IT-Sicherheit für Logistikunternehmen

IT-Sicherheitskonzept

Was ist ein IT-Sicherheitskonzept?

Ein IT-Sicherheitskonzept definiert das übergeordnete strategische Ziel, das mit der Einführung eines ISMS (Informationssicherheitssystems) erreicht werden soll. Dabei geht es noch nicht um die konkrete Umsetzung, sondern um die Auswahl der technischen Mittel zum Schutz der Informationen. Außerdem wird festgelegt, welche Standorte oder Prozesse abgesichert werden sollen.

Steht das Grobkonzept, können die Details ausgearbeitet werden. Dazu sind in der Regel verschiedene Analysen notwendig, wie z. B. Analyse der IT-Infrastruktur, die Schwachstellenanalyse oder die Bestandsanalyse.

Diese Analysen dienen dazu, spezifische Richtlinien zu definieren. Diese Richtlinien umfassen Maßnahmen, die in den täglichen Arbeitsabläufen umgesetzt werden sollen. Beispielsweise wird geregelt, welche Firewall-Einstellungen vorzunehmen sind, wie lang Passwörter sein müssen oder ob Smartphones privat genutzt werden dürfen.

Wozu brauchen Maschinenbauer ein IT-Sicherheitskonzept?

Viele Unternehmen aus dem verarbeitenden Gewerbe gehen davon aus, dass eine Cyber-Versicherung einen ausreichenden Schutz für IT-Systeme und Daten gewährleistet. In der Tat kann eine Cyber-Versicherung die finanziellen Schäden, die dem Unternehmen nach einem erfolgten Cybervorfall entstehen, begrenzen. Die tatsächliche Anzahl an Angriffen bleibt jedoch unverändert hoch. Als Präventionsmaßnahme ist eine Cyber-Versicherung daher gänzlich ungeeignet. Sie ist auch kein Ersatz für eine umfassende und durchdachte IT-Sicherheitsstrategie.

Gerade mittelständische Unternehmen im Fertigungssektor sollten sich bewusst sein, dass die wichtigste Basismaßnahme gegen Cyberkriminalität nach wie vor die Investition in geeignete technische und organisatorische Maßnahmen ist, also ein durchdachtes IT-Sicherheitskonzept inklusive Backup-Strategie und Notfallplan.

Produzierende Unternehmen sind aufgrund ihrer sensiblen Daten und ihrer engen Vernetzung mit Geschäftspartnern ein attraktives Ziel für Cyber-Angriffe, insbesondere Zulieferer der Automobilindustrie. Sie müssen große Datenmengen sicher verwalten und sind häufig stark vernetzt.

Anhand einer Risikoanalyse ist es möglich, ein durchdachtes IT-Sicherheitskonzept zu entwickeln und eine erste Absenkung des Risikoniveaus zu erreichen. Die eigentliche Risikominderung erfolgt jedoch erst durch die Umsetzung und das Zusammenwirken von technischen und organisatorischen Maßnahmen, die sich aus den Zielen des IT-Sicherheitskonzeptes ableiten.

Dennoch bleibt ein erhebliches Risiko bestehen, wenn einen durchdachte Notfallplanung fehlt.

Das heißt also:
Erst wenn diese drei Bausteine der IT-Sicherheit – Risikoanalyse, IT-Sicherheitskonzept und Notfallplan – abgearbeitet sind, kann das Restrisiko auf eine Cyber-Versicherung übertragen werden.

Cookie Einstellungen

Ihr Weg zur IT-Sicherheit: Informationssicherheitsmanagementsysteme

Das Konstrukt “IT-Sicherheit” ist in Unternehmen ähnlich wie eine Pyramide aufgebaut.   Basis der gesamten IT-Sicherheit ist die Dokumentation. Dazu gehören Betriebshandbücher, Sicherheitshandbücher, Standards sowie Installations- und Organisationsanleitungen.   Das IT-Sicherheitskonzept bzw. das ISMS (Informationssicherheitsmanagementsystem) betten sich in die Mitte dieser Pyramide ein. Diese Mittelschicht wird auch als Sicherheitsarchitektur bezeichnet. Ein ISMS wird in der Regel mithilfe bewährter Maßnahmenkataloge und Rahmenwerke wie ISO 27001, IT-Grundschutz (BSI) oder CISIS12 errichtet.   Die Spitze der Pyramide bilden die von der Geschäftsleitung herausgegebenen allgemeinen Leitlinien zur IT-Sicherheitspolitik des Unternehmens.   

IT-Dokumentation

Basis des Informationssicherheit-Managementsystems (ISMS) ist die IT-Dokumentation. Damit das ISMS ordnungsgemäß funktioniert, müssen Dokumente gelenkt, freigegeben und klassifiziert werden. 

Aus Gründen der Vertraulichkeit dürfen das IT-Betriebshandbuch und das IT-Notfallhandbuch nur für berechtigte Personen zugänglich sein. Eine weitere Schlüsselmaßnahme ist, die Dokumente zusätzlich auch in analoger Form an einem sicheren Ort zu verwahren. So sind zentrale Informationen vor einem Hackerangriff geschützt und bleiben zugänglich, auch wenn die Server im Unternehmen zur Abwehr eines Cyberangriffs zeitweise heruntergefahren werden müssen. 

Um einen störungsfreien IT-Betrieb zu gewährleisten, ist es gute Praxis, Leitlinien zur Datensicherheit zu veröffentlichen sowie entsprechende Nachweise über deren Einhaltung vorzuhalten. Aufgrund des strukturierten Aufbaus der IT-Dokumentation haben die Leitlinien einen direkten Einfluss auf die geforderten Referenzdokumente der CISIS12. 

