IT-Security von Unternehmen: Belastungstests, Notfallplan und Schulung

Die IT-Security muss für Unternehmen, unabhängig von der Branche, oberste Priorität besitzen, denn die Zahl der Hacker-Attacken steigt rapide an. Mithilfe von Belastungstests, so genannten Penetrationstests, einem effizienten Notfallplan und der regelmäßigen Schulung der Mitarbeitenden gibt es Möglichkeiten, das unternehmenseigene Netzwerk für Cyberkriminellen zu schützen.

Abbildung: Security Awareness im Unternehmen aufbauen. | Bidlquelle: (C) StockSnap / Pixaby

Belastungstest für optimale IT-Sicherheit

Um sich gegen die Attacken von Cyberkriminellen möglichst effizient wehren zu können, ist es vor allem notwendig, dass ein Unternehmen die eigenen Schwachstellen in seiner IT-Infrastruktur kennt. Diese potenziellen Einfallstore für Hacker lassen sich durch einen Belastungstest, der auch als Penetration Test bezeichnet wird, identifizieren. Wie das funktioniert? Durch einen gezielten Angriff auf die IT Sicherheit. Die Besonderheit besteht allerdings darin, dass ein solcher Angriff vom Unternehmen genehmigt und beauftragt ist. Er findet also unter detailliert abgesprochenen Rahmenbedingungen statt und wird von einem IT-Sicherheitsexperten durchgeführt.

Der ausführende Experte kennt alle Methoden professioneller Hacker und verhält sich beim Versuch, Zugang zum Netzwerk zu erhalten genauso, wie es ein Cyberkrimineller tun würde. Er sammelt zunächst alle verfügbaren Informationen zum vorhandenen Netzwerk und genutzten Netzwerkdiensten sowie alle Infos zu Firewalls, IP-Adressen oder Kontaktdaten.

In einem nächsten Schritt identifiziert er potenzielle oder schon vorhandene Schwachstellen (etwa Exploits, fehlerhafte Konfigurationen oder schwache Passwörter) im IT-System und versucht, diese weitestgehend auszunutzen.

Sämtliche Schritte dokumentiert er, analysiert den Penetrationstest und listet sämtliche Schwachstellen, den jeweiligen Weg zur Ausnutzung sowie entsprechende Lösungsansätze für bessere Datensicherheit auf. In einem letzten Schritt säubert er das System von "Testrückständen".

Die wichtigsten Rahmenbedingungen bei einem IT-Belastungstest

Damit der Pentest in einem geeigneten und von allen Beteiligten befürworteten Rahmen stattfindet, müssen bereits im Vorfeld bestimmte Parameter in einem Dienstleistungsvertrag festgelegt werden. Zu diesen Parametern gehören beispielsweise die Benennung der ausführenden Person sowie die Klärung der Eigentumsrechte von verwendeten Netzdienstleistern (nur im Eigentum des Auftraggebers stehende Soft- und Hardware darf getestet werden).

Aber auch die Art des Penetrationstests (Gesamtnetzwerk- oder Einzelbereichstest, z. B. Cloud, Web-Application), der Zeitraum für die Durchführung und die Festlegung erlaubter und verbotener Testmethoden müssen vor Beginn des Belastungstests geregelt werden. Übrigens kann auch vereinbart werden, ob der Pentest im Unternehmen angekündigt wird oder unangekündigt vonstatten gehen soll.

Was in keinem Vertrag fehlen darf, ist eine allseitige Verschwiegenheitsklausel. Immerhin ist es durchaus möglich, dass der Penetrationstester bei seinem Angriff an sensible Daten gelangt. Um diese zu schützen, wird eine Vereinbarung hinsichtlich des Umgangs mit solchem Wissen benötigt. Erst nach Regelung dieser Details kann der IT-Sicherheitsexperte mit seinem IT-Belastungstest beginnen.

