Stufen und Sünden
- Written by Redaktion_Report
- font size decrease font size increase font size
Die Vielfalt der Gefahrenherde für Unternehmen durch interne und externe Angriffe auf die Unternehmens-IT und damit sensible Daten ist groß - sie reicht von Hacking, Phising und Virenangriffen bis hin zu unauthorisiertem externen Datenzugriff und Konkurrenzspionage. Regelmäßig treten bei IT-Schadensfällen Datenverlust, Imageschäden, Wertschöpfungsverluste, hohe Kosten, verminderte Produktivität und vor allem rechtliche Probleme, die sich durch die Verletzung geltender Gesetze ergeben, auf. \"Nach wie wird das Thema IT-Security nicht als Chefsache behandelt und an IT-Administratoren delegiert. Vergessen wird dabei aber oft, dass die Entscheidung über die Ausgestaltung der IT-Security im Unternehmen ein wesentlicher Teil der Gesamtunternehmensstrategie dar stellt: Die Konzeption der IT-Security ist für die Gestaltung der Arbeitsabläufe sowie der Unternehmenskultur entscheidend.“, meint IT-Security-Spezialist Andreas Bergler, Geschäftsführer des IT-Consulters Comnet.
\"Beim Streben nach mehr Sicherheit sind daher die Top-Manager im Unternehmen gefordert. Während IT-Administratoren bei ihrer Arbeit Vorgaben benötigen, müssen Entscheidungen und Richtlinien von diesen getroffen werden, denn IT-Sicherheit ist Chefsache“, ist Bergler überzeugt. Einig sind sich Experten, dass nur das Zusammenwirken der vier Sicherheitsstufen \"maximale Sicherheit bei gleichzeitig größtmöglicher Nutzung der Funktionalitäten“ ermöglicht. Diese da wären:
- Entscheidungen auf Managementebene (Security Policy). Sicherheitsrichtlinien müssen vom Management festgelegt und \"top down“ so kommuniziert werden, dass sie von Mitarbeitern verstanden werden. Die richtige Kommunikation entscheidet ob die Mitarbeiter mit Verständnis oder Protest auf subjektive Einschränkungen reagieren.
- Berücksichtigung der rechtlichen und gesetzlichen Rahmenbedingungen. Auch Sicherheitsvisionen haben ihre Grenzen, nämlich dort wo Datenschutz-, Urheberrecht-, Arbeitsrecht- und Telekommunikationsgesetze greifen. Ob Mitarbeiter oder Manager: Unwissenheit schützt vor Strafe nicht.
- Einschätzung der Gefahrenpotenziale. Das hohe Gefahrenpotenzial im IT-Bereich wird häufig von den verantwortlichen Managern unterschätzt, was dramatische Konsequenzen zur Folge haben kann. Nur das perfekte Zusammenspiel von Strategie und konkreten Maßnahmen minimiert die Bedrohung durch interne und externe Gefahrenquellen. Dieses Setting ermöglicht dem Unternehmen das \"richtige Maß“ an IT-Sicherheit zu finden, denn: 100 Prozent Sicherheit bedeutet null Prozent Freiheit - und umgekehrt.
- Umsetzung der Ziele durch Installierung und laufende Adaptierung geeigneter Infrastruktur. IT-Security wird selbst heute noch von mittleren und großen Unternehmen stiefmütterlich behandelt. Verantwortlich Manager empfinden IT-Security als organisatorische und finanzielle Last, notwendige Entscheidungen werden nicht getroffen. Aus Erfahrung wissen wir jedoch, dass die Schadenshöhe häufig ein Vielfaches der Investitionskosten ist, die zur Vermeidung des Schadens erforderlich gewesen wären. Durch Intelligente Netzwerklösungen und laufende Adaptierungsprozesse können Manager ihr Unternehmen und sich selbst schon im Vorfeld vor unangenehmen überraschungen und hohen Kosten schützen.
- Fehlende oder ungenügend konfigurierte Firewall
- Fehlender oder veralteter Virenschutz
- Fehlendes Gefahrenbewusstsein
- Keine klar definierte IT Politik
- Einsatz nicht lizenzierter Software
- Unachtsamer Umgang mit Passwörtern
- Unachtsamer unkritischer Umgang mit Emails
- Keine oder unzureichende Ausbildung von Schlüsselkräften
- Zu geringe IT Budgets
- Im Schadensfall wird aufgrund Managemententscheidung oftkeine Anzeige durchgeführt. Dies verhindert unter anderem die Verfolgung der Täter und vorbeugende Maßnahmen bei noch nicht betroffenen Unternehmen.