Die IT stellt in vielen Unternehmen mittlerweile eine weitreichende Infrastruktur zur Verfügung, ohne die der Geschäftsbetrieb kaum aufrechtzuerhalten ist. Dementsprechend ist es wichtig, diese Infrastruktur vor Angriffen zu schützen. Das haben die meisten Firmen erkannt und einen Verantwortlichen für Cybersecurity in die Unternehmensstruktur integriert.
Leider greift diese Massnahme aber oft zu kurz, denn als Verantwortlicher wird häufig ein Mitarbeitender aus der IT-Abteilung bestimmt – dem in der Regel die nötige Zeit und die erforderliche Distanz zu den täglichen Anforderungen in der Abteilung fehlt. Zudem hat er kaum Einfluss auf die Geschäftsführung und kann so wichtige Entscheidungen nicht oder nur mit grosser Verzögerung anstossen. Was also tun, um die Sicherheit der IT-Systeme zu gewährleisten? Es braucht dazu Personal und Methodik. Personell empfehlen wir die Unterstützung durch einen kompetenten Partner. Methodisch kann das NIST-Framework wertvolle Hinweise liefern, um die Cybersecurity im Unternehmen auf ein stabiles Fundament zu stellen.
NIST-Framework – was ist das?
Das US-amerikanische National Institute of Standards and Technology, kurz NIST, hat im Jahr 2014 ein Cybersecurity-Framework veröffentlicht, das vor allem dazu gedacht war, die kritische Infrastruktur von Banken, dem Militär und Ähnlichem vor Angriffen zu schützen. Da das Framework sehr durchdacht ist und zudem lizenzfrei zur Verfügung steht, findet es seit einiger Zeit aber auch vermehrt in anderen Bereichen Anwendung. Es fusst auf fünf Säulen:
- Identify – Erkennung der zu schützenden Systeme
- Protect – Schutz der Systeme
- Detect – Erkennung von Angriffen
- Respond – Abwehr von Angriffen
- Recover – Wiederherstellung nach Schäden
Zu jeder dieser Säulen gibt es detaillierte Informationen zum Aufbau, zum Betrieb und zur Überprüfung der jeweiligen Schutzmassnahmen. So lässt sich der Rahmen für die Sicherheit der IT im Unternehmen abstecken und in der Folge systematisch ausgestalten.
Es gibt bereits einige Sicherheitsmassnahmen im Unternehmen – reicht das nicht?
Haben Sie in Ihrem Unternehmen bereits Massnahmen ergriffen und betreiben beispielsweise einen Virenscanner, ist das sicherlich ein guter erster Schritt. Leider laufen klassische Virenscanner heutzutage oft ins Leere, denn Schadsoftware wird häufig individuell angepasst und so praktisch nur noch einmalig verwendet – die Virenscanner haben also gar keine Möglichkeit mehr, die Malware anhand ihrer Datenbank zu erkennen. Moderne Virenscanner (z.B. Microsoft Defender Trendmicro Advanced Threat Protection, Sophos Intercept-X, Blackberry Cylance) beobachten dagegen das laufende Verhalten auf dem PC und greifen ein, wenn Programme sich verdächtig benehmen. Damit haben sie eine viel höhere Chance, die aktuellen Angriffe (z.B. Emotet) zu erkennen.
Hinzu kommt, dass die Sicherheitsmassnahmen in vielen Unternehmen nur Stückwerk sind. Microsoft bietet zum Beispiel für seine Services eine Multi-Faktor-Authentifizierung (MFA), die jedoch viel zu selten genutzt wird. Und wird das Konto eines Mitarbeitenden gehackt, hilft auch kein Virenscanner mehr. Ohne die MFA ist es aber – zumindest rein statistisch gesehen – 1000 Mal wahrscheinlicher, dass ein unternehmensinternes Benutzerkonto gehackt wird. Für einen wirksameren Schutz müssten also ein moderner Virenscanner und MFA eingesetzt werden – und selbst das reicht bei Weitem nicht aus. Nur wenn alle Sicherheitsmassnahmen perfekt ineinandergreifen, können Sie auf Angriffe und Schadensfälle angemessen reagieren.
NIST-Framework, Cloud-Services und KMU
Falls Sie sich jetzt denken „Ein umfassendes Sicherheitskonzept, das ist für ein kleines Unternehmen wie unseres doch viel zu teuer!“, dann haben Sie grundsätzlich recht – aber nur zum Teil. Denn gerade KMU setzen verstärkt auf die Cloud-Service der grossen Anbieter, und diese nutzen für ihre Services in der Regel ein Sicherheitskonzept, das auf dem NIST-Framework basiert und in vielen Belangen sogar noch darüber hinausgeht. Somit haben Sie eine perfekte Grundlage, um ohne allzu grossen Aufwand die Sicherheit Ihrer IT-Systeme durchdacht und zielgerichtet zu verbessern.
Wo gibt es weiterführende Informationen
Wollen Sie mehr über den Aufbau des NIST-Frameworks erfahren, empfiehlt sich der IKT-Minimalstandard des Bundes, für den das NIST-Framework verwendet wurde. Er ist damit praktisch die schweizerische Entsprechung des US-amerikanischen Vorbilds und liefert Ihnen umfassende Informationen zum Thema Cybersecurity. Die Richtlinien des deutschen Bundesamts für Sicherheit in der Informationstechnik sind ebenfalls empfehlenswert, wenn Sie mehr über die strukturelle Organisation von Sicherheitsmassnahmen erfahren möchten.
UPGREAT – Ihr Partner für IT-Sicherheit
Wollen Sie mehr für den Schutz Ihrer IT-Systeme tun, aber es fehlen Ihnen die zeitlichen und personellen Kapazitäten, Ihre Pläne umzusetzen? Dann sind Sie bei UPGREAT genau an der richtigen Adresse! Wir ermitteln die Situation in Ihrem Unternehmen und entwickeln dann gemeinsam mit Ihnen eine Lösung, die perfekt auf die individuellen Bedürfnisse Ihrer Firma abgestimmt ist. Zudem stellen wir Ihnen sichere und kosteneffiziente IT-Systeme bereit, die von unseren Experten fortwährend überwacht und optimiert werden. So können Sie mit minimalem organisatorischem Aufwand auf eine leistungsstarke Infrastruktur zurückgreifen und werden effektiv entlastet.