IT-Sicherheitshandbuch

Auch für kleine und mittlere Logistikunternehmen bietet es sich an, mit einem IT-Sicherheitshandbuch zu arbeiten, da es alle relevanten Informationen zu IT-Sicherheit und rechtlichen Rahmenbedingungen bündelt und detailliert beschreibt. Damit wird das im Unternehmen erarbeitete Wissen zur IT-Sicherheit gesichert.    Das Handbuch richtet sich an die Unternehmensleitung und/oder den IT-Verantwortlichen und kann folgende Kapitel enthalten:  Strategische Überlegungen  Personelle Maßnahmen  Netzwerksicherheit  Schutzmaßnahmen  Datensicherung  Rechtliche Anforderungen    Aufgrund der sensiblen Informationen, die das IT-Sicherheitshandbuch enthält, sind entsprechende Zugriffsschutzmaßnahmen in Form einer sicheren Aufbewahrung bzw. eingeschränkter Zugriffsrechte zu treffen.   

Vorteile eines Informationssicherheitsmanagementsystemes

Wurde ein Unternehmen Opfer eines Cyber-Angriffs, ist es gesetzlich verpflichtet, der Landesdatenschutzbehörde den Datenverlust zu melden. Darüber hinaus muss es entsprechende Veröffentlichungspflichten erfüllen.   Ein IT-Sicherheitskonzept in Verbindung mit einem ISMS kann dazu beitragen, dass es gar nicht erst so weit kommt, denn dieses System sorgt dafür, dass Sie Ihre IT-Systeme und das Wissen Ihrer Mitarbeiter möglichst effizient gegen Cyberangriffe und Industriespionage schützen.  Um das ISMS aufzubauen, stehen Unternehmen verschiedene Werkzeuge zur Verfügung. Diese können je nach Unternehmensgröße, verfügbaren Ressourcen und Zielen angewendet werden. Während die umfangreiche ISO 27001 hauptsächlich von international tätigen Konzerne verwendet wird, bietet sich für Mittelständler die CISIS12 an. In bestimmten Branchen werden zudem spezifische IT-Standards verlangt, z. B. eine Zertifizierung nach TISAX.    Auf einen Blick:   Vorteile des IT-Sicherheitskonzepts  Leitfaden: Ein Sicherheitskonzept kann als Leitfaden zum Erkennen und Reduzieren von Sicherheitslücken in Bezug auf Cyberattacken verstanden werden.     Schutz von Unternehmensdaten: Durch die Umsetzung von technischen und organisatorischen Maßnahmen werden Unternehmensdaten vor unberechtigtem Zugriff, Diebstahl oder Verlust geschützt.     Reduzierung des Haftungsrisikos: Im Falle eines Cyberangriffs mit Datenabfluss können neben Schadenersatzforderungen von Kunden (Verletzung der Vertraulichkeit) auch persönliche Haftungsrisiken aus der Geschäftsführerhaftung reduziert werden.    Kontinuierlicher Verbesserungsprozess: Nur, wenn Sie sich regelmäßig mit Ihren technischen und organisatorischen IT-Sicherheitsmaßnahmen auseinandersetzen, erreichen Sie langfristig eine Verbesserung Ihres IT-Sicherheitsniveaus.     Notfallmanagement: Erst wenn Sie einen Notfall durchgespielt haben, wissen Sie, an welchen Stellschrauben Sie im Ernstfall drehen müssen. So stellen Sie die Verfügbarkeit und Zuverlässigkeit Ihrer IT-Systeme sicher.    Imagegewinn: Ein hohes IT-Sicherheitsniveau kann bei Ausschreibungen zu Wettbewerbsvorteilen führen. Dies kann sich positiv auf Ihr Angebot auswirken.   

Technische Schutzmaßnahmen

Netzwerkabsicherung

Die Netzwerkabsicherung dient dem Schutz des Netzwerks vor unbefugtem Zugriff und Missbrauch, aber auch vor Datenverlust, der aus Mitarbeiterversagen entstehen kann.  Zu den wichtigsten Maßnahmen der Netzwerkabsicherung gehören Authentifizierungs- und Autorisierungsmechanismen, Firewalls, Einrichten einer Netzwerküberwachung, Nutzung von Verschlüsselungstechnologien, Pflege des Systems durch regelmäßige Updates sowie Schulung und Sensibilisierung der Mitarbeiter.  Sie sollten daher folgende konkrete Schritte unternehmen:  Schutz der Infrastruktur (Zero-Trust / Zertifikate / TLS / DMZ aufbauen)  Konfiguration der Firewall (offene Ports überprüfen)  Monitoring des Netzwerkverkehrs einrichten  Datenzugriff durch gestaffelte Benutzerrechte einschränken  USB-Restriktionen etablieren (Nur per Seriennummer freigegebene USB-Sticks erhalten Zugriff)  Makros per Default deaktivieren (Makros sind Einfallstore für Trojaner)   

Firewall-Architektur & Paketfilter

Eine Firewall ist eines der wichtigsten Systeme, die das interne Firmennetzwerk vor Angriffen aus dem öffentlichen Netz schützen.     Ausschnitt von Firewall-Aufgaben:  Zugangskontrolle auf Netzwerk- / Benutzerebene  Prüfung der ein- und ausgehenden Daten durch Paketfilter  VPN (Datenverschlüsselung)  Protokollierung   Verbergen der internen Netzstruktur  (Nach außen ist nur eine IP-Adresse sichtbar.)   

Monitoring

Angriffe auf ein Firmennetzwerk sollen möglichst früh erkannt werden, um Gegenmaßnahmen einleiten zu können. Oftmals halten sich Angreifer über Monate in einem Firmennetzwerk auf und ziehen in dieser Zeit große Datenmengen ab.   Eine weitere Gefahr sind fehlende Back-ups aus der Zeit vor der Infiltration des Firmennetzwerks, da die betroffenen Systeme dann von Grund auf neu aufgebaut werden müssen. Daher soll an dieser Stelle auf die Bedeutung funktionierender Back-ups verwiesen werden.  Ungewöhnliches Verhalten wie Portscans oder Zugriffe von unsicheren Webservern können durch Intrusion-Detection-Systeme (IDS) erkannt werden. Gelingt es Angreifern, die Firewall zu überwinden, soll das IDS als Überwachungssystem zudem Manipulationen erkennen. Es dient also dem Schutz gegen externe als auch gegen interne unbefugte Zugriffe oder Manipulationen.  Wichtig ist dabei, dass das IDS nicht erst installiert wird, wenn bereits ein Angriff läuft, da das System einen Sollzustand ermitteln muss, um Abweichungen erkennen zu können. 

