IT-Sicherheit

Eingabemaske einer Webseite. Text: Password

Foto: panthermedia.net/jamdesign

In einer zunehmend vernetzten Welt steigt die Abhängigkeit von Computersystemen in vielen Bereichen von Gesellschaft und Wirtschaft. Umso wichtiger ist, dass Funktionalität, Integrität und Sicherheit von Systemen und Daten sichergestellt sind. Zusammengefasst wird dies unter dem Begriff der IT-Sicherheit, den wir nachfolgend näher beleuchten wollen.

Was ist IT-Sicherheit?

Bei einer Definition für IT-Sicherheit oder IT-Security sollte zuerst erwähnt werden, dass es sich um einen Teilbereich der Informationssicherheit handelt. Der Begriff IT-Sicherheit hat dabei, von der englischen Sprache ausgehend zwei unterschiedliche Ausprägungen. Zum einen die funktionale Sicherheit, zum anderen die Informationssicherheit. Erstere beschreibt die Sicherstellung der Funktionalität eines Systems an sich, während zweitere die Sicherheit von Daten umschreibt, die sich auf einem informationsverarbeitenden System befinden (Datenschutz). Dabei gelten drei Schutzziele: Vertraulichkeit, Verfügbarkeit und Integrität.

IT-Sicherheit in Deutschland

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, verantwortlich für alle Anliegen, die IT-Sicherheit betreffen. Die Bundesbehörde gibt in einem jährlichen Lagebericht einen Überblick über aktuelle Entwicklungen und Risiken. Im letztjährigen Bericht geht man auf die schnelle Weiter- und Neuentwicklung von Schädlingen ein.

Das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz (ITSiG) wurde im Jahr 2015 durch den deutschen Bundestag verabschiedet und soll dazu beitragen, kritische Infrastrukturen besser zu schützen. Deswegen gilt es auch als Erweiterung des BSI-Gesetzes. Im IT-Sicherheitsgesetz wurde ein Mindeststandard in Bezug auf die Datensicherheit festgelegt, der von Kommunikationsanbietern, Betreibern kritischer Infrastrukturen und Anbietern von digitalen Diensten eingehalten werden muss.

Das IT-Sicherheitsgesetz 2.0

2019 wurde ein neuer Entwurf vorgestellt, der das Sicherheitsgesetz um neue Inhalte erweitern soll. Im Kern steht das BSI mit neuen und weitreichenden Befugnissen. Diese sollen Beratung, Prävention und Bekämpfung von schadhaften Quellen umfassen. Darunter befindet sich beispielsweise der Zugriff auf Geräte aus dem Internet of things. Sofern diese nicht geschützt sind, sollen die Nutzer entsprechend darauf hingewiesen werden. Außerdem soll die Möglichkeit für die Behörde bestehen, selbst Anpassungen an System vorzunehmen, um deren Schutz sicherzustellen. Auch der Zugriff auf Cloudspeicher und mehr soll möglich sein, um Schäden einzugrenzen oder zu verhindern. Dass es an diesen Stellen derzeit häufig noch mangelt, zeigen auch Angriffe auf kritische Infrastrukturen wie Krankenhäuser.

IT-Sicherheit im Gesundheitswesen

Von Angriffen auf die digitale Infrastruktur von Krankenhäusern hört man immer wieder. So geschehen beispielsweise 2016 in Arnsberg, 2018 in Fürstenfeldbruck oder jüngst in diesem Jahr bei unterschiedlichen Krankenhäusern in NRW und Rheinland-Pfalz. Schadsoftware, die an einem im Netzwerk eingebundenen Rechner heruntergeladen wurden, verbreitet sich schnell auf alle verbundenen Computer und legt den Betrieb lahm. Gefahren bestehen hier nicht nur für den reibungslosen Ablauf, sondern auch für die Daten der Patienten. Diese werden zunehmend digitalisiert und können in die Hände von Angreifen gelangen. Das größte Problem in diesem Zusammenhang ist die Ahnungslosigkeit, mit der häufig agiert wird. Das zeigt sich neben Krankenhäusern auch in vielen Bereichen der Wirtschaft. Dort wurde zumindest damit begonnen, Abhilfe zu schaffen.

