Spedihub Logo

Technische IT-Sicherheit im Maschinenbau

Warum sollten Sie sich mit der Einführung eines ISMS beschäftigen?

Ein IT-Sicherheitskonzept ist ein umfassender Plan, der darauf abzielt, IT-Systeme vor Bedrohungen zu schützen. Dieser Plan stützt sich hauptsächlich auf die Implementierung von technischen und organisatorischen Maßnahmen. In einem Leitfaden zu diesem Thema werden die wichtigsten Maßnahmen im Detail vorgestellt. Darüber hinaus wird erläutert, wie ein solches IT-Sicherheitskonzept mit Hilfe eines Informationssicherheits-Managementsystems (ISMS) realisiert werden kann. Durch die Anwendung dieses Konzepts können Sicherheitslücken in der IT identifiziert und minimiert werden.

Vorteile eines Informationssicherheits-Managementsystems

Wurde ein Unternehmen Opfer eines Cyber-Angriffs, ist es gesetzlich verpflichtet, der Landesdatenschutzbehörde den Datenverlust zu melden. Darüber hinaus muss es entsprechende Veröffentlichungspflichten erfüllen.
Ein IT-Sicherheitskonzept in Verbindung mit einem ISMS kann dazu beitragen, dass es gar nicht erst so weit kommt, denn dieses System sorgt dafür, dass Sie Ihre IT-Systeme und das Wissen Ihrer Mitarbeiter möglichst effizient gegen Cyberangriffe und Industriespionage schützen.
Um das ISMS aufzubauen, stehen Unternehmen verschiedene Werkzeuge zur Verfügung. Diese können je nach Unternehmensgröße, verfügbaren Ressourcen und Zielen angewendet werden. Während die umfangreiche ISO 27001 hauptsächlich von international tätigen Konzerne verwendet wird, bietet sich für Mittelständler die CISIS12 an. In bestimmten Branchen werden zudem spezifische IT-Standards verlangt, z. B. eine Zertifizierung nach TISAX.

Inhalte Verbergen
Technische IT-Sicherheit im Maschinenbau
Warum sollten Sie sich mit der Einführung eines ISMS beschäftigen?
Vorteile eines Informationssicherheits-Managementsystems
1. Ihr Weg zur IT-Sicherheit: Informationssicherheitsmanagementsysteme
2. Technische Schutzmaßnahmen
Firewall-Architektur & Paketfilter
H2
H2
Organisatorische Schutzmaßnahmen
Cloud-Security
Was DSGVO und HinSchG mit IT-Sicherheit zu tun haben
Fazit
Aktuelle Beiträge zur Datensicherheit

1. Ihr Weg zur IT-Sicherheit: Informationssicherheitsmanagementsysteme

Wozu brauchen Maschinenbauer ein
IT-Sicherheitskonzept?

Ein IT-Sicherheitskonzept ist ein umfassender Plan, der entwickelt wird, um IT-Systeme vor Bedrohungen zu schützen. Säulen dieses Plans sind die sogenannten “technischen und organisatorischen Maßnahmen“. In unserem Leitfaden stellen wir Ihnen die wichtigsten Maßnahmen im Detail vor und zeigen Ihnen, wie Sie solch ein IT-Sicherheitskonzept mithilfe eines ISMS realisieren. Auf diese Weise können Sie Sicherheitslücken in Ihrer IT identifizieren und reduzieren. Weitere Informationen und detaillierte Anleitungen finden Sie auf unserer Seite zum IT-Sicherheitskonzept.

ISMS Leitlinie CISIS12, ISO27001, TISAX

2. Technische Schutzmaßnahmen

Netzwerkabsicherung

Netzwerksicherheit ist wichtig, um Ihr Netzwerk vor unbefugtem Zugriff und Missbrauch zu schützen. Sie hilft auch, Datenverlust durch menschliches Versagen zu vermeiden. Die wichtigsten Maßnahmen sind

  • Authentifizierungs- und Autorisierungsmechanismen: Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff erhalten.
  • Firewalls: Errichten von Barrieren gegen unerwünschten Datenverkehr.
  • Netzwerküberwachung: Kontinuierliche Überwachung des Netzwerks, um Anomalien frühzeitig zu erkennen.
  • Verschlüsselungstechnologien: Sensible Daten durch Verschlüsselung schützen.
  • Systempflege durch regelmäßige Updates: Aktualisierung der Software, um Sicherheitslücken zu schließen.
  • Mitarbeiterschulung und -sensibilisierung: Sensibilisierung der Mitarbeitenden für IT-Sicherheit.

Konkrete Maßnahmen: 

  • Schutz der Infrastruktur: Implementierung von Zero-Trust-Modellen, Einrichtung von Zertifikaten und TLS,
    Einrichtung einer DMZ (demilitarisierten Zone).
  • Firewall-Konfiguration: Überprüfung und Verwaltung offener Ports.
  • Überwachung des Netzwerkverkehrs: Einrichtung einer Überwachung zur Erkennung von verdächtigem Datenverkehr.
  • Einschränkung des Datenzugriffs durch abgestufte Benutzerrechte: Hierarchische Zugriffsrechte zur Kontrolle des Datenzugriffs.
  • USB-Beschränkungen einrichten: Zugriff auf USB-Geräte nur für vorab genehmigte Seriennummern.
  • Makros standardmäßig deaktivieren: Sicherheitsrisiken durch Makros verhindern.