WLAN-Schutz

Der WLAN-Schutz in Unternehmen ist ein wichtiger Aspekt der Netzwerkabsicherung, da drahtlose Netzwerke anfällig für Angriffe von außen sind. Wussten Sie, dass ein auf dem Firmengelände versteckter Laptop Ihr WLAN-Kennwort innerhalb weniger Stunden knacken kann?  Sorgen Sie für eine starke Authentifizierung mit sicheren Passwörtern.  Ihr Firmenname ist keine gute Idee als Passwort.  Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff auf das WLAN-Netzwerk haben. Verwenden Sie starke Authentifizierungsmethoden wie WPA3 (Wi-Fi Protected Access 3) statt unsichere Protokolle wie WEP (Wired Equivalent Privacy). Verwenden Sie komplexe Passwörter und ändern Sie die Standard-SSID (Service Set Identifier) des Netzwerks.    Trennen Sie das WLAN vom Firmennetzwerk und richten Sie separate Netzwerkzonen für mobile Endgeräte und Gäste ein.  Mit VLANs (Virtual Local Area Networks) können Sie das WLAN vom restlichen Unternehmensnetzwerk segmentieren und das Ausmaß eines potenziellen Angriffs begrenzen.    Aktivieren Sie die Verschlüsselung für das WLAN mit AES (Advanced Encryption Standard), um die Vertraulichkeit der übertragenen Daten zu gewährleisten.   Richten Sie ein Monitoring ein, das Sie über Anomalien informiert.  Schulen Sie Ihre Mitarbeiter, um Cyber-Attacken vorzubeugen, und aktualisieren Sie regelmäßig die Firmware Ihrer WLAN-Geräte, um Sicherheitslücken zu schließen. 

E-Mail-Verschlüsselung

Sie haben große Stammkunden?  Stellen Sie sicher, dass nur der beabsichtigte Empfänger Ihre E-Mail-Nachricht lesen kann und richten Sie eine verschlüsselte E-Mail-Kommunikation ein.   Achten Sie darauf, dass der Inhalt mit S/MIME oder PGP verschlüsselt wird. In Office 365 kann dies mit der entsprechenden Lizenz eingerichtet werden.     Indem Sie die E-Mail-Verschlüsselung nutzen, erhöhen Sie Ihre Vertrauenswürdigkeit als Geschäftspartner und bieten Ihren Kunden einen professionellen Service.   Gleichzeitig schützen Sie sich als Empfänger von E-Mails, denn durch die Verschlüsselung können Sie sicherstellen, dass eingehende E-Mails vom richtigen Absender stammen und dass der Inhalt der E-Mail während der Übertragung nicht manipuliert wurde.    Es gibt zwei grundlegende Arten der E-Mail-Verschlüsselung. Bei der symmetrischen Verschlüsselung wird derselbe Schlüssel zum Verschlüsseln und zum Entschlüsseln der Nachricht verwendet. Bei der asymmetrischen Verschlüsselung werden hingegen verschiedene Schlüssel verwendet: ein öffentlicher Schlüssel zum Verschlüsseln der Nachricht und ein privater Schlüssel zum Entschlüsseln. Hierbei kommt auch häufig eine PKI (Public Key Infrastructure) zum Einsatz. Diese stellt Zertifikate bereit, anhand derer sich die Kommunikationspartner gegenseitig verifizieren können.  

Mobile Device Management (MDM)

Ein Mobile Device Management (MDM) ist eine Softwarelösung, die Unternehmen und Organisationen bei der Verwaltung und Kontrolle mobiler Geräte wie Smartphones, Tablets und Laptops unterstützt. MDM ermöglicht es IT-Administratoren, mobile Geräte zentral zu konfigurieren, zu überwachen, zu sichern und zu aktualisieren. Dadurch wird das Risiko von Sicherheitsverletzungen minimiert.  

Typische Funktionen

Fernkonfiguration von Geräten   Verwaltung von Anwendungen und Einstellungen   Überwachung von Gerätenutzung und -aktivitäten   Implementierung von Sicherheitsrichtlinien  Fernlöschvorgänge bei Verlust oder Diebstahl von Geräten   Verwaltung von Updates und Patches    Eine professionelle MDM-Software muss sich in die IT-Struktur des Unternehmens integrieren lassen und Möglichkeiten zur Protokollierung und zum Reporting bieten. Notwendige Funktionen sind Sicherheits-Features (SSL, sichere Passwörter, YubiKey), die Zugriffsrechteverwaltung als auch die Lokalisierung, Sperrung und Löschung eines Geräts. 

