WiWo App 1 Monat für nur 0,99 €
Anzeigen

IT-Sicherheit Wie Unternehmen Sicherheitslücken aufdecken

Die IT von Unternehmen ist nicht nur durch Hacker in Gefahr. Probleme und Pannen haben oft andere Auslöser. Der internen Revision fällt bei der Suche nach Schwachstellen in den IT-Systemen eine Schlüsselrolle zu.

  • Artikel teilen per:
  • Artikel teilen per:
Die Verbreitung von Firmengeheimnissen kann zu Millionenschäden führen. Doch das passiert nicht nur durch Hacker, sondern auch auf Twitter Quelle: dpa

Schlagzeilen über NSA-Lauschangriffe und Cyberattacken füllen derzeit die Medien. Kaum ein Tag vergeht, an dem nicht über Internetspionage berichtet wird.

Beim aktuellen Hype über diese Form von Angriffen auf vertrauliche Daten werden Risiken, die aus anderen IT-Schwächen resultieren, etwas in den Hintergrund gedrängt. Dabei werden Betriebsgeheimnisse auch von den eigenen Mitarbeitern ganz einfach über Social Media verbreitet und vor den schon fast als zur „old economy“ zählenden EDV-Ausfällen, die durch fehlerhafte System- oder Softwareupdates hervorgerufen werden, ist man noch immer nicht gefeit.

Zu den Autoren

Eine missglückte Softwareaktualisierung führte im April 2015 bei den Bundesarbeitsagenturen zu einem stundenlangen Systemausfall. Da die Software zentral betrieben wird, konnten bundesweit in den Jobcentern keine Stellenanzeigen abgerufen werden. Nicht einmal die Terminwahrnehmung der Arbeitssuchenden konnte elektronisch dokumentiert werden.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Schwache interne, automatisierte Kontrollen waren sicher mit ein Grund dafür, dass Jérôme Kerviel der Société Générale in 2008 einen Schaden von EUR 4,8 Milliarden zufügen konnte.

    Firmengeheimnisse gibt es auch auf Twitter

    Der spektakuläre Fall von Gene Morphis, der 2012 in den USA von seinem Posten als CFO bei Francesca’s Holding Corp. entlassen wurde, weil er Informationen über Board Meetings und Ergebnisse per twitter und Facebook veröffentlicht hat, zeigt, dass nicht unbedingt aufwendige Spionagetechniken notwendig sind, um an Firmengeheimnisse zu gelangen.

    Im Juni 2015 wurde ein Hackerangriff auf den Bundestag bekannt, der einfach darauf basierte, dass Angreifer einen schadhaften Link per E-Mail verschickt hatten. Der Link führte zu einer präparierten Webseite, die einen Trojaner im Netzwerk des Bundestags installierte.

    Forum IT-Sicherheit

    Diese Beispiele zeigen, dass IT-Schwächen und mangelhaftes Wissen im Umgang mit modernen Medien zum Nachteil von Organisationen ausgenutzt werden. Dies passiert absichtlich oder unabsichtlich und sowohl von eignen Mitarbeitern als auch durch Externe. In vielen Fällen kann der entstandene Schaden nicht einmal direkt bewertet werden, da der Grad der Ausnutzung beziehungsweise des Missbrauchs von gestohlenen, vertraulichen Informationen entweder gar nicht oder nicht sofort bekannt wird. Mitarbeiter, die fahrlässig handeln, müssen mit Konsequenzen rechnen.

    Eine IT-Nutzer-Richtlinie ist unbedingt notwendig

    Es steht außer Diskussion, dass IT-Schwächen abgesichert werden müssen, um solche Vorfälle, die Organisationen nicht nur Reputationsschäden, sondern auch finanziellen Verlust zufügen, zu vermeiden. Aber welches organisatorische Umfeld muss geschaffen werden und wie können IT-Risiken erkannt werden, um überhaupt adäquate Maßnahmen ergreifen zu können?

    Verbrechen 4.0 - das ist möglich

    Richtlinien zum Umgang mit IT sollten als Basis jeden Handelns von Mitarbeitern dienen. Eine IT-Nutzer-Richtlinie, in der unter anderem auf die Gefahren im achtlosen Umgang mit EDV hingewiesen wird, sowie eine Social-Media-Richtlinie, in der zum Beispiel die Veröffentlichung von Firmeninformationen geregelt wird, sind unabdingbar. Konkret sollte es darauf Hinweise geben, dass Links und Anhänge von unbekannten Absendern gar nicht oder nur mit äußerster Vorsicht geöffnet werden sollten.

