Schwabens Unternehmen machen den Security-Check

Schwabens Unternehmen machen den Security-Check

Die IHK Schwaben hat 40 schwäbischen Unternehmen die Chance gegeben, ihre IT-Sicherheit durch Experten des Instituts für innovative Sicherheit der Hochschule
Augsburg auf den Prüfstand zu stellen – individuell, unabhängig und vertraulich. Lernen Sie hier, was die teilnehmenden Unternehmen aus den Checks mitgenommen haben.

Industrie

Ein mittelständisches Familienunternehmen in Schwaben, das sich mit der Planung, Fertigung und Montage von Aluminium und Glas Elementen beschäftigt, nutzte den IT-Security Check-up, um seine, nach eigenen Einschätzungen, hohe IT-Security zu überprüfen und Verbesserungsvorschläge zu bekommen. Das System wurde bereits von einem Kryptotrojaner getroffen, der über eine E-Mail ins Unternehmen gelangte. Im Rahmen der Bestandsaufnahme haben Experten der Hochschule Augsburg Schwachstellen in der IT-Security aufgedeckt und dem Unternehmen Handlungsempfehlungen gegeben.
Laut der Experten ist das Unternehmen in Sachen IT-Sicherheit bereits breit aufgestellt. Zur Abwehr von Schadprogrammen wird, wie auch empfohlen, verschiedene Software auf den unterschiedlichen Systemen eingesetzt. Die E-Mail Anhänge werden mit FortiMail auf Schadsoftware gescannt. Es wird empfohlen, zusätzlich PGP oder SMIME anzuwenden. Allerdings bleibt die Konfiguration der Anhänge den einzelnen Mitarbeitern überlassen. Externe Inhalte sollten jedoch nur nach Bedarf nachgeladen werden. Hinweise gibt das Bundesamt für Sicherheit in der Informationstechnik. Für Remotezugänge wird zwar eine Multifaktor-Authentifizierung eingesetzt, nicht aber bei kritischen Systemen und Servern, die besonders schützenswert sind. Auch hier bieten sich Multifaktor- Authentifizierungen an wie beispielsweise Hardwaretokens von YubiKey.
Trotz der hohen IT-Sicherheit konnte ein Trojaner ins Unternehmen gelangen. Daher setzt die Firma auch in Zukunft durch die Kombination vieler Einzelmaßnahmen auf eine hohe Absicherung der Systeme und reduziert die Wahrscheinlichkeit eines erneuten Angriffs.

Dienstleistung

Ein großes, international agierendes Dienstleistungsunternehmen mit Sitz in Schwaben ist in den vergangenen Jahren stark gewachsen. Im Zuge der Expansion stellt sich das Unternehmen neuen Sicherheitsfragen, insbesondere auch unter Einbindung der Tochterfirmen in das IT-System, die schon häufig angegriffen wurden. Ziel des IT-Security Checks der IHK Schwaben war eine externe und vor allem neutrale Bewertung des Großunternehmens, um ein noch höheres Sicherheitsniveau zu erreichen.
Die erste Bestandsaufnahme hat dem Unternehmen ein hohes Sicherheitsniveau attestiert. Insbesondere die Netzübergänge sind vorbildlich abgesichert. Diese werden identifiziert, dokumentiert und durch eine Firewall nach außen geschützt. Zudem sind die Verbindungen zwischen Hauptsitz und den Tochterfirmen auf das Notwendigste beschränkt und nur in Ausnahmen aktiv. In Anbetracht der vielen Einzelmaßnahmen für die IT-Security bleiben die Mitareiter als größter Risikofaktor. Häufig gelangen Trojaner durch unbedachtes Verhalten der Angestellten in das Unternehmen. Bisher wurden die Mitarbeiter des Unternehmens nur rudimentär zu Themen der IT-Sicherheit geschult. Klare Empfehlung der Hochschulexperten: Jedes Unternehmen – egal welcher Größe – sollte seine Arbeitnehmer zum Thema Cyber-Risiko sensibilisieren und umfassend schulen, wie beispielsweise du den Cyber-Security-Awareness-Test der IHK Schwaben. Zudem sollten, je nach Größe des Unternehmens, genügend personelle Ressourcen zur Abwehr von Bedrohungen der Cyber-Sicherheit geschaffen werden.
Der Experte empfiehlt Unternehmen mit mehreren Standorten, sowohl für den Hauptsitz, als auch für die Tochterfirmen einheitliche Richtlinien zu erstellen und durchzusetzen. Nur so kann das Netzwerk flächendeckend geschützt werden.

