Swisscom Magazin

Wie Unternehmen ihre IT-Sicherheit verbessern

Swisscom Magazin / Andreas Heer

21.11.2019

Unternehmen brauchen einen guten IT-Schutz.
Adobe Stock

Ein Security Assessment beim Zuger KMU Stadler Form hat nicht nur Sicherheitslücken aufgedeckt. Sondern vor allem dem IT-Verantwortlichen aufgezeigt, wie er IT-Sicherheit strategisch angehen und verbessern kann. Erfahrungen und Handlungsempfehlungen, von denen auch andere Unternehmen profitieren können.

Was passiert, wenn man professionelle «Hacker» auf ein Schweizer KMU loslässt? Sie werden Sicherheitslücken finden und sich Zugriff auf Daten und Anwendungen verschaffen können. Genau das ist dem Zuger Unternehmen Stadler Form passiert. Ein Glück, dass es sich bei den Hackern um professionelle IT-Security-Spezialisten gehandelt hat und nicht um Cyberkriminelle mit verbrecherischen Absichten.

Denn Stadler Form hat im Rahmen des Swisscom Wettbewerbs «Win a Hacker» ein professionelles Security Assessment gewonnen. Darin haben die Spezialisten die IT-Infrastruktur mit denselben Tools unter die Lupe genommen, wie sie auch Cyberkriminelle verwenden. Ziel eines solchen Assessments ist es gerade, Sicherheitslücken aufzudecken und zu beheben, bevor kriminelle Angreifer die Schwachstellen finden.

Dabei ist die Situation bei Stadler Form typisch für viele KMU: Die interne Betreuung der IT erfolgt im Nebenjob und ist nur eine von vielen Aufgaben in diesem Fall von Samuel Wyss. Der zudem sehr IT-affin ist, aber kein Informatiker. Ein unfaires Spiel: Auf der einen Seite das KMU mit begrenzten Ressourcen und beschränktem Know-how, auf der anderen Seite hauptberufliche Cyberkriminelle mit vertieftem Wissen. Immerhin, ganz allein ist Samuel Wyss nicht. «Bei Bedarf kann ich auf die Spezialisten unseres IT-Dienstleisters zurückgreifen», erklärt er seine Verstärkung



Kombination von Faktoren als typische Schwachstelle

Das Assessment hilft dabei Samuel Wyss und dem IT-Dienstleister, den Schutz des Unternehmens zu verbessern. «Die Schwachstellen, die wir gefunden haben, sind typisch für ein KMU», fasst einer der Sicherheitsexperten das Ergebnis zusammen. Schwachstellen, die oftmals nicht auf der technischen Ebene zu finden sind, sondern auf der menschlichen. Das grösste Risiko dabei: die Kombination von unsicheren Passwörtern mit weitreichenden Zugriffsrechten. Daniel Aegerter, Security-Spezialist bei Swisscom, erklärt es so: «Wir treffen häufig die Situation an, dass Benutzer mit Administratorenrechten arbeiten. Das erleichtert es einer Malware, sich auszubreiten.» Beispielsweise kann sich die Malware so im System einnisten und versuchen, weiterreichende Rechte zu erlangen, um am Schluss die gesamte IT-Infrastruktur zu kontrollieren.

Ein weiteres Beispiel für eine menschgemachte Schwachstelle: Die meisten Unternehmen haben zwar ein Backup. Aber ob die Sicherungsstrategie noch zeitgemäss ist und ob die Wiederherstellung beispielsweise nach einem Ransomware-Befall auch funktioniert, wird oftmals nicht geprüft.

Und genauso, wie eine Kombination von unsicheren Faktoren ein Sicherheitsrisiko darstellt, kann die Kombination mehrerer Schutzmassnahmen die IT-Sicherheit verbessern. So lautet etwa die Empfehlung der IT-Security-Spezialisten, für die Administration der Systeme nicht nur ein – einzigartiges – Administratoren-Passwort mit mindestens 16 Zeichen zu verwenden. Sondern auch einen Rechner, der nur für die Administration dient und nicht mit dem Internet verbunden ist.

