Weshalb IT-Sicherheit wichtig ist

IT-Sicherheit ist mehr als nur ein technisches Thema. Es ist eine Frage der Verantwortung, des Vertrauens und – oft vernachlässigt - der Planung. Mein Name ist Alexander Crusius, Geschäftsführer von syskonzept und ich möchte in diesem Beitrag einige meiner Erfahrungen teilen.

Alexander Crusius, Geschäftsführer syskonzept GmbH, teilt seine Erfharungen zum Thema IT-Sicherheit.

Meine Erfahrungen mit IT-Sicherheit

Ich arbeite seit über 25 Jahren im Bereich IT und habe viele verschiedene Projekte und Herausforderungen erlebt. Der Schutz vor Hackerangriffen, die Implementierung von Sicherheitsstandards bis hin zur Sensibilisierung der Mitarbeiter und Kunden sind bei syskonzept ein Fokusthema.

Ich sehe IT-Sicherheit als kein einfaches Thema. Es ist so komplex, dass es nur gemeinsam angegangen werden kann. Es erfordert ein ständiges Zusammenarbeiten, gemeinsames Lernen und kontinuierliche Anpassungen über alle Organisationsbereiche und Positionen in einem Unternehmen. Techniken, die vor wenigen Jahren als zeitgemäß eingestuft wurden, sind heutzutage überholt oder nicht mehr ausreichend.

Für uns als Unternehmen und auch mich persönlich war eine einschneidende Erfahrung im letzten Jahr die Unterstützung eines Unternehmens, das kompromittiert worden ist. Der Angriff war so erfolgreich, dass die IT vollständig innerhalb kürzester Zeit neu aufgebaut werden musste – mit Standorten weltweit.
So gut das Unternehmen auch abgesichert war, so gut die Prozesse gepflegt und gelebt worden sind, oft genügt, wie in diesem Fall ein übersehenes Schlupfloch für einen überaus erfolgreichen Angriff.

Der Ablauf des Hacks, die aufkommenden Herausforderungen für das Unternehmen und die Planung der Wiederinbetriebnahme der IT haben meine Sichtweise und Herangehensweise stark beeinflusst. In so einer Situation kommt man nur mit Unterstützung, Zusammenhalt und einem starken Team weiter. Angefangen bei Mitarbeitern, die für Verpflegung und bessere Stimmung gesorgt haben, bis hin zur Geschäftsleitung, die der IT den Rücken freigehalten hat.

Habt ihr euch schon die Frage gestellt, ob so ein Hack alle drei bis fünf Jahre vielleicht etwas Gutes ist?

Diese Frage kam von der Geschäftsführung und nicht von mir. Für mich zeigt sie, wie wichtig es ist, Gewohntes neu zu bewerten und offen zu sein. Es geht nicht darum, was bis jetzt „falsch“ gemacht worden ist, sondern besser zu werden.

Auch wenn es auf den ersten Blick seltsam klingt, so ist aus der existenzbedrohenden Krise eines Unternehmens durch die richtigen Maßnahmen eine Chance geworden, die alten Fehler zu vermeiden und die IT-Sicherheit auf das nächste Level zu heben.

Meine Meinungen zu IT-Sicherheit

Ich bin der Meinung, dass IT-Sicherheit eine gemeinsame Aufgabe ist. Es betrifft nicht nur die IT-Abteilung, sondern alle Bereiche und Ebenen einer Organisation. Jeder hat eine Rolle zu spielen, um die Sicherheit zu gewährleisten und zu fördern. Das zeigt sich insbesondere, wenn es zu einem Vorfall kommt.

IT-Sicherheit ist eine Investition, die ein Unternehmen nicht vernachlässigen sollte. In Bezug auf ein Interview mit Linus Neumann (Chaos Computer Club) hat mir ein Satz gut gefallen: „In IT-Sicherheit investieren müsst ihr sowieso – entweder vor dem Angriff oder danach.“

Es ist wichtig, die IT-Sicherheit im Budget, in Prozessen und im täglichen Ablauf einzuplanen. Die Implementierung und kontinuierliche Verbesserung schützen nicht nur die Daten, die Systeme und die Reputation einer Organisation, sondern ermöglichen auch die Schaffung von Vertrauen, Loyalität und Wettbewerbsvorteilen.