Vorteile und Nachteile von Mobile Device Management

Vorteile  Nachteile  Zentrale Verwaltung verschiedenster mobiler Geräte    MDM-Lösungen sind häufig komplex und teuer    Inventarisierung aller mobilen Geräte    Admins benötigen technisches Fachwissen     Administratoren können Endgeräte aus der Ferne sperren, löschen    Verwaltung einer großen Anzahl von Geräten kann einen erheblichen Verwaltungsaufwand bedeuten  Trennung von Firmen- und Privatdaten (evtl. mit Containerlösung für die Daten)  wenn verschiedene Mitarbeiter unterschiedliche Geräte verwenden, ergeben sich eventuell Herausforderungen in Bezug auf Kompatibilität  Integration unterschiedlicher Betriebssysteme in die Unternehmens-IT    Zu viel Transparenz und Kontrolle könnte mit DSGVO kollidieren    Einfaches Ausrollen von Policies    GPS-Ortung von Mitarbeitern kann Verstöße gegen die DSGVO verursachen  Whitelisting    Wenn private Nutzung der Geräte erlaubt ist, könnten Mitarbeiter möglicherweise das Gefühl haben, dass ihre Privatsphäre beeinträchtigt wird.  Monitoring      Reduzierte Kosten und reduzierter Administrationsaufwand      Unternehmensweite Sicherheitsstandards werden eingehalten      Virenverseuchte Anhänge werden gefiltert      Ein gut durchdachtes MDM leistet einen wichtigen Beitrag zur Datensicherheit in Ihrem Unternehmen. Daher sollten Sie sich fragen, welches Schadensausmaß bei einem IT-Sicherheitsvorfall zu erwarten ist.   Bereits eine kurze Analyse überzeugt die meisten Geschäftsführer davon, dass die Vorteile eines MDM-Systems die potenziellen Einschränkungen überwiegen. 

Mobile Security

Mobile Endgeräte sind aus dem Alltag nicht mehr wegzudenken. Aufgrund der unterschiedlichen Plattformen und der Tatsache, dass die mobilen Endgeräte außerhalb der Firewall des Unternehmens mit dem Internet verbunden sind, ist hier besonders stark auf entsprechende IT-Sicherheitsmaßnahmen zu achten.    Übergeben Sie Ihren Mitarbeitern mobile Endgeräte, sollten Sie gleichzeitig die IT-Sicherheitsrichtlinien für mobile Endgeräte aushändigen und sich durch Unterschrift bestätigen lassen, dass die Richtlinien gelesen und verstanden wurden.     Wirksamer als das Aushändigen von Richtlinien sind entsprechende Mitarbeiterschulungen. 

Plattformen Android vs. OS

Ein Bild, das Diagramm enthält. Automatisch generierte Beschreibung Wirksamer als das Aushändigen von Richtlinien sind entsprechende Mitarbeiterschulungen. Ein Bild, das Text enthält. Automatisch generierte Beschreibung Ein Bild, das Diagramm, Tortendiagramm enthält. Automatisch generierte Beschreibung

Zugriffskontrolle

Bei Verlust eines USB-Sticks, Smartphones, Tablets oder Laptops muss sichergestellt werden, dass Unbefugte keinen Zugriff auf die darauf gespeicherten sensiblen Daten erhalten. Sensible Daten können neben Informationen aus E-Mails auch gespeicherte Passwörter oder Bankdaten sein. Daher sollten neben dem Passwort auch die Daten verschlüsselt gespeichert werden. Ist ein Mobile Device Management (MDM) eingerichtet, können Smartphones und Laptops geortet und Daten aus der Ferne gelöscht werden.    Praxisbeispiel Verlust eines Mobiltelefons  Für den Fall eines Mobiltelefonverlusts gibt es unterschiedliche Szenarien, wie kritisch der Verlust sein könnte. Wir gehen in unserem Beispiel davon aus, dass es sich um einen digital affinen Geschäftsführer handelt, der ein Android-Telefon besessen hat.  In diesem Fall sind ggf. folgende Daten aus dem Smartphone gespeichert:  E-Mail-Verkehr mit Geschäftskunden   Kalender mit privaten und geschäftlichen Terminen  Zugangsdaten im Passwortmanager  Kreditkarteninformationen für das Bezahlen per Smartphone  Personaldaten, da unterwegs aus der Cloud Daten heruntergeladen wurden  Browserverlauf  Je nachdem, wie gut das Smartphone abgesichert war, kann ein gewiefter IT’ler unterschiedliche Mengen an Informationen auslesen. Hacker würden in diesem Fall die Daten im Dark-Net zum Verkauf anbieten.     Im besten Fall haben Sie die Daten verschlüsselt gespeichert.    Bei einem geschlossenen System (z. B. wie es bei Apple entwickelt wurde) wäre es nach aktuellem technischen Stand nicht möglich, ohne Key auf diese Daten zuzugreifen. Das iPhone lässt sich bei entsprechender Konfiguration orten, bei neueren Modellen sogar im ausgeschalteten Zustand. Neben einer Funktion, auf dem Mobiltelefon einen Hinweis auf den Verlust inkl. Kontaktmöglichkeiten zum Eigentümer einzuspielen, besteht auch die Option, alle Daten aus der Ferne zu löschen.

Bring your own Device (BYOD)

Da heute 99 % aller Mitarbeiter ein eigenes Smartphone besitzen, liegt es nahe, dass gerade für Lkw-Fahrer kein Firmenhandy angeschafft wird, sondern die Kommunikation über die privaten Geräte der Mitarbeiter erfolgt.     Dabei ist zu berücksichtigen, dass der Aufwand für die IT-Sicherheit bei privaten Geräten deutlich höher ist und sich die technischen Schutzmaßnahmen zudem je nach Plattform (iOS oder Android) unterscheiden.    Außerdem wird aufgrund der begrenzten Displaygröße eines E-Mail-Clients nur der Absendername und nicht die tatsächliche E-Mail-Adresse angezeigt. Dies kann leicht dazu führen, dass ein Mitarbeiter unbewusst eine schädliche E-Mail öffnet.    Folgende Gefahren können sich aus einer BYOD-Politik ergeben:    Integration eines Mobile Device Management (MDM) ist nur eingeschränkt möglich à ohne MDM keine zentrale Steuerung  keine Garantie für aktualisierte Firmware à Sicherheitslücken   keine Vorauswahl von Apps  keine einheitlichen Kommunikationswege  keine Kontrolle über privat installierte Apps  Firmendaten aus E-Mails werden beim Öffnen auf privaten Endgeräten gespeichert, keine Garantie der Löschung der Daten à Herausforderung DSGVO  bei Geräteverlust ist der Zugriff auf die Daten eines Smartphones mit Android-Betriebssystem durch USB-Debugging leicht möglich      Wenn die Unternehmenspolitik dennoch vorsieht, dass Mitarbeiter private Geräte für dienstliche Zwecke nutzen, muss im Hinblick auf die IT-Sicherheit davon ausgegangen werden, dass es sich um völlig unsichere Geräte handelt. Zum Schutz der Unternehmensdaten sind dann folgende Maßnahmen zu ergreifen:    Zugriffsschutz  Sichere Passwörter oder Muster    Verschlüsselung   Sensible Daten sind verschlüsselt zu speichern    „Überwachung“  Mittels MDA oder spezieller Software sollte eine Fernlöschung sensibler Daten sowie eine GPS-Ortung des Geräts ermöglicht werden à Dies ist jedoch datenschutzrechtlich sehr bedenklich.