Die Krux mit den Updates

Zu den Aufgaben eines Systemadministrators gehört auch die regelmässige Aktualisierung von Betriebssystemen und Anwendungen, auch Patch-Management genannt. Die Empfehlung von Sicherheitsspezialisten ist dabei eindeutig: Updates sollten installiert werden, sobald sie der Software-Hersteller veröffentlicht. Denn Cyberkriminelle nutzen meist bekannte Lücken, die durch einen aktuellen Patch geschlossen werden.

Das Problem dabei: In KMU betreut oftmals ein IT-Dienstleister die Systeme und sorgt auch für das Einspielen der Updates auf den Servern. Und weil bei Windows-Updates immer wieder Probleme und Inkompatibilitäten bekannt werden, werden manche Updates zuerst getestet. Oder es wird gewartet, bis bekannt ist, dass die Aktualisierung fehlerfrei läuft. Das verzögert auf der einen Seite die Installation von Updates und ergibt ein Zeitfenster, in dem Cyberkriminelle bekannte Lücken ausnutzen können.

Auf der anderen Seite verursachen kürzere Zeitintervalle für Updates Mehraufwand beim IT-Dienstleister, weil die Systeme anschliessend auf reibungsloses Funktionieren überprüft werden müssen. Das schlägt sich in einem teureren SLA (Service Level Agreement) nieder. Stadler Form hat sich entschieden, in diesen sauren Apfel zu beissen, wie Samuel Wyss sagt: «Aufgrund der Ergebnisse des Assessments haben wir die Update-Intervalle verkürzt, auch wenn das teurer ist.»

Strategische Investitionen in die Sicherheit

Die Kosten sind überhaupt bei IT-Sicherheit immer ein Thema. Denn Sicherheitsmassnahmen bringen direkt keinen Mehrwert. Sie können aber Anforderungen aus dem Geschäftsalltag unterstützen. Wenn beispielsweise Aussendienstmitarbeitende von unterwegs auf Unternehmensanwendungen zugreifen müssen, kann eine verschlüsselte VPN-Verbindung für den Schutz vor Attacken sorgen. Auch Samuel Wyss muss Security-Investitionen bei der Geschäftsleitung begründen. «Nur wenn ich den Nutzen fürs Unternehmen darlegen kann», sagt er, «werden die Ausgaben gutgeheissen.»

Samuel Wyss, Stadler Form: «Das Security Assessment hat mir geholfen, die Prioritäten richtig zu setzen.» 
Daniel Brühlmann

Das Security Assessment kam für ihn genau zum richtigen Zeitpunkt. «Ich wusste, dass wir mehr in die Sicherheit investieren müssen», sagt Samuel Wyss. «Aber mir war nicht klar, wie wir die Prioritäten setzen sollen.» Die Ergebnisse des Sicherheits-Checks haben ihm da weitergeholfen. «Ich kenne jetzt die nächsten Schritte und kann begründen, welche Massnahmen notwendig sind», sagt er.

IT-Security, ein Kreislauf

Das Assessment hat Samuel Wyss auch weitergebracht auf dem Weg zu einem strategischen Ansatz für die IT-Sicherheit mit einem systematischen Vorgehen. «Wir müssen die Ursachen angehen», sagt Samuel Wyss. «Beispielsweise, indem wir die Handlungsempfehlungen für sichere Passwörter festlegen und bei den Mitarbeitenden das Bewusstsein für die Bedeutung sicherer Passwörter vorleben

Und auch weitere Security Assessments sind für ihn ein Thema. «Der Nutzen überwiegt die Kosten», sagt er. «Nichts zu machen ist wie gamblen mit der Sicherheit des Unternehmens.»

Dies ist ein Artikel aus dem Swissscom Magazin. Weitere finden Sie hier.

Galerie: Dafür ist VPN gut

Zurück zur Startseite