Die digitale Transformation macht Unternehmen angreifbar für Cyber-Attacken. Die Liste der Opfer wächst Tag für Tag und auch digitale Branchengrößen bleiben nicht ungeschoren, wie aktuelle Angriffe auf Twitter, Netflix und Co. zeigen. Dabei werden die Übergriffe immer raffinierter, sind schwerer zurück verfolgbar und häufen sich. Waren Cyber-Attacken bislang oft nur ein lästiges Übel, sind sie heute allgegenwärtig und kosten viel Geld.
Unter Beschuss geraten zunehmend auch mittelständische Unternehmen und damit das produzierende Herzstück der Industriegesellschaften. Auch Firmen in der DACH-Region bleiben nicht verschont. In Deutschland wurde laut einer Mittelstands-Studie der Wirtschaftsberatung PricewaterhouseCoopers (PwC) jedes fünfte Unternehmen bereits einmal Opfer eines Cyber-Angriffs. Im Durchschnitt lag der entstandene Schaden bei 100.000 Euro. Im Einzelfall wurden Betriebe sogar mit Kosten in Höhe von einer halben Million Euro und mehr konfrontiert.
Informationssicherung ist Chefsache
Das Thema Netzsicherheit ist damit in den Führungsetagen angekommen. Umso erstaunlicher, dass sich Firmen laut der PwC-Erhebung nach wie vor häufig auf selbst gestrickte Sicherheitspakete verlassen und Schutzstrategien und -maßnahmen eher unstrukturiert ablaufen.
Dabei muss Informationssicherheit nicht kostenintensiv sein, wenn sie einen risikoorientierten Ansatz verfolgt und sich in erster Linie auf die Verteidigung wesentlicher Unternehmenswerte konzentriert, schlussfolgern die Experten.
Im deutschsprachigen Raum sind Industriespionage und die Absicherung von sensiblem Firmenwissen wie geistigem Eigentum) oder Kundendaten ein zentrales Thema. IT-Abteilungen stehen vor der Herausforderung die vertraulichen Informationen in digitaler Form zu schützen. Die Digitalisierung zwingt Firmen zu einem Perspektivwechsel, denn sie müssen Gefahren innerhalb und außerhalb des Unternehmens gleichermaßen im Blick haben.
Firmen stehen rund um die Uhr unter Beschuss und Angreifer haben sich möglicherweise bereits längst im Netzwerk eingenistet. Akzeptieren müssen Betriebe auch, dass es „echte“ Risiken gibt, die niemals vollständig ausgeschlossen werden können. Mit anderen Risikoarten wiederum sollte man sich rechtzeitig vertraut machen, denn sie werden früher oder später mit hundertprozentiger Wahrscheinlichkeit eintreffen.
Wie kann ein digitales Unternehmen also festlegen, welche Risiken unbedingt ausgeschlossen werden sollen und wo man sich – nach reiflicher Abwägung – gegebenenfalls auf Konsequenzen einstellen will? Und wie können Firmen einen Schutzwall um ihre zentralen Systeme bauen?
Schützenswerte Information identifizieren
Aktuelle Untersuchungen belegen, dass in einer durchschnittlichen Organisation lediglich ein Prozent der gespeicherten Informationen wirklich kritisch ist. 69 Prozent der Unternehmensinformationen könnten hingegen ohne negative Folgen jederzeit gelöscht werden.
Sprichwörtlich „alles“ aufzubewahren bedeutet einen höheren Bedarf an Speicherkapazität und höhere Kosten für Infrastruktur. Im Falle von Rechtsstreitigkeiten steigen zudem die Untersuchungskosten weil Inhalte aus einer Vielzahl von Quellen gesucht, überprüft und bewertet werden müssen. Und angesichts des dramatischen Anstiegs täglich produzierter Inhalte, ist dieser Ansatz weder praktikabel noch wirtschaftlich tragbar.
Nicht jede Information ist gleichwertig produziert, und nicht jede Information birgt das gleiche Risikopotential. Die Rechtezuteilung im Enterprise Information Management (EIM) sichert den Informationszugang nach dem „Need-to-know-Prinzip“, das heißt es werden immer nur jene Zugriffsrechte vergeben, die für die Aufgabenwahrnehmung des Einzelnen notwendig sind.
Mit einfacher Grundlagenarbeit das Restrisiko minimieren
Je mehr Daten in einer Organisation gespeichert und verwaltet werden, umso größer ist das Risiko für Sicherheitslücken und Compliance-Verstöße. Um Informationen zu schützen, gilt es zunächst die fundamentalen Grundlagen perfekt umzusetzen. Die meisten Unternehmen vergessen, dass es im Thema Sicherheit in erster Linie um Grundlagenarbeit und die Konzentration auf das Wesentliche geht.
Erstens: Mitarbeiter müssen geschult werden. Die Hälfte aller Sicherheitsvorfälle ist auf einen Mangel an Bildung und „naives“ Mitarbeiterverhalten zurückzuführen. Auch der aktuelle DsiN-Sicherheits-Monitor Mittelstand 2016, durchgeführt vom Verein Deutschland sicher im Netz e.V. gemeinsam mit der DATEV eG im Auftrag der IT-Gipfel Initiative der deutschen Bundesregierung, bestätigt eine mangelhafte Sensibilisierung und ein fehlendes Verantwortungsbewusstsein von Mitarbeitenden.
Zweitens: Geräte und Systeme brauchen regelmäßige Updates. Ein Viertel der Sicherheitsrisiken geht auf das Konto von veralteter Hardware- oder Software-Ausstattung. Sind beispielsweise noch E-Mail Clients im Einsatz, die nachweislich anfällig sind?
Drittens: Netzwerksysteme wollen geschützt sein. Ist die Netzwerkumgebung definiert und vor Zugriffen geschützt oder sind Zugangswege ungewollt offen? Die Reaktionszeit um Sicherheitslücken zu schließen, ist erfolgskritisch.
Fazit: Zusammen mit dem Investment in eine Enterprise Information Management (EIM) Plattform machen diese einfachen Basismaßnahmen ein Unternehmen bereits zu 95 Prozent informationssicher.
Mit Release 16 definiert OpenText ECM völlig neu
EIM wurde entwickelt, um Informationen dort zu schützen, wo sie verwendet werden: direkt in der Applikation. Es bietet systemintegrierte Sicherheitsmechanismen wie Zugangskontrollen und ein Zugriffsberechtigungs-Management, Möglichkeiten zur Informationsprüfung sowie sicheren Datenaustausch. In der aktuellen Version unserer EIM-Plattform OpenText™ Release 16 wurden die Sicherheitsmaßnahmen noch einmal verstärkt.
Die Nutzer- und rollenbasierte Sicherheit ist applikations-basiert. Zur Verbesserung des Datenschutzes sind ein erweitertes Zugriffsmanagement und Benutzer-Authentifizierung durch Active Directory und Upgrades zu Directory-Services erhältlich. Sowohl gespeicherte Daten als auch die Datenübertragung sind geschützt.
Mit garantierter Netzwerksicherheit, operativer Sicherheit auf Basis von State-of-the-Art-Datenzentren und eingehaltenen Compliance-Standards thematisiert OpenText Governance und Compliance im Enterprise Content Management (ECM), aber es geht um weit mehr als das: Mit Release 2016 definiert OpenText ECM völlig neu.
Hier (Englisch) erfahren Sie mehr über OpenText Release 16.
Dieser Artikel wurde aus dem Englischen übersetzt.