Loading...

Nur Malware ist nicht genug

In puncto Sicherheit gehören neben Ransomware und DDoS auch Innere Sicherheit und Gebäudeschutz auf die Agenda.

Ein Industrieunternehmen in Süddeutschland glaubte, alles richtig gemacht zu haben: Es hatte zwei Rechenzentren eingerichtet, beide mit identischen Anwendungen und gespiegelten Daten, sodass eines beim Ausfall des anderen sofort einspringen konnte. Die Versicherung wollte dieses Szenario jedoch nicht versichern – beide Rechenzentren waren in einem Gebäude untergebracht. Ein Großschaden wie ein Brand hätte beide Rechenzentren getroffen, ein enormes Risiko.

Die Entwicklungsabteilung eines Maschinenbau-Unternehmens war zufrieden mit der Arbeit des chinesischen Werkstudenten, der für einige Semester in Deutschland studierte. Er war interessiert, fleißig und hatte keine Scheu vor Überstunden. Ungewöhnlich war nur, dass ein gutes halbes Jahr nach der Rückkehr des Studenten nach China plötzlich ein chinesisches Unternehmen eine exakte Kopie der eigentlich noch geheimen Innovation des Maschinenbauers auf den Markt brachte. Zwei Unternehmen, zwei scheinbar unterschiedliche Fälle, eine Wirkung: Die Sicherheit der geschäftskritischen Daten ist im höchsten Maße gefährdet.

Im ersten Fall ist nicht berücksichtigt worden, dass eine bauliche Trennung von gespiegelten Rechenzentren entscheidend ist. Und im zweiten Fall sind keine Vorkehrungen gegen Datenverlust via USB-Stick getroffen worden. Diese echten, wenn auch anonymisierten Fälle zeigen, dass zur IT-Sicherheit nicht nur technische Vorkehrungen wie Firewalls und Intrusion Detection Systems gehören. Zwei wichtige Aspekte der Sicherheit finden angesichts der nicht enden wollenden Angriffe durch Ransomware und DDoS-Attacken oft wenig Beachtung: die innere Sicherheit und die Gebäudesicherheit. Beides gehört ebenso zur Datensicherheit.

Innere Sicherheit und Gebäudeschutz

Innere Sicherheit betrifft in erster Linie die Gefahr eines Wissenstransfers durch Mitarbeiter. Das kann die Racheaktion eines sich ungerecht behandelt fühlenden Ex-Mitarbeiters sein, die kopierte Kontaktliste eines ausscheidenden Vertrieblers oder Wirtschaftsspionage in jeder Form. Wege zum Datendiebstahl lassen sich durchaus finden, auch auf Rechnern, die keine CD/DVD-Brenner besitzen.

Daten werden häufig mit USB-Sticks gestohlen, denn viele Unternehmen sperren diese Universal-Schnittstellen aus guten Gründen nicht. Das Problem ist schwer in den Griff zu kriegen, denn wenn USB komplett stillgelegt wird, sinkt der Komfort am Desktop-Computer. So müssen Computer mit integriertem Bluetooth- Sender gekauft werden, an die dann Maus und Tastatur per Funk angeschlossen werden. Zudem können die Mitarbeiter ohne USB ihr Smartphone nicht mehr aufladen und blockieren deshalb die Steckdosen.

Eine praktikable Möglichkeit ist es, die Computer mit Smartcards abzusichern. Sie dienen im Idealfall nicht nur dem Zugang zu den IT-Systemen, sondern werden auch für den Zutritt zu Räumen und Gebäuden benutzt. Dadurch wird genau aufgezeichnet, zu welchem Zeitpunkt ein Mitarbeiter bestimmte Räume betritt und Computersysteme nutzt. Kombiniert werden muss dies mit einem umfangreichen Identitäts- und Rechtemanagement. Bei der Zutrittskontrolle ist für jeden Smartcard-Besitzer präzise festgelegt, welche Systeme er nutzen kann und welche Räumen er betreten darf.

