Web 2.0 bringt Gefahren 2.0 mit sich
Das Internet ist eine äußerst interaktive, hoch entwickelte und zunehmend erfolgsentscheidende Plattform. Weil Online-Zusammenarbeit immer mehr zum festen Bestandteil im Alltag vieler Menschen wird, verwenden Unternehmen diese Technologie verstärkt zur effizienteren internen Vernetzung und zur externen Verbindung zu Kunden, Zulieferern und Partnern. Laut Umfragen halten mehr als die Hälfte aller leitenden Angestellten die Online-Zusammenarbeit ("Kollaboration") für einen entscheidenden Faktor für den zukünftigen geschäftlichen Erfolg.
Darüber hinaus geben mehr als zwei Drittel der Unternehmen an, die Nutzung von Web 2.0 innerhalb ihrer Organisation zu gestatten oder sogar zu fördern. Obwohl Unternehmen Web 2.0-Technologien begrüßen und Vorteile wie Kosteneinsparungen, effizientere Kommunikation und höhere Mitarbeitermotivation sehen, sollten sie darauf achten, über der Begeisterung nicht die damit einhergehenden Gefahren zu vergessen. Sensible Information können leicht veröffentlicht werden oder gelangen an Dritte, für die sie nicht bestimmt waren. Fehler passieren schnell und nebenbei – mit erheblichen Folgen. Unternehmen sollten daher für sich eine Lösung finden, mit der sie den Gefahren für die Informationssicherheit begegnen und zugleich die Produktivität und Motivation ihrer Mitarbeiter steigern können. Unten werden in 10 einfachen Schritten Best Practices bei der Internet-Sicherheit ausgeführt.
1. Richtlinien entwerfen
Die bestmögliche Internet-Sicherheit beginnt mit Richtlinien, denn eine Richtlinie schärft Aufmerksamkeit, ermöglicht Compliance, erhöht die Fairness und schützt das Unternehmen. Eine vernünftige Richtlinie zu erarbeiten, ist keine Kunst. Jeder sollte die Regeln verstehen. Dann sollte die Richtlinie mithilfe von Technologien an jedem Gateway umgesetzt und kontinuierlich beobachtet werden, um sie gegebenenfalls an Änderungen bei der Form der Online-Nutzung anzupassen.
2. Richtlinie anpassen
Wenn es um Richtlinien geht, ist Regel nicht gleich Regel. Die Richtlinie einer Organisation sollte die Art und Weise wie gearbeitet wird reflektieren. Ein Musikunternehmen z. B. mag den unbeschränkten Austausch digitaler Audiodateien gestatten. Ein technisches Unternehmen dagegen mag Musik-Downloads blocken, aber den ungehinderten Austausch von CAD-Dateien (Computer-Aided Design) gestatten. Richtlinien blocken Viren, verhindern und protokollieren Spyware-Aktivitäten ("Call Home"), deaktivieren risikoreiche, ausführbare Dateien und ActiveX-Downloads, verbieten unseriöse Inhalte (z. B. ethnische oder sexuelle Diskriminierung), schränken den Zugriff bei unangemessenen Websites (z. B. pornografische Seiten oder mit Malware infizierte Seiten) ein und verhindern den Verlust vertraulicher und sensibler Daten.
Wenn die Grundregeln festgelegt sind, sollte die Richtlinie möglichst an das Unternehmen angepasst werden. Bestimmten Abteilungen oder Einzelpersonen können bestimmte Privilegien oder Zugriffsrechte verliehen werden, andere Teile der Organisation wiederum können durch weitergehende Richtlinien geschützt werden. Die Richtlinie Ihrer Organisation könnte die Zulassung bestimmter Tätigkeiten auch zeitlich begrenzen. Mitarbeiter könnten z. B. in der Mittagspause kontrollierten Zugriff auf soziale Netzwerke wie Facebook o. ä. erhalten.
Gleichzeitig kann es wünschenswert sein, das Hochladen bestimmter Inhalte oder Dateitypen wie z. B. Excel-Tabellen oder Word-Dokumente mit bestimmten Wörtern oder Ausdrücken zu blocken, die ein Sicherheitsrisiko darstellen könnten. Wichtig ist, dass die Richtlinie genau Ihren Anforderungen entspricht. Wenn das jeweilige Filter-Werkzeug dem Unternehmen nicht gestatten, so zu arbeiten, wie es möchte, sollte es sich bessere Werkzeuge suchen.
3. Spyware bekämpfen
Spyware ist eine der heimtückischsten (und lästigsten) Internet-Gefahren. Bekämpfen lässt sie sich aus drei Richtungen: durch Aufhalten am Gateway durch die automatische Erstellung von Filter- und Spyware-Profilen, durch Aufhalten am Desktop durch regelmäßige Scans zur Beseitigung eingebetteter Spyware und durch Abhalten der Malware, Informationen nach Hause zu senden, so dass neu installierte Spyware keine Anweisungen von ihrer Basis abrufen kann.
4. Unerwünschte Websites blockieren
Täglich tauchen Millionen neuer dubioser Websites auf, die man unmöglich alle persönlich überblicken kann. Technologie kann das schaffen. Mithilfe von URL-Filtern lassen sich alle von der Richtlinie festgelegten Arten von Websites wie Spiele-Seiten, pornografische Seiten, Remote Proxies, Hass-Seiten, Malware und Phishing-Seiten blocken. Ergänzt wird der Filter mit einer eigenen Black List oder White List, die Ausnahmen festlegt.