IT-Sicherheit in der Wirtschaft

Schon im Jahr 2011 wurde der Schutz der IT-Sicherheit in der Wirtschaft durch die Bundesregierung in den Mittelpunkt gerückt. Zu diesem Zweck gründete das Bundeswirtschaftsministerium die Task Force „IT-Sicherheit in der Wirtschaft“. Die Initiative richtet sich primär an kleine und mittelständische Unternehmen, denen Ressourcen fehlen, um sich näher mit Informationssicherheit zu beschäftigen. Das Angebot umfasst neben Schulungen und Informationsmaterialien auch Überprüfungen. Und laut einer Studie des Wissenschaftlichen Instituts für Infrastruktur und Kommunikationsdienste sind diese Zusatzangebote auch weiterhin erforderlich. In vielen Unternehmen fehlt demnach das Bewusstsein für Gefahren und weitere Maßnahmen sind angeraten. Dieses Bewusstsein fängt schon dabei an, dass Mitarbeitern oft nicht klar ist, wie sie ihren Arbeitsplatz entsprechend absichern können. Dabei gibt es einfache Maßnahmen, die schnell umsetzen und durchführen lassen.

IT-Sicherheit am Arbeitsplatz

In Unternehmen ist es entsprechend wichtig, dass Mitarbeiter bei der Sicherheit an ihrem eigenen Arbeitsplatz mit anpacken. Denn immer häufiger sind Rechner der Mitarbeiter das Einfallstor für Kriminelle, die daraufhin die gesamte Firmeninfrastruktur kompromittieren. Aus diesem Grund ist es wichtig, dass wichtige Grundlagen in Sachen Informationssicherheit bekannt sind. Und das fängt in vielen Fällen bereits beim Umgang mit Mails an. Laut aktueller Erhebungen sind Mails nämlich das Haupteinfallstor für kriminelle. 75 % der Ransomware-Angriffe wurden demnach durch das Öffnen von Mails mit schadhaftem Anhang ermöglicht. Nutzer sollten sich einen Moment Zeit nehmen, um empfangene Mails einem Schnellcheck zu unterziehen, bevor die Nachricht geöffnet wird. Kennt man den Verfasser der Mail und ergeben Betreff und Anhang in Bezug auf die Person Sinn? Ist dies nicht der Fall, sollte die E-Mail nicht geöffnet werden. Sofern möglich, lässt sich der Sachverhalt durch eine Anfrage beim Absender eventuell aufklären. Und nicht nur beim Empfang von Mails können Sicherheitsprobleme auftreten. Auch nach dem Versand könnten Angreifer Nachrichten abgreifen und den Inhalt einsehen. Eine Verschlüsselung sichert den Inhalt vor unbeteiligten Dritten ab. Das alles nützt jedoch nichts, sofern das eigene Passwort ein offenes Geheimnis ist.

IT-Sicherheit bei Konten und Computern

Diese zu notieren und am Platz aufzubewahren ist dementsprechend keine gute Idee. Zettel in der Schreibtischschublade oder an anderen vermeintlich sicheren Orten können einfach gefunden werden. Dass man sich zunehmend komplexere Passwörter allerdings nicht mehr merken kann, ist durchaus verständlich. Deswegen empfiehlt es sich, bei Bedarf auf einen Passwortmanager zurückzugreifen, der sich auf dem Smartphone beispielsweise durch den Fingerabdruck, eine PIN oder ein Masterpasswort entsperren lässt. Lässt sich das Passwort am Arbeitsplatz selbst auswählen, gilt es, eine sichere Phrase zu wählen. Sofern man auf einen Passwortmanager setzt, lassen sich auch sehr komplexe und zufällige Passwörter automatisch erstellen. Andernfalls gilt es, sich ein neues Passwort auszudenken, welches sich gut merken lässt und trotzdem nicht zu einfach ist.

Den Arbeitsplatzrechner absichern

Das bringt allerdings nichts, sofern vergessen wird, den eigenen Computer zu sperren, wenn man seinen Platz verlässt. Dritte haben in diesem Fall möglicherweise Zugriff auf sensible Kundendaten und mehr. Aber auch ohne den direkten Zugriff durch Dritte können Probleme auftreten, wenn beispielsweise fremde oder eigene Speichermedien eingelesen werden. Oft völlig unbemerkt gelangt Schadsoftware auf diesem Weg auf den Computer. Vorsicht sollte auch im Fall der Internetnutzung gelten. Fremde Programm herunterzuladen, Websites zu öffnen und Anmeldungen bei verschiedenen Diensten erhöhen das Potenzial für mögliche Angriffe.

Das könnte sie auch interessieren