News der Kurtz Detektei Halle


IT-Sicherheit in deutschen Unternehmen: Ein Doppelinterview mit Tino Fleischhauer und Patrick Kurtz für das IHK-Magazin


„IT-Sicherheitslösungen vom Ende her denken“


Er ist gewissermaßen ein moderner Sherlock Holmes: Nach dem Studium von Psychologie, Komparatistik und Germanistik hat Patrick Kurtz seine Leidenschaft für Kombination, Deduktion und Analyse zum Beruf gemacht. Als Absolvent des bundesweit einzigartigen IHK-zertifizierten Lehrgangs zur Fachkraft Detektiv an der Sicherheitsakademie Berlin betreibt Kurtz heute an den Standorten Halle und Leipzig seine eigene private Detektei und ist über Kooperationen in 21 weiteren deutschen Großstädten vertreten. Auf dem Feld der Wirtschaftskriminalität spielt für Kurtz und seine Mitarbeiter neben „klassischen“ Fällen wie unlauterer Wettbewerb, Unterschlagung, Lohnfortzahlungsbetrug oder unerlaubte Nebentätigkeit der Bereich der IT-Sicherheit eine immer bedeutendere Rolle.


„Die Angriffe nehmen zu: Gewöhnliche Kriminelle auf der Pirsch nach finanziellem Gewinn, Industriespione auf der Suche nach Wettbewerbsvorteilen und Hacker auf der Jagd nach empfindlichen Daten haben den Cyberspace als neuen und neben der physischen Welt weiteren Betätigungsort entdeckt“, schildert Kurtz. „Leider haben viele Geschäftsführer und Manager das Thema IT-Sicherheit noch nicht ausreichend auf dem Plan, was sich als großer Fehler herausstellen kann: Man rufe sich nur einmal den Grad der heutigen Vernetzung und der Abhängigkeit von IT-Systemen ins Bewusstsein – allein schon mit Blick auf den Verwaltungsapparat, noch nicht einmal hinsichtlich der unmittelbaren Wertschöpfung.“ Und gerade in kleinen und mittleren Unternehmen, die in der Regel über keine eigene IT-Abteilung beziehungsweise bestenfalls über einen Administrator verfügen, werde der Aspekt der Funktionalität gegenüber jenem der Sicherheit (zu) stark in den Vordergrund gerückt: „Wenn etwas funktioniert, ist es schwer zu vermitteln, dass es durchaus trotzdem angreifbar ist und entsprechende Vorkehrungen getroffen werden sollten“, beschreibt IT-Forensiker Tino Fleischhauer, der mit Kurtz zusammenarbeitet, die Krux. „Sicherheit wird oftmals erst dann ein Thema, wenn infolge schlecht geschützter Systeme der Schadensfall eingetreten und seine Folgen die Existenz bedrohen.“


Eine Frage des Geldes


Der Diplomkriminalist und studierte Informatiker besitzt eine jahrzehntelange Beratungserfahrung und weiß, dass „der Schutz der IT-Systeme gerade bei den KMU natürlich vor allem eine Frage des Geldes ist“. Wenn es um Investitionen in IT-Sicherheitslösungen geht, empfiehlt Fleischhauer, „das Ganze vom Ende her zu denken“ und einmal hochzurechnen, wie teuer einen der „Worst Case“, konkret die Beseitigung des Schadens und die Wiederherstellung der vollen Arbeitsfähigkeit, zu stehen kommen würde. Da die jeweils passende IT-Sicherheitsstruktur für Unternehmen von Einzelfall zu Einzelfall individuell sei, rät Fleischhauer zu folgender genereller Vorgehensweise: „Gemeinsam mit einem Experten sollte man eine Risikoanalyse durchführen, das heißt, den unbedingt schützenswerten Kern der unternehmerischen Tätigkeit identifizieren und entsprechende IT-Sicherungsmaßnahmen konzipieren und implementieren.“



Leicht umsetzbare „Essentials“


„IT-Sicherheit beginnt damit, dass man sein System um alle nicht benötigten Teil-Funktionen ,entschlackt’, um keine unnötigen Angriffspunkte und Einfallstore zu bieten.“ Und selbstverständlich seien professionelle Firewalls mit Virenschutz unabdingbar, „wobei ein Unternehmen mit Online-Shop im Internet da ohne Zweifel einen anderen Aufwand zu betreiben hat als jemand, der über ein Virtual Private Network den Kontakt zu seinen Außendienstlern halten will.“ Ein weiterer wichtiger Punkt besteht Fleischhauer zufolge darin, dass man sich bei der Absicherung des Systems niemals nur auf das Minimum beschränkt – etwa indem man einfach ungeprüft jede standardmäßige Voreinstellung (Default) übernimmt. Anders ausgedrückt: „Sie können jedes System so ,hart’ konfigurieren, dass es lange dauert, es zu korrumpieren.“

 

Der nächste Gesichtspunkt seien die Zugriffsrechte der Mitarbeiter auf die Daten des Unternehmens: „Auch  bei KMU sollte sich die Trennung der Geschäftsfelder in der IT-Struktur widerspiegeln“, empfiehlt Experte Fleischhauer. Im Klartext heißt das, dass der jeweilige Mitarbeiter über ein Login per Passwort oder – moderner – per Magnetkarte nur die Freigabe für diejenigen Daten erhält, die für seine Arbeit notwendig sind und „nicht etwa jemand aus der Konstruktion Zugriff auf die Buchhaltung hat oder sich ein Praktikant das gesamte Know-how der Firma auf einen USB-Stick zieht.“ Nicht außer Acht gelassen werden dürfe außerdem, dass Daten ja auch physisch, beispielsweise in Gestalt einer Festplatte, entwendet werden können. „Schon allein deswegen sind permanente Datensicherung und Sicherheitskopien auf voneinander unabhängigen Medien elementar.“


Zugriffsrecht und Tätigkeitsfeld definieren | Administratoren kontrollieren


Außerdem wächst die Kluft zwischen Anwender und „Auskenner“ immer weiter und so werden im Wirkungsbereich des IT-Administrators die meisten Rechte kumulieren, dessen Stellung ist eine absolute Vertrauensposition. Von daher gelte es, bereits bei der Einstellung von IT-Administratoren ganz besondere Sorgfalt walten zu lassen und den Werdegang des Bewerbers penibel gegenzuchecken. „Zudem sollten im Arbeitsvertrag ganz unmissverständlich Ausmaß, aber auch Grenzen des Tätigkeitsgebietes des Administrators definiert werden. Das kann zwar nicht verhindern, dass sich Admins mitunter quasi eine eigene Welt schaffen und ,Hintertürchen’ ins System einbauen, die ihnen im Falle des – gegebenenfalls unfreiwilligen – Ausscheidens aus der Firma noch Zugriff auf sensible Daten erlauben, gibt einem aber im Missbrauchsfall eine klare juristische Handhabe“, ergänzt Tino Fleischhauer. 


Mitteldeutsche Wirtschaft

Beitragsverfasser: Andreas Löffler

Magazin der Industrie- und Handelskammer Halle-Dessau

23. Jahrgang Nr. 5/2014

Franckestraße 5

06110 Halle (Saale)


Kurtz Detektei Halle

Inh. Patrick Kurtz

Delitzscher Straße 73a

06116 Halle (Saale)

Tel.: 0345 2194 0000

Mobil: 0163 8033 967

Mail: kontakt@detektei-kurtz.de

Web: http://www.detektei-kurtz.de



2 Kommentare