Handelsblatt

MenüZurück
Wird geladen.

07.10.2016

09:50 Uhr

IT-Sicherheit im Fadenkreuz

Der Hacker als Helfer

VonSteffen Ermisch

Eine wachsende Zahl von mittelständischen Unternehmen lässt Profi-Hacker Lücken in ihrem IT-System aufspüren. Gerade Anbieter von Cloud-Diensten denken oft mehr an Funktionalität als an Sicherheit.

Ein Penetrationstest ist ein kreativer Prozess, den man nicht einfach mit einem Simulationsprogramm durchführen kann. Quelle: PR

Hacker beim Chaos Communication Congress

Ein Penetrationstest ist ein kreativer Prozess, den man nicht einfach mit einem Simulationsprogramm durchführen kann.

Quelle: PR

KölnMal sind es Kreditkartendaten, mal vermeintlich gut gehütete Firmengeheimnisse. Wenn Jens Liebchen sich auf ein IT-System eingeschossen hat, gelingt es ihm fast immer, sensible Dokumente und Dateien auf seinen eigenen Computer zu übertragen. Mitunter bringt er so gar eine Produktionsmaschine zum Stillstand. Zu befürchten haben Unternehmen von seinen Angriffen indes nichts – Liebchen ist kein Cyberkrimineller, sondern Geschäftsführer des Aachener IT-Dienstleisters Redteam Pentesting.

Zehn Tipps für mehr IT-Sicherheit

Geschäftsleitung involvieren

Oft beschneidet das Management aus Renditegründen das Budget. Daher: Informieren und sicherstellen, dass die Firmenlenker die Tragweite des Sicherheitsprojekts erkennen.

Bestandsanalyse durchführen

Geräte und Lösungen sowie ihre Eignung für die Abwehr von Cyberattacken katalogisieren - ebenso Rechteverwaltung, Sicherheitsbewusstsein sowie interne und externe Gefahren.

Einsatzteam aufbauen

Eine zentrale Abteilung stimmt alle sicherheitsrelevanten Punkte aufeinander ab. Silos sind wenig effizient und übersehen Sicherheitslücken. Ratsam: einen Chief Information Security Officers ernennen.

Sicherheitsstrategie entwickeln

Wie viel darf welche Sicherheitsmaßnahme kosten, welche Risiken werden in Kauf genommen? Anschließend Budget- und Personal-Szenarien entwerfen.

Budgets verhandeln

Je früher Führungskräfte in das IT-Sicherheitsprojekt eingebunden sind, desto besser können sie nötige Ausgaben nachvollziehen - und desto konstruktiver gestalten sich Verhandlungen.

Sicherheitsrichtlinien ausarbeiten

Und zwar unternehmensweit: Diese sollten auch alle notwendigen Compliance- und sonstigen gesetzgeberischen Aspekte berücksichtigen.

Systeme und Updates installieren

Nicht nur moderne Systeme und Lösungen, die es mit fortschrittlichen Attacken aufnehmen, sind essenziell - aktuelle Updates sind es ebenfalls.

Schulungen vorsehen

Auf Basis eines mittelfristigen Schulungsplans festlegen: Wer wird wie oft zu welchen Themen aus- beziehungsweise fortgebildet?

Der Geschäftsleitung berichten

Dann bleibt sie dem Sicherheitsprojekt gewogen. Eine grafische Aufbereitung der Sicherheitslogs sensibilisiert nachhaltig.

Kontrollschleife einbeziehen

Regelmäßig die Effizienz neuer Maßnahmen und Strukturen durchleuchten. Dabei neue Gefahren, Lösungen am Markt sowie Organisationsveränderungen berücksichtigen.

