Wie Unternehmen ausgespäht werden

Sind die Sicherheitsanforderungen eigentlich noch zu überblicken? Mehr und mehr Unternehmen statten ihre Mitarbeiter mit Laptops aus, Mobiltelefonen, PDAs oder ihre Firmenwagen mit Navigationsgeräten. Wie soll man all das schützen?

Sie haben recht, im Hinblick auf die zunehmende Mobilität müssen IT-Sicherheitsverantwortliche auch mobile Kommunikationsmedien absichern, mit denen von unterwegs auf das Unternehmensnetzwerk zugegriffen und Daten ausgetauscht werden können. Mehr noch: Um ein hohes Schutzniveau zu erreichen, muss man neben den technischen Maßnahmen immer den Mensch vor dem Computer mit einbeziehen. Die eingesetzten Schutzmaßnahmen können immer nur so gut sein, wie der Mitarbeiter, der sie umsetzt.

Doch der wird immer öfter selbst zum Ziel der Angriffe, oder?

Angreifer versuchen in der Tat menschliche Eigenschaften ausnutzen, um an Informationen zu gelangen. Das nennt man Social Engineering. Daher ist es wichtig, im Unternehmen für eine IT-Sicherheitskultur zu sorgen. Es muss jedem einzelnen Mitarbeiter bewusst sein, dass er täglich einen wichtigen Beitrag zur Informationssicherheit des Unternehmens leistet. Bewusstsein reicht dabei nicht aus, es geht um Verhalten.

Das allerdings lässt sich ja leider nicht beliebig ändern. Irgendwie arbeitet doch jeder ein wenig in seinem üblichen Trott, selbst wenn ihm Sicherheitsgefahren grundsätzlich bewusst sind. Und öffnet dann auch unbewusst Mails von Unbekannten.

Es gab bereits Fälle, in denen vermeintliche Tagungsunterlagen von Angreifern per MailMail verschickt wurden und einen Trojaner im Anhang enthielten. Da Kriminelle auch bei diesen Angriffen teilweise sehr professionell vorgehen, indem sie Absender und Materialen täuschend echt aufbereiten und Social Engineering einsetzen, kann es schwierig sein, einen derartigen Angriff zu erkennen. Gesunder Menschenverstand und eine gewisse Portion Skepsis können bereits frühzeitig dabei helfen, einen potenziellen Schaden abzuwenden. Alles zu Mail auf CIO.de

Gezielte Attacken mit technischen Mitteln, die für einen Angriff speziell auf das auserkorene Unternehmen entwickelt werden, nahmen zuletzt deutlich zu. Bieten Standardsicherheitssysteme wie Firewalls noch Schutz - oder ist die Sicherheitssoftware von der Stange von gestern?

Technischer Basisschutz wie Antivirussoftware, Firewall und aktuelle Sicherheitsupdates vom Betriebssystem sollte nach wie vor eingesetzt werden. Der technische Basisschutz ist unerlässlich, da die Angreifer die Lücken im System suchen. Neben der Technik spielt der Mensch vor dem Rechner die entscheidende Rolle. Manchmal sind Systeme durch Nachlässigkeiten angreifbar, etwa wenn ein ServerServer zu Testzwecken online geht und danach vergessen wird, ihn wieder vom Netz zu nehmen. Alles zu Server auf CIO.de

Brauchen die deutschen Unternehmen mehr Schutz von der Bundesregierung, etwa schärfere Gesetze oder mehr Ermittler in diesem Bereich?

Entscheidend ist eine umfangreiche präventive Tätigkeit, um Spionageangriffe möglichst im Vorfeld zu unterbinden. Die Behörden des Verfassungsschutzes haben ihr Angebot in diesem Bereich ausgebaut und unterstützen Unternehmen bei Fragen zum Thema.