Sicherheit ist eine st?ndige Sorge, wenn es um Informationstechnologie geht. Datendiebstahl, Hackerangriffe, Malware und eine Vielzahl anderer Bedrohungen reichen aus, um jeden IT-Experten nachts wach zu halten. In diesem Artikel befassen wir uns mit den grundlegenden Prinzipien und bew?hrten Verfahren, die IT-Fachleute anwenden, um ihre Systeme sicher zu halten.
Das Ziel der Informationssicherheit
Die Informationssicherheit folgt drei übergreifenden Grunds?tzen, die oft als CIA-Dreiklang (Vertraulichkeit, Integrit?t und Verfügbarkeit) bezeichnet werden.
- Vertraulichkeit: Dies bedeutet, dass Informationen nur von Personen eingesehen oder verwendet werden k?nnen, die dazu berechtigt sind. Es müssen geeignete Sicherheitsma?nahmen getroffen werden, um sicherzustellen, dass private Informationen privat bleiben und vor unbefugter Offenlegung und neugierigen Blicken geschützt sind.
- Integrit?t: Dieser Grundsatz garantiert die Integrit?t und Genauigkeit der Daten und schützt sie vor Ver?nderungen. Das bedeutet, dass ?nderungen an den Informationen durch einen unbefugten Benutzer unm?glich sind (oder zumindest entdeckt werden) und dass ?nderungen durch befugte Benutzer verfolgt werden k?nnen.
- Verfügbarkeit: Dieser Grundsatz stellt sicher, dass die Informationen jederzeit vollst?ndig zug?nglich sind, wenn autorisierte Benutzer sie ben?tigen. Das bedeutet, dass alle Systeme, die zur Speicherung, Verarbeitung und Sicherung aller Daten verwendet werden, jederzeit einwandfrei funktionieren müssen.
Ausgehend von diesen übergeordneten Grunds?tzen haben IT-Sicherheitsspezialisten Best Practices entwickelt, mit denen Unternehmen sicherstellen k?nnen, dass ihre Daten sicher bleiben. (Lesen Sie auch: Die 3 wichtigsten Komponenten der BYOD-Sicherheit).
Bew?hrte IT-Sicherheitspraktiken
Es gibt viele Best Practices für die IT-Sicherheit, die für bestimmte Branchen oder Unternehmen spezifisch sind, aber einige gelten auch allgemein.
Gleichgewicht zwischen Schutz und Nützlichkeit
Die Computer in einem Büro k?nnten vollst?ndig geschützt werden, wenn alle Modems herausgerissen und alle Mitarbeiter aus dem Raum geworfen würden – aber dann w?ren sie für niemanden mehr von Nutzen. Deshalb besteht eine der gr??ten Herausforderungen im Bereich der IT-Sicherheit darin, ein Gleichgewicht zwischen der Verfügbarkeit von Ressourcen und der Vertraulichkeit und Integrit?t der Ressourcen zu finden.
Anstatt zu versuchen, sich gegen alle Arten von Bedrohungen zu schützen, konzentrieren sich die meisten IT-Abteilungen darauf, zun?chst die wichtigsten Systeme zu isolieren und dann akzeptable Wege zu finden, den Rest zu schützen, ohne ihn unbrauchbar zu machen. Einige der Systeme mit geringerer Priorit?t k?nnen für eine automatisierte Analyse in Frage kommen, so dass die wichtigsten Systeme im Mittelpunkt bleiben.
Zuweisung von Mindestberechtigungen
Damit ein Informationssicherheitssystem funktionieren kann, muss es wissen, wer bestimmte Dinge sehen und tun darf. Jemand aus der Buchhaltung braucht beispielsweise nicht alle Namen in einer Kundendatenbank zu sehen, wohl aber die Zahlen aus dem Verkauf. Das bedeutet, dass ein Systemadministrator die Zugriffsrechte nach der Art der T?tigkeit einer Person zuweisen muss, und dass er diese Beschr?nkungen je nach organisatorischer Aufteilung weiter verfeinern muss. Auf diese Weise wird sichergestellt, dass der Chief Financial Officer im Idealfall auf mehr Daten und Ressourcen zugreifen kann als ein Junior-Buchhalter.
Allerdings bedeutet ein hoher Rang nicht, dass er vollen Zugriff hat. Der CEO eines Unternehmens muss vielleicht mehr Daten sehen als andere Personen, aber er braucht nicht automatisch vollen Zugriff auf das System. Einer Person sollten die Mindestberechtigungen zugewiesen werden, die sie zur Erfüllung ihrer Aufgaben ben?tigt. ?ndern sich die Aufgaben einer Person, ?ndern sich auch die Berechtigungen. Die Zuweisung von Mindestberechtigungen verringert die Wahrscheinlichkeit, dass Joe aus der Konstruktion mit allen Marketingdaten aus der Tür geht.
