Sicherheit der IT-Systeme
Sicherheit IT-Systeme: IT-Security richtig gelebt

Sicherheit IT-Systeme: IT-Security richtig gelebt

Die Sicherheit der IT-Systeme in Unternehmen wird nicht immer so ernst genommen, wie es sein sollte. Dabei helfen technische und organisatorische Maßnahmen und ein IT-Sicherheitskonzept, Kosten zu sparen. Denn die Kosten für hohe Sicherheitsstandards fallen in aller Regel geringer aus als der Schaden, der durch Cyber-Attacken, Datendiebstahl oder -verlust entsteht.

In einem Zweiteiler bringen wir Ihnen deshalb die Sicherheit der IT-Systeme näher: Heute geht es um wichtige IT-Systeme sowie deren Schutzbedarf. In den kommenden Wochen werden in einem zweiten Teil Maßnahmen vorgestellt, die die Informationssicherheit in Ihrem Unternehmen gewährleisten.

Wichtige IT-Systeme und deren Schutzbedarf

Der Begriff Informationssicherheit ist für Viele nicht wirklich greifbar. Im Wesentlichen geht es darum, Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. Was ist zu beachten beim Speichern personenbezogener Daten und wie geht man mit den verbundenen Risiken um? Im Folgenden lernen Sie die wichtigsten IT-Systeme, sowie Probleme und Gefahrenquellen kennen, die einen Einfluss auf deren Sicherheit haben.

Rechenzentrum

Im Rechenzentrum befinden sich wichtige IT-Systeme wie Server, E-Mail-Server, Backup-Server oder Clients. Relevante Begriffe sollen an dieser Stelle kurz erklärt werden:

  • Server: Als Server bezeichnet man einen Computer, der über ein Netzwerk Ressourcen zur Verfügung stellt. Auf der in ein Rechnernetz eingebundenen Maschine laufen neben einem Betriebssystem ein oder mehrere softwarebasierte Server.
  • E-Mail-Server: Bestehend aus mehreren Software-Modulen ermöglicht es ein E-Mail-Server durch deren Zusammenspiel, Mails empfangen, senden, weiterleiten und für den Abruf bereithalten zu können. In aller Regel kommt dabei das Simple Mail Transfer Protocol (SMTP) zum Einsatz. Um auf einen Mailserver zuzugreifen, brauchen Nutzer einen Client. Dieser holt Nachrichten vom Server ab und stellt sie im E-Mail-Postfach zur Verfügung. Abgerufen werden E-Mails via IMAP (Internet Message Access Protocol) oder via POP (Post Office Protocol).
  • Backup-Server: Um eine zentrale Datensicherung durchzuführen, braucht es einen Backup-Server. Hiermit wird also die Verfügbarkeit von Daten gesichert. Es gibt Backup-Server auch als Standby-System. Es finden regelmäßig ein automatischer Datenabgleich zum Backup-Server statt.

Nicht nur Kenntnisse über die verschiedenen IT-Systeme sind vonnöten, um deren Sicherheit zu verbessern und IT-Security richtig zu leben. Auch folgende Begriffe müssen klar sein:

  • Verfügbarkeitsklassen: Gemäß der amerikanischen Beratungsgesellschaft Uptime Institute stuft man in die vier Verfügbarkeitsklassen Tier 1 bis Tier 4 ein. In der niedrigsten Tier 1-Stufe sind jährliche Ausfallzeiten von etwa 29 Stunden möglich. Die Tier 4-Klassifizierung hingegen erlaubt lediglich eine Ausfallzeit von 0,4 Stunden pro Jahr. Europaweit orientieren sich Unternehmen an der DIN EN 506000. Die hier definierte höchste Verfügbarkeitsklasse ist VK 4. Hier werden keine konkreten Ausfallzeiten genannt, es gibt jedoch konzeptionelle Vorgaben für eine “sehr hohe Verfügbarkeit”. Auch das BSI bietet eine Klassifizierung zur Ausfallsicherheit. Die VK4 ist hier mit 99,999 % definiert. Bedeutet in Zahlen: 26 Sekunden monatliche oder 6 Minuten jährliche Ausfallzeit.
  • Ausfallsicherheit: Eine redundant ausgelegte Infrastruktur liefert eine hohe Ausfallsicherheit. Redundanz bedeutet in diesem Zusammenhang, dass Ressourcen, die funktional vergleichbar sind, doppelt vorgehalten werden. Man schafft also Überkapazitäten, damit Hardware-Ausfälle ausgeglichen werden können. Beispiele für eine solche Überkapazität sind zwei Firewalls, mehrere Netzteile oder Cluster von Terminals. Das Ziel sollte sein, eine maximale Funktionsfähigkeit des IT-Systems zu schaffen.
  • Stromversorgung: Beim Betreiben eines Rechenzentrums gehört das Sichern der Energieversorgung zu den zentralen Aufgaben. Kurzzeitige Ausfälle sowie Netzschwankungen können durch batteriegepufferte USB-Anlagen gesichert werden. Idealerweise arbeitet die USV mit einer modularen Architektur. So verhindert man, dass die Gesamtanlage vollständig redundant ausgelegt werden muss. Es können eines oder mehrere USV-Module dafür eingeplant werden, den Ausfall anderer Module abzufangen. Mithilfe eines automatischen Transferschalters (STS – Static Transfer Switch) wird die aktive Energiequelle automatisiert auf den Strompfad geschaltet, sodass die Stromversorgung jederzeit gesichert ist.
  • Kühlung: Auch die Kühlsysteme sind eine kritische Komponente im Rechenzentrum. Überhitzung und mögliche Schäden am Server folgen, wenn die Kälteerzeugung ausfällt. Um höchste Ausfallsicherheit zu gewährleisten, ist es sinnvoll, die IT-Kühlung durch eine USV-Anlage zu ergänzen. So werden Stromspitzen sowie Stromschwankungen ausgeglichen. Im Fachjargon spricht man von “Continuous cooling”. Um im akuten Fall eine Notkühlung herzustellen, kann es ausreichen, die Türen der IT-Racks zu öffnen. So kann Hitzestau verhindert werden. Jedoch soll es beim Ausfall der Kühlung primär darum gehen, die Server zügig und möglichst ohne Datenverlust herunterzufahren. So kann die Hardware vor Folgeschäden geschützt werden.
  • Monitoring: Das Monitoring ist ein weiterer Aspekt auf Hardware-Ebene. Idealerweise wird das Monitoring-System, das die Infrastruktur überwacht, durch eine redundante Stromversorgung gesichert. Zu einem regulären Stromkreis kann das System über Power over Ethernet (PoE) abgesichert werden. Komplett gespiegelte Monitoring-Plattformen bieten höchste Sicherheit.