Firewall-Architektur & Paketfilter

Eine Firewall ist eines der wichtigsten Systeme, die das interne Firmennetzwerk vor Angriffen aus dem öffentlichen Netz schützen. Hier sind die Hauptfunktionen einer Firewall und ihre Bedeutung für die Netzwerksicherheit:
  1. Zugangskontrolle auf Netzwerk- / Benutzerebene: Dies stellt sicher, dass nur autorisierte Nutzer und Daten den Zugang zum Netzwerk erhalten.
  2. Prüfung der ein- und ausgehenden Daten durch Paketfilter: Diese Funktion überwacht und filtert den Datenverkehr basierend auf vordefinierten Sicherheitsregeln.
  3. VPN (Datenverschlüsselung): Die Firewall ermöglicht die sichere Datenübertragung über öffentliche Netzwerke durch die Nutzung von VPN-Technologien, die Daten verschlüsseln.
  4. Protokollierung: Die Firewall zeichnet Aktivitäten auf, um Anomalien zu erkennen und zur Analyse von Sicherheitsvorfällen.
  5. Verbergen der internen Netzstruktur: Dadurch wird die Netzwerktopologie vor Außenstehenden verborgen. Nach außen ist nur eine IP-Adresse sichtbar, was die Sicherheit erhöht.
Diese Funktionen sind entscheidend für den Schutz eines Firmennetzwerks gegen externe Bedrohungen und für die Gewährleistung der Sicherheit und Integrität der Netzwerkdaten.

Firewall-Architektur & Paketfilter

Eine Firewall ist eines der wichtigsten Systeme, die das interne Firmennetzwerk vor Angriffen aus dem öffentlichen Netz schützen.     Ausschnitt von Firewall-Aufgaben:  Zugangskontrolle auf Netzwerk- / Benutzerebene  Prüfung der ein- und ausgehenden Daten durch Paketfilter  VPN (Datenverschlüsselung)  Protokollierung   Verbergen der internen Netzstruktur  (Nach außen ist nur eine IP-Adresse sichtbar.)   

H2

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

H2

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Monitoring

Angriffe auf ein Firmennetzwerk sollen möglichst früh erkannt werden, um Gegenmaßnahmen einleiten zu können. Oftmals halten sich Angreifer über Monate in einem Firmennetzwerk auf und ziehen in dieser Zeit große Datenmengen ab.  

Eine weitere Gefahr sind fehlende Back-ups aus der Zeit vor der Infiltration des Firmennetzwerks, da die betroffenen Systeme dann von Grund auf neu aufgebaut werden müssen. Daher soll an dieser Stelle auf die Bedeutung funktionierender Back-ups verwiesen werden. 

Ungewöhnliches Verhalten wie Portscans oder Zugriffe von unsicheren Webservern können durch Intrusion-Detection-Systeme (IDS) erkannt werden. Gelingt es Angreifern, die Firewall zu überwinden, soll das IDS als Überwachungssystem zudem Manipulationen erkennen. Es dient also dem Schutz gegen externe als auch gegen interne unbefugte Zugriffe oder Manipulationen. 

Wichtig ist dabei, dass das IDS nicht erst installiert wird, wenn bereits ein Angriff läuft, da das System einen Sollzustand ermitteln muss, um Abweichungen erkennen zu können. 

WLAN-Schutz

Der WLAN-Schutz in Unternehmen ist ein wichtiger Aspekt der Netzwerkabsicherung, da drahtlose Netzwerke anfällig für Angriffe von außen sind. Wussten Sie, dass ein auf dem Firmengelände versteckter Laptop Ihr WLAN-Kennwort innerhalb weniger Stunden knacken kann?

Sorgen Sie für eine starke Authentifizierung mit sicheren Passwörtern.
Ihr Firmenname ist keine gute Idee als Passwort.

Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff auf das WLAN-Netzwerk haben. Verwenden Sie starke Authentifizierungsmethoden wie WPA3 (Wi-Fi Protected Access 3) statt unsichere Protokolle wie WEP (Wired Equivalent Privacy). Verwenden Sie komplexe Passwörter und ändern Sie die Standard-SSID (Service Set Identifier) des Netzwerks.

Trennen Sie das WLAN vom Firmennetzwerk und richten Sie separate Netzwerkzonen für mobile Endgeräte und Gäste ein.

Mit VLANs (Virtual Local Area Networks) können Sie das WLAN vom restlichen Unternehmensnetzwerk segmentieren und das Ausmaß eines potenziellen Angriffs begrenzen.

Aktivieren Sie die Verschlüsselung für das WLAN mit AES (Advanced Encryption Standard), um die Vertraulichkeit der übertragenen Daten zu gewährleisten.

Richten Sie ein Monitoring ein, das Sie über Anomalien informiert.

Schulen Sie Ihre Mitarbeiter, um Cyber-Attacken vorzubeugen, und aktualisieren Sie regelmäßig die Firmware Ihrer WLAN-Geräte, um Sicherheitslücken zu schließen.

E-Mail-Verschlüsselung

Sie haben große Stammkunden?

Stellen Sie sicher, dass nur der beabsichtigte Empfänger Ihre E-Mail-Nachricht lesen kann und richten Sie eine verschlüsselte E-Mail-Kommunikation ein.

