10 Tipps für eine sichere und gesunde IT
30.01.2014
Wirtschaftsspionage wächst rasant. Das Bundesinnenministerium beziffert den jährlichen Schaden durch Datenklau in Deutschland auf 50 Milliarden Euro. Das Beratungsunternehmen Deloitte gibt Tipps für ein sicheres Jahr 2014.
Wirtschaftsspionage wächst rasant. Das Bundesinnenministerium beziffert den jährlichen Schaden durch Datenklau in Deutschland auf 50 Milliarden Euro. Deloitte gibt Tipps für ein sicheres Jahr 2014.
Die Gefahr durch Wirtschaftskriminalität wird von vielen Unternehmen immer noch unterschätzt. Nachholbedarf besteht insbesondere bei klein- und mittelständigen Unternehmen. Die Kosten für die Einführung von geeigneten Sicherheitssystemen können zwar hoch sein, der wirtschaftliche Schaden durch Datenangriffe ist meist aber deutlich größer. Wer Angriffe von Viren & Co. erfolgreich abwehren will, sollte schrittweise und systematisch vorgehen, rät das Beratungsunternehmen Deloitte.
1. Fokus auf das Wesentliche
Wer oder was ist besonders gefährdet und damit schutzwürdig? Am Anfang jeder Abwehrstrategie stehen die Identifikation und Dokumentation geschäftskritischer Unternehmensfunktionen und -informationen, die abgeschirmt werden müssen.
2. Überprüfung des eigenen Risikobewusstseins
Wer sich in Sicherheit wähnt, lebt gefährlich. Ungeachtet der Qualität aktueller Sicherheitsstrukturen und -vorkehrungen können clevere Angreifer dennoch Schwachstellen schnell erkennen. Daher ist eine Risikostrategie unerlässlich, die sich nach Eintrittswahrscheinlichkeit und potenziellen Auswirkungen richtet.
3. Wo steht der Feind?
Eine nicht zu unterschätzende Gefahr geht von Personen und Institutionen im unmittelbaren Unternehmensumfeld wie etwa von Kunden und Zulieferern aus. Wer auf Nummer sicher gehen will, sollte darauf achten, dass Cyber Security auch dort groß geschrieben und entsprechend umgesetzt wird.
4. Ein Gespür für Gefahr entwickeln
Gefahr im Anzug sollte schnellstmöglich erkannt werden. Hierzu zählt der „siebte Sinn“, wann es kritisch werden kann. Dazu empfiehlt sich eine zentrale Überwachung aller Sicherheitssysteme, sodass Bedrohungen in Echtzeit erkannt und abgewehrt oder zumindest die Auswirkungen begrenzt werden können.
5. An den eigenen Ruf denken
Ist das Unternehmen einem Angriff zum Opfer gefallen, ist der Schaden doppelt groß: Zu den internen Folgen kommt, dass die Firma fortan als anfällig für Attacken gilt – und damit als potenziell unsicher. Die Auswirkungen auf Marke und öffentliche Wahrnehmung können fatal sein. Dagegen helfen eine konsequente Überwachung der Marke im Internet sowie ein besonderes Augenmerk auf Urheberverletzungen und den Verlust geistigen Eigentums.
6. Mitarbeiter sensibilisieren
Oft stellen die eigenen Mitarbeiter eines der größten Risiken dar. Abseits von „Maulwürfen“ lässt sich diese Gefahr am effizientesten durch Sensibilisierung und Schulung der Belegschaft minimieren. Das gilt insbesondere bei Social-Engineering-Angriffen, Phishing-E-Mails und vergleichbaren Phänomenen. Allseitige Aufmerksamkeit ist hier der beste Schutz.
7. Was tun im Notfall?
Prävention ist viel – aber nicht alles. Jedenfalls keine hundertprozentige Garantie, dass der Ernstfall niemals eintritt. Wenn es dann irgendwann „soweit“ sein sollte, hilft nur ein detaillierter Notfallplan, der technische, rechtliche, betriebswirtschaftliche und organisatorische Aspekte umschließt.
8. Versuch macht klug
Ein Plan ist gut. Besser aber ist die Sicherheit, dass er auch taugt. Das lässt sich anhand simulierter Angriffe wirkungsvoll testen. Ob Abwehrstrategie oder Ausfallplan: Wenn sie einem ganz praktischen Check unterzogen wurden, können sie optimiert und verfeinert werden.
9. Technologie ist nicht alles – aber fast
Veraltete Technologie macht es Angreifern leicht. Das muss nicht sein – je aktueller die IT-Sicherheitstechnologie, desto sicherer.
10. Know-how entscheidet
Wer mehr weiß, ist im Vorteil: Branchenverbände, aber auch kommerzielle und Open-Source-Intelligence-Lösungen sind Wissenspools über Bedrohungen, Maßnahmen und Strategien. Dies kann zum Aufbau eines unternehmenseigenen Kompetenzzentrums genutzt werden. Möglich ist natürlich auch die Auslagerung an externe Anbieter, die dann ihr Know-how zur Verfügung stellen.
Quelle: Deloitte.
Die Gefahr durch Wirtschaftskriminalität wird von vielen Unternehmen immer noch unterschätzt. Nachholbedarf besteht insbesondere bei klein- und mittelständigen Unternehmen. Die Kosten für die Einführung von geeigneten Sicherheitssystemen können zwar hoch sein, der wirtschaftliche Schaden durch Datenangriffe ist meist aber deutlich größer. Wer Angriffe von Viren & Co. erfolgreich abwehren will, sollte schrittweise und systematisch vorgehen, rät das Beratungsunternehmen Deloitte.
1. Fokus auf das Wesentliche
Wer oder was ist besonders gefährdet und damit schutzwürdig? Am Anfang jeder Abwehrstrategie stehen die Identifikation und Dokumentation geschäftskritischer Unternehmensfunktionen und -informationen, die abgeschirmt werden müssen.
2. Überprüfung des eigenen Risikobewusstseins
Wer sich in Sicherheit wähnt, lebt gefährlich. Ungeachtet der Qualität aktueller Sicherheitsstrukturen und -vorkehrungen können clevere Angreifer dennoch Schwachstellen schnell erkennen. Daher ist eine Risikostrategie unerlässlich, die sich nach Eintrittswahrscheinlichkeit und potenziellen Auswirkungen richtet.
3. Wo steht der Feind?
Eine nicht zu unterschätzende Gefahr geht von Personen und Institutionen im unmittelbaren Unternehmensumfeld wie etwa von Kunden und Zulieferern aus. Wer auf Nummer sicher gehen will, sollte darauf achten, dass Cyber Security auch dort groß geschrieben und entsprechend umgesetzt wird.
4. Ein Gespür für Gefahr entwickeln
Gefahr im Anzug sollte schnellstmöglich erkannt werden. Hierzu zählt der „siebte Sinn“, wann es kritisch werden kann. Dazu empfiehlt sich eine zentrale Überwachung aller Sicherheitssysteme, sodass Bedrohungen in Echtzeit erkannt und abgewehrt oder zumindest die Auswirkungen begrenzt werden können.
5. An den eigenen Ruf denken
Ist das Unternehmen einem Angriff zum Opfer gefallen, ist der Schaden doppelt groß: Zu den internen Folgen kommt, dass die Firma fortan als anfällig für Attacken gilt – und damit als potenziell unsicher. Die Auswirkungen auf Marke und öffentliche Wahrnehmung können fatal sein. Dagegen helfen eine konsequente Überwachung der Marke im Internet sowie ein besonderes Augenmerk auf Urheberverletzungen und den Verlust geistigen Eigentums.
6. Mitarbeiter sensibilisieren
Oft stellen die eigenen Mitarbeiter eines der größten Risiken dar. Abseits von „Maulwürfen“ lässt sich diese Gefahr am effizientesten durch Sensibilisierung und Schulung der Belegschaft minimieren. Das gilt insbesondere bei Social-Engineering-Angriffen, Phishing-E-Mails und vergleichbaren Phänomenen. Allseitige Aufmerksamkeit ist hier der beste Schutz.
7. Was tun im Notfall?
Prävention ist viel – aber nicht alles. Jedenfalls keine hundertprozentige Garantie, dass der Ernstfall niemals eintritt. Wenn es dann irgendwann „soweit“ sein sollte, hilft nur ein detaillierter Notfallplan, der technische, rechtliche, betriebswirtschaftliche und organisatorische Aspekte umschließt.
8. Versuch macht klug
Ein Plan ist gut. Besser aber ist die Sicherheit, dass er auch taugt. Das lässt sich anhand simulierter Angriffe wirkungsvoll testen. Ob Abwehrstrategie oder Ausfallplan: Wenn sie einem ganz praktischen Check unterzogen wurden, können sie optimiert und verfeinert werden.
9. Technologie ist nicht alles – aber fast
Veraltete Technologie macht es Angreifern leicht. Das muss nicht sein – je aktueller die IT-Sicherheitstechnologie, desto sicherer.
10. Know-how entscheidet
Wer mehr weiß, ist im Vorteil: Branchenverbände, aber auch kommerzielle und Open-Source-Intelligence-Lösungen sind Wissenspools über Bedrohungen, Maßnahmen und Strategien. Dies kann zum Aufbau eines unternehmenseigenen Kompetenzzentrums genutzt werden. Möglich ist natürlich auch die Auslagerung an externe Anbieter, die dann ihr Know-how zur Verfügung stellen.
Quelle: Deloitte.