IT-Sicherheit Wie Unternehmen Sicherheitslücken aufdecken

Seite 2/3

Nicht nur die Kanzlerin kann über das Handy abgehört werden

Auf die Aufrüstung und den Schutz der Smartphones von Mitarbeitern sollte nicht vergessen werden. Denn mittels unbemerkt eingeschleuster Apps können Telefongespräche, Emails, Chats und SMS abgehört und gelesen werden. Nicht nur die deutsche Kanzlerin ist ein interessantes Opfer für diese Art der Bespitzelung. Auch geheime, noch nicht geschützte Technologien und vertrauliche Geschäftsbeziehungen mit Lieferanten und Kunden stellen ein begehrtes Ziel für Industriespione dar.

Ein angemessenes Umfeld in der IT, das neben Testumgebungen auch Prozesse definiert, wie Änderungen und Updates zu testen und freizugeben sind, sind darüber hinaus ein wesentlicher Basisbestandteil einer ordentlichen EDV. Einen absoluten Schutz vor Fehlern und Systemausfällen gibt es zwar nicht, aber man kann dadurch das Risiko wenigstens auf ein Mindestmaß reduzieren.

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

Die Sicherheitsvorkehrungen müssen permanent geprüft werden

Und dennoch, sich zurücklehnen und Däumchen drehen ist nicht angesagt, auch wenn man in einem scheinbar perfekten Umfeld mit Richtlinien, geschulten Mitarbeitern und technischen sowie prozessualen Vorgaben arbeitet. Man ist nie vor Fehlern und Angriffen gefeit. Organisationen und Prozesse ändern sich ständig und die IT entwickelt sich unaufhaltsam weiter. Da kann es leicht passieren, dass unbemerkt neue Sicherheitslücken entstehen und das zuvor noch als perfekt eingeschätzte Umfeld brüchig und schwach wird.

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa

In einem so komplexen und von Veränderung getriebenen Umfeld sind Organisationen gefordert, die Angemessenheit der technischen und organisatorischen Sicherheitsvorkehrungen permanent zu überwachen. Aus diesem Grund ist es ratsam, einen eigenen IT-Risiko-Verantwortlichen zu etablieren, die sich mit den Änderungen und ständig neu auftauchenden Risiken beschäftigt und das eigene Umfeld entsprechend aufrüstet. Ein eigener Social-Media-Manager sollte nicht nur für die optimale Darstellung der Organisation in diesen Medien verantwortlich sein, sondern auch prüfen, ob und welche vertrauliche oder negative Nachrichten darüber verbreitet werden und angemessene, gegensteuernde Maßnahmen ergreifen.

Interne Revision spielt große Rolle

Eine nicht unerhebliche Rolle im Zusammenhang mit IT-Risiken sollte auch die Interne Revision spielen. Da diese an den Prüfungsausschuss oder den Aufsichtsrat berichtet, kann sie in relativer Unabhängigkeit agieren und über Schwächen berichten. Aus den Daten vom IT-System für die Enterprise Resource Planung (ERP) können Prozesse analysiert und Kontrollschwächen identifiziert werden. Schwächen, wie zum Beispiel Bestellungen, die erst am Tag der Lieferung generiert wurden, Lieferungen ohne Bestellungen, Rechnungsfreigaben durch den selben Mitarbeiter, der auch die Bestellung generiert und die Lieferung angenommen hat, können mittels Datenanalyse eruiert werden. Es ist anzunehmen, dass auch im Datendschungel der Société Générale Hinweise auf nicht ordnungsgemäß genehmigte oder zumindest fragwürdige Transaktionen zu finden gewesen wären.

“Datenklau 2015” - Die Ergebnisse im Überblick

Die technischen Risiken sind heute so komplex, dass die Interne Revision eines durchschnittlichen Unternehmens wahrscheinlich nicht über das Know-how verfügt, um alle Einzelheiten testen und aufdecken zu können. Deshalb ist es ratsam, externe Berater zu engagieren, die einen geregelten und überwachten „Hackerangriff“ auf das Netzwerk der Organisation vornehmen. Knackpunkt dafür wird sein, die wesentlichen Risiken angemessen zu erkennen und zu beurteilen. Dies sollte von der Internen Revision gemeinsam mit den relevanten Stakeholdern definiert werden, um dann den richtigen Anbieter mit dem richtigen Know-how auszuwählen.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%