Achten Sie darauf, dass der Inhalt mit S/MIME oder PGP verschlüsselt wird. In Office 365 kann dies mit der entsprechenden Lizenz eingerichtet werden.

Indem Sie die E-Mail-Verschlüsselung nutzen, erhöhen Sie Ihre Vertrauenswürdigkeit als Geschäftspartner und bieten Ihren Kunden einen professionellen Service.

Gleichzeitig schützen Sie sich als Empfänger von E-Mails, denn durch die Verschlüsselung können Sie sicherstellen, dass eingehende E-Mails vom richtigen Absender stammen und dass der Inhalt der E-Mail während der Übertragung nicht manipuliert wurde.

Es gibt zwei grundlegende Arten der E-Mail-Verschlüsselung. Bei der symmetrischen Verschlüsselung wird derselbe Schlüssel zum Verschlüsseln und zum Entschlüsseln der Nachricht verwendet. Bei der asymmetrischen Verschlüsselung werden hingegen verschiedene Schlüssel verwendet: ein öffentlicher Schlüssel zum Verschlüsseln der Nachricht und ein privater Schlüssel zum Entschlüsseln. Hierbei kommt auch häufig eine PKI (Public Key Infrastructure) zum Einsatz. Diese stellt Zertifikate bereit, anhand derer sich die Kommunikationspartner gegenseitig verifizieren können.

Mobile Device Management (MDM)

Ein Mobile Device Management (MDM) ist eine Softwarelösung, die Unternehmen und Organisationen bei der Verwaltung und Kontrolle mobiler Geräte wie Smartphones, Tablets und Laptops unterstützt. MDM ermöglicht es IT-Administratoren, mobile Geräte zentral zu konfigurieren, zu überwachen, zu sichern und zu aktualisieren. Dadurch wird das Risiko von Sicherheitsverletzungen minimiert.  

Typische Funktionen

Fernkonfiguration von Geräten   Verwaltung von Anwendungen und Einstellungen   Überwachung von Gerätenutzung und -aktivitäten   Implementierung von Sicherheitsrichtlinien  Fernlöschvorgänge bei Verlust oder Diebstahl von Geräten   Verwaltung von Updates und Patches    Eine professionelle MDM-Software muss sich in die IT-Struktur des Unternehmens integrieren lassen und Möglichkeiten zur Protokollierung und zum Reporting bieten. Notwendige Funktionen sind Sicherheits-Features (SSL, sichere Passwörter, YubiKey), die Zugriffsrechteverwaltung als auch die Lokalisierung, Sperrung und Löschung eines Geräts. 

Mobile Security

Mobile Endgeräte sind aus dem Alltag nicht mehr wegzudenken. Aufgrund der unterschiedlichen Plattformen und der Tatsache, dass die mobilen Endgeräte außerhalb der Firewall des Unternehmens mit dem Internet verbunden sind, ist hier besonders stark auf entsprechende IT-Sicherheitsmaßnahmen zu achten.    Übergeben Sie Ihren Mitarbeitern mobile Endgeräte, sollten Sie gleichzeitig die IT-Sicherheitsrichtlinien für mobile Endgeräte aushändigen und sich durch Unterschrift bestätigen lassen, dass die Richtlinien gelesen und verstanden wurden.     Wirksamer als das Aushändigen von Richtlinien sind entsprechende Mitarbeiterschulungen. 

Zugriffskontrolle

Bei Verlust eines USB-Sticks, Smartphones, Tablets oder Laptops muss sichergestellt werden, dass Unbefugte keinen Zugriff auf die darauf gespeicherten sensiblen Daten erhalten. Sensible Daten können neben Informationen aus E-Mails auch gespeicherte Passwörter oder Bankdaten sein. Daher sollten neben dem Passwort auch die Daten verschlüsselt gespeichert werden. Ist ein Mobile Device Management (MDM) eingerichtet, können Smartphones und Laptops geortet und Daten aus der Ferne gelöscht werden.    Praxisbeispiel Verlust eines Mobiltelefons  Für den Fall eines Mobiltelefonverlusts gibt es unterschiedliche Szenarien, wie kritisch der Verlust sein könnte. Wir gehen in unserem Beispiel davon aus, dass es sich um einen digital affinen Geschäftsführer handelt, der ein Android-Telefon besessen hat.  In diesem Fall sind ggf. folgende Daten aus dem Smartphone gespeichert:  E-Mail-Verkehr mit Geschäftskunden   Kalender mit privaten und geschäftlichen Terminen  Zugangsdaten im Passwortmanager  Kreditkarteninformationen für das Bezahlen per Smartphone  Personaldaten, da unterwegs aus der Cloud Daten heruntergeladen wurden  Browserverlauf  Je nachdem, wie gut das Smartphone abgesichert war, kann ein gewiefter IT’ler unterschiedliche Mengen an Informationen auslesen. Hacker würden in diesem Fall die Daten im Dark-Net zum Verkauf anbieten.     Im besten Fall haben Sie die Daten verschlüsselt gespeichert.    Bei einem geschlossenen System (z. B. wie es bei Apple entwickelt wurde) wäre es nach aktuellem technischen Stand nicht möglich, ohne Key auf diese Daten zuzugreifen. Das iPhone lässt sich bei entsprechender Konfiguration orten, bei neueren Modellen sogar im ausgeschalteten Zustand. Neben einer Funktion, auf dem Mobiltelefon einen Hinweis auf den Verlust inkl. Kontaktmöglichkeiten zum Eigentümer einzuspielen, besteht auch die Option, alle Daten aus der Ferne zu löschen.

