freshidea - Fotolia

Einen Cybersicherheitsplan für Unternehmen aufstellen

Um ein Unternehmen vor digitalen Bedrohung zu schützen, ist ein Plan in Sachen Cybersicherheit unabdingbar. Folgende Vorgehensweise empfiehlt sich.

Jedes Unternehmen sollte sich mit digitalen Bedrohungen auseinandersetzen und entsprechende Vorsichtsmaßnahmen treffen. In dem Beitrag „Checkliste IT-Sicherheit: Die Herausforderungen für Unternehmen“ haben wir Vorbedingungen in Sachen IT-Security vorgestellt, die für einen IT-Grundschutz Pflicht sind.

In diesem Artikel geht es nun um das ersten wichtige Ziel: Einen IT-Sicherheitsplan aufstellen.

Ziele eines Sicherheitsplans

Damit Sie ein beliebiges Ziel erreichen, benötigen Sie einen grundlegenden Plan, der Sie auf das jeweilige Ergebnis hinführt. Digitale Sicherheit macht hier keine Ausnahme. In diesem Zusammenhang ist die Bereitschaft zur Abwehr digitaler Bedrohungen das Ziel und der Plan zur Cybersicherheit einer der Schritte auf dem Weg.

Eine solcher Plan sollte klar definieren, was eine Organisation erreichen möchte, wenn es um die Cybersicherheit geht. Wenn wir uns die typischen Sicherheitsprobleme ansehen, die Computer und Netzwerkkomponenten täglich melden, dann zeigen sich schnell ein paar offensichtliche Themen. Beispiele für solche Bereiche können wie folgt aussehen:

Schutz von Firmengeheimnissen: Dieser Punkt umfasst Informationen, die für Ihr Unternehmen im Markt essentiell sind und Ihnen einen Vorteil gegenüber Mitbewerbern schaffen. Ein Diebstahl dieser Daten kann entweder von außen oder aus dem eigenen Unternehmen heraus erfolgen.

Schutz von persönlichen Informationen: Die Daten von Kunden und Mitarbeiter sind für Kriminelle interessant. Zugleich ist es die Aufgabe jedes Unternehmens, die erhobenen Daten vor unbefugtem Zugriff zu schützen. Ein solcher Diebstahl kann ebenfalls von außen oder innen erfolgen.

Kontext der Daten: Für eine umfassende Sicherheitsstrategie müssen Sie nicht nur wissen, welche Daten da durch ihr System fließen, sondern auch den Sicherheitskontext jedes digitalen Pakets kennen. Sie müssen fähig sein, den Datenstrom zu überwachen und festzustellen, ob die jeweiligen Datenpakete erwünscht oder unerwünscht sind.

E-Mail-Sicherheit: Ihr E-Mail-System sollte die Integrität der gesendeten Inhalten sicherstellen, unabhängig davon, ob die Nachrichten innerhalb Ihres Netzwerks oder über das Internet verschickt werden. Zudem sollte das System möglichst viel Sicherheit bieten, selbst wenn Nachrichten gestohlen werden.

Aufgaben auswählen

Jeder dieser genanntenn vier Bereiche sollte als einzelnes Projekt in einem digitalen Sicherheitsplan behandelt werden. Und zwar komplett mit einem Zeitrahmen, Meilensteinen und Metriken. Die ersten beiden Bereiche können wahrscheinlich viele Ressourcen gemeinsam nutzen, etwa bei Kontrollmechanismen und Sicherheitsansätzen. Den dritten Bereich werden wir ausführlich in einem späteren Artikel besprechen, der sich genauer mit dem Thema Sicherheitsarchitektur und Netzwerküberwachung beschäftigt. Daher widmen wir uns zunächst dem Thema E-Mail.

E-Mails absichern und verschlüsseln

Die Sicherheit und Integrität von E-Mails lässt sich durch den Einsatz von Verschlüsselung sicherstellen. Die notwendige Technik gibt es seit Jahrzehnten. Warum also werden regelmäßig Nachrichten im Klartext von Unternehmen, Behörden und politischen Parteien im Internet veröffentlicht? Die Verschlüsselung sieht zudem wie eine Trumpfkarte aus, dank derer man selbst bei einem Diebstahl von Informationen keine Meldung erstatten muss. Warum wird sie also nicht flächendeckend eingesetzt?

Die Wahrheit ist: Hinsichtlich Verschlüsselung, besonders wenn es um ein System mit einer Public Key Infrastruktur (PKI) geht, mangelt es vielen System-Administratoren am hinlänglichen Verständnis. Die Systeme sind häufig aufwändig zu implentieren, erfordern einen hohen Verwaltungsaufwand und sind zudem auch noch kostenintensiv.

