Technologischer Fortschritt hat die Menschheit – und speziell auch Unternehmen – auf ein neues Level gebracht. Abläufe werden beschleunigt, Prozesse automatisiert und Kosten gespart. Ein Segen für Unternehmer und Verbraucher. Doch leider bringt der Fortschritt auch einige Probleme mit sich.
Denn IT-Sicherheit ist ein wichtiges Thema. Nicht nur für Unternehmen, die etwa in der Militär- oder Sicherheitsbranche tätig sind. Einfach jedes Unternehmen, das einen Teil seiner Arbeit über Computer(-netzwerke) abwickelt, ist anfällig für Sicherheitslücken und somit für feindliche Angriffe. Unternehmer brauchen daher ein IT-Konzept und beauftragen auch externe Dienstleister zur Prüfung von sicherheitsrelevanten Lücken.
Typische Sicherheitslücken
Unternehmen sind vor allem auf zwei Arten anfällig für Fehler beim Thema IT-Sicherheit: auf technischer und menschlicher Ebene. Meist wird eine davon vernachlässigt. Einige Unternehmen glauben, wenn sie die teuerste Sicherheitssoftware haben, kann ihnen nichts passieren – sie vernachlässigen dabei aber den menschlichen Faktor. Das Gegenstück dazu sind Unternehmen, in denen es zwar ständig Schulungen zur IT-Sicherheit und Datenschutz gibt, die Technik aber bei einem ernsthaften Angriff nicht standhält.
Technik ist immer für Hackerangriffe offen. Das Problem ist dabei, dass diejenigen, die nach Sicherheitslücken suchen, deutlich intensiver nach ihnen forschen, als man sich vorstellen kann. So ist auf den Firmenrechnern vielleicht ein hochwertiges Anti-Virus-Programm installiert, doch Smartphones, Smartwatches oder Fitness-Tracker der Mitarbeiter sind ungeschützt. Die jährliche Schulung der Mitarbeiter soll sensibilisieren, während neue Wege ins System jedoch längst Gang und Gäbe sind.
Typische Gefahrensituationen und Folgen bei mangelnder IT-Sicherheit:
- Abgreifen von sensiblen Daten durch Hacker
- Eindringen in Firmengebäude trotz elektronischer Zugangsbeschränkung
- Rechtsstreit als Folge von Datenklau
- Kosten durch Verlust von Daten
- Gestörte Betriebsabläufe mit Umsatzverlust
Unternehmen, die einen hohen Sicherheitsbedarf haben, müssen investieren. Und je größer und komplexer das Unternehmen wird, umso anfälliger ist es auch – daher sollten die wichtigsten Schutzmaßnahmen ergriffen werden.
Maßnahmen für IT-Sicherheit
Unternehmen, die sich keine Abteilung für (IT-)Sicherheit leisten können, sind auf externe Dienstleister angewiesen. Hierfür stehen Beratungsangeboten in verschiedener Größenordnung zur Verfügung. So bieten einige Sicherheitsberater lediglich Schulungen an, die Mitarbeiter grundlegend über typische Fehler aufklären.
Das ist ein guter Anfang. Denn Schludrigkeit beim Ausloggen, fehlende Updates und fehlgeleitete Lässigkeit sind schon mal einige der typischen Sicherheitslücken. Doch damit ist es meist nicht getan, weshalb sich einige Unternehmen auch aktiv testen lassen.
Sogenannte Penetration-Tests simulieren Angriffe auf ein Unternehmen. Der Umfang dieser Tests wird individuell festgelegt – manchmal wird lediglich der Zugang zum Gebäude getestet oder aber nur der Angriff auf die Firmenrechner geprüft. Komplette PEN-Tests beleuchten jegliche Sicherheitslücken. Auch Schulungen der Mitarbeiter können Teil der Leistungen sein. So oder so sollte hier nur mit professionellen Anbietern gearbeitet werden, die in der Branche etabliert und geschätzt werden.
Ein Sicherheitskonzept erstellen
Jedes Unternehmen sollte im 21. Jahrhundert ein Sicherheitskonzept mit speziellem Augenmerk auf IT-Sicherheit haben. Das kann Angriffe nicht nur verhindern, es kann im Zweifelsfall auch richtig Geld sparen, falls doch etwas passiert: Kommt es beispielsweise zu einem Rechtsstreit aufgrund verloren gegangener Daten oder stellt sich die Versicherung quer, dann ist der Nachweis über ein ausreichendes Sicherheitskonzept viel wert.
Ein Sicherheitskonzept sorgt aber auch dafür, dass Mitarbeiter sich sicherer fühlen. Das ist vor allem dann wichtig, wenn es doch mal zum Ernstfall kommt: Wird ein Mitarbeiter durch eine Phishing-Mail getäuscht, muss er dies selbst erkennen und melden können. Gibt es hier keinen festen Ablauf, geht Zeit verloren. Grundsätzlich fühlen sich Mitarbeiter aber auch einfach wohler, wenn sie sich ausreichend informiert sehen.
Dazu gehört natürlich auch die entsprechende Technik und der Umgang mit dieser. Sicherheitssoftware muss gekauft, gepflegt und richtig genutzt werden. Indem dies in einem für alle Mitarbeiter einsehbarem Konzept festgehalten wird, können eventuelle Nachfragen geklärt werden und neue Mitarbeiter wissen ebenfalls, worauf es ankommt. Wie bereits erwähnt, kann bei der Erstellung eines solchen Konzept ein externer Dienstleister eine große Hilfe sein.