Bring your own Device (BYOD)

Da heute 99 % aller Mitarbeiter ein eigenes Smartphone besitzen, liegt es nahe, dass gerade für Lkw-Fahrer kein Firmenhandy angeschafft wird, sondern die Kommunikation über die privaten Geräte der Mitarbeiter erfolgt.     Dabei ist zu berücksichtigen, dass der Aufwand für die IT-Sicherheit bei privaten Geräten deutlich höher ist und sich die technischen Schutzmaßnahmen zudem je nach Plattform (iOS oder Android) unterscheiden.    Außerdem wird aufgrund der begrenzten Displaygröße eines E-Mail-Clients nur der Absendername und nicht die tatsächliche E-Mail-Adresse angezeigt. Dies kann leicht dazu führen, dass ein Mitarbeiter unbewusst eine schädliche E-Mail öffnet.    Folgende Gefahren können sich aus einer BYOD-Politik ergeben:    Integration eines Mobile Device Management (MDM) ist nur eingeschränkt möglich à ohne MDM keine zentrale Steuerung  keine Garantie für aktualisierte Firmware à Sicherheitslücken   keine Vorauswahl von Apps  keine einheitlichen Kommunikationswege  keine Kontrolle über privat installierte Apps  Firmendaten aus E-Mails werden beim Öffnen auf privaten Endgeräten gespeichert, keine Garantie der Löschung der Daten à Herausforderung DSGVO  bei Geräteverlust ist der Zugriff auf die Daten eines Smartphones mit Android-Betriebssystem durch USB-Debugging leicht möglich      Wenn die Unternehmenspolitik dennoch vorsieht, dass Mitarbeiter private Geräte für dienstliche Zwecke nutzen, muss im Hinblick auf die IT-Sicherheit davon ausgegangen werden, dass es sich um völlig unsichere Geräte handelt. Zum Schutz der Unternehmensdaten sind dann folgende Maßnahmen zu ergreifen:    Zugriffsschutz  Sichere Passwörter oder Muster    Verschlüsselung   Sensible Daten sind verschlüsselt zu speichern    „Überwachung“  Mittels MDA oder spezieller Software sollte eine Fernlöschung sensibler Daten sowie eine GPS-Ortung des Geräts ermöglicht werden à Dies ist jedoch datenschutzrechtlich sehr bedenklich.

Telearbeit oder Home-Office nur mit VPN nutzen

VPN steht für “Virtual Private Network” und ist eine Technologie, die eine sichere Verbindung über ein öffentliches Netzwerk wie das Internet herstellt. Ein VPN ermöglicht es Benutzern, ihre Internetverbindung zu verschlüsseln und ihren Datenverkehr durch einen privaten Tunnel zu leiten, der sie vor unbefugtem Zugriff schützt.    Wenn Sie aus dem Homeoffice oder in einem ICE surfen, schützt Sie solch ein VPN davor, dass Dritte Ihre übermittelten Daten mitlesen können. Weitere Vorteile sind, dass Ihre IP-Adresse und Ihr Standort verborgen bleiben. 

Gefahr durch Apps

Auf dem PC im Büro und auf Laptops ist der Einsatz von Antivirensoftware selbstverständlich. Bei Smartphones scheinen viele Nutzer diese Gefahr zu unterschätzen oder die Kosten für zusätzliche Lizenzen zu scheuen. Durch den leichten Zugang zu interessanten Apps können sich auf dem Gerät jedoch ebenso leicht auch Trojaner einschleichen. Manchmal reicht dafür schon das Update einer vertrauenswürdigen App.     Über den Trojaner werden dann Daten mitgelesen. Bevorzugt wird auf die E-Mail-Kommunikation zugegriffen, denn für einen Hacker ist es dann ein Leichtes, eine E-Mail mit einem Trojaner in das Unternehmensnetzwerk einzuschleusen.        Was sollten Sie konkret tun, um Ihre mobilen Endgeräte abzusichern?    Keine privaten Geräte in das Firmennetzwerk integrieren  Datenträger mit Bitlogger oder per PIN verschlüsseln  Mobiles Gerätemanagement (MDM) nutzen  Zeitlich begrenzte Zugänge für Subunternehmer einrichten (Access Token)  Zugriff auf sensible Daten nur per Zwei-Faktor-Authentifizierung

Organisatorische Schutzmaßnahmen

Es ist essenziell, dass die technischen Maßnahmen im Einklang mit den organisatorischen Maßnahmen stehen. Erst dann haben Sie Ihre IT-Sicherheit tatsächlich im Griff. Um dies zu erreichen, sind sowohl die Unternehmensprozesse als auch die dazugehörigen Schnittstellen zu analysieren, um dann auf dieser Grundlage die Frage zu beantworten, welche Systeme miteinander kommunizieren müssen. Durchgeführt und umgesetzt werden diese Analysen beispielsweise bei der Implementierung eines ISMS.  Nachfolgend fassen wir die wichtigsten organisatorische Schutzmaßnahmen zusammen, die dafür sorgen, dass Sie Cyber-Angriffe auf Ihr Logistikunternehmen abwenden können.   

Management

Es sollte selbstverständlich sein, dass das Management hinter dem IT-Sicherheitskonzept steht und die notwendigen Mittel und Ressourcen zur Verfügung stellt. Neben dem Geltungs- und Anwendungsbereich müssen Verantwortlichkeiten geregelt und Entscheidungsbefugnisse für den Notfall klar definiert sein. Da die Absicherung der IT-Systeme keine einmalige Aufgabe ist, sollte ein Informationssicherheits-Managementsystem (ISMS) eingeführt werden, um ein kontinuierlich hohes IT-Sicherheitsniveau zu gewährleisten.  Voraussetzung dafür, dass Mitarbeiterinnen und Mitarbeiter die Vorgaben auch tatsächlich einhalten, ist zunächst einmal eine entsprechende Schulung zu den Auswirkungen und Konsequenzen ihres Handelns. Gerade bei der Anpassung von Prozessen, dem Arbeiten aus dem Homeoffice oder der Nutzung der Cloud führen nach Ansicht von Verhaltensforschern allerdings nur Belohnungen und Bestrafungen zum gewünschten Verhalten.   Weitere Herausforderungen bringen die unterschiedlichen Generationen mit sich. Digital Natives sind digital affin und sehr offen, ihre Daten zu teilen. Dem stehen die älteren Generationen mit viel Expertenwissen gegenüber, die sehr wenig von ihren privaten Daten preisgeben. Die Aufgabe des Managements ist es, die verschiedenen Generationen mit geeigneten Schulungskonzepten und (technischen) Mitteln entsprechend abzuholen. 

Risikoanalyse / Schutzbedarfsfeststellung

Der Schutzbedarf der IT-Systeme und der IT-Infrastruktur wird anhand einer Schutzbedarfsfeststellung ermittelt. Um diese durchführen zu können, ist zunächst eine IT-Strukturanalyse erforderlich. Dabei werden alle IT-Assets systematisch per Excel oder mit einem Tool erfasst. Durch eine Gruppierung der Assets wird ein bereinigter Netzplan erzeugt, der zur Komplexitätsreduktion beiträgt.  Für ein funktionierendes Notfallmanagement ist es wichtig, dass kritische Systeme und Prozesse detailliert in ihren Funktionen beschrieben sind.   Schließlich kann die Schutzbedarfsfeststellung erfolgen, mit anderen Worten, die Identifizierung von Risiken und Bedrohungen sowie die Bewertung eines möglichen Schadens, der sich aus diesen Risiken und Bedrohungen für die Unternehmens-IT ergeben würde. Eine Schadensminderung wird durch die Festlegung entsprechender Maßnahmen erreicht. Um die Wirksamkeit der Maßnahmen zu überprüfen, sollten Penetrationstests und Audits durchgeführt werden. 

Individuelle Schulung der Mitarbeiter

Eine regelmäßige branchenspezifische Schulung der Mitarbeiter in sicherem Verhalten und in der Erkennung von Bedrohungen ist eine der wichtigsten Maßnahmen zur Sicherung Ihrer IT-Systeme. Die meisten Sicherheitsvorfälle und Datenverletzungen werden durch menschliches Fehlverhalten verursacht, wie zum Beispiel das Klicken auf Phishing-Links, den unsachgemäßen Umgang mit Passwörtern oder das Öffnen von unsicheren Anhängen. Durch individuelle Schulungen werden Mitarbeiter für die verschiedenen Sicherheitsrisiken sensibilisiert und lernen, wie sie solche Bedrohungen erkennen und vermeiden können. Weiterhin bereiten Sie Ihre Mitarbeiter darauf vor, verdächtige Aktivitäten zu erkennen und zu melden sowie angemessen auf Sicherheitsvorfälle zu reagieren.    Aufgrund der Komplexität des Themas empfehlen wir Ihnen, Ihren Mitarbeitern das Wissen kontinuierlich in kleinen IT-Security-Modulen zu vermitteln.  

Patchmanagement

Patch-Management ist der Prozess der Bereitstellung von Software-Updates (Patches) zur Verteilung an IT-Systeme. Damit werden neue Funktionen bereitgestellt, Sicherheitslücken und andere Probleme behoben. Die Prüfung auf neue Patches muss einem Regelprozess unterliegen.    Wichtige Aspekte des Patch-Managements sind:   Überwachung  Priorisierung  Tests  Dokumentation  Automatisierung  Schulung  Incident-Management      Prüfen Sie, ob es sinnvoll ist, neben dem Produktivsystem ein Testsystem einzurichten. So kann getestet werden, ob das Einspielen von Patches und das Zurückspielen eines Backups fehlerfrei funktioniert.  

Backup-Strategie

Eine regelmäßige branchenspezifische Schulung der Mitarbeiter in sicherem Verhalten und in der Erkennung von Bedrohungen ist eine der wichtigsten Maßnahmen zur Sicherung Ihrer IT-Systeme. Die meisten Sicherheitsvorfälle und Datenverletzungen werden durch menschliches Fehlverhalten verursacht, wie zum Beispiel das Klicken auf Phishing-Links, den unsachgemäßen Umgang mit Passwörtern oder das Öffnen von unsicheren Anhängen. Durch individuelle Schulungen werden Mitarbeiter für die verschiedenen Sicherheitsrisiken sensibilisiert und lernen, wie sie solche Bedrohungen erkennen und vermeiden können. Weiterhin bereiten Sie Ihre Mitarbeiter darauf vor, verdächtige Aktivitäten zu erkennen und zu melden sowie angemessen auf Sicherheitsvorfälle zu reagieren.    Aufgrund der Komplexität des Themas empfehlen wir Ihnen, Ihren Mitarbeitern das Wissen kontinuierlich in kleinen IT-Security-Modulen zu vermitteln.    Um sicherzustellen, dass Ihr Backup seinen Zweck erfüllt, sollte ein Backupkonzept erstellt werden. Dieses Konzept bezieht sich auf die Gesamtstrategie und den Plan für die Erstellung und die Pflege von Backups.   Der Speicherort, die Backupmethode die Speicherdauer und der Backupzyklus sind nur ein Ausschnitt der Aspekte, die für eine Backup-Strategie relevant sind.     In unserem Leitfaden zur Backupstrategie werden die folgenden Aspekte behandelt:  Verantwortlichkeit  Erhebung der betroffenen IT-Systeme  Art der Sicherung  Datenarten  Backuphäufigkeit  Aufbewahrungsdauer von Backups  Backup sicher verwahren / absichern  Integritätsprüfung  Zusammenspiel Backup und Patchmanagement  Notfallkonzept  Dokumentation  Checklisten zum Backup-Prozess      Ausführliche Informationen zur Backupstrategie https://spedihub.de/backupstrategie-logistiker/   

Notfallplan

Das Notfallmanagement stellt sicher, dass Ihre kritischen Geschäftsprozesse im Notfall handlungsfähig bleiben. Ein Notfallplan kann auch als Checkliste dienen und sollte folgende Merkmale aufweisen:  Klare Definition der Zuständigkeiten und Rollen  Beschreibung des Vorgehens im Notfall. Ziel ist es, den Schaden zu minimieren und das System so schnell wie möglich wiederherzustellen.   Die Dokumentation sollte offline verfügbar sein, um die Verfügbarkeit im Notfall – einschließlich der Kontakte zum Notfallteam – zu gewährleisten, sowie regelmäßig überprüft und aktualisiert werden.   Tests und Übungen: Nur durch regelmäßige Tests kann sichergestellt werden, dass in einem echten Notfall alle kritischen Punkte berücksichtigt werden.   

Datensparsamkeit

Eine Forderung der DSGVO ist es, nur so viele Daten wie nötig zu erheben. Datensparsamkeit beinhaltet die Minimierung der Datenerhebung und -verarbeitung auf das notwendige Maß. Das bedeutet, dass personenbezogene Daten nur so lange aufbewahrt werden, wie es für den vorgesehenen Zweck notwendig ist, und nur an Dritte weitergegeben werden, wenn eine rechtliche Grundlage für die Weitergabe besteht. Außerdem sollten personenbezogene Daten nur für den spezifischen Zweck verwendet werden, für den sie erhoben wurden.   Datensparsamkeit ist jedoch nicht nur ein Prinzip des Datenschutzes, sondern auch ein Grundsatz des IT-Sicherheitskonzepts eines Unternehmens. Indem Unternehmen nur die für ihre Geschäftsprozesse und Dienstleistungen unbedingt erforderlichen Daten sammeln und speichern, tragen sie dazu bei, das Risiko von Datenverlust, Datenmanipulation oder eines unbefugten Zugriffs zu minimieren. Zudem wird es einfacher, die Unternehmensdaten zu verwalten und zu schützen.   Da Logistiker von Berufs wegen mit sehr großen Datensätzen umgehen, ist es erforderlich, dass die Nutzerrechte konsequent eingeschränkt werden. Beispielsweise sollten Auslieferungsfahrer nur Zugriff auf Daten erhalten, die tatsächlich benötigt werden. Nach Beendigung der Touren sind die lokalen Daten zu löschen und die Berechtigungen anzupassen.   

Cloud-Security

Wenn Sie die Verbesserung der IT-Sicherheit im Unternehmen angehen, sollten Sie nicht vergessen, den Aspekt “Cloud” einzubeziehen. Die Verlagerung von IT-Systemen in die Cloud bringt zwar viele Vorteile hinsichtlich Flexibilität und Entlastung der eigenen IT-Abteilung. Allerdings steigt auch die Komplexität bei der Gewährleistung der IT-Sicherheit und der DSGVO.    Laut DsiN-Studie verlassen sich rund 43 Prozent der Nutzer auf ihren Cloudanbieter und gehen davon aus, dass dieser die Verantwortung für die Daten in der Cloud übernimmt. Dies ist gefährlich, denn die rechtliche Lage sieht anders aus:   Die Verantwortung für die Daten bleibt beim Eigentümer der Daten!   Kommt es beim Cloudanbieter zu einem Datensicherheitsvorfall, kann der Geschäftsführer des beauftragenden Unternehmens in die Geschäftsführerhaftung genommen werden. Entscheidend ist daher, den Cloud-Anbieter sorgfältig auszuwählen und den Vertrag mit ihm klar auszuformulieren.  Gefährlich wird es zudem, wenn Daten unzureichend gesichert sind und beispielsweise von Cyberkriminellen gestohlen werden. Angesichts der drohenden DSGVO-Bußgelder ist es in den meisten Fällen deutlich günstiger, in Anwälte oder Datensicherheitsexperten zu investieren. Unternehmen sollten also bei der Speicherung von Personendaten umsichtig vorgehen und sicherstellen, dass nicht ein Teil dieser Daten in dunklen Ecken verschwindet.    Laut der Studie „IT-Sicherheit auf dem digitalen Verbrauchermarkt“ weisen viele untersuchte Apps IT-Schwachstellen auf. Das beginnt damit, dass bei der App-Anmeldung Passwörter im Klartext zum Cloud-Backend übertragen werden.  Quelle: bzw. BSI Lagebericht 2021  https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/DVS-Berichte/gesundheitsapps.html    Da sich die Betreiber von Cloud-Anwendungen ungern in die Karten schauen lassen, wird bei Nachfragen zu ihren IT-Sicherheitsmaßnahmen auf Zertifikate wie ISO27001 oder ISO 27017 verwiesen. Ein bestandenes Audit spiegelt zwar einen hohen Standard wider, gilt aber nur für den gewählten Scope. Ob der Scope tatsächlich die Sicherheit Ihrer Unternehmensdaten gewährleistet, ist jedoch schwer zu erkennen.    Das heißt, es sind nicht nur Schutzvorkehrungen beim Umgang mit Clouds und Internetplattformen zu treffen, sondern es ist auch Aufklärungsarbeit bei Mitarbeitern zu leisten. 

Zugangskontrolle für Cloud-Anwendungen

Die größte Herausforderung bei Cloud-Anwendungen ist die Zugangskontrolle. Auch wenn Sie Ihre eigenen Mitarbeiter regelmäßig schulen und diese sich an die Sicherheitsrichtlinien halten, können Hacker eine unbewusste Schwachstelle ausnutzen und sich Zugang zur Cloud-Anwendung verschaffen.    Sie haben vielleicht ein gutes Gespür für die Fähigkeiten und das Verhalten Ihrer eigenen Mitarbeiter – aber wie sieht es mit den Mitarbeitern Ihres Cloud-Dienstleisters aus?  Erschwerend kommt hinzu, dass diese meist Administratoren mit erhöhten Zugriffsrechten sind, um Entwicklungstätigkeiten durchführen zu können.     Cloud-Anbieter verweisen dann zu Recht auf das Sicherheitszertifikat. Leider ist ein ISO-Zertifikat nur eine Momentaufnahme und gibt keine Auskunft darüber, wie das Informationsmanagementsystem tatsächlich gelebt wird. Halten sich wirklich alle Mitarbeiter an die Policy? Auf welche Art und Weise erfolgt die Zugriffskontrolle?  Cloud-Systeme sollten daher auf Anomalien und Angriffe überwacht werden. Ebenso müssen Protokolle und Sicherheitsdaten der Cloud-Anbieter analysiert werden, um potenzielle Bedrohungen zu erkennen und zu bekämpfen.  Beachten Sie: Cloud-Sicherheit ist ein kontinuierlicher Prozess. Er muss ständig aktualisiert und verbessert werden, um sicherzustellen, dass die in der Cloud gehosteten Daten und Ressourcen vor Angriffen und Missbrauch geschützt sind.  

Checkliste welche Maßnahmen Sie bei einem Cloud-Anbieter prüfen sollten

Technische Maßnahmen   Wie ist die Identitäts- und Zugriffskontrolle geregelt?  Ist eine 2-Faktor-Authentisierung  für alle Admins aktiviert?  Werden die Cloud-Systeme überwacht und analysiert?  Werden sensible Daten verschlüsselt gespeichert?  Verwendet Ihr Dienstleister die neuesten Technologien, sodass Sie immer auf dem aktuellen technischen Stand sind und von den besten Funktionen profitieren können?      Organisatorische Maßnahmen   Einhaltung von gesetzlichen Anforderungen  Transparenz bei den Verarbeitungsschritten   Nachweis über die Einhaltung der IT-Security und Compliance (Zertifikate)  Zugang für Nutzer mit Administratorrechten nur per 2-Faktor-Authentisierung   Vier-Augen-Prinzip bei kritischen Admin-Arbeiten (2 Augen aus der eigenen IT)  Überprüfung des Cloud-Anbieters: Einhaltung von Sicherheitsmaßnahmen und -verfahren   Finden regelmäßige Sicherheits-Audits statt?  Bietet der Cloud-Anbieter eine flexible Skalierung an?  Wie gut ist der Kundensupport des Anbieters?      Der Cloud-Anbieter sollte zudem eine hohe Verfügbarkeit garantieren, damit Sie auf Ihre Daten zugreifen können, wenn Sie sie benötigen. Fragen Sie nach den Uptime-Statistiken des Anbieters und nach den geplanten Wartungsfenstern.    Überprüfen Sie schließlich die Vertragsbedingungen des Anbieters sorgfältig, um sicherzustellen, dass Sie alle erforderlichen Informationen erhalten und dass Sie alle Bedingungen akzeptieren können.    