Telearbeit oder Home-Office nur mit VPN nutzen

VPN steht für “Virtual Private Network” und ist eine Technologie, die eine sichere Verbindung über ein öffentliches Netzwerk wie das Internet herstellt. Ein VPN ermöglicht es Benutzern, ihre Internetverbindung zu verschlüsseln und ihren Datenverkehr durch einen privaten Tunnel zu leiten, der sie vor unbefugtem Zugriff schützt.    Wenn Sie aus dem Homeoffice oder in einem ICE surfen, schützt Sie solch ein VPN davor, dass Dritte Ihre übermittelten Daten mitlesen können. Weitere Vorteile sind, dass Ihre IP-Adresse und Ihr Standort verborgen bleiben. 

Gefahr durch Apps

Auf dem PC im Büro und auf Laptops ist der Einsatz von Antivirensoftware selbstverständlich. Bei Smartphones scheinen viele Nutzer diese Gefahr zu unterschätzen oder die Kosten für zusätzliche Lizenzen zu scheuen. Durch den leichten Zugang zu interessanten Apps können sich auf dem Gerät jedoch ebenso leicht auch Trojaner einschleichen. Manchmal reicht dafür schon das Update einer vertrauenswürdigen App.     Über den Trojaner werden dann Daten mitgelesen. Bevorzugt wird auf die E-Mail-Kommunikation zugegriffen, denn für einen Hacker ist es dann ein Leichtes, eine E-Mail mit einem Trojaner in das Unternehmensnetzwerk einzuschleusen.        Was sollten Sie konkret tun, um Ihre mobilen Endgeräte abzusichern?    Keine privaten Geräte in das Firmennetzwerk integrieren  Datenträger mit Bitlogger oder per PIN verschlüsseln  Mobiles Gerätemanagement (MDM) nutzen  Zeitlich begrenzte Zugänge für Subunternehmer einrichten (Access Token)  Zugriff auf sensible Daten nur per Zwei-Faktor-Authentifizierung

Organisatorische Schutzmaßnahmen

Es ist essenziell, dass die technischen Maßnahmen im Einklang mit den organisatorischen Maßnahmen stehen. Erst dann haben Sie Ihre IT-Sicherheit tatsächlich im Griff. Um dies zu erreichen, sind sowohl die Unternehmensprozesse als auch die dazugehörigen Schnittstellen zu analysieren, um dann auf dieser Grundlage die Frage zu beantworten, welche Systeme miteinander kommunizieren müssen. Durchgeführt und umgesetzt werden diese Analysen beispielsweise bei der Implementierung eines ISMS.  Nachfolgend fassen wir die wichtigsten organisatorische Schutzmaßnahmen zusammen, die dafür sorgen, dass Sie Cyber-Angriffe auf Ihr Logistikunternehmen abwenden können.   

Management

Es sollte selbstverständlich sein, dass das Management hinter dem IT-Sicherheitskonzept steht und die notwendigen Mittel und Ressourcen zur Verfügung stellt. Neben dem Geltungs- und Anwendungsbereich müssen Verantwortlichkeiten geregelt und Entscheidungsbefugnisse für den Notfall klar definiert sein. Da die Absicherung der IT-Systeme keine einmalige Aufgabe ist, sollte ein Informationssicherheits-Managementsystem (ISMS) eingeführt werden, um ein kontinuierlich hohes IT-Sicherheitsniveau zu gewährleisten.  Voraussetzung dafür, dass Mitarbeiterinnen und Mitarbeiter die Vorgaben auch tatsächlich einhalten, ist zunächst einmal eine entsprechende Schulung zu den Auswirkungen und Konsequenzen ihres Handelns. Gerade bei der Anpassung von Prozessen, dem Arbeiten aus dem Homeoffice oder der Nutzung der Cloud führen nach Ansicht von Verhaltensforschern allerdings nur Belohnungen und Bestrafungen zum gewünschten Verhalten.   Weitere Herausforderungen bringen die unterschiedlichen Generationen mit sich. Digital Natives sind digital affin und sehr offen, ihre Daten zu teilen. Dem stehen die älteren Generationen mit viel Expertenwissen gegenüber, die sehr wenig von ihren privaten Daten preisgeben. Die Aufgabe des Managements ist es, die verschiedenen Generationen mit geeigneten Schulungskonzepten und (technischen) Mitteln entsprechend abzuholen. 

Risikoanalyse / Schutzbedarfsfeststellung

Der Schutzbedarf der IT-Systeme und der IT-Infrastruktur wird anhand einer Schutzbedarfsfeststellung ermittelt. Um diese durchführen zu können, ist zunächst eine IT-Strukturanalyse erforderlich. Dabei werden alle IT-Assets systematisch per Excel oder mit einem Tool erfasst. Durch eine Gruppierung der Assets wird ein bereinigter Netzplan erzeugt, der zur Komplexitätsreduktion beiträgt.  Für ein funktionierendes Notfallmanagement ist es wichtig, dass kritische Systeme und Prozesse detailliert in ihren Funktionen beschrieben sind.   Schließlich kann die Schutzbedarfsfeststellung erfolgen, mit anderen Worten, die Identifizierung von Risiken und Bedrohungen sowie die Bewertung eines möglichen Schadens, der sich aus diesen Risiken und Bedrohungen für die Unternehmens-IT ergeben würde. Eine Schadensminderung wird durch die Festlegung entsprechender Maßnahmen erreicht. Um die Wirksamkeit der Maßnahmen zu überprüfen, sollten Penetrationstests und Audits durchgeführt werden. 

