02. August 2015

IT-Sicherheit in deutschen Unternehmen: Ein Doppelinterview mit Tino Fleischhauer und Patrick Kurtz für das IHK-Magazin

„IT-Sicherheitslösungen vom Ende her denken“

Er ist gewissermaßen ein moderner Sherlock Holmes: Nach dem Studium von Psychologie, Komparatistik und Germanistik hat Patrick Kurtz seine Leidenschaft für Kombination, Deduktion und Analyse zum Beruf gemacht. Als Absolvent des bundesweit einzigartigen IHK-zertifizierten Lehrgangs zur Fachkraft Detektiv an der Sicherheitsakademie Berlin betreibt Kurtz heute an den Standorten Halle und Leipzig seine eigene private Detektei und ist über Kooperationen in 21 weiteren deutschen Großstädten vertreten. Auf dem Feld der Wirtschaftskriminalität spielt für Kurtz und seine Mitarbeiter neben „klassischen“ Fällen wie unlauterer Wettbewerb, Unterschlagung, Lohnfortzahlungsbetrug oder unerlaubte Nebentätigkeit der Bereich der IT-Sicherheit eine immer bedeutendere Rolle.

„Die Angriffe nehmen zu: Gewöhnliche Kriminelle auf der Pirsch nach finanziellem Gewinn, Industriespione auf der Suche nach Wettbewerbsvorteilen und Hacker auf der Jagd nach empfindlichen Daten haben den Cyberspace als neuen und neben der physischen Welt weiteren Betätigungsort entdeckt“, schildert Kurtz. „Leider haben viele Geschäftsführer und Manager das Thema IT-Sicherheit noch nicht ausreichend auf dem Plan, was sich als großer Fehler herausstellen kann: Man rufe sich nur einmal den Grad der heutigen Vernetzung und der Abhängigkeit von IT-Systemen ins Bewusstsein – allein schon mit Blick auf den Verwaltungsapparat, noch nicht einmal hinsichtlich der unmittelbaren Wertschöpfung.“ Und gerade in kleinen und mittleren Unternehmen, die in der Regel über keine eigene IT-Abteilung beziehungsweise bestenfalls über einen Administrator verfügen, werde der Aspekt der Funktionalität gegenüber jenem der Sicherheit (zu) stark in den Vordergrund gerückt: „Wenn etwas funktioniert, ist es schwer zu vermitteln, dass es durchaus trotzdem angreifbar ist und entsprechende Vorkehrungen getroffen werden sollten“, beschreibt IT-Forensiker Tino Fleischhauer, der mit Kurtz zusammenarbeitet, die Krux. „Sicherheit wird oftmals erst dann ein Thema, wenn infolge schlecht geschützter Systeme der Schadensfall eingetreten und seine Folgen die Existenz bedrohen.“

Eine Frage des Geldes

Der Diplomkriminalist und studierte Informatiker besitzt eine jahrzehntelange Beratungserfahrung und weiß, dass „der Schutz der IT-Systeme gerade bei den KMU natürlich vor allem eine Frage des Geldes ist“. Wenn es um Investitionen in IT-Sicherheitslösungen geht, empfiehlt Fleischhauer, „das Ganze vom Ende her zu denken“ und einmal hochzurechnen, wie teuer einen der „Worst Case“, konkret die Beseitigung des Schadens und die Wiederherstellung der vollen Arbeitsfähigkeit, zu stehen kommen würde. Da die jeweils passende IT-Sicherheitsstruktur für Unternehmen von Einzelfall zu Einzelfall individuell sei, rät Fleischhauer zu folgender genereller Vorgehensweise: „Gemeinsam mit einem Experten sollte man eine Risikoanalyse durchführen, das heißt, den unbedingt schützenswerten Kern der unternehmerischen Tätigkeit identifizieren und entsprechende IT-Sicherungsmaßnahmen konzipieren und implementieren.“

Leicht umsetzbare „Essentials“

„IT-Sicherheit beginnt damit, dass man sein System um alle nicht benötigten Teil-Funktionen ,entschlackt’, um keine unnötigen Angriffspunkte und Einfallstore zu bieten.“ Und selbstverständlich seien professionelle Firewalls mit Virenschutz unabdingbar, „wobei ein Unternehmen mit Online-Shop im Internet da ohne Zweifel einen anderen Aufwand zu betreiben hat als jemand, der über ein Virtual Private Network den Kontakt zu seinen Außendienstlern halten will.“ Ein weiterer wichtiger Punkt besteht Fleischhauer zufolge darin, dass man sich bei der Absicherung des Systems niemals nur auf das Minimum beschränkt – etwa indem man einfach ungeprüft jede standardmäßige Voreinstellung (Default) übernimmt. Anders ausgedrückt: „Sie können jedes System so ,hart’ konfigurieren, dass es lange dauert, es zu korrumpieren.“

Der nächste Gesichtspunkt seien die Zugriffsrechte der Mitarbeiter auf die Daten des Unternehmens: „Auch bei KMU sollte sich die Trennung der Geschäftsfelder in der IT-Struktur widerspiegeln“, empfiehlt Experte Fleischhauer. Im Klartext heißt das, dass der jeweilige Mitarbeiter über ein Login per Passwort oder – moderner – per Magnetkarte nur die Freigabe für diejenigen Daten erhält, die für seine Arbeit notwendig sind und „nicht etwa jemand aus der Konstruktion Zugriff auf die Buchhaltung hat oder sich ein Praktikant das gesamte Know-how der Firma auf einen USB-Stick zieht.“ Nicht außer Acht gelassen werden dürfe außerdem, dass Daten ja auch physisch, beispielsweise in Gestalt einer Festplatte, entwendet werden können. „Schon allein deswegen sind permanente Datensicherung und Sicherheitskopien auf voneinander unabhängigen Medien elementar.“

Zugriffsrecht und Tätigkeitsfeld definieren | Administratoren kontrollieren

Außerdem wächst die Kluft zwischen Anwender und „Auskenner“ immer weiter und so werden im Wirkungsbereich des IT-Administrators die meisten Rechte kumulieren, dessen Stellung ist eine absolute Vertrauensposition. Von daher gelte es, bereits bei der Einstellung von IT-Administratoren ganz besondere Sorgfalt walten zu lassen und den Werdegang des Bewerbers penibel gegenzuchecken. „Zudem sollten im Arbeitsvertrag ganz unmissverständlich Ausmaß, aber auch Grenzen des Tätigkeitsgebietes des Administrators definiert werden. Das kann zwar nicht verhindern, dass sich Admins mitunter quasi eine eigene Welt schaffen und ,Hintertürchen’ ins System einbauen, die ihnen im Falle des – gegebenenfalls unfreiwilligen – Ausscheidens aus der Firma noch Zugriff auf sensible Daten erlauben, gibt einem aber im Missbrauchsfall eine klare juristische Handhabe“, ergänzt Tino Fleischhauer.

Mitteldeutsche Wirtschaft

Beitragsverfasser: Andreas Löffler

Magazin der Industrie- und Handelskammer Halle-Dessau

23. Jahrgang Nr. 5/2014

Franckestraße 5

06110 Halle (Saale)

Kurtz Detektei Halle

Inh. Patrick Kurtz

Delitzscher Straße 73a

06116 Halle (Saale)

Tel.: 0345 2194 0000

Mobil: 0163 8033 967

Mail: kontakt@detektei-kurtz.de

Web: http://www.detektei-kurtz.de

Mit Facebook verbinden

Tags: IT-Sicherheit, IT-Forensik, Betriebsspionage, Sicherheitslücken, Industriespionage, Wirtschaftsspionage, Abhörschutz, Abhörangriffe, Lauschangriffe, Risikoanalyse, Detektei, Detektiv, Privatdetektiv, Wirtschaftsdetektei, Halle, Admin-Rechte

Kommentar schreiben

Kommentare: 2

Aaden Wirtschaftsdetektei Leipzig

(Samstag, 18 Juni 2016 04:20)

Gelungener Artikel der IHK! http://www.aaden-detektive-leipzig.de/2016/04/29/personensuche-wegen-tödlichem-skiunfalls-führt-nach-chemnitz/

Detektei Kurtz

(Dienstag, 10 Januar 2017 23:33)

Der Artikel ist auch abrufbar unter https://detekteikurtz.wordpress.com/2014/05/23/die-kurtz-detektei-halle-im-ihk-magazin-mitteldeutschland/.

Name: *
Eintrag: *

Kurtz Detektei Halle

Cloppenburger Straße 33

06126 Halle

Tel: 0345 2194 0000

Mobil: 0163 8033 967

E-Mail: kontakt@detektei-kurtz.de

Montag bis Freitag: 08:00-20:00

Die Detektei Kurtz unterstützt seit 2016 ununterbrochen die well:fair Neven Subotic Stiftung, die Kindern in armen Regionen Zugang zu Wasser und Bildung verschafft.

Datenschutz Detektei; Magdeburg Detektiv, Merseburg Privatdetektiv, Halle Detektei

*Hinweis: Alle Einsätze der Kurtz Detektei Halle werden von der Cloppenburger Straße in Halle (Saale) aus durchgeführt. Bei anderen auf dieser Domain beworbenen Einsatzorten oder -regionen handelt es sich weder um örtliche Niederlassungen noch um Betriebsstätten der Kurtz Detektei Halle, sofern nicht explizit anders ausgewiesen. Wir können Ihnen bundesweit günstige Anfahrtspauschalen bieten, Gleiches gilt für zahlreiche Regionen im Ausland. In ländlichen Gebieten erfolgt die Berechnung in der Regel von der nächstgrößeren Stadt. Weitere Informationen zu den Honoraren finden Sie hier und zu den Einsatzorten hier.