Was DSGVO und HinSchG mit IT-Sicherheit zu tun haben

Datenschutz und IT-Sicherheit gehen Hand in Hand. Unternehmen, die bereits funktionierende Prozesse im Datenschutz etabliert haben, können bei der IT-Sicherheit sehr gut darauf aufbauen.  Logistikunternehmen, bei denen noch Handlungsbedarf besteht, können ihren Datenschutz im gleichen Atemzug mit IT-Sicherheitsmaßnahmen etablieren. Sie erhalten ein funktionierendes ISMS – und erfüllen gleichzeitig ihre Rechenschaftspflicht nach der DSGVO.  Bei der technischen Umsetzung der IT-Sicherheitsmaßnahmen ist die interne IT bzw. der IT-Dienstleister des Unternehmens gefragt. In enger Abstimmung mit dem Informationssicherheitsbeauftragten wird festgelegt, welche technischen Maßnahmen mit welcher Priorität umzusetzen sind.  Ein Auszug typischer Maßnahmen zur IT-Sicherheit in der Logistikbranche:  Anonymisieren oder Sperren vs. Löschen Die DSGVO umfasst strikte Regeln zum Löschen von Daten. Für Logistiker bietet es sich an, dass diese Anforderungen auch durch Anonymisierung oder Sperrung umgesetzt werden können. Beispielsweise könnten Sie in Ihrer Spedition für den Umgang mit Kundendaten festlegen:  Durch die Sperrung von Datensätzen können Sie die Daten weiterhin aufbewahren und gleichzeitig nach DSGVO handeln. Im Falle einer Löschanfrage eines Kunden werden die Daten nur gelöscht, wenn dies mit den gesetzlichen Aufbewahrungsfristen konform geht.  Durch Anonymisierung können Kundendaten auch nach Ablauf der gesetzlichen Aufbewahrungsfrist für Auswertungszwecke genutzt werden. Ausnahmen gelten für sensible Daten.   

Hinweisgeberschutzgesetz

Was verbindet das Hinweisgeberschutzgesetz mit der IT-Sicherheit in einem Unternehmen?  Das Hinweisgeberschutzgesetz und die IT-Sicherheit sind eng miteinander verbunden, da das Gesetz Unternehmen dazu verpflichtet, ein adäquates Meldesystem für Mitarbeiter einzurichten, um Verstöße gegen Gesetze, Vorschriften oder interne Regeln aufzudecken.  Dieses Meldesystem kann auch dazu dienen, Schwachstellen in der IT-Sicherheit aufzudecken und zu melden. Wenn Mitarbeiter beispielsweise verdächtige Aktivitäten auf ihren Computern oder im Netzwerk bemerken, können sie diese über das Meldesystem melden. Auf diese Weise können IT-Experten im Unternehmen die Bedrohung analysieren und entsprechende Maßnahmen ergreifen, um die IT-Sicherheit des Unternehmens zu erhöhen.  Darüber hinaus kann das Hinweisgeberschutzgesetz dazu beitragen, das Bewusstsein der Mitarbeiter für die Bedeutung von IT-Sicherheit im Unternehmen zu stärken. Wenn Mitarbeiter wissen, dass sie Verstöße gegen IT-Sicherheitsregeln melden können, ohne Konsequenzen befürchten zu müssen, werden sie wahrscheinlich eher auf mögliche Bedrohungen achten und diese melden, bevor es zu einem Sicherheitsvorfall kommt.   

Fazit

Leider berücksichtigen viele Unternehmen den Aspekt IT-Sicherheit erst dann aktiv in ihrer Unternehmensstrategie, wenn ein IT-Sicherheitsvorfall bei ihnen oder bei einem Wettbewerber eingetreten ist.  Doch nur, wenn Sie sich regelmäßig mit Ihren technischen und organisatorischen IT-Sicherheitsmaßnahmen auseinandersetzen, erreichen Sie eine kontinuierliche Verbesserung Ihres IT-Sicherheitsniveaus. Dabei ist zu beachten, dass einzelne Schutzmaßnahmen allein nicht ausreichen, sondern am besten verschiedene Maßnahmen kombiniert werden, um das Risiko von Angriffen zu minimieren.  In diesem Sinne kann ein IT-Sicherheitskonzept auch als Leitfaden zur Identifizierung und Reduzierung von Sicherheitslücken in Bezug auf Cyber-Angriffe verstanden werden.   

Aktuelle Beiträge zur Datensicherheit

Logo Spedihub IT-Strategieberatung

SpediHub GmbH

Geschäftsführer: Tim Iglauer

Unter den Pappeln 7 | 34327 Körle

E-Mail: tim.iglauer@spedihub.de
Telefon: 05665 / 96 80 69 0
Mobil: 0177 / 650 68 16

Jetzt kostenloses Erstgespräch vereinbaren!

Über uns

Anspruchsvolle Prozessabläufe und die präzise Abstimmung von Schnittstellen im Unternehmen, sowohl innerhalb verschiedener Abteilungen als auch mit externen Partnern, erfordern eine maßgeschneiderte IT-Lösung zur Steigerung der Effizienz. Entwickeln Sie mit uns innovative Wege, um die Herausforderungen des IT-Umfelds erfolgreich zu meistern und optimale Lösungen für Ihre Anforderungen zu finden.

Bildnachweis:

  • Businessman’s risk investment protects the wooden block from falling wooden block dominoes on the desk in the office.: istock.com | ArLawKa AungTun
  • Steigender-Schutzbedarf bearbeitet: (c) Mikhailmishchenko | Dreamstime.com
  • Internet crime and electronic banking security: istock.com | BrianAJackson
  • Rusty old iron gate between two wooden posts. Entrance to beautiful meadow with green grass and trees in nature. Natural overgrown farmland in the sun with old gate.: istock.com | Eisenlohr