Technische Risiken bei der Digitalisierung
In der IT-Sicherheit ist das präventive Handeln als höchster Punkt zu sehen, also zu Handeln bevor ein Risiko eintritt.
Als Beispiel können hier die Software-Updates an einem stationären Computer oder App-Updates am SmartPhone gesehen werden.
Auch ist es wichtig bei den Schutzmaßnahmen zwischen privaten und geschäftlichen Aspekten zu unterscheiden.
Sicherheitsmaßnahmen
Die meisten Sicherheitsmaßnahmen sind bekannt z.B. Virenschutz, Firewall, Anti-Spyware. Aber werden diese Sicherheitsmaßnahmen konsequent umgesetzt?
Also sind alle relevanten Endgeräte wie PC’s, Tablets und SmartPhones in die Betrachtung aufgenommen?
Folgende Maßnahmen kann man einfach umsetzen:
- Sichere Passwörter („Desto länger, desto besser“ – ca. 20 Zeichen mit diversen Sonderzeichen)
- Für jeden Dienst ein eigenes Passwort verwenden (sollte auch regelmäßig geändert werden)
- 2-Faktor-Authentifizierung z.B. FIDO2
Als Form von kriminellen Angriffen wird immer noch häufig E-Mail als Einfallstor verwendet.
Generell gilt es sehr vorsichtig und wachsam sein. Das Social Engineering (also das Ausspionieren von Personen als schwächstes Glied) ist dabei das größte Risiko.
Datenverlust
Wie vorher bei dem Beispiel mit dem SmartPhone dargestellt. Kümmert sich jeder um die Sicherung seiner Daten (die 3-2-1-Regel habe ich hier einmal dargestellt)?
Wichtig ist nicht nur die lokalen PC’s, sondern auch die Daten auf den mobilen Endgeräten zu sichern.
Im Geschäftskontext ist das meistens über die zentrale IT gewährleistet. Man sollte aber auch die internen Richtlinien aus Anwendersicht einmal genau betrachten.
Nicht nur die Sicherung, sondern auch die Wiederherstellung der Daten mit Notfallplänen sollte regelmäßig getestet werden.
Wichtig ist hier immer den Worst-Case-Fall im Hinterkopf zu haben. Die Vorsorge ist hier sehr wichtig!
Ausfall der Infrastruktur
Häufig treten externe Gefahrenquellen und sollten sehr genau betrachtet werden. Ein Stromausfall kann häufig kurzfristig überbrückt werden z.B. Notstromaggregat per Batterie und Diesel.
Aber was ist wenn eine DDoS-Attacken die zentraler Serverinfrastruktur beeinträchtigt? Was ist bei Ausfall von ganzen Cloud-Segmenten?
Elementare Gefahren müssen bewertet und Maßnahmen getroffen werden. Die Auswirkungen müssen auf alle Fälle auch im privaten Umfeld bewertet werden.
Cyberkriminalität
Die Digitalisierung ist natürlich auch ein lukratives Geschäft für kriminelle Gemüter z.B. ein Verschlüsselungstrojaner und Erpressung kann jeden betreffen.
Es wird zwischen zufällige und zielgerichteten Angriffen unterschieden. Auch muss man beachten, ob es sich um interne Personen, organisierte Kriminelle oder Terroristische Organisationen handelt.
Häufig werden in diesem Kontext Lösegeldzahlungen gefordert.
Aus dem Militär kann man das Modell der „Gestaffelte Tiefenverteidigung“ verwenden. Die Summe der Maßnahmen muss das geforderte Sicherheitslevel erfüllen. Abhängig vom Bereich kann es auch unterschiedliche Sicherheitsbestimmungen geben.
Im Firmenkontext kann man auch einfach externe Penetrationstests durchführen lassen um die Risiken schnell zu finden.
Auch ist ein gutes Risikomanagement sehr wichtig. Hier ist die Prävention und Organisation an erster Stelle, aber auch das
Monitoring der Prozesse und der durchgeführten Maßnahmen.
Normen für IT-Sicherheit
Die Standards und Richtlinien müssen pro Organisation und Branche betrachtet werden.
Ein guter Einstieg für IT-Sicherheit ist die ISO 27001. Danach kann man sich mit den Branchennormen, Leitlinien, Empfehlungen etc. beschäftigen.
Die Verantwortlichkeit liegt bei der Geschäftsführung einer Unternehmung!
Fazit
Nicht nur technische Punkte müssen beachtet werden, sondern auch organisatorische Maßnahmen müssen durchgeführt werden.
Haben Sie alle vorher benannten Punkte im privaten und geschäftlichen Kontext im Blick? Wie sind Ihre Maßnahmen? Wie führen Sie Ihr Risikomanagement durch?
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!