5. Verschachtelte Inhalte zerlegen
Eingehend: In einem unschuldig aussehenden Arbeitsblatt könnte sich ein eingebetteter Virus verstecken. Eine Präsentation könnte mit Spyware-Nutzdaten versehen sein. Eine Zip-Datei könnte eine beliebige Anzahl an Dateien enthalten, die das Netzwerk der Organisation infizieren. Ausgehend: Ein Word-Dokument könnte ein eingebettetes Arbeitsblatt mit sensiblen Finanzdaten enthalten. Eine scheinbar harmlose Präsentation könnte stattdessen ein vertrauliches Unternehmensmemo sein. Ein Mitarbeiter könnte in einem Moment der Zerstreutheit sensible Kundendaten anstatt des eigentlichen Arbeitsblatts in eine Zip-Datei gepackt haben. Eine gute Internet-Sicherheitslösung muss in der Lage sein, derartig verschachtelte Dateien zu zerlegen, um sie auf eingebetteten Content zu untersuchen. Ein oberflächliches Scannen hat noch vor fünf Jahren funktioniert, heute aber nicht mehr.
6. Uploads überwachen
Unternehmen, die sich gegen schädliche Internet-Downloads schützen, sind häufig anfällig für Bedrohungen, die in die andere Richtung gehen. E-Mail-Anhänge zu scannen reicht aber nicht. Webmail-Dienste und soziale Netzwerkseiten bergen zahlreiche Risiken für sensible Informationen und Dateien und ermöglichen, dass diese durchsickern. An anderen Stellen schwächt ein unkontrollierter Austausch von Mediendateien die Netzwerkressourcen und könnte das Unternehmen für eine unrechtmäßige Nutzung von urheberrechtlich geschütztem Material haftbar machen. Hochgeladenes Material hat für unzählige strafrechtliche Verfolgungen und peinliche Situationen gesorgt. Schützen Sie Ihren Datenverkehr daher in beide Richtungen.
7. Produktivität durch Social Networking nutzen
Viele Unternehmen haben rasch die Vorteile von Social-Media-Tools erkannt und nutzen sie zur Verbesserung ihrer Kundenbeziehungen. Mitarbeiter sind eventuell motivierter und effizienter, wenn man ihnen erlaubt, diese Tools am Arbeitsplatz zu nutzen. Andererseits könnten sie die Tools auch für die private Kommunikation nutzen. Richtlinie bezüglich Surfzeiten oder Zeitkontingente legen fest, in welchem Rahmen die Nutzung erfolgt.
8. Internet-Aktivitäten überprüfen
Was erfasst wird, kann auch gesteuert werden. Internet-Sicherheit sollte umfassende Protokollierung, gutes Reporting und tiefe Analyse enthalten. Wichtig ist auch ein grober Überblick über die Internet-Aktivitäten, inklusive Anzahl der Seitenaufrufe sowie Datenmengen. Dann folgt die Analyse nach Benutzer (ggf. anonymisiert), Website, Aktivität, Bandbreite, Surfzeit usw. Echtzeit-Schutz erfolgt durch Warnungen, die auf ernsthafte Verstöße hinweisen, bevor sie ausufern. Mit gutem Management und Reporting Überwachung und Berichterstattung können so verdächtige Aktivitäten frühzeitig erfasst, Richtlinie gegebenenfalls überarbeitet und die Verteilung von Ressourcen verbessert werden.
9. Richtlinien durchsetzen
Internet-Sicherheit kann eine ganze IT-Abteilung beschäftigen, wenn sie nicht konsequent vereinfacht, automatisiert und optimiert wird. Die Bereitstellung, Aktualisierung, Verwaltung und das Monitoring von Prozessen muss anwenderfreundlich sein. Eine zu komplizierte oder schlecht integrierte Internet-Sicherheitslösung verschwendet nicht nur Zeit und Ressourcen, sondern beeinträchtigt auch den Schutz.
10. Geschäftliches Wachstum fördern
Ein ausgewogenes Gleichgewicht zwischen dem Bedarf an einer starken Netzwerksicherheit und der Nutzung von Technologien zur Online-Zusammenarbeit ist entscheidend für geschäftliches Wachstum. Unternehmen möchten moderne Internet-Technologien und –Dienste erschließen und zu ihrem Vorteil nutzen, gleichzeitig jedoch gewährleisten, dass Unternehmensnetzwerke umfassend vor eingehenden Bedrohungen und Datenverlust geschützt sind. Unternehmen sollten sich ihre eigene Meinung zu neuen Internet-Diensten bilden. Interessengruppen, geschäftlichen Vorteile, Risiken und dementsprechende Sicherheitsrichtlinien sollten gut abgewogen werden.
Fazit
Kommunikationsformen, Technologie und Gefahren entwickeln sich kontinuierlich weiter. IT-Sicherheitsverantwortliche konzentrieren sich daher auf die grundlegenden Prinzipien – Richtlinien, Wachsamkeit, Vereinfachung, Automatisierung und Transparenz - um in puncto Informationssicherheit stets auf dem Laufenden zu sein. Funktionsträchtige Lösungen helfen dabei, eine einheitliche Informationssicherheit für Web und E-Mail aufzubauen und beizubehalten.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER