Drei Standbeine für mehr Datensicherheit im Unternehmen – Teil 3: Vorsorge statt Sorge

Wie können Unternehmen ihre wertvollen Daten vor Verlust durch Cyber-Attacken, technische Ausfälle oder auch Fehler von Mitarbeitern bewahren? Welche Sicherheitsmaßnahmen gibt es und für wen eignen sie sich am besten? Diesen Fragen widmet sich kaneo 2016 mit einer dreiteiligen „Gewusst-Wie“-Reihe.

Der erste Teil (hier nachzulesen) beschäftigt  sich ausführlich mit der Bedeutung von regelmäßigen Backups und zeigt Strategien auf, wie gerade kleine und mittlere Unternehmen Daten-Backups effizient und ressourcenschonend erstellen und aktuell halten können. Im zweiten Teil steht die Frage im Mittelpunkt, inwieweit beim Einsatz von Cloud-Diensten Datenschutzprobleme auftreten können und wie sich dieses Risiko mit einer durchdachten und individuell anpassbaren Cloud-Strategie minimieren lässt (Hier geht es zum Artikel).

Der abschließende dritte Teil widmet sich nun dem Thema Prävention: Wie lassen sich Sicherheitslücken in der IT nach Möglichkeit vermeiden oder doch wenigstens rechtzeitig erkennen, damit ein Schaden gar nicht erst entsteht?

 

IT-Sicherheit in aller Munde – und auch auf allen Rechnern?

Wer in diesen Tagen nach den meistdiskutierten IT-Themen 2016 fragt, wird höchstwahrscheinlich sehr oft den Begriff „Hacker-Angriffe“ hören.  Nach dem Bekanntwerden großangelegter Attacken auf bekannte Konzerne wie die Telekom, Yahoo oder Thyssenkrupp ist längst die öffentliche Debatte entbrannt: Im Zentrum die Furcht vor einer – vermeintlichen oder tatsächlichen – Gefährdungslage durch Hacker-Angriffe und der Ruf nach mehr IT-Sicherheit.

Doch während rund drei Viertel aller Umfrageteilnehmer einer aktuellen Studie des US-Hardwareriesen Cisco Cyber-Attacken als zukünftig wachsende Gefahr einstuften, gaben immer noch mehr als ein Viertel an, für das kommende Jahr keine nennenswerten Investitionen im Bereich  IT-Sicherheit zu planen.  Und 10 Prozent der befragten Betriebe verfügten nicht einmal über ein zusammenhängendes Security-Konzept für alle Unternehmensbereiche.

Gerade Mittelständler und kleinere Betriebe sehen hier offenbar seltener Handlungsbedarf – sind es doch scheinbar vorwiegend die „Großen“ auf dem Markt, die in der Vergangenheit zur Zielscheibe von Cyber-Kriminalität wurden. Was bei dieser Betrachtungsweise übersehen wird:

IT-Sicherheit geht alle an. Wirklich alle.

Zum einen richten sich Hacker-Angriffe durchaus auch oft  gegen weniger bekannte Unternehmen  – über deren Schaden dann logischerweise auch wenig bis gar nicht berichtet wird. Wer selbst schon mal erleben musste, wie seine Firmen-Webseite gehackt wurde, kann davon ein Lied singen.

Zum anderen sind Angriffe von außen nicht die einzige und auch keineswegs die häufigste Ursache für Datenverluste in Unternehmen.

Weitaus verbreiteter sind noch immer Schäden durch klassisches „menschliches Versagen“ sowie Server-Ausfälle und Software-Fehler, denen meist eine unzureichend gewartete IT zugrunde liegt.

Doch was gilt es zu beachten, damit die eigene IT-Infrastruktur nicht nur stabil sondern vor allem sicher läuft?

Update Management: Immer auf dem Laufenden bleiben

Tatsächlich lassen sich die beiden wichtigsten Grundregeln der IT-Sicherheit ganz einfach auf den Punkt bringen:

1.: Die in diesem Moment aktuellste IT ist gleichzeitig auch die sicherste IT. Jedenfalls für diesen Moment.

2.: Vorsorge ist besser als Nachsorge bzw. Schadensbegrenzung. Diesen Leitsatz aus der analogen Welt wird jeder IT-Administrator ohne Einwände unterschreiben.

Heute arbeiten rund um die Uhr und überall auf der Welt zahllose Netzwerkspezialisten im Auftrag der Hersteller daran, mögliche Sicherheitslücken in allen Arten von Software und Systemkonfigurationen aufzudecken und durch Patches zu schließen. Das (zeitnahe) Aufspielen solcher Security-Updates ist kein „nice-to-have“ für den Anwender sondern gehört zu den absoluten Notwendigkeiten, um ein System stabil und „abwehrbereit“ zu halten. Doch angesichts der Fülle von Updates, die mittlerweile praktisch täglich erscheinen, kann man selbst als Experte manchmal den Überblick verlieren …

Welches Update ist wann für wen relevant? Ist das Update kompatibel mit allen im Unternehmen verwendeten Systemen und Softwareversionen? Muss es das überhaupt sein? Und wie findet man das im Zweifelsfalle heraus?

Diesen Fragen begegnet kaneo zuvorderst mit einem klar strukturierten Update Management, das mindestens 6 Grundbedingungen beachtet:

1. Inventarisierung

Jede IT umfasst heute selbst in kleinen Unternehmen eine Vielzahl von Systemkomponenten und Endgeräten. Eine vollzählige und beständig aktualisierte Liste, die sämtliche Hardware vom Server bis zum USB-Stick einschließt, ist Pflicht im Update Management.

Zudem sollten Inventarlisten weitere Informationen über die Ausstattung und Nutzungsgewohnheiten der Clients enthalten, wie etwa Betriebssysteme, Softwareversionen, Gerätestandorte, IP Adressen, Zugriffsrechte etc.

2. Die (Software) Infrastruktur schlank halten

Die Ausstattung einzelner Rechner in firmeninternen Netzwerken ist häufig sehr heterogen. Unterschiedliche Betriebssysteme oder mehrere Versionen eines OS laufen ebenso nebeneinander wie neuere und ältere Anwendungssoftware.  In Teilen kann dies – v.a. mit wachsender Unternehmensgröße und für einzelne Abteilungen – natürlich auch sinnvoll sein. Doch ein einheitliches Update Management wird durch eine solch fragmentierte Software-Architektur erschwert. Zudem entstehen neue mögliche Sicherheitslücken – insbesondere wenn eigentlich veraltete Software weiter eingesetzt werden soll.
Hier sollten Unternehmen auf keinen Fall an der falschen Stelle sparen!

Für die gesamte IT-Infrastruktur gilt der Grundsatz:
Soviel Vereinheitlichung wie möglich, soviel Individualisierung wie nötig.

3. Updates im Rahmen regulärer Wartungsfenster aufspielen

Viele Hersteller veröffentlichen ihre Patches nach festen Zeitplänen – z.B. jeden ersten Freitag im Monat. Für die IT-Administratoren im Unternehmen bietet es sich da an, den eigenen Wartungsturnus an solchen Terminen zu orientieren. Regelmäßige fest datierte Wartungsläufe halten prozessbedingte Downtime-Zeiten so gering wie möglich und bieten Planbarkeit für alle Mitarbeiter.

Doch was etwa für zentrale Server Updates hervorragend funktioniert, lässt sich nicht 1 zu 1 auch auf die Wartung der einzelnen Arbeitsplätze übertragen.

Für das Client- oder Desktopmanagement müssen u.U. abweichende Regelungen gefunden werden, um dessen dezentraler Struktur gerecht zu werden.

Wer die Regeln 1. und 2. hinreichend beachtet, kann an dieser Stelle viel Arbeitsaufwand einsparen.

4. Relevanz beurteilen

Längst nicht jedes Update schliesst eine kritische Sicherheitslücke. Dabei ist die schiere Anzahl und Erscheinungshäufigkeit von Updates in den letzten Jahren stark gestiegen – was v.a. der wachsenden Komplexität vieler Programme und der Vielzahl möglicher Systemkonfigurationen geschuldet ist. Oftmals geht es dabei „nur“ um Fragen der Performance, der Usability oder ums Design. Gleichwohl enthalten auch solch scheinbar „unwichtigere“ Updates wertvolle Verbesserungen, um die IT stabil und v.a. anwenderfreundlich betreiben zu können. Ebenso ist nicht jedes Sicherheits-Update für jedes System zwingend.

Doch wie erkennt man nun, welche Updates so wichtig sind, dass sie unbedingt sofort installiert werden sollten – und auf welche Patches man getrost auch mal verzichten kann?

Kaneo rät dringend dazu, diese Fragen ausschließlich von IT-Experten beantworten zu lassen.

Gerade kleinere Unternehmen messen diesem Bereich der IT-Sicherheit oft immer noch eine zu geringe Bedeutung bei. Die Entscheidung, ob und wann ein aktuell vom Hersteller angebotenes Software-Update aufgespielt werden soll, wird vielfach den Anwendern selbst überlassen. Dieses Vorgehen kostet die Mitarbeiter nicht nur wertvolle Arbeitszeit, sondern kann u.U. auch verheerende Folgen haben, wie dieses Beispiel veranschaulicht:

Während ein Mitarbeiter  grundsätzlich jeder Update-Aufforderung auf seinem PC unverzüglich nachkommt, hat sein Kollege am Nachbartisch seit Monaten jede entsprechende Benachrichtigung sofort weggeklickt. Zwar arbeiten beide mit den gleichen Programmen, doch sind diese unterschiedlich aktuell – zudem hat sich der übereifrige Updater mit der neuesten Softwareversion leider auch unwissentlich einen Programmfehler, einen sog. „Bug“ eingefangen, was nun zu  erheblichen Problemen in der Kommunikation zwischen den Rechnern der beiden Kollegen führt … Kommt es dann gar zu einem System-Ausfall, wird die einheitliche Wiederherstellung der Arbeitsstände aller Anwender-Plätze unter diesen Umständen nahezu unmöglich.

Es gilt also die Faustregel: Update Management ist Expertensache. Und Relevanz-Beurteilung ganz besonders.

Tatsächlich sollte, um überflüssige Update-Vorgänge zu vermeiden und wertvolle Ressourcen einzusparen, die Relevanz jedes neuen Patches vor dem Aufspielen von erfahrenen IT-Fachleuten –  z.B. dem kaneo-Team – individuell analysiert und beurteilt werden. Abhängig vom tatsächlichen Vorhandensein möglicher betroffener Komponenten und weiteren Sicherheitseinstellungen, etwa denen der Firewall. Nicht zuletzt spielen aber  auch  die Wahrscheinlichkeit, mit der es ohne das Update in absehbarer Zeit zu Ausfällen und Datenverlusten kommen könnte und die dann damit real verbundenen Kosten eine Rolle bei der Relevanz-Beurteilung.

5. Wo es Sinn macht: Abläufe automatisieren

Aus den vorherigen Punkten wird klar: Permanentes Update-Management bedeutet permanente Arbeit am System – auch dann, wenn alles läuft.

Es empfiehlt sich daher unbedingt, überall dort, wo Abläufe vereinheitlicht werden können, diese auch weitestgehend automatisiert ablaufen zu lassen. Von kostenlosen Tools bis hin zu hoch individualisierbarer Premium-Software sind heute zahlreiche Patch-Management-Lösungen auf dem Markt, die insbesondere bei der Umsetzung der Punkte 1., 3. und 4. wertvolle Unterstützung leisten können.

Und nicht nur Großunternehmen mit breit angelegter IT-Infrastruktur profitieren von Automatisierung in diesem Bereich.

Gerade KMUs, die ihre IT oft aus personellen Gründen von externen Dienstleistern betreuen lassen, gewinnen so Kapazitäten.

Denn  hinzugezogene Experten – wie etwa kaneo – müssen weniger Arbeitszeit mit Routine-Aufgaben zubringen und können ihren Einsatz auf das optimale Management von Sonderfällen konzentrieren .

6. Testen, testen, testen – und immer den Überblick behalten

Obwohl jedes veröffentlichte Update von den Entwicklern selbstverständlich auf Herz und Nieren geprüft wurde, was sein Verhalten unter vielfältigen Bedingungen angeht:

Der beste Test ist noch immer der, den man selbst durchgeführt hat.

Denn nur was in der eigenen Systemumgebung mit all ihren möglichen Besonderheiten getestet wurde, kann schließlich auch sicher in ebendieser Umgebung laufen. Integraler Bestandteil für jedes professionelle Update-Management ist daher die Bereitstellung einer – kleinen aber repräsentativen – Testumgebung, in der die gleichen Bedingungen herrschen wie im zu wartenden System.

Neben den Vorabtests ist auch ein permanentes Monitoring der gesamten IT-Infrastruktur von großer Bedeutung. Netzwerkprozesse sind hochkomplex und dynamisch: Da zeigt sich oft erst mit der Zeit, wie sich ein Update z.B. auf die Performance von Drittanbieter-Software auswirkt.

Das regelmäßige Beobachten und Protokollieren aller Vorgänge  – v.a. natürlich von Abweichungen – hilft dabei, mögl. Sicherheitslücken, System- und Programmfehler frühzeitig zu erkennen und Schäden entgegenzuwirken, bevor diese nennenswerte Ausmaße erreichen.

 

Fazit: IT-Sicherheit ist Unternehmenssicherheit

„Drei Standbeine für mehr Datensicherheit im Unternehmen“- dem  Titel dieser dreiteiligen Artikelserie folgend, hat kaneo in den vergangenen Monaten drei Schwerpunkte aus dem großen Themenumfeld „IT-Sicherheit“  herausgegriffen und unter die Lupe genommen:

1. Wichtige Grundregeln für eine nachhaltige Backup-Strategie;

2. Sinnvolle und ressourcenschonende Integration von Cloud-Angbeboten

3. Vorbeugender Schutz vor Systemfehlern und Ausfällen durch ein professionelles Update Management.

Viele wichtige Aspekte konnten dabei noch gar nicht behandelt oder nur kurz angerissen werden. Welche Kriterien sollte z.B. eine optimal konfigurierte Firewall erfüllen? Und welche effektiven Möglichkeiten haben Unternehmen, um in Sachen IT-Sicherheit dem  – nicht zu unterschätzenden – „Risikofaktor Mensch“ zu begegnen? Gemeint sind damit übrigens gar nicht in erster Linie Spionage-Akte, sondern vielmehr klassiche Anwenderfehler, die in den Händen Unbefugter leicht auch versehentlich große Schäden anrichten können … Der Schlüssel zur Lösung dieses Problems lautet u.a.: Rechte und Rollen festlegen.

Diesen – und weiteren – Fragen  wird sich der kaneo-Blog im neuen Jahr widmen. Denn davon darf ausgegangen werden:

Das Thema IT-Sicherheit wird auch 2017 nicht an Relevanz verlieren.

In Zeiten einer immer ausgeprägteren Digitalisierung der Arbeitswelt, ist die IT längst zum zentralen Dreh- und Angelpunkt für die meisten Betriebsabläufe geworden. Die Sicherheit der IT ist damit auch Kernbestandteil der Sicherheit für das gesamte Unternehmen.

Eines sollte dabei nie aus dem Blick geraten: Selbstverständlich bieten auch die bestdurchdachten Sicherheitsstrategien keinen absoluten Schutz. In jedem System treten über kurz oder lang Fehler auf. Meist sind es die beteiligten Menschen, welche, direkt oder indirekt, Fehler verursachen. Und so gilt stets die alte Regel: Jedes (Sicherheits)System ist nur so gut wie die Menschen, die daran arbeiten, es zu verbessern.