Individuelle Schulung der Mitarbeiter

Eine regelmäßige branchenspezifische Schulung der Mitarbeiter in sicherem Verhalten und in der Erkennung von Bedrohungen ist eine der wichtigsten Maßnahmen zur Sicherung Ihrer IT-Systeme. Die meisten Sicherheitsvorfälle und Datenverletzungen werden durch menschliches Fehlverhalten verursacht, wie zum Beispiel das Klicken auf Phishing-Links, den unsachgemäßen Umgang mit Passwörtern oder das Öffnen von unsicheren Anhängen. Durch individuelle Schulungen werden Mitarbeiter für die verschiedenen Sicherheitsrisiken sensibilisiert und lernen, wie sie solche Bedrohungen erkennen und vermeiden können. Weiterhin bereiten Sie Ihre Mitarbeiter darauf vor, verdächtige Aktivitäten zu erkennen und zu melden sowie angemessen auf Sicherheitsvorfälle zu reagieren.    Aufgrund der Komplexität des Themas empfehlen wir Ihnen, Ihren Mitarbeitern das Wissen kontinuierlich in kleinen IT-Security-Modulen zu vermitteln.  

Patchmanagement

Patch-Management ist der Prozess der Bereitstellung von Software-Updates (Patches) zur Verteilung an IT-Systeme. Damit werden neue Funktionen bereitgestellt, Sicherheitslücken und andere Probleme behoben. Die Prüfung auf neue Patches muss einem Regelprozess unterliegen.    Wichtige Aspekte des Patch-Managements sind:   Überwachung  Priorisierung  Tests  Dokumentation  Automatisierung  Schulung  Incident-Management      Prüfen Sie, ob es sinnvoll ist, neben dem Produktivsystem ein Testsystem einzurichten. So kann getestet werden, ob das Einspielen von Patches und das Zurückspielen eines Backups fehlerfrei funktioniert.  

Backup-Strategie

Eine regelmäßige branchenspezifische Schulung der Mitarbeiter in sicherem Verhalten und in der Erkennung von Bedrohungen ist eine der wichtigsten Maßnahmen zur Sicherung Ihrer IT-Systeme. Die meisten Sicherheitsvorfälle und Datenverletzungen werden durch menschliches Fehlverhalten verursacht, wie zum Beispiel das Klicken auf Phishing-Links, den unsachgemäßen Umgang mit Passwörtern oder das Öffnen von unsicheren Anhängen. Durch individuelle Schulungen werden Mitarbeiter für die verschiedenen Sicherheitsrisiken sensibilisiert und lernen, wie sie solche Bedrohungen erkennen und vermeiden können. Weiterhin bereiten Sie Ihre Mitarbeiter darauf vor, verdächtige Aktivitäten zu erkennen und zu melden sowie angemessen auf Sicherheitsvorfälle zu reagieren.    Aufgrund der Komplexität des Themas empfehlen wir Ihnen, Ihren Mitarbeitern das Wissen kontinuierlich in kleinen IT-Security-Modulen zu vermitteln.    Um sicherzustellen, dass Ihr Backup seinen Zweck erfüllt, sollte ein Backupkonzept erstellt werden. Dieses Konzept bezieht sich auf die Gesamtstrategie und den Plan für die Erstellung und die Pflege von Backups.   Der Speicherort, die Backupmethode die Speicherdauer und der Backupzyklus sind nur ein Ausschnitt der Aspekte, die für eine Backup-Strategie relevant sind.     In unserem Leitfaden zur Backupstrategie werden die folgenden Aspekte behandelt:  Verantwortlichkeit  Erhebung der betroffenen IT-Systeme  Art der Sicherung  Datenarten  Backuphäufigkeit  Aufbewahrungsdauer von Backups  Backup sicher verwahren / absichern  Integritätsprüfung  Zusammenspiel Backup und Patchmanagement  Notfallkonzept  Dokumentation  Checklisten zum Backup-Prozess      Ausführliche Informationen zur Backupstrategie https://spedihub.de/backupstrategie-logistiker/   

Notfallplan

Das Notfallmanagement stellt sicher, dass Ihre kritischen Geschäftsprozesse im Notfall handlungsfähig bleiben. Ein Notfallplan kann auch als Checkliste dienen und sollte folgende Merkmale aufweisen:  Klare Definition der Zuständigkeiten und Rollen  Beschreibung des Vorgehens im Notfall. Ziel ist es, den Schaden zu minimieren und das System so schnell wie möglich wiederherzustellen.   Die Dokumentation sollte offline verfügbar sein, um die Verfügbarkeit im Notfall – einschließlich der Kontakte zum Notfallteam – zu gewährleisten, sowie regelmäßig überprüft und aktualisiert werden.   Tests und Übungen: Nur durch regelmäßige Tests kann sichergestellt werden, dass in einem echten Notfall alle kritischen Punkte berücksichtigt werden.   

