Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

Sicherheit in Sicht? Der Bochumer Sicherheitsspezialist G-Data hat zehn Tipps zum Thema „Policy-Management“ zusammengestellt, mit deren Hilfe Unternehmen eine umfangreiche Absicherung ihrer Firmen-IT erreichen.

1. Gefährdungspotenziale erkennen Eine genaue Kenntnis der Datenstruktur im eigenen Unternehmen ist grundlegend für ein erfolgreiches Policy Management. Denn nur wenn die Speicherorte vertraulicher Unternehmensdaten bekannt sind, können sie auch wirkungsvoll geschützt werden. Im Zuge der Erfassung sollte auch gleichzeitig eine Konsolidierung ins Auge gefasst werden, da redundante Speicherung ein unnötiges Gefährdungspotenzial birgt.

2. Sicherheitsrichtlinien festlegen Vertrauliche Daten sollten klassifiziert werden und Sicherheitsrichtlinien unterliegen. Diese werden entsprechenden Mitarbeitergruppen zugeordnet. Es muss genau festgelegt werden, welche Gruppe Zugriff auf welchen Security-Level erhält. So wird der Kreis der Personen, die eine potenzielle Gefährdung darstellen können, stark eingegrenzt.

3. Admin-Accounts vermeiden Wenn neue Mitarbeiter ins Firmennetz eingebunden werden oder neue Hardware ausgerollt wird, kommt es leider häufig vor, dass aufgrund von Bequemlichkeit dort zu umfangreiche Netzwerkzugriffe eingeräumt werden. Diese Admin-Accounts erleichtern zwar der IT-Abteilung die Arbeit dahingehend, dass neuen Kollegen nicht versehentlich der Zugriff auf benötigte Daten verwehrt bleibt, weil ihnen die Rechte dazu fehlen. Die Gefahr ist jedoch, dass die umfangreichen Zugriffsrechte leicht missbraucht werden können.

4. Nutzung von externen Datenträgern einschränken Nicht jeder Mitarbeiter muss in der Lage sein, USB-Sticks oder andere externe Datenträger an seinem Arbeitsplatz zu nutzen. Rechte dazu sollten nur Mitarbeiter erhalten, bei denen das für die Geschäftsprozesse notwendig ist.

5. Remote-Zugriffe regeln Da immer mehr externe Mitarbeiter in deutschen Unternehmen eingesetzt werden, ist es wichtig, deren Zugriff auf das interne Firmennetz genau zu regeln. Es sollten generell keinerlei kritische Zugriffe erlaubt werden, bei denen Daten auf den Haupt-Servern manipuliert werden können. Gespiegelte Systeme schaffen hier die Sicherheit, dass mögliche Malware nicht direkt ins Herz des Firmennetzes implementiert werden kann.

6. Zugriff externer Geräte einschränken Notebooks, Tablets und Smartphones von Außendienstmitarbeitern sollten genauso sorgfältig gesichert und reglementiert werden wie interne Arbeitsplätze. Denn die unkontrollierte Installation neuer Anwendungen durch den jeweiligen Mitarbeiter oder ein unbeschränkter Internetzugriff bergen generell unabwägbare Risiken und sollten somit vermieden werden.

7. BYOD – aber richtig Immer mehr Unternehmen erlauben die Nutzung privater Geräte der Mitarbeiter am Arbeitsplatz. Der Trend zum Bring Your Own Device (BYOD) ist ungebrochen, birgt aber große Risiken. Denn bei umfangreichem Zugriff auf das Firmennetz steigt das Gefährdungspotenzial erheblich. Sinnvoll ist es daher, wenn ein Unternehmen keine Zugriffe durch diese Geräte auf das Intranet zulässt und besser ein getrenntes WiFi-Netzwerk für die Nutzung durch BYOD-Geräte zur Verfügung zu stellt.

8. Sensibilisierung der Mitarbeiter Nur ein Bruchteil des Schadens durch Mitarbeiter wird vorsätzlich herbeigeführt. Häufig geschieht es durch Unkenntnis, dass ein Mitarbeiter Malware in Firmennetz einschleust. Schulungen und Aufklärung helfen, diese Gefährdung deutlich zu verringern.

9. Weniger ist mehr Vielfach werden Daten aus Sorge vor Verlust häufiger repliziert, als es unter dem Aspekt der Sicherheit eigentlich erforderlich ist. Diesen Wildwuchs sollten Firmen eindämmen, weil Redundanz auch gleichzeitig eine weitere mögliche Gefährdung darstellt.

10. Verantwortlichkeiten benennen Um Policies aufrecht zu erhalten ist es wichtig, dass Mitarbeiter sich auch verantwortlich fühlen. Ein entscheidender Schritt ist es daher, dass Verantwortliche für die einzelnen Bereiche benannt werden, um dort die Umsetzung der Policies jederzeit im Auge zu behalten.