Erkennen Sie Ihre Schwachstellen und planen Sie vorausschauend
Nicht alle Ihre Ressourcen sind gleich wertvoll. Manche Daten sind wichtiger als andere, z. B. eine Datenbank mit allen Buchhaltungsdaten Ihrer Kunden, einschlie?lich ihrer Bankleitzahlen, Sozialversicherungsnummern, Adressen oder anderer pers?nlicher Informationen.
Gleichzeitig ist aber nicht jede Ressource gleicherma?en gef?hrdet. So sind beispielsweise Informationen, die auf physisch getrennten Speichersystemen gespeichert sind, die nicht mit dem Hauptnetzwerk verbunden sind, weitaus sicherer als Informationen, die auf den BYOD-Ger?ten (Bring Your Own Devices) aller Ihrer Mitarbeiter verfügbar sind.
Die Vorausplanung für verschiedene Arten von Bedrohungen (z. B. Hacker, DDoS-Angriffe oder einfach nur Phishing-E-Mails, die auf Ihre Mitarbeiter abzielen) hilft Ihnen auch, das Risiko einzusch?tzen, dem jedes Objekt in der Praxis ausgesetzt sein k?nnte.
Wenn Sie herausfinden, welche Daten anf?lliger und/oder wichtiger sind, k?nnen Sie den Grad der Sicherheit bestimmen, den Sie zu ihrem Schutz einsetzen müssen, und Ihre Sicherheitsstrategien entsprechend gestalten. (Lesen Sie auch: 6 Fortschritte bei der Cybersicherheit in der zweiten H?lfte des Jahres 2020)
Verwenden Sie unabh?ngige Verteidigungsma?nahmen
Dies ist sowohl ein milit?rischer Grundsatz als auch ein Grundsatz der IT-Sicherheit. Eine wirklich gute Verteidigung, wie z. B. Authentifizierungsprotokolle, ist nur so lange gut, bis jemand sie durchbricht. Wenn mehrere unabh?ngige Verteidigungsschichten eingesetzt werden, muss ein Angreifer verschiedene Strategien anwenden, um sie zu überwinden.
Die Einführung dieser Art von mehrschichtiger Komplexit?t bietet zwar keinen 100-prozentigen Schutz vor Angriffen, verringert aber die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Auf das Schlimmste vorbereitet sein, für das Beste planen
Wenn alles andere scheitert, müssen Sie trotzdem auf das Schlimmste vorbereitet sein. Die Planung für den Fall des Scheiterns tr?gt dazu bei, die tats?chlichen Folgen zu minimieren, falls es doch dazu kommt. Wenn die IT-Abteilung bereits im Vorfeld Sicherungsspeicher oder ausfallsichere Systeme eingerichtet hat, kann sie die Sicherheitsma?nahmen st?ndig überwachen und schnell auf einen Versto? reagieren.
Ist die Sicherheitsverletzung nicht schwerwiegend, kann das Unternehmen oder die Organisation mit dem Backup weiterarbeiten, w?hrend das Problem behoben wird. Bei der IT-Sicherheit geht es sowohl um Schadensbegrenzung als auch um Pr?vention und Schadensbegrenzung.
Sicherung, Sicherung, Sicherung
Im Idealfall wird nie in ein Sicherheitssystem eingebrochen, aber wenn es doch zu einem Sicherheitsversto? kommt, sollte das Ereignis aufgezeichnet werden. Tats?chlich zeichnen IT-Mitarbeiter oft so viel wie m?glich auf, auch wenn keine Sicherheitsverletzung vorliegt.
Manchmal sind die Ursachen für Sicherheitsverst??e im Nachhinein nicht erkennbar, daher ist es wichtig, Daten zu haben, die eine Rückverfolgung erm?glichen. Die Daten aus Sicherheitsverletzungen k?nnen schlie?lich dazu beitragen, das System zu verbessern und künftige Angriffe zu verhindern – auch wenn es zun?chst keinen Sinn ergibt.
H?ufige Tests durchführen
Hacker entwickeln ihr Handwerk st?ndig weiter, und das bedeutet, dass auch die Informationssicherheit sich weiterentwickeln muss, um Schritt zu halten. IT-Fachleute führen Tests durch, nehmen Risikobewertungen vor, lesen den Notfallwiederherstellungsplan erneut durch, überprüfen den Plan zur Aufrechterhaltung des Gesch?ftsbetriebs im Falle eines Angriffs und wiederholen dann alles. (Lesen Sie auch: 5 Gründe, warum Sie für Hacker dankbar sein sollten).
Das Fazit
Die IT-Sicherheit ist eine anspruchsvolle Aufgabe, die viel Liebe zum Detail und gleichzeitig ein hohes Ma? an Bewusstsein erfordert. Doch wie viele Aufgaben, die auf den ersten Blick komplex erscheinen, l?sst sich auch die IT-Sicherheit in grundlegende Schritte unterteilen, die den Prozess vereinfachen k?nnen. Das hei?t nicht, dass es einfach ist, aber es h?lt die IT-Experten auf Trab.