IT-Sicherheit für Geschäftsführer und VorständeLetztes Jahr war ein schlechtes Jahr für die Cybersicherheit. Erinnern Sie sich an Wannacry? Die Angriffe sind größer und weitreichender geworden, Hacker sind intelligenter geworden, und Sicherheitsteams und Budgets kämpfen darum, Schritt zu halten.

Wir befinden uns erst im ersten Quartal 2018, und bereits jetzt sehen wir, dass mit Meltdown und Spectre neue Hardware-Schwachstellen auftauchen. Wie ein Virus, das sich entwickelt, um Antibiotika zu überleben, entwickeln Hacker ihre Techniken weiter, um an aktuellen Sicherheitsmaßnahmen vorbeizukommen.

Wenn Sie Geschäftsführer sind, sind die Zeiten vorbei, in denen Sie einen „Einmal einrichten und nicht mehr drum kümmern“-Ansatz zur IT-Sicherheit verfolgen können. Vorstände und Geschäftsführer müssen sich darüber im Klaren sein, dass Sicherheit heute ein sich ständig weiterentwickelnder Bereich ist, der ein starkes Fundament und ein breites Spektrum an Ressourcen benötigt, um die täglichen Probleme, die sich für alle Unternehmen ergeben, zu bewältigen.

Ein angemessener Umgang mit Risiken erfordert den Einsatz an mehreren Fronten.

Für Sie als Geschäftsführer oder Vorstand: Wie können Sie geeignete Maßnahmen ergreifen, um sicherzustellen, dass Ihre Mitarbeiter und Daten geschützt sind? Hier würde ich anfangen:

Stellen Sie sicher, dass die Sicherheits-Grundlagen abgedeckt sind

Beginnen Sie mit einem soliden Fundament und einer prozessorientierten Instandhaltungsstrategie. Es scheint offensichtlich, aber es ist erstaunlich, wie oft das nicht gemacht wird. Konkret:

  • Halten Sie Systeme gepatcht, um Sicherheitslücken zu minimieren.
  • Führen Sie routinemäßige Schwachstellen-Scans durch, um identifizierte Risiken angemessen zu erkennen.
  • Stellen Sie sicher, dass Ihre Sicherheitssysteme und Anwendungen ständig aktualisiert werden.
  • Segmentieren Sie das Netzwerk und lassen Sie nur den Verkehr zwischen den benötigten Netzwerken zu.
  • Schützen Sie die Anmeldedaten von Administratoren mit Nachdruck.

 

Gewähren Sie den Zugriff auf Systeme nur den Benutzern, die ihn auch wirklich brauchen

Nicht jeder sollte Zugang zu allem haben. Auch hier scheint dies grundlegend zu sein, aber viele Unternehmen nehmen sich nicht die Zeit, Rechte nur an diejenigen zu vergeben, die sie kennen müssen. Infolgedessen werden sie angegriffen, nachdem jemand versehentlich auf einen Link geklickt hat, mit Rechten, die er nicht haben sollte. Diese Art von Problemen erfordert nicht einmal den Zugriff auf Administratorebene und kann im Falle eines Missbrauchs nicht nachvollziehbar sein. Durch die Beschränkung des Zugriffs werden Angriffsvektoren minimiert. Konkret:

  • Getrennte Benutzerkonten und Administratorkonten
  • Minimierung der Verwendung von Administratorkonten
  • Geben Sie Benutzern keinen lokalen Administratorzugriff.
  • Minimieren Sie potenzielle Schäden, wenn ein Konto kompromittiert wird.

 

Regelmäßiger Austausch zwischen den Fachabteilungen und der IT-Abteilung

IT- und Nicht-IT-Unternehmensbereiche kommunizieren manchmal nicht so häufig und klar, wie sie es sollten. Wenn es um etwas so Kritisches wie den Schutz geht, sollten Sie sicherstellen, dass jemand in der IT-Abteilung das Unternehmen über aktuelle Sicherheitsbedrohungen auf dem Laufenden hält, damit die Risiken angemessen gehandhabt werden können. Die Überbrückung der Kluft zwischen dem Business und der IT ist jedoch eine Zwei-Wege-Straße. Das Unternehmen muss der IT-Abteilung mitteilen, welches die wichtigsten Vermögenswerte zu schützen sind – die IT-Abteilung sollte diese Entscheidungen nicht für sich alleine treffen.

Wenn Sie mehr über unseren Ansatz zur Cybersicherheit für mittelständische Unternehmen erfahren möchten, kontaktieren Sie uns.

Kommentarbereich geschlossen.