IT-Anwendungen

IT-Anwendungen sind überall in Unternehmen vertreten: Die Lohn- und Finanzbuchhaltung, die Personalzeiterfassung, Telefonsysteme, Überwachungsanlagen, die Internetseite, Datenbanken usw. Unzureichende Sicherheit macht diese IT-Systeme anfällig für cyberkriminelle Aktivitäten oder Ausfälle. Funktioniert etwa die Website eines Unternehmens nicht, fällt das aufs Unternehmen selbst zurück. In einer Zeit, in der Dienstleister genauso austauschbar sind wie Produkte, ist die Nicht-Erreichbarkeit von IT-Anwendungen fatal.

Büroarbeitsplätze

Cyber-Attacken können jeden treffen – und wenn die Cyberkriminellen in Ihrem Rechenzentrum nicht weiterkommen, dann vielleicht an den Büroarbeitsplätzen? Auch hier helfen diverse Schutzmaßnahmen, mit der Sie die Sicherheit dieser IT-Systeme steigern können:

  • Virenscanner
  • Firewalls
  • Spamfilter für E-Mails
  • regelmäßiges Aktualisieren von Betriebssystemen und (Sicherheits-)Software

Mit diesen Maßnahmen verhindern Sie Einfallstore für Cyber-Kriminelle. Sinnvoll ist es außerdem, Prozesse und Netze mit unternehmenskritischen Daten und jene mit niedrigem Sicherheitsniveau voneinander zu trennen. Es ist weder praktikabel noch wirtschaftlich, allen Daten dasselbe Sicherheitsniveau einzuräumen.

Immer hilfreich ist das elektronische Signieren Ihrer E-Mails. Eine solche Signatur wird an digitalen Dokumenten angebracht, damit die Identität des Signaturerstellers belegt ist. Weiter beweist die Signatur, dass nachträglich keine Daten manipuliert wurden. Die elektronische Signatur sorgt also für Integrität und Authentizität.

Es gibt auch Fälle, in denen der externe Zugriff aufs Firmennetzwerk vonnöten ist, etwa wenn Mitarbeiter im Home-Office arbeiten. Dabei ist es wichtig, dass ein solcher Zugriff nicht zum Einfallstor für Hacker wird. Ein sorgfältiges Zugriffsmanagement sorgt dafür, dass Mitarbeiter ausschließlich jene Daten einsehen und bearbeiten können, die auch für sie bestimmt sind.

Schatten-IT

Die Plug-and-Play-Mentalität kann zum riesigen Problem werden: Werden fremde Geräte einfach so an die Firmeninfrastruktur angeschlossen, können die Daten nicht mehr vom Unternehmen kontrolliert werden. Während intern mit viel Aufwand und teurer Technik versucht wird, Schädlinge und Eindringlinge fernzuhalten, öffnet man unsicheren IT-Systemen die Schleusen für Angriffe und steht vor einem Sicherheits-Leck, dass nur schwer zu stopfen ist.

Das Mitbringen von USB-Sticks, externen Festplatten, CDs oder ähnlichem sollte entweder eingeschränkt oder – noch besser – unterbunden werden. Wissen Sie, an was es den Mitarbeitern mangelt, können Sie Alternativen schaffen und so die Schatten-IT verhindern. Stellen Sie Ihrem Team abgesicherte Tools bereit oder bringen Sie ihm Alternativen nahe.

Wie Sie die Sicherheit Ihrer IT-Systeme erhöhen

Sie sehen: Bei der Sicherheit von IT-Systemen gibt es einiges zu bedenken. Machen Sie sich zunächst mit Begrifflichkeiten vertraut. Entwerfen Sie ein IT-Sicherheitskonzept, welches auch die Risiken mit aufzeigt.

Im nächsten Teil werden wir konkret: Wir stellen Ihnen Maßnahmen vor, mit deren Hilfe Sie die Informationssicherheit in Ihrem Unternehmen gewährleisten können.

3 Replies to “Sicherheit IT-Systeme: IT-Security richtig gelebt”

  1. Wie Sie beschreiben ist die Kühlung eines Servers grundlegend sensibel. Zur Prävention von Schäden durch Überhitzung sollte diese entsprechend ausgelegt werden. Ich finde auch eine Strategie für eine Notsituation bei der Server Kühlung sinnvoll. Vielen Dank für Ihren Beitrag hierzu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*