Notfallplan als Teil des IT-Sicherheitskonzepts

In vielen Bereichen gibt es Notfallpläne, für Umweltkatastrophen, Reaktorunglücke in Kernkraftwerken oder Schiffshavarien. Es gibt aber auch Notfallpläne für Hackerattacken. Bei einem solchen Notfallplan handelt es sich um ein Handbuch, in dem man Anweisungen hinsichtlich zu ergreifender Notfallmaßnahmen findet, wenn es zu Problemen im IT-Bereich kommt.

Der Sinn eines Notfallplans ist es, ein Unternehmen vor Ausfallzeiten in einzelnen Abteilungen oder ganzen Betriebsstillständen zu schützen und so die aus solchen Ereignissen entstehenden finanziellen Schäden in Grenzen zu halten. Notfallpläne haben sehr häufig die Form einer Checkliste, die bei einem real auftretenden Problem einfach abgearbeitet werden können. Im Rahmen eines Penetrationstests lässt sich sehr gut erkennen, wie effizient ein vorhandener Notfallplan ist und ob es eventuell Bereiche gibt, in denen er optimiert bzw. überarbeitet werden sollte.

Die Methoden professioneller Hacker entwickeln sich sehr schnell weiter und werden immer komplexer. Daher besteht bei solchen Notfallplänen nicht selten Verbesserungsbedarf. Der Abschlussbericht eines Penetrationstests gibt hier wertvolle Hinweise, wie sich zu schwache IT-Sicherheitsperipherie stärken lässt.

Mitarbeiter-Schulung für bessere IT-Sicherheit

Hacker suchen nach immer neuen Schlupflöchern, um in die Systeme eines Unternehmens einzudringen, Daten zu stehlen, Systeme zu blockieren und das Unternehmen zu Erpressen oder Abläufe zur Durchsetzung terroristischer Ziele zu sabotieren. Dabei haben sie nicht nur technische Schwachstellen im Blick, sondern versuchen auch verstärkt, über den Menschen als schwächstes Glied der Sicherheitskette Zugang zu erlangen.

Dafür nutzen sie vor allem das sogenannte Phishing, also das Versenden von gefälschten E-Mails mit verborgenen Download-Links. Sie schrecken aber auch vor "Zoombombing", einer noch relativ jungen Methode, nicht zurück. Dabei kapern sie Videokonferenzen und belästigen oder bedrohen die Teilnehmenden. Zudem nutzen Cyberkriminelle Webcams, um sich in den Büroalltag einzuklinken und auf diese Weise Informationen zu erhalten.

Gegen diese Formen des Hackings sind regelmäßige Schulungen und Workshops zu den genannten Methoden extrem hilfreich. Bei solchen Veranstaltungen erhalten die Mitarbeitenden wichtige Informationen und es werden Verhaltensregeln ausgegeben, wie sie reagieren sollen, wenn sie beispielsweise eine Phishing-Mail erhalten. Die Schulungen werden von IT-Sicherheitsexperten durchgeführt, was den großen Vorteil hat, dass sie über fundiertes und stets aktuelles Hackerwissen verfügen. Durch das Nutzen dieses Wissens beim Penetrationstest, der Optimierung von Notfallplänen und bei den Schulungen von Personal ist das jeweilige Unternehmen den Cyberkriminellen immer einen Schritt voraus oder kann zumindest Schritt halten.

Cybersicherheit muss Priorität haben

Die im Netzwerk steckenden Informationen sind die wichtigste Ressource für jedes Unternehmen. Ihr Schutz muss daher ganz oben auf der Prioritätenliste stehen und sollte als Thema direkt bei der Unternehmensleitung angesiedelt sein. Auf diese Weise können Entscheidungen schnell getroffen und finanzielle Mittel zur Stärkung der IT-Sicherheit bei Bedarf zeitnah freigegeben werden.

Zurück

Unsere Empfehlungen

Beitrag

Wissen kartographieren - aber wie?

WISSENplus

Wer hätte sie nicht gerne, die Landkarte des Wissens seines Unternehmens? Der Traum, in jedem Moment zu wissen, wo das Wissen zur Lösung eines aktuellen Problems steckt - kann er in Erfüllung gehen? "Wenn ABB wüsste, was ABB weiß, so wären wir unschlagbar", sagte einmal Johan Ancker, Präsident der ABB Management Consultants - und so denken viele andere auch. Was heißt das aber konkret für...

