IT Sicherheit: Worauf Firmen achten sollten

Veraltete Richtlinien, Schatten-IT, zu wenig geschultes Personal - vielfältig sind die kleinen und großen Sicherheitslücken, die potenziellen Cyber-Angriffen Tür und Tür öffnen. Wie Firmen ihre IT dagegen am besten rüsten.
Autor: Ute Daniela Rossbacher, 24.10.2022 um 16:18 Uhr

Laut einer Studie von Ernst &Young Global Limited (EYG) wurde jedes vierte österreichische Unternehmen im Lauf der vergangenen fünf Jahre Opfer eines (versuchten) Cyber-Angriffs oder Datendiebstahls. Im Bewusstsein möglicher Gefahren investieren daher immer mehr Firmen in die Schulung von Mitarbeiterinnen und Mitarbeitern, die IT-Infrastruktur und Sicherheitsrichtlinien - in der Regel mit einem vertrauenswürdigen Partner, der einem in puncto IT-Sicherheit mit Rat und Tat zur Seite steht.

IT-Lösungen für mehr Sicherheit

Welche Abteilungen des Unternehmens wären von einer Cyber-Attacke am schlimmsten betroffen? Ausgehend von dieser Frage wird die jeweilige IT-Sicherheitsstrategie entwickelt. Die folgende Checkliste kann dabei helfen, Schritt für Schritt die IT-Sicherheit in einem Unternehmen zu verbessern.

Auf Zero Trust setzen

Zero Trust (Null Vertrauen, Anm.) geht von dem Szenario aus, dass theoretisch jede und jeder, der Zugang zu sensiblen Firmendaten hat, potenziell einen Cyber-Angriff auf das eigene Unternehmen starten könnte.

Der Schlüssel liegt darin, einen genauen Überblick darüber zu haben, wer im Unternehmen Zugang zu welchen Daten hat und wozu er sie verwendet. Erst, wenn völlige Transparenz über den Datenfluss herrscht, ist höchstmögliche IT-Sicherheit erst möglich.

Um Angriffe durch Mitarbeiterinnen oder Mitarbeiter oder die Weitergabe von Daten an Unbefugte so früh als möglich zu erkennen bzw. zu unterbinden, findet ein laufendes Monitoring statt. Gleichzeitig wird der Zugang zu sensiblen Daten durch eine mehrstufige Authentifizierung erschwert.

Back-ups schaffen

Kommt es doch zu einem Cyber-Angriff, ist die rasche Wiederherstellung der wichtigsten Daten erforderlich, um die Geschäftstätigkeit des Unternehmens sicherzustellen. Dabei gilt es nicht nur, jene durch entsprechende Back-ups zu sichern, sondern regelmäßig den Ernstfall zu üben, um sicherzustellen, ob es im Ernstfall auch funktioniert, sie auszurollen. Erfahrene IT-Dienstleister (z.B. Bürozentrum Beutelmayr) stellen dabei sicher, dass Back-ups frei von Malware und Viren sind.

Sicherheitslücken suchen

Sogenannte Patches dienen dazu, mögliche Sicherheitslücken durch Aktualisierungen (Updates) zu schließen und Fehler (Bugs) zu beheben. Regelmäßig angewandt, machen sie es potenziellen Angreiferinnen und Angreifern deutlich schwerer. Das betrifft insbesondere die Firewall, die mittels Monitoring und mit Hilfe eines entsprechenden internen Alarmsystem geschützt wird.

Auf Cloud-Technologien setzen

Gerade mit Blick auf Homeoffice-Betrieb und mobile Firmendaten-Nutzung haben Cloud-Technologien viele praktische Vorteile. Auch in puncto IT-Sicherheit sind sie zu empfehlen. Für die Erfüllung hoher Sicherheitsstandards ist es wichtig, die Zahl jener, die uneingeschränkten Zugriff auf die Verwaltung des Systems haben, strikt zu begrenzen.

Mann tippt auf der Tastatur eines Notebooks | Credit: iStock.com/NicoElNino

Schatten-IT verhindern

Problematisch ist es, wenn Mitarbeiterinnen und Mitarbeiter die Möglichkeit haben, auf private Netzwerke auszuweichen, Apps zu installieren oder mit privaten Notebooks, die kaum oder nicht virengeschützt sind, das Firmen-WLAN zu nutzen. Ist erst einmal eine sogenannte Schatten-IT entstanden, wird es – je nach Größe des Unternehmens – auch zunehmend schwerer, auf mögliche Sicherheitsrisiken adäquat zu reagieren. Mit einer entsprechenden Sicherheitsarchitektur kann dieser Entwicklung effektiv begegnet werden.

Belegschaft schulen

Um die Belegschaft für potenzielle Sicherheitslücken zu sensibilisieren, lohnt es sich für Betriebe, in regelmäßige Schulungen zu investieren, auch wenn der Tagesbetrieb noch so geschäftig ist. Auf dieser Grundlage wird es deutlich einfacher, Mitarbeiterinnen und Mitarbeiter von der Einhaltung erforderlicher Maßnahmen wie beispielsweise den folgenden zu überzeugen.

  • Verwaltung der jeweiligen Passwörter mittels Passwort-Manager
  • Verwendung starker Passwörter statt leicht zu knackender wie "123456"
  • Anmeldung durch 2-Faktor-Authentifizierung (2FA)
  • Möglichst keine Preisgabe persönlicher Informationen über sein Privat- und Berufsleben
  • Vermeidung von Websites ohne SSL-Zertifikate