtigungssystems für die Daten und Ordner der Firma. In der Praxis bedeutet dies, dass jeder Mitarbeiter nur auf die Daten Zugriff hat, die er für seine Arbeit auch wirklich benötigt. Beispielsweise braucht der Grafiker keinen Zugriff auf die Buchhaltungsdaten, während die Tätigkeit des Buchhalters wiederum keinen Zugriff auf die technischen Entwicklungsdaten erfordert.

Einen Schritt weiter gehen sogenannte „Device-Control“-Konzepte, mit denen eine nicht autorisierte Nutzung von Wechseldatenträgern wie USB-Sticks, CD-Laufwerken oder Bluetooth-Geräten verhindert wird. Eine individuelle Konfiguration erlaubt die situationsabhängige Steuerung darüber, welcher Benutzer am jeweiligen Computer auf welches Medium zugreifen darf. Dadurch wird die Sicherheit enorm erhöht, ohne dass die Produktivität darunter leiden muss.

Integrierte Systeme

Noch weiter gehen integrierte rechner- oder netzwerkbasierte „Data Loss/Leak Prevention“-Systeme. Mit ihrer Hilfe können Dateien oder einzelne Informationsfragmente (z.B. Kreditkartendaten oder Pin-Nummern) klassifiziert und der Umgang damit beschränkt werden. So kann beispielsweise eine spezielle Sicherheitsrichtlinie umgesetzt werden, um etwa Kreditkartennummern besonders zu schützen: Sie unterbindet, dass Dateien oder auch nur Auszüge aus Dateien, in denen Kreditkartennummern enthalten sind, ausgedruckt, auf einen Wechseldatenträger gespeichert oder per E-Mail verschickt werden können.

Die lückenlose Protokollierung von Ereignissen und unerlaubten Zugriffsversuchen ermöglicht es außerdem, Schwachstellen und Angriffsvektoren zu identifizieren. Auf diese Weise kann man gezielt darauf reagieren, sodass Sicherheitsrisiken erst gar nicht entstehen.

Datenverlust

Eine IT-Infrastruktur, die durch gezielte Umstrukturierungen und Verbesserungen auf die Bedrohungen von außen und von innen situationsabhängig und schnell reagiert, ist eine wichtige Basis der IT-Sicherheit. Dann gilt es in einem abschließenden Schritt noch, sich den technischen Gefahrenquellen zuzu-

wenden und das Risiko des Datenverlustes zu minimieren. Der Begriff Daten sollte im Zusammenhang mit der Systemsicherheit sehr weit gefasst werden und neben Produktionsplänen und Kundendatenbanken auch E-Mails, Schriftverkehr oder Buchhaltungsunterlagen beinhalten. All diese Informationen sind von unschätzbarem Wert, da Daten meist die Grundlage für das Fortbestehen und den wirtschaftlichen Erfolg einer Firma sind.

Die Erfahrung lehrt, dass viele Firmen schnell und unversehens von Datenverlust betroffen sein können. Ob durch Viren oder Malware, Hardware-Defekte an einzelnen Komponenten, Schäden durch Überspannung oder die Folgen von Feuer- und Wasserschäden – oft geschehen Datenverluste ohne jeden Einfluss des Anwenders. Die Folgen sind schwerwiegend und nicht alle Informationen können wieder beschafft werden. Deshalb sollten schon bei der Planung der Infrastruktur einige wesentliche Punkte beachtet werden.

Daten verteilt sichern

Ein elementares Merkmal einer effizienten Datensicherung ist die dezentrale Speicherung. Das bedeutet, dass Backups möglichst örtlich getrennt von den originalen Daten aufbewahrt werden sollten. Dann gehen sie nicht auch noch verloren, sollten die Daten auf dem Server durch Diebstahl oder einen Brand abhanden kommen. Es empfiehlt sich deshalb, die Backups beispielsweise in einem feuerfesten Tresor aufzubewahren.

Grundlegend ist auch die Entscheidung darüber, in welchem Umfang die Datensicherung erfolgen soll. Muss beispielsweise der Server wegen eines Hardware-Defekts komplett ausgetauscht werden, reicht ein Wiederherstellen der reinen Geschäftsdaten nicht aus.

Ist in diesem Fall keine Sicherung des Betriebssystems vorhanden, muss es erst zeitaufwändig neu installiert und konfiguriert werden. Während der Zeit vom Ausfall bis zur Wiederaufnahme der Geschäftsprozesse ist rechnergestütztes Arbeiten kaum oder gar nicht möglich, was meist hohe Kosten für das Unternehmen nach sich zieht. Daher gilt es, sowohl die Wahrscheinlichkeiten als auch die Kosten von Ausfall und Datenverlust professionell zu bewerten und darauf aufbauend eine lückenlose Strategie zu entwickeln.

Die aufgezeigten Gefahren betreffen jedes Unternehmen, die Verantwortlichen sollten sich dieser Bedrohungen bewusst sein und sie in ihre strategische Planung einbeziehen. Investitionen in die Sicherheit der IT-Infrastruktur erscheinen zwar auf den ersten Blick wenig lukrativ und teuer, sind jedoch auf längere Sicht ein entscheidender Faktor für zukünftige Erfolge und im Ernstfall sogar für den Fortbestand der Firma. Die beschriebenen Maßnahmen sichern nicht nur das firmeninterne Wissen, sondern sie reduzieren auch die Gefahr von Systemausfällen und bedrohlichen Verlusten für das Unternehmen.