Solche Maßnahmen gehen direkt über in die Gebäudesicherheit. Hier ist es sinnvoll, nicht nur an Sicherheitssysteme zu denken, die einen unbefugten Zutritt verhindern. Je nach Größe des Unternehmens und Umfang der IT-Infrastruktur sind jeweils eigene Maßnahmen erforderlich. In vielen Unternehmen liegt der Serverraum gut geschützt im Keller. Klimatisierung, unterbrechungsfreie Stromversorgung und Batterien sind im Nachbarraum untergebracht.

Doch was ist mit einem Starkregen, der enorme Wassermassen mit sich führt und den Keller unter Wasser setzt? Doch auch ein Umzug des Serverraums in höhere Etagen bringt wieder neue Risiken. Zwar gibt es Rauchmelder und eventuell sogar eine Löschgasanlage, aber die Frage ist trotzdem, ob das Gebäude ausreichend gesichert ist. Die meisten Brände im Haushalt entstehen in der Küche. Diese Regel lässt sich leicht auf Betriebsküchen, Kaffeetheken und -maschinen übertragen. Auch dies sind Risikobereiche, denn trotz schwer entflammbarer Teppichböden und Vorhänge findet ein Feuer in jedem Büro ausreichend Nahrung, etwa jede Menge Papier für einen Zimmerbrand. Der kann leicht auf große Bereiche übergreifen und dann nutzt die Löschanlage im Serverraum nur wenig.

Von der Risikoschätzung zum Sicherheitskonzept

Die Folgen können enorm sein. Wenn die IT-Infrastruktur komplett ausfällt, sind viele Unternehmen innerhalb weniger Tage zahlungsunfähig. Diese Risiken gilt es zu begrenzen, immer in Abhängigkeit von der Unternehmensgröße und einer fachmännisch ausgeführten Risikoschätzung.

So reicht für Kleinunternehmen sicher ein ständig laufendes, mindestens tagesaktuelles Backup aller wichtigen Daten. Trotz der immer noch verbreiteten Cloud-Skepsis ist ein Backup-Service bei einem Cloud-Dienstleister die beste Lösung. Dadurch ist garantiert, dass die Sicherungskopien nicht zusammen mit dem Unternehmensgebäude zerstört werden. Hinzu sollte eine Vereinbarung mit einem Systemhaus oder einem kleineren IT-Dienstleister kommen, kurzfristig Notfallsysteme an einem Ausweichort aufzusetzen, beispielsweise in einem Raum des Dienstleisters.

Bei größeren Unternehmen oder gar bei Konzernen sind andere Maßnahmen notwendig. Wenn das Unternehmen ein eigenes Rechenzentrum betreibt, kann es beispielsweise ein Ausweichrechenzentrum bei Dienstleistern wie ITENOS buchen. Geographisch vom Betriebsrechenzentrum getrennt, verfügt das Notfall-RZ über eine gleichwertige Infrastruktur, die einen nahtlosen Weiterbetrieb sämtlicher IT-Anwendungen des Auftraggebers erlaubt. Voraussetzung dafür ist allerdings, dass der Anwender regelmäßig Sicherungskopien aller Anwendungen und Daten bereitstellt, damit beim Hochfahren des Ausweichrechenzentrums jeweils der aktuelle Stand vorliegt.

Welche konkreten Maßnahmen für ein Unternehmen die richtigen sind, kann nur durch eine Erfassung und Bewertung aller wichtigen Risiken bestimmt werden. Erst die Kenntnis der Risiken führt zu passgenauen Sicherheitsmaßnahmen. Am Ende steht dann ein umfassendes Sicherheitskonzept, dass die einzelnen Risikopotenziale erfasst und bewertet. Wichtig im Rahmen von IT-Organisationen ist eine Berücksichtigung aller Risiken jenseits der rein technischen Risiken. Backups und redundante IT-Systeme sind zwar enorm wichtig, dürfen aber nicht von den gleichen Risiken wie die normalen IT-Systeme betroffen sein.

Dieser Artikel wurde erstmals auf ProSecurity.de veröffentlicht.

Jetzt teilen: