Security Management

Kein Zugang von außen zum Unternehmensnetz ohne obligatorischen Check durch ein Firewall-System. Keine unverschlüsselten Übertragungswege. Klassifizierung der Datenbestände und Softwareressourcen nach Sensibilisierungsstufen. Segmentierung des Unternehmensnetzes in verschiedene Zonen, deren Übergänge je nach Sensibilitätsstufe besonders überprüft werden. Strenge Regeln für den Zugang zu den hochsensiblen Bereichen, Sperren aller nicht unbedingt erforderlichen Verbindungsmöglichkeiten (Ports, Protokolle).

Unter Internet der Dinge (Internet of Things (IoT) wird die Vernetzung der Maschinen und Anlagen in der Produktion verstanden. Dabei stehen zwei Probleme im Vordergrund:

• Oft handelt es sich um veraltete Rechner, die auch seit langer Zeit keine Upgrades erfahren haben. Sie sind mit vielen Hackern bekannten Schwachstellen behaftet. Hier besteht dringender Modernisierungsbedarf.
• In vielen Betrieben (v.a. kleineren und mittelständischen Unternehmen) ist das Produktionsnetz in das allgemeine Computernetz des Unternehmens intehriert, ohne besondere Schutzmaßnahmen. Hier ist die Segmentierung des Netzes besonders wichtig. Die Computer in der Produktion sollten eigene Netzwerksegmente bildet, durch besonderen Schutz abgegrenzt vom Rest der Computerwelt des Unternehmens und mit klar definierten sparsam gehandhabten Verbindungen nach außerhalb des eigenen Netsegments.

Der Schutz für besonders schutzwürdige Netzwerkbereiche kann durch spezielle Software verstärkt werden, z.B Intrusion Detection- oder Intrusion Prevention-Systeme. Sie prüfen jedes Datenpaket auf verdächtige Bitmuster, können den Verlust von Daten erkennen, Alarme auslösen und sofortige Reaktionen veranlassen, die sich auch automatisieren lassen. Sogar die Inspektion der Hauptspeicher auswählbarer Rechner ist möglich.

Das Leistungsspektrum erlaubt auch die Analyse von verdächtigem Benutzerverhalten.   Hier ist allerdings zu beachten, dass der Schutz der Persönlichkeitsrechte für die Benutzerinnen und Benutzer gewahrt bleibt.

Apps bieten vielfältige Erleichterungen. Sie befördern aber auch die Verwischung der Grenzen zwischen Arbeit und Privatheit. Es muss sichergestellt sein, dass externe App-Anbieter über die Nutzung der Apps keinen unkontrollierten Zugang zu unternehmensinternen Ressourcen erhalten. Mögliche Rahmenbedingungen: Nur vom Unternehmen registrierte, geprüfte und erlaubte Apps (z.B. nur über einen unternehmensinternen App Store installierbar), Betrieb nur innerhalb dafür freigegebener Netzwerkzonen.

Oberste Regel: Nur bekannte Berechtigungen mit überprüfbarer Zuordnung zu Personen, Ausschluss unautorisierter Zugriffe. Festgelegtes Verfahren für die Erteilung, Veränderung und Löschung von Berechtigungen. Keine Gruppenberechtigungen für kritische Ressourcen. Regelmäßige Überprüfung.

Viele Unternehmen wähnen ihre in der Cloud angesiedelten Systeme als besonders sicher, mit der Konsequenz, sich darum nicht mehr intensiv kümmern zu müssen - schließlich haldelt es sich ja um Software as a Service (SaaS). Es ist richtig, dass vor allem die großen Cloud-Anbieter über speziell ausgebildete Security-Experten verfügen, die sich die meisten Unternehmen nicht leisten können oder wollen. Es ist aber auch richtig, dass gerade diese großen Cloud-Anbieter besonders attraktiv für professionelle Hacker sind.

Die meisten Unternehmen nehmen nicht gebührend zur Kenntnis, dass ihre Cloud-Anbieter sich nur für die Sicherheit der bei ihnen gehosteten Software verantwortlich fühlen. Unternehmen nutzen aber viele unterschiedliche Cloud-Lösungen von verschiedenen Anbietern. Dadurch entsteht eine Vielzahl von Schnittstellen zwischen den einzelnen Dienste und Programmen - mit oft mangelhaftem Schutz. Und auf diese haben es kriminelle Hacker besonders abgesehen.

Neben einem Backup-Konzept íst vor allen darauf zu achten, dass eine schnelle Wiederherstellung der Daten am ursprünglichen Ort ihres Gebrauchs gewährleistet wird, z.B. nach einem Ransomware-Angriff.

Die Regeln für den Umgang mit den IT-Ressourcen müssen bekannt sein (Internet-Zugang, Mail, Social Media, besondere Anwendungen). Die Regeln sollten überschaubar, transparent und widerspruchsfrei sein. Trainingsangebote (Schulung, Sensibilisierung) für alle Mitarbeitenden müssen nicht nur verfügbar sein, auf die Durchführung entsprechender Trainings sollte Wert gelegt werden. Die Konzepte bedüften einer laufenden Aktualisierung. Besonders wichtig sind Regeln für den Umgang mit den Ressourcen für externe Nutzung (Home Office, hybrides Arbeiten).