Datensparsamkeit

Eine Forderung der DSGVO ist es, nur so viele Daten wie nötig zu erheben. Datensparsamkeit beinhaltet die Minimierung der Datenerhebung und -verarbeitung auf das notwendige Maß. Das bedeutet, dass personenbezogene Daten nur so lange aufbewahrt werden, wie es für den vorgesehenen Zweck notwendig ist, und nur an Dritte weitergegeben werden, wenn eine rechtliche Grundlage für die Weitergabe besteht. Außerdem sollten personenbezogene Daten nur für den spezifischen Zweck verwendet werden, für den sie erhoben wurden.   Datensparsamkeit ist jedoch nicht nur ein Prinzip des Datenschutzes, sondern auch ein Grundsatz des IT-Sicherheitskonzepts eines Unternehmens. Indem Unternehmen nur die für ihre Geschäftsprozesse und Dienstleistungen unbedingt erforderlichen Daten sammeln und speichern, tragen sie dazu bei, das Risiko von Datenverlust, Datenmanipulation oder eines unbefugten Zugriffs zu minimieren. Zudem wird es einfacher, die Unternehmensdaten zu verwalten und zu schützen.   Da Logistiker von Berufs wegen mit sehr großen Datensätzen umgehen, ist es erforderlich, dass die Nutzerrechte konsequent eingeschränkt werden. Beispielsweise sollten Auslieferungsfahrer nur Zugriff auf Daten erhalten, die tatsächlich benötigt werden. Nach Beendigung der Touren sind die lokalen Daten zu löschen und die Berechtigungen anzupassen.   

Cloud-Security

Wenn Sie die Verbesserung der IT-Sicherheit im Unternehmen angehen, sollten Sie nicht vergessen, den Aspekt “Cloud” einzubeziehen. Die Verlagerung von IT-Systemen in die Cloud bringt zwar viele Vorteile hinsichtlich Flexibilität und Entlastung der eigenen IT-Abteilung. Allerdings steigt auch die Komplexität bei der Gewährleistung der IT-Sicherheit und der DSGVO.    Laut DsiN-Studie verlassen sich rund 43 Prozent der Nutzer auf ihren Cloudanbieter und gehen davon aus, dass dieser die Verantwortung für die Daten in der Cloud übernimmt. Dies ist gefährlich, denn die rechtliche Lage sieht anders aus:   Die Verantwortung für die Daten bleibt beim Eigentümer der Daten!   Kommt es beim Cloudanbieter zu einem Datensicherheitsvorfall, kann der Geschäftsführer des beauftragenden Unternehmens in die Geschäftsführerhaftung genommen werden. Entscheidend ist daher, den Cloud-Anbieter sorgfältig auszuwählen und den Vertrag mit ihm klar auszuformulieren.  Gefährlich wird es zudem, wenn Daten unzureichend gesichert sind und beispielsweise von Cyberkriminellen gestohlen werden. Angesichts der drohenden DSGVO-Bußgelder ist es in den meisten Fällen deutlich günstiger, in Anwälte oder Datensicherheitsexperten zu investieren. Unternehmen sollten also bei der Speicherung von Personendaten umsichtig vorgehen und sicherstellen, dass nicht ein Teil dieser Daten in dunklen Ecken verschwindet.    Laut der Studie „IT-Sicherheit auf dem digitalen Verbrauchermarkt“ weisen viele untersuchte Apps IT-Schwachstellen auf. Das beginnt damit, dass bei der App-Anmeldung Passwörter im Klartext zum Cloud-Backend übertragen werden.  Quelle: bzw. BSI Lagebericht 2021  https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/DVS-Berichte/gesundheitsapps.html    Da sich die Betreiber von Cloud-Anwendungen ungern in die Karten schauen lassen, wird bei Nachfragen zu ihren IT-Sicherheitsmaßnahmen auf Zertifikate wie ISO27001 oder ISO 27017 verwiesen. Ein bestandenes Audit spiegelt zwar einen hohen Standard wider, gilt aber nur für den gewählten Scope. Ob der Scope tatsächlich die Sicherheit Ihrer Unternehmensdaten gewährleistet, ist jedoch schwer zu erkennen.    Das heißt, es sind nicht nur Schutzvorkehrungen beim Umgang mit Clouds und Internetplattformen zu treffen, sondern es ist auch Aufklärungsarbeit bei Mitarbeitern zu leisten. 

Zugangskontrolle für Cloud-Anwendungen

Die größte Herausforderung bei Cloud-Anwendungen ist die Zugangskontrolle. Auch wenn Sie Ihre eigenen Mitarbeiter regelmäßig schulen und diese sich an die Sicherheitsrichtlinien halten, können Hacker eine unbewusste Schwachstelle ausnutzen und sich Zugang zur Cloud-Anwendung verschaffen.    Sie haben vielleicht ein gutes Gespür für die Fähigkeiten und das Verhalten Ihrer eigenen Mitarbeiter – aber wie sieht es mit den Mitarbeitern Ihres Cloud-Dienstleisters aus?  Erschwerend kommt hinzu, dass diese meist Administratoren mit erhöhten Zugriffsrechten sind, um Entwicklungstätigkeiten durchführen zu können.     Cloud-Anbieter verweisen dann zu Recht auf das Sicherheitszertifikat. Leider ist ein ISO-Zertifikat nur eine Momentaufnahme und gibt keine Auskunft darüber, wie das Informationsmanagementsystem tatsächlich gelebt wird. Halten sich wirklich alle Mitarbeiter an die Policy? Auf welche Art und Weise erfolgt die Zugriffskontrolle?  Cloud-Systeme sollten daher auf Anomalien und Angriffe überwacht werden. Ebenso müssen Protokolle und Sicherheitsdaten der Cloud-Anbieter analysiert werden, um potenzielle Bedrohungen zu erkennen und zu bekämpfen.  Beachten Sie: Cloud-Sicherheit ist ein kontinuierlicher Prozess. Er muss ständig aktualisiert und verbessert werden, um sicherzustellen, dass die in der Cloud gehosteten Daten und Ressourcen vor Angriffen und Missbrauch geschützt sind.  

