it-sicherheit

IT-Sicherheit: Bedrohungen von innen und außen

Das Thema IT-Sicherheit ist insbesondere für Unternehmen ein weites Feld und kann hier nur in einigen Teilaspekten behandelt werden. Zu vielfältig sind die Bedrohungen, die von außen und innen drohen. Vom Stand-Alone-PC und einzelnen USB-Sticks bis hin zu komplexen Netzwerken und multinationalen Cloud-Infrastrukturen – wo immer Daten aller Art bewegt und gespeichert werden, bestehen Angriffspotenziale und die Datensicherheit ist in Gefahr.

Was umfasst IT-Sicherheit?

Der Begriff IT-Sicherheit beschreibt Techniken, die informationsverarbeitende Systeme in den Schutzzielen Verfügbarkeit, Vertraulichkeit und Integrität sichern. Vorrangig geht es dabei um den Schutz vor Angriffsszenarien, das Vermeiden von betriebswirtschaftlichen Schäden und dem Minimieren von Risiken. Verschlüsselungen von Übertragungswegen und Datenspeichern, Firewalls, Schutz vor Viren und Trojanern, Sicherstellen der Verfügbarkeit (oder auch Schutz vor Systemausfällen) – all diese Dinge sind grundsätzliche Bestandteile der IT-Sicherheit.

Angriffsszenarien und Gefahrenpotenziale

Hackerangriffe auf IT-Systeme drohen sowohl von außen als auch von innen. Diese dienen in aller Regel dem Zweck, unrechtmäßigen Zugang zu Daten zu erlangen, um sich wirtschaftliche Vorteile zu verschaffen. Vorbei sind die Zeiten, in denen Viren einfach nur Festplatteninhalte zerstörten. Heute stehen Identitätsdiebstähle ganz oben auf der Liste der Cyberkriminalität. Hiervon sind insbesondere Privatpersonen betroffen, deren E-Mail-Konten oder Accounts von Onlineshops gekapert wurden. Ebenfalls in diesen Bereich gehört das Feld der Industriespionage. Hier gilt es, Eindringlinge in Firmennetze durch geeignete Firewall-Technologien abzuhalten.

Häufig unterschätzt wird die Bedrohung von innen durch Schwachstellen im System. Immer wieder werden Softwarefehler von Hackern ausgenutzt, um sich Zugang zu IT-Systemen zu verschaffen. Hersteller von Anwenderprogrammen und Betriebssystemen sind ständig bemüht, Updates bereitzustellen, um diese Sicherheitslücken zu schließen. Aber auch das Personal des eigenen Unternehmens kann eine Gefahr für die Informationssicherheit darstellen. Ehemalige Mitarbeiter, die immer noch Zugriff auf unternehmenskritische Daten haben, können ebenso Schaden anrichten wie die missbräuchliche Nutzung des Internetzugangs innerhalb des Unternehmens, wo durch die Verbreitung von urheberrechtlich geschütztem Material mittels Filesharing Abmahnungen drohen (Störerhaftung).

Durch Methoden des Social Engineerings können sich Hacker ebenfalls leicht Zugang zu Daten und IT-Infrastrukturen verschaffen. Hierbei stellt jeder einzelne Mitarbeiter eines Unternehmens durch unbewusstes Handeln eine Gefahr dar. Es genügt häufig schon ein Anruf eines angeblichen Mitarbeiters der IT-Abteilung, um Passwörter zu erfragen. Hier gilt es, jeden einzelnen Nutzer des Firmennetzes auf Szenarien dieser Art zu sensibilisieren.

Neben dem Ausspähen von Daten als Sicherheitsrisiko gibt es noch die Computersabotage. Diese erfordert in Zeiten von Cloud-Technologien und WAN-Netzwerken keinen physischen Zugang zur Hardware mehr. Verteilte Botnetze, deren Aufgabe es ist, Netzwerkkomponenten durch massiven Beschuss mit Datenpaketen lahmzulegen (DDOS-Attacken) sind schnell aufgebaut. Diese zwingen nicht nur Webserver in die Knie, sondern können auch IT-Landschaften von Unternehmen arbeitsunfähig machen.

IT-Sicherheitskonzepte

Ein durchdachtes IT-Sicherheitskonzept beruht auf Analysen möglicher Schadens- und Angriffsszenarien. Ziel dieser Analyse ist das Erreichen eines festgelegten Mindest-Schutzniveaus. Der Begriff „Sicherheit“ wird im Englischen unterteilt in „Security“ und „Safety“. Security beschreibt die Gefahr von böswilligen Angriffen, Safety dagegen die Gefahr vor menschlichem und technischem Versagen.

IT-Sicherheit kann von der EDV-Abteilung eines Unternehmens allein kaum noch gewährleistet werden. Aus diesem Grund werden immer mehr Services in die Cloud ausgelagert. Dies hat den Vorteil, dass die Anbieter von Cloud-Diensten auf IT-Sicherheit spezialisiert sind und Schutzmechanismen kostengünstig bereitgestellt werden können.

IT Sicherheit