Neun Tipps für eine sichere IT-Infrastruktur

Trotz einer stetig wachsenden Risikolandschaft tun sich viele Unternehmen nach wie vor schwer, die Schwachstellen in der Informationssicherheit ihrer IT-Infrastruktur vollständig zu beseitigen oder diesen vorbeugend entgegenzuwirken. Viele Unternehmen verfügen über veraltete IT-Umgebungen, die sich durch das schrittweise Hinzufügen von immer neueren Systemen entwickelt haben. Daraus entsteht dann eine Architektur, die sehr schwer zu übersehen und zu schützen ist. Bei Sicherheitsvorfällen, behördlichen Untersuchungen und Verstößen gegen die Vorschriften kann eine schlecht verwaltete Datenumgebung zu erheblichen Problemen führen.

Umgekehrt sind Unternehmen mit einer hochentwickelten IT-Umgebung sicherer, besser gegen behördliche Untersuchungen gefeit und erzielen größere Kosteneinsparungen.

Die folgenden neun Tipps helfen Unternehmen, ihre IT-Infrastruktur zu stärken, sodass sie auf rechtliche und regulatorische Vorkommnisse gut vorbereitet sind und bei einem Vorfall schnell reagieren und kritische Systeme gegebenenfalls rasch wiederherstellen können.

Tipp 1: Informationssicherheit priorisieren

IT-Sicherheit ist in erster Linie eine wichtige Geschäftsangelegenheit, die die Zustimmung der Führungsebene erfordert. Ohne ihre Unterstützung wird es schwierig sein, den Wandel zu beeinflussen und das für die Umsetzung sinnvoller IT-Sicherheitsmaßnahmen erforderliche Budget zu sichern. Bestimmen Sie zunächst die Position des Unternehmens und erstellen Sie einen Business Case, der den strategischen Wert der IT-Sicherheit unter Berücksichtigung dessen aufzeigt, dass sie eine Voraussetzung für die digitale Transformation ist. Die Art der erforderlichen Schutz-, Präventions- und Reaktionsmaßnahmen hängt von folgenden Faktoren ab:

• Risikobereitschaft des Unternehmens. Würde das Unternehmen überleben, wenn es einen Monat lang geschlossen werden müsste? Was passiert, wenn alle Daten aufgrund eines Sicherheitsvorfalls oder einer Katastrophe verloren gehen? Kann das Unternehmen noch einmal von vorne beginnen?
• Branche: Verschiedene Branchen unterliegen Compliance-Vorschriften zum Schutz von Kunden- und Mitarbeiterdaten und zur Erfüllung anderer Verpflichtungen. Diese Anforderungen müssen bei der Einrichtung von Sicherheitskontrollen berücksichtigt werden.

Tipp 2: Mitarbeiter schulen

Das Thema Sicherheit muss auch durch Schulungen, Sensibilisierung und Unternehmenskommunikation unterstützt werden. Weisen Sie in internen Newslettern auf IT-Sicherheitsfragen hin. Informieren Sie neue Mitarbeiter im Rahmen der Einarbeitung über die Werte des Unternehmens. Führen Sie regelmäßig Kampagnen und Schulungen durch.

Schulen Sie Ihre Mitarbeiter, damit alle an einem Strang ziehen, denn die Sicherheit wird nur so stark wie ihr schwächstes Glied sein. Wenn Mitarbeiter zum Beispiel leicht zu erratende Passwörter verwenden oder das Standardpasswort für Software nicht ändern, haben Angreifer leichtes Spiel.

Tipp 3: Regelmäßige Datensicherungen vornehmen

Wie gut die Sicherheitsvorkehrungen eines Unternehmens auch sind, es kann sich nicht gegen alles schützen. Daher sind Backups, die an einem von den Primärsystemen getrennten Ort aufbewahrt werden, von entscheidender Bedeutung. So wird sichergestellt, dass Daten und Systeme auch dann wiederhergestellt werden können, wenn große Systeme abgeschaltet werden oder große Datenmengen verloren gehen.

Tipp 4: Regelmäßig auf Schwachstellen prüfen

Das Netzwerk muss auf dem neuesten Stand gehalten werden. So ist beispielsweise die Verwendung persönlicher Geräte in den meisten Unternehmen infolge der raschen Umstellung auf Telearbeit zu Beginn der Pandemie alltäglich geworden. Damit wurde einer Reihe neuer Risiken Tür und Tor geöffnet.

Deshalb ist es wichtig, ein Sicherheitsbewusstsein zu entwickeln. So werden beispielsweise Anwendungen und Systeme in Penetrationstests auf Schwachstellen untersucht. IT-Teams sollten unbedingt ein Budget für die Durchführung regelmäßiger Tests bereithalten.

Tipp 5: Gegenmaßnahmen ergreifen und Risiken identifizieren

Sobald Schwachstellen bekannt werden, müssen sie bewertet werden. Nicht alle sind gleichermaßen wichtig oder behebbar. Bei wichtigen IT-Strukturen sollten Sie Gegenmaßnahmen ergreifen. Für alle anderen sind Notfallpläne erforderlich, die dem IT-Personal bekannt sein müssen.

Tipp 6: Notfallübungen durchführen

Wie lange dauert es, ein System zurückzusetzen? Wie wird mit Ausfallzeiten umgegangen? Alle potenziellen Krisen- und Vorfallzenarien sollten nicht nur in der Theorie, sondern auch in der Praxis geübt werden, um den Notfallplan zu testen.

Tipp 7: Berechtigungen regeln

Die Identitätsverwaltung stellt eine wesentliche Säule in einem soliden IT-Sicherheitsprogramm dar. Jeder Benutzer sollte nur so viele Berechtigungen haben, wie er tatsächlich benötigt. Vermeiden Sie Benutzerkonten mit zu vielen Berechtigungen. Dies wird bei der Verlagerung in die Cloud noch wichtiger, da sich dadurch neue Wege für die Verbreitung oder Offenlegung von Informationen eröffnen. Die Systeme sollten so konzipiert sein, dass die Rechte automatisch entzogen werden, wenn Mitarbeiter das Unternehmen verlassen oder die Position wechseln.

Tipp 8: Verschlüsselung als Norm

Um Informationen zu schützen, sollten z. B. E-Mails verschlüsselt versendet werden. Dies gilt auch für interne E-Mails. Wenn Daten auf einen Datenträger übertragen werden, sollten sie ebenfalls verschlüsselt werden.

Tipp 9: Wachsam sein

Denn es gibt keine hundertprozentige IT-Sicherheit und Systeme, Anwendungen, Gegenmaßnahmen und Identifizierungsprozesse müssen ständig weiterentwickelt werden. Ein wesentlicher Bestandteil der Pflege der IT-Sicherheit ist daher die Überwachung interner Systeme, Netze und Prozesse, damit der Unterschied zwischen Normalzustand und verdächtigen oder mit Red Flags versehenen Aktivitäten schnell erkennbar ist.

Fazit

IT-Infrastruktursicherheit ist ein weites Feld. Unternehmen können mit einem ersten Schritt beginnen und nach und nach die Resilienz der IT-Umgebung verbessern. Dies wird langfristig zu einem realisierbaren, nachhaltigen Erfolg beitragen. Im Zweifelsfall oder bei Schäden sollten externe Berater hinzugezogen werden. Die Sicherheit der IT-Infrastruktur beginnt in der Führungsetage und endet bei jedem einzelnen Mitarbeiter, Netzwerk, System und jeder einzelnen Anwendung.

The views expressed herein are those of the author(s) and not necessarily the views of FTI Consulting, its management, its subsidiaries, its affiliates, or its other professionals.