Quelle

Schluss mit dem Silodenken: Geht es nach den Experten von Dell, sollten Mittelständler ihre Sicherheitsstrategie im Rahmen eines abteilungsübergreifenden Projekts auf einheitliche Füße stellen - und zwar mit folgenden zehn Schritten (erschienen im Magazin creditreform 06/2016):

Der Name ist Programm. Das Unternehmen ist auf sogenannte Penetrationstests spezialisiert. Das elfköpfige Team durchforstet im Auftrag von Firmen deren Systeme nach Schwachstellen und nutzt diese zu Demonstrationszwecken auch aus. „Den Kunden wird so klar, wo es Sicherheitslücken gibt“, sagt Liebchen. „Und wir geben Hinweise, wie sich diese schließen lassen.“

In Fachkreisen gelten Penetrationstests – kurz: Pentests – schon lange als wirksames Mittel zur Verbesserung der IT-Sicherheit. Sie richten sich an Softwareanbieter oder Firmen, die Onlineangebote wie Internetshops oder Kundenportale betreiben. Geeignet sind sie aber auch zur Überprüfung der intern genutzten Soft- und Hardware.

Mehr als 200 Firmen bieten die Tests an

Deutlich angezogen habe die Nachfrage in den vergangenen Jahren, berichtet Liebchen: „Seit immer neue Datenlecks großer Unternehmen bekannt werden, steigt die Bereitschaft, in die Prävention zu investierten.“ Eine Studie der Nationalen Initiative für Informations- und Internet-Sicherheit (Nifis) untermauert das. Demnach will jedes zweite Unternehmen seine Ausgaben für IT-Sicherheit und Datenschutz im nächsten Jahr erhöhen.

Ein Penetrationstest kann mehrere Zehntausend Euro kosten. Softwarebasierte Schwachstellen-Scans sind deutlich günstiger. „Automatisierte Tools sind aber nur in Lehrbuchszenarien wirksam“, sagt Frank Rustemeyer, Leiter der Abteilung System Security beim Berliner Anbieter Hisolutions. „Ein Penetrationstest ist dagegen ein kreativer Prozess.“ Beteiligt seien mindestens zwei Prüfer. Schätzungen zufolge bieten in Deutschland mehr als 200 Firmen und Einzelunternehmer diese Tests an. Mögliche Qualifikationsnachweise können Schulungszertifikate sein. Experten raten, darauf zu achten, ob ein festes Team mit ausgewiesenen IT-Kenntnissen beschäftigt wird.

„Die IT-Sicherheitslandschaft ist im ständigen Umbruch, die Anbieter müssen permanent in ihre Mitarbeiter investieren“, sagt Manuel Schönthaler, Deutschlandchef des Sans Instituts. Der Weiterbildungsanbieter veranstaltet regelmäßig Livetrainings und Schulungen für professionelle Penetrationstester.

Kommentare (3)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Account gelöscht!

07.10.2016, 17:08 Uhr

Wer braucht denn " Online-Dating-Portale " wenn es Muckibuden zum Eisen biegen für uns Männer und für die Ladys den Knack-Po zum trainieren gibt ?

Wenn ich Lust habe auf Spielbank, dann mache ich das ja auch nicht Online am PC. Sondern ziehe mir einen eleganten Smoking an, fahre nach Wiesbaden und verbinde das Ganze mit einem Besuch im Gourmetrestaurant Ente und einer Übernachtung im Nassauer Hof

Account gelöscht!

07.10.2016, 17:14 Uhr

Bin nur 2x im Jahr in der Domstadt. Im Frühjahr zur FIBO, da der Kolibri als Sportwissenschaftlerin nach dem Uniabschluss als meine persönliche Fitnesstrainerin und Ernährungscoach arbeiten wird, und wir uns dort weitergehende Expertise holen. Und im Sommer zu den Kölner Lichter wegen des geilen Feuerwerks am Rhein. Außerdem hatte ich mal dort eine City-Immobilie im Townhaus-Stil, die ich aber dieses Jahr verkauft habe.

Account gelöscht!

07.10.2016, 17:18 Uhr

Stimmt nicht. Die einzige Spielregel die es gibt, sind keine Kinder. Ansonsten ist meine Herzdame (inzw. sogar Verlobte) absolut gleichberechtigt. Und wird nach der Uni als meine persönliche Fitnesstrainerin und Ernährungscoach arbeiten. Wenn ich mit spätestens Mitte 40 mit dem Börsenzeugs aufhöre, und als GT3 -Fahrer im selbst finanzierten Team in der VLN mit einem R8 LMSultra teilnehme.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×