    Private Software, ob per E-Mail oder auf USB-Stick mitgebracht, darf auf keinem Firmencomputer installiert werden. Ferner hat kein nicht explizit dafür autorisierter Mitarbeiter Firmeninformationen zu veröffentlichen, es sei denn, sie sind sowieso bereits offiziell bekannt gemacht. Solche Anweisungen mögen zwar trivial anmuten, die Praxis zeigt jedoch, dass sich Mitarbeiter nicht immer entsprechend verhalten.

    Nicht nur die Kanzlerin kann über das Handy abgehört werden

    Auf die Aufrüstung und den Schutz der Smartphones von Mitarbeitern sollte nicht vergessen werden. Denn mittels unbemerkt eingeschleuster Apps können Telefongespräche, Emails, Chats und SMS abgehört und gelesen werden. Nicht nur die deutsche Kanzlerin ist ein interessantes Opfer für diese Art der Bespitzelung. Auch geheime, noch nicht geschützte Technologien und vertrauliche Geschäftsbeziehungen mit Lieferanten und Kunden stellen ein begehrtes Ziel für Industriespione dar.

    Ein angemessenes Umfeld in der IT, das neben Testumgebungen auch Prozesse definiert, wie Änderungen und Updates zu testen und freizugeben sind, sind darüber hinaus ein wesentlicher Basisbestandteil einer ordentlichen EDV. Einen absoluten Schutz vor Fehlern und Systemausfällen gibt es zwar nicht, aber man kann dadurch das Risiko wenigstens auf ein Mindestmaß reduzieren.

    Diese Branchen sind am häufigsten von Computerkriminalität betroffen

    Top-Jobs des Tages

    Jetzt die besten Jobs finden und
    per E-Mail benachrichtigt werden.

    Standort erkennen

      Die Sicherheitsvorkehrungen müssen permanent geprüft werden

      Und dennoch, sich zurücklehnen und Däumchen drehen ist nicht angesagt, auch wenn man in einem scheinbar perfekten Umfeld mit Richtlinien, geschulten Mitarbeitern und technischen sowie prozessualen Vorgaben arbeitet. Man ist nie vor Fehlern und Angriffen gefeit. Organisationen und Prozesse ändern sich ständig und die IT entwickelt sich unaufhaltsam weiter. Da kann es leicht passieren, dass unbemerkt neue Sicherheitslücken entstehen und das zuvor noch als perfekt eingeschätzte Umfeld brüchig und schwach wird.

      Die größten Hacker-Angriffe aller Zeiten
      Telekom-Router gehackt Quelle: REUTERS
      Yahoos Hackerangriff Quelle: dpa
      Ashley Madison Quelle: AP
      Ebay Quelle: AP
      Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
      Angriff auf Apple und Facebook Quelle: dapd
       Twitter Quelle: dpa

      In einem so komplexen und von Veränderung getriebenen Umfeld sind Organisationen gefordert, die Angemessenheit der technischen und organisatorischen Sicherheitsvorkehrungen permanent zu überwachen. Aus diesem Grund ist es ratsam, einen eigenen IT-Risiko-Verantwortlichen zu etablieren, die sich mit den Änderungen und ständig neu auftauchenden Risiken beschäftigt und das eigene Umfeld entsprechend aufrüstet. Ein eigener Social-Media-Manager sollte nicht nur für die optimale Darstellung der Organisation in diesen Medien verantwortlich sein, sondern auch prüfen, ob und welche vertrauliche oder negative Nachrichten darüber verbreitet werden und angemessene, gegensteuernde Maßnahmen ergreifen.