Wenn ein Verschlüsselungssystem falsch oder schlecht verwaltet wird, können riesige Mengen an Informationen verloren gehen. Das sind einige Punkte, die gegen eine allgemeine Verschlüsselung sprechen. Ein weiteres Problem bei PKI ist, dass jeder, der verschlüsselte Inhalte empfangen (und lesen) möchte, ein eigenes PKI Schlüsselpaar benötigt, sonst kann man nicht an der Kommunikation teilnehmen.

Für größere Organisationen, in denen die meiste Kommunikation innerhalb des Unternehmens stattfindet, können die Vorteile einer PKI-Verschlüsselung die Nachteile oft aufwiegen. Für diese Unternehmen und Behörden ist der Einsatz eines Systems, das Nachrichten automatisch verschlüsselt, entschlüsselt und sicher speichert ein klares Plus.

Es gibt Alternativen, die sich leichter verwalten und billiger in der Installation sind. Das gilt vor allem, wenn nicht alle E-Mails verschlüsselt werden müssen. Im Grunde handelt es sich dabei meist um webbasierte Maildienste, bei denen sich der potentielle Empfänger einer verschlüsselten E-Mail registrieren muss. Bei der Anmeldung müssen meist der Benutzername und ein Kennwort hinterlegt werden, die Erstellung eines PKI-Schlüsselpaars fällt hingegen oft weg. Wer sich für eine solche Lösung interessiert, sollte sich folgende Fragen beantworten lassen:

  • Werden die Daten auf dem Server oder nur beim Transport verschlüsselt?
  • Kann der E-Mail-Provider die Nachrichten entschlüsseln?

Beim Einsatz eines solchen Systems kann jeder Nutzer im System selbst entscheiden, ob eine Nachricht so wichtig ist, oder so sensitive Informationen enthält, dass er sie verschlüsseln sollte. Das kann hilfreich sein, setzt aber auch ein hohes Verantwortungsbewusstsein bei den Nutzern voraus.

Es gibt E-Mail-Gateways, die unverschlüsselte Nachrichten vor dem Versand auf potentiell sensitive Informationen untersuchen, etwa Kreditkartennummern. Werden solche Daten gefunden, leitet das System die Nachricht an einen speziell gesicherten Webserver weiter. Der Empfänger kann sie dann über ein sicheres Portal herunterladen. Solche Lösungen haben den Vorteil, dass sie sich in bestehende Systemen gut integrieren lassen.

Allerdings müssen Administratoren die notwendigen Regeln und Filter erstellen und ständig überprüfen, ob sensitive Informationen auch wirklich umgeleitet werden. Die Systeme sichern nur Nachrichten, bei denen ein Filter anspringt, es gibt keine Gewissheit, dass wirklich alle wichtigen E-Mails auch zuverlässig ausgefiltert werden.

Eine weitere Lösung sind einfache Verschlüsselungssysteme, etwa Plug-ins für E-Mail-Clients. Diese nutzen ein symmetrisches Verschlüsselungsverfahren, bei dem der gleiche Key für das Ver- und Entschlüsseln zum Einsatz kommt. Auch hier muss der Nutzer entscheiden, welche Nachrichten sensitiv genug sind, dass sie zusätzlich geschützt werden sollten. Zudem dürfen die verwendeten Keys nicht in unbefugte Hände fallen und müssen dennoch irgendwie mit dem Empfänger der jeweiligen Nachricht geteilt werden. PKI wurde entwickelt, um genau dieses Problem zu beheben. Aktuell könnten aber Nutzer einen anderen Kommunikationsweg nutzen, etwa indem sie den geheimen Key per SMS dem Empfänger vorab zukommen lassen.

Die Effektiviät eines Plans kontrollieren

Sobald Sie sich für einen Plan entschieden haben, müssen sie einen Weg finden, wie sie dessen Effektivität messen können. Egal, ob Sie ein Produkt integrieren oder einen Dienst nutzen, ohne die passenden Zahlen haben Sie keinen Hinweis auf einen Erfolg. Leider lässt sich nicht sicher bestimmen, wie viele Informationen ohne die Lösung verloren gegangen wären, allerdings gibt es einige Methoden um zu zeigen, dass die jeweilige Lösung zur sicheren E-Mail auch wirklich ihren Zweck erfüllt.

Ein guter erster Ansatz für eine solche Metrik könnte beispielsweise die Anzahl aller im Unternehmen verschickten E-Mails sein und der Prozentsatz der verschlüsselten Nachrichten sein. Wenn die jeweilige Lösung bei den Nutzern ankommt, sollte der letztere Wert stetig ansteigen. Sollte die Anzahl nicht ansteigen, müssen Sie in Erfahrung bringen, was Ihre Nutzer vom Einsatz abhält.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Checkliste IT-Sicherheit: Die Herausforderungen für Unternehmen.

IT-Security: Technologie alleine löst keine Sicherheitsprobleme.

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche.

Was macht einen guten Vorfallreaktionsplan aus?

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close