Das Bewusstsein bei Mitarbeitern, Entscheidern und im Management muss geschaffen und unbedingt aufrechterhalten werden. Regelmäßige Trainings sind nur ein Beispiel der Möglichkeiten.

Meine Top 5 der Fehleinschätzungen

Basierend auf Gesprächen mit Kunden, Administratoren und der Teilnahme an Security Events habe ich eine Top 5-Liste von Fehleinschätzungen erstellt, die ich regelmäßig gehört habe:

1. IT-Security ist die Aufgabe der IT-Abteilung und nicht der Unternehmensführung.

2. Wir sind uninteressant für Hacker und es lohnt sich nicht, mich oder mein Unternehmen zu hacken.

3. Wir haben Firewalls und Antivirus-Lösungen implementiert.

4. Wenn ich gehackt werde, stelle ich meine Daten aus einer Sicherung wieder her.

5. IT-Sicherheit ist eine Inklusiv-Leistung. Mein (Cloud)-Anbieter kümmert sich ohne mein Zutun um die Sicherheit.

Meine Top 5 der nicht umgesetzten technischen Security-Maßnahmen

Die meisten kennen die Maßnahmen, die Umsetzung ist ein anderes Thema. Diese Top 5-Liste beschränkt sich auf technische Maßnahmen, die wir bei den durchgeführten Audits häufig gefunden haben. Diese lassen sich mit überschaubarem Aufwand angehen.

1. Einführung von Multi-Faktor-Authentifizierung.

2. Least-Privilege-Prinzip – Arbeiten mit den minimalen Rechten für den notwendigen Zeitraum. Das gilt für User als besonders für Administratoren.

3. Einsatz von veralteter Software und Systemen, fehlende Updates.

4. Bereits vorhandene und bezahlte Sicherheitsfeatures werden nicht genutzt.

5. Produkte und Systeme im Auslieferungszustand, insbesondere Active Directory.

Meine Tipps für IT-Sicherheit

Ich möchte euch neben den technischen Infos auch einige Tipps geben, wie ihr eure IT-Sicherheit mit anderen Maßnahmen verbessern könnt.

  • Seid realistisch. Versteht Angriffe, als das, was sie wirklich sind – ein sehr erfolgreiches Geschäftsmodell.
    Unterschätzt nicht die Attraktivität eures Unternehmens als Angriffsziel.
    Überschätzt nicht die Maßnahmen, die ihr getroffen habt und seid ehrlich bei der Selbsteinschätzung.
  • Seid proaktiv. Wartet nicht, bis etwas passiert, sondern seid vorsichtig. Lieber einmal innehalten, einen Kollegen um Rat fragen oder die IT-Abteilung kontaktieren, bevor der entscheidende Klick auf den falschen Link erfolgt.
  • Seid informiert. Bleibt auf dem Laufenden über die neuesten Trends, Technologien und Best Practices in der IT-Sicherheit. Nutzt vertrauenswürdige Quellen, Fachzeitschriften, Blogs, Podcasts oder Webinare.
  • Seid kollaborativ. Arbeitet mit euren Kollegen, Partnern und Kunden zusammen, um eure Sicherheitsziele zu definieren, zu verfolgen und zu erreichen. Teilt eure Erfahrungen, Meinungen und Tipps mit anderen.

Lasst uns gemeinsam die IT-Sicherheit stärken!

Wir sind Ihr verlässlicher Partner für IT-Sicherheit. Kontaktieren Sie uns jetzt für ein unverbindliches Beratungsgespräch: +49 (89) 20.500.100 oder info@syskonzept.de.

Information zu unseren Leistungen rund um das Thema IT-Sicherheit finden Sie hier.

#syskonzept #ITSecurity #ZTNA #zertrust #leastprivilege #ransomware #phishing #Sicherheit2024 #conditionalaccess

Kommentare sind deaktiviert