      Interne Revision spielt große Rolle

      Eine nicht unerhebliche Rolle im Zusammenhang mit IT-Risiken sollte auch die Interne Revision spielen. Da diese an den Prüfungsausschuss oder den Aufsichtsrat berichtet, kann sie in relativer Unabhängigkeit agieren und über Schwächen berichten. Aus den Daten vom IT-System für die Enterprise Resource Planung (ERP) können Prozesse analysiert und Kontrollschwächen identifiziert werden. Schwächen, wie zum Beispiel Bestellungen, die erst am Tag der Lieferung generiert wurden, Lieferungen ohne Bestellungen, Rechnungsfreigaben durch den selben Mitarbeiter, der auch die Bestellung generiert und die Lieferung angenommen hat, können mittels Datenanalyse eruiert werden. Es ist anzunehmen, dass auch im Datendschungel der Société Générale Hinweise auf nicht ordnungsgemäß genehmigte oder zumindest fragwürdige Transaktionen zu finden gewesen wären.

      “Datenklau 2015” - Die Ergebnisse im Überblick

      Die technischen Risiken sind heute so komplex, dass die Interne Revision eines durchschnittlichen Unternehmens wahrscheinlich nicht über das Know-how verfügt, um alle Einzelheiten testen und aufdecken zu können. Deshalb ist es ratsam, externe Berater zu engagieren, die einen geregelten und überwachten „Hackerangriff“ auf das Netzwerk der Organisation vornehmen. Knackpunkt dafür wird sein, die wesentlichen Risiken angemessen zu erkennen und zu beurteilen. Dies sollte von der Internen Revision gemeinsam mit den relevanten Stakeholdern definiert werden, um dann den richtigen Anbieter mit dem richtigen Know-how auszuwählen.

      Geplante "Hackerangriffe" können hilfreich sein

      Mit dem externen Anbieter muss genau geregelt werden, was dieser tun darf und was nicht. Keinesfalls darf durch einen „freundlichen“ Hackerangriff ein Schaden entstehen oder gar eine Sicherheitslücke vom Anbieter zu seinem eigenen Vorteil ausgenutzt werden. Es ist empfehlenswert, wenn die Interne Revision den externen Berater durchgehend begleitet und genau darauf achtet, dass dieser nicht zu weit geht.

      Digitale Welt



      Aufgedeckte Sicherheitslücken sollten jeweils im Einzelfall bewertet werden und darauf basierend entschieden werden, ob und wie diese Lücke weiter ausgenutzt werden kann beziehungsweise soll. Gegebenenfalls ist der Test an so einer Stelle aber auch abzubrechen, da das Risiko eines Schadens zu groß ist. In solchen Fällen müssen Schutzmaßnahmen mit dem externen Anbieter definiert werden, die auch auf eventuelle oder potenzielle nachgelagerte Schwächen, die nicht mehr getestet wurden, kurieren.

      Top-Jobs des Tages

      Jetzt die besten Jobs finden und
      per E-Mail benachrichtigt werden.

      Standort erkennen

        Organisationen haben die vielfältigen Herausforderungen, die durch die globalisierte, vernetzte Welt entstehen, zu meistern. EDV-Systeme, Netzwerke und Daten sind einem permanenten Bedrohungspotenzial ausgesetzt. Dieses Risiko muss durch eine angemessene Sicherheitsinfrastruktur, definierte EDV-Prozesse und klare Verfahrensanweisungen für Mitarbeiter zum Umgang mit Medien minimiert werden.

        Die IT-Sicherheit sollte in eine ganzheitliche Sicherheitsstrategie, wie unter anderem auch im Forum-Beitrag vom 29.7.2015 „Das sichere Unternehmen 4.0“ dargelegt, eingebettet werden.

        Es ist unumgänglich, das gesamte Umfeld immer wieder auf Schwächen zu prüfen und zu verbessern.

        Während die Sicherheitsverantwortlichen für die operative Umsetzung und kontinuierliche Verbesserung der Sicherheitsstrategie und –infrastruktur verantwortlich sind, stellt die Interne Revision eine zusätzliche Kontrollinstanz dar. Sie ist nicht für die Implementierung der Sicherheitsthemen zuständig und somit auch nicht „betriebsblind“. Sie kann die Undurchlässigkeit der Strategie mit ihren eigenen Mitteln und Techniken unabhängig bewerten und IT-Sicherheitslücken aufzudecken. Die so gewonnenen Erkenntnisse werden wiederum von den Sicherheitsverantwortlichen genutzt, um weitere Verbesserungsmaßnahmen vorzunehmen.

        © Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
        Zur Startseite
        -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%