Beitrag

Semantische Systeme als fehlendes Puzzleteil von DMS

Wir leben in einer vernetzten Welt. Besonders in der Unternehmensrealität ist es ein Erfordernis, dass Informationen von überall zugänglich sind. Unlängst haben sich Softwarelösungen wie Microsoft SharePoint etabliert, die den Wissensarbeiter darin unterstützen, die vielen Dokumente zu verwalten, die während unterschiedlichster Geschäftsprozesse und Projekte erstellt und bearbeitet werden. Wie die...

Event

Vom Buzzword zum Alltagswerkzeug: Wie GenAI den Mittelstand transformieren kann!

29.04.2024

Dieser Vortrag zeigt, wie GenAI den Mittelstand revolutionieren kann - indem modernste KI-Technologien zugänglich gemacht und Unternehmen dadurch befähigt werden, Informationssilos zu durchbrechen, um Wachstum und Innovation zu fördern....

Mehr Infos & Anmeldung

Beitrag

Nachholbedarf in Sachen Competitive Intelligence

WISSENplus

Ein dynamisches Marktumfeld erfordert eine Unternehmensführung, die schnell und flexibel auf Veränderungen reagiert. Das Managementinstrument Competitive Intelligence (CI) hat seinen Ursprung in den USA und unterzieht Unternehmen durch strategische Frühaufklärung einem stetigen Evolutionsprozess. CI-Experten halten deutsche Unternehmen in Sachen Competitive Intelligence für prähistorisch. Sind die Vor...

Beitrag

Learning & Development: Mitarbeiterkompetenzen individuell weiterentwickeln

In den vergangenen 15 Jahren haben innovative Unternehmen der Internet-Ära völlig neue Branchen hervorgebracht und hochqualifizierte Arbeitskräfte zu ihrer Unterstützung angeworben. Woher wussten die Unternehmen, wie sie diese Rollen schaffen sollten? Und woher wussten sie, welche Fähigkeiten für die Besetzung dieser Stellen erforderlich sein würden? ...

Event

Online-Seminar | Wirksamkeit und Erfolg von Wissensmanagement-Maßnahmen messen

04.07.2024

Die Erfolgsmessung in Wissensmanagement-Projekten ist von entscheidender Bedeutung, um sicherzustellen, dass die implementierten Maßnahmen die gewünschten Ziele erreichen und einen positiven Beitrag zur Organisation leisten. Doch Wissen in konkreten und messbaren Größen zu erfassen, zählt zu den größten Herausforderungen im Wissensmanagement - insbesondere vor dem Hintergrund, dass die positive...

Mehr Infos & Anmeldung

Event

Webconference | KI-gestützte Lösungen im Unternehmenseinsatz

19.09.2024

Metaverse, GPT-Technologie & ChatBots: Virtuelle Welten & KI-Tools sind auf dem Vormarsch. Leben, Lernen und Arbeiten verlagern sich mehr und mehr in den virtuellen Raum und werden von intelligenten Assitenten unterstützt. Wie sieht die Arbeit der Zukunft aus? Und mit welchen KI-Tools lässt sich die Effizienz erhöhen und die Produktivtät verbessern?...

Mehr Infos & Anmeldung

Event

Online-Seminar | Erfahrungswissen sichern: So geht's!

10.07.2024

Die Demografiespirale spitzt sich unaufhaltsam zu. Wir erleben derzeit die Anfänge einer nie da gewesenen Pensionierungswelle. Mit ihr verabschiedenen sich in den nächsten Jahren sukzessive hunderttausende erfahrene Mitarbeiter in den Ruhestand. Hinzukommt, dass auch jüngere Mitarbeiter zunehmend nur noch projektgebunden arbeiten wollen und häufiger das Unternehmen wechseln. In den Unt...

Mehr Infos & Anmeldung

Das Magazin für Digitalisierung, Vernetzung & Collaboration