Hotellerie

Das IT-System eines kleinen Unternehmens im Gastgewerbe ist aufgrund diverser Virenangriffe bereits mehrmals ausgefallen. Das Unternehmen denkt derzeit über eine Cloud-Lösung nach und möchte anhand des IT-Security Check-ups ein besseres IT-Verständnis erlangen, um insbesondere die Buchungsdaten durchgängig sichern zu können.
Angesichts der Größe tut sich das Unternehmen bei einigen Sicherheitskriterien leichter als andere, diese zu erfüllen. Da nur wenig Hard- und Software eingesetzt wird, besteht von Haus aus ein guter Überblick über die IT-Bestände. Je umfangreicher die IT-Infrastruktur ist, desto wichtiger ist die schriftliche Inventarisierung und regelmäßige Aktualisierung der Hard- und Software, um den Überblick wahren zu können. Die Nutzung von Cloud-Diensten anstatt eigener Server kann insbesondere für kleine und mittelständische Unternehmen eine profitable Lösung sein, um Verwaltungskosten einsparen zu können. Firmen können sich hinsichtlich der Anwendungs-Möglichkeiten von Cloud-Diensten und potentieller Anbieter bei der Mittelstand Digital informieren. Auch kleine Unternehmen sollten die Authentisierungsdaten angemessen schützen und die Passwörter nicht in einem unverschlüsselten MS Office Programm verwalten. Zur Verwaltung der Passwörter empfiehlt sich ein Open Source Passwortmanager wie beispielsweise KeePass.
Unternehmen können individuell und unabhängig von der Betriebsgröße Maßnahmen zur Reduzierung des Cyber-Risikos ergreifen. Das Bundesamt für Sicherheit in der Informationstechnik informiert über vielfältige Methoden für mehr IT-Sicherheit auf seiner Website.

Handel

Ein kleines Handelsunternehmen mit mehreren Filialen in Schwaben hat vor kurzem seine Security-Appliances erneuert. Ziel des Unternehmens im Rahmen des IT-Security Check-ups ist, durch einen externen, fachmännischen Blick auf das IT-System, das Sicherheitsniveau einzuschätzen und gegebenenfalls anpassen zu können.
Im Rahmen der Bestandsaufnahme wurde ein Virus identifiziert, der aber durch Neueinstellung des Clients behoben werden konnte. Dieser gelangte durch Lücken in der IT-Sicherheit in das Unternehmen. So werden beispielsweise E-Mail-Anhänge nicht im gesicherten Modus dargestellt. Eine Deaktivierung von Makros würde laut Geschäftsführer den Workflow stören und ist daher aktuell nicht umsetzbar. Im Bewusstsein einer solchen Sicherheitsproblematik empfiehlt es sich, Backups einzurichten, um im Falle eines Übergriffs auf das IT-System die schützenswerten Daten abgesichert zu haben. Daher administriert das Unternehmen einen eigenen Backup-Server. Zur Beratung, inwiefern Tools für automatisierte Backups verwendet werden können, sollte ein externer Dienstleister hinzugezogen werden. 
Das Bundesamt für Sicherheit in der Informationstechnik  warnt vor verstärkten Ransomware Angriffen auf deutsche Unternehmen. Selbst bei einem hohen IT-Sicherheitsniveau kann ein Angriff nicht verhindert werden. Daher ist jedem Unternehmen ein Backup-Konzept zu empfehlen, damit die Daten abgesichert sind und nach einem Übergriff auf das IT-System die Arbeit zügig wieder aufgenommen werden kann.