Checkliste welche Maßnahmen Sie bei einem Cloud-Anbieter prüfen sollten

Technische Maßnahmen   Wie ist die Identitäts- und Zugriffskontrolle geregelt?  Ist eine 2-Faktor-Authentisierung  für alle Admins aktiviert?  Werden die Cloud-Systeme überwacht und analysiert?  Werden sensible Daten verschlüsselt gespeichert?  Verwendet Ihr Dienstleister die neuesten Technologien, sodass Sie immer auf dem aktuellen technischen Stand sind und von den besten Funktionen profitieren können?      Organisatorische Maßnahmen   Einhaltung von gesetzlichen Anforderungen  Transparenz bei den Verarbeitungsschritten   Nachweis über die Einhaltung der IT-Security und Compliance (Zertifikate)  Zugang für Nutzer mit Administratorrechten nur per 2-Faktor-Authentisierung   Vier-Augen-Prinzip bei kritischen Admin-Arbeiten (2 Augen aus der eigenen IT)  Überprüfung des Cloud-Anbieters: Einhaltung von Sicherheitsmaßnahmen und -verfahren   Finden regelmäßige Sicherheits-Audits statt?  Bietet der Cloud-Anbieter eine flexible Skalierung an?  Wie gut ist der Kundensupport des Anbieters?      Der Cloud-Anbieter sollte zudem eine hohe Verfügbarkeit garantieren, damit Sie auf Ihre Daten zugreifen können, wenn Sie sie benötigen. Fragen Sie nach den Uptime-Statistiken des Anbieters und nach den geplanten Wartungsfenstern.    Überprüfen Sie schließlich die Vertragsbedingungen des Anbieters sorgfältig, um sicherzustellen, dass Sie alle erforderlichen Informationen erhalten und dass Sie alle Bedingungen akzeptieren können.    

Was DSGVO und HinSchG mit IT-Sicherheit zu tun haben

Datenschutz und IT-Sicherheit gehen Hand in Hand. Unternehmen, die bereits funktionierende Prozesse im Datenschutz etabliert haben, können bei der IT-Sicherheit sehr gut darauf aufbauen.  Logistikunternehmen, bei denen noch Handlungsbedarf besteht, können ihren Datenschutz im gleichen Atemzug mit IT-Sicherheitsmaßnahmen etablieren. Sie erhalten ein funktionierendes ISMS – und erfüllen gleichzeitig ihre Rechenschaftspflicht nach der DSGVO.  Bei der technischen Umsetzung der IT-Sicherheitsmaßnahmen ist die interne IT bzw. der IT-Dienstleister des Unternehmens gefragt. In enger Abstimmung mit dem Informationssicherheitsbeauftragten wird festgelegt, welche technischen Maßnahmen mit welcher Priorität umzusetzen sind.  Ein Auszug typischer Maßnahmen zur IT-Sicherheit in der Logistikbranche:  Anonymisieren oder Sperren vs. Löschen Die DSGVO umfasst strikte Regeln zum Löschen von Daten. Für Logistiker bietet es sich an, dass diese Anforderungen auch durch Anonymisierung oder Sperrung umgesetzt werden können. Beispielsweise könnten Sie in Ihrer Spedition für den Umgang mit Kundendaten festlegen:  Durch die Sperrung von Datensätzen können Sie die Daten weiterhin aufbewahren und gleichzeitig nach DSGVO handeln. Im Falle einer Löschanfrage eines Kunden werden die Daten nur gelöscht, wenn dies mit den gesetzlichen Aufbewahrungsfristen konform geht.  Durch Anonymisierung können Kundendaten auch nach Ablauf der gesetzlichen Aufbewahrungsfrist für Auswertungszwecke genutzt werden. Ausnahmen gelten für sensible Daten.   

Hinweisgeberschutzgesetz

Was verbindet das Hinweisgeberschutzgesetz mit der IT-Sicherheit in einem Unternehmen?  Das Hinweisgeberschutzgesetz und die IT-Sicherheit sind eng miteinander verbunden, da das Gesetz Unternehmen dazu verpflichtet, ein adäquates Meldesystem für Mitarbeiter einzurichten, um Verstöße gegen Gesetze, Vorschriften oder interne Regeln aufzudecken.  Dieses Meldesystem kann auch dazu dienen, Schwachstellen in der IT-Sicherheit aufzudecken und zu melden. Wenn Mitarbeiter beispielsweise verdächtige Aktivitäten auf ihren Computern oder im Netzwerk bemerken, können sie diese über das Meldesystem melden. Auf diese Weise können IT-Experten im Unternehmen die Bedrohung analysieren und entsprechende Maßnahmen ergreifen, um die IT-Sicherheit des Unternehmens zu erhöhen.  Darüber hinaus kann das Hinweisgeberschutzgesetz dazu beitragen, das Bewusstsein der Mitarbeiter für die Bedeutung von IT-Sicherheit im Unternehmen zu stärken. Wenn Mitarbeiter wissen, dass sie Verstöße gegen IT-Sicherheitsregeln melden können, ohne Konsequenzen befürchten zu müssen, werden sie wahrscheinlich eher auf mögliche Bedrohungen achten und diese melden, bevor es zu einem Sicherheitsvorfall kommt.   

Lorem ipsum dolor sit amet, consectetuer adipiscing elit.

Fazit

Leider berücksichtigen viele Unternehmen den Aspekt IT-Sicherheit erst dann aktiv in ihrer Unternehmensstrategie, wenn ein IT-Sicherheitsvorfall bei ihnen oder bei einem Wettbewerber eingetreten ist.  Doch nur, wenn Sie sich regelmäßig mit Ihren technischen und organisatorischen IT-Sicherheitsmaßnahmen auseinandersetzen, erreichen Sie eine kontinuierliche Verbesserung Ihres IT-Sicherheitsniveaus. Dabei ist zu beachten, dass einzelne Schutzmaßnahmen allein nicht ausreichen, sondern am besten verschiedene Maßnahmen kombiniert werden, um das Risiko von Angriffen zu minimieren.  In diesem Sinne kann ein IT-Sicherheitskonzept auch als Leitfaden zur Identifizierung und Reduzierung von Sicherheitslücken in Bezug auf Cyber-Angriffe verstanden werden.   

Aktuelle Beiträge zur Datensicherheit

Aktuelle Beiträge zur Datensicherheit