Sehr wichtiger Bereich – nur wird ausgerechnet dort gerne gespart. Was muss unternommen werden, um auf den Notfall gut vorbereitet zu sein und was muss ich im Notfall tun?

Um nicht unnötig Geld herauszuwerfen, behandelt dieser Artikel die Frage: Wie kann man die IT-Sicherheit effektiv verbessern?

Fachkundiges IT-Personal

Wen ruft man, wenn es brennt? Richtig, die Feuerwehr. Und wenn ein Hochhaus brennt, reicht ein einzelner Feuerwehrmann auch nicht aus. Und erst recht keiner, der erst mal überlegen muss, was nun zu tun ist. Oder der dann sagt, dass man die Feuerwehr holen muss.

Hacker lassen sich immer wieder was Neues einfallen. Um ihnen einen Schritt voraus zu sein oder sie zumindest schnell einzuholen, darf es nicht an fachkundigem Personal in Ihrem Unternehmen mangeln.

Allerdings darf man es dann nicht bei Status Quo belassen. Fachkundiges IT-Personal bleibt nur fachkundig, wenn man Weiterbildung garantiert. Regelmäßiges „Training“ ist wichtig und wer damit früh anfängt, ist früher gewappnet. Ein richtig ausgebildeter – oder weitergebildeter – Mitarbeiter ist Goldwert. Und brandsicher. Während Unternehmen seltener ihre eigenen Feuerwehrleute im Haus haben, haben die meisten ihre eigene IT-Abteilung. Doch mitunter kann es sinnvoll sein, diese auszulagern.

Verhalten im IT-Notfall trainieren

112? 110? 911? Was muss ich sagen? Welche Informationen sind wichtig?

Die Nummer ist je nach Geschehen und Ort unterschiedlich. Doch „Wer? Wie viele? Was? Wann? Wo?“ – das sind immer die Fragen bei einem Notfall.

Und im Prinzip sind es auch die für einen IT-Sicherheitsvorfall:

????????‍???? Wer meldet?

???? Welches IT-System ist betroffen?

????????‍???? Wie haben Sie mit dem IT-System gearbeitet? Was haben Sie beobachtet?

⏰ Wann ist das Ereignis eingetreten?

???? Wo befindet sich das betroffene IT-System? (Gebäude, Raum, Arbeitsplatz)

Bei einem Ernstfall kann es aber schon mal passieren, dass man vor lauter Nervosität und Aufregung vergisst. Was hilft?

3 Sachen: Übung, Übung und nochmals Übung.

Manche machen jährlich Erste-Hilfe-Kurse. Manche zum ersten und einzigen Mal wegen dem Führerschein. Und wieder andere sind in ihrem Unternehmen oder privaten Umfeld freiwillige Ersthelfer und haben deswegen regelmäßiges Training. Wer ist Ihrer Meinung nach besser auf einen Ernstfall vorbereitet?

Auch seine Mitarbeiter kann man auf einen IT-Notfall vorbereiten und durch regelmäßiges Training sicherer machen. Das geht ganz gut durch monatliche Schulungsvideos – geringer Aufwand, große Wirkung. Trainings zu IT-Security-Awareness dagegen sollte es mindestens einmal im Jahr geben. So gibt es immer Erinnerungen und einen Auffrischungskurs.

Normalerweise lernt man die Fragen bei einem Notfall schon in der Grundschule. Genauso sollte man auch seinen Mitarbeiter so früh wie möglich das richtige Verhalten in einem Notfall „antrainieren“.

Wer gerne eine Vorlage der „IT-Notfallkarte“ hätte oder sich bezüglich Trainings noch weiter informieren möchte, darf sich gerne an bei uns melden.

Einen IT-Sicherheitsbeauftragten

Gibt es bei Ihnen in der Firma einen Brandschutzbeauftragten?

Ist der überhaupt wichtig? Denn: hat es schon jemals Mal gebrannt? Nein? Dann ist das doch rausgeschmissenes Geld. Könnte man viel effektiver einsetzen. Zum Beispiel in eine bessere Kaffeemaschine oder eine kleine Gehaltserhöhung. Oder zumindest einen Bonus!

Hört sich doof an? Ist auch doof. Es heißt schließlich BrandSCHUTZbeauftragter und nicht BrandFALLbeauftragter. Bei dessen Aufgaben geht es vor allem um Schutz und Vorsorge. Damit es eben keinen Brand gibt oder sich ein kleines Feuer nicht in einen Großbrand entwickelt. Bei Gefahr gilt einfach: Vorsorge ist besser als Nachsorge.

Das gleiche gilt für den „IT-Sicherheitsbeauftragten“. Wenn doch nichts passiert, ist der sein Geld wert?? Na, wenn nichts passiert, beantwortet das die Frage, oder?

Mit richtigem und funktionierendem Monitoring behält man den Überblick über das Firmennetzwerk. Dann kann man frühzeitig und rechtzeitig auf mögliche Gefahrenquellen – Brandherde – reagieren.

Wenn zum Beispiel Geräte irgendwo ohne Wissen der IT-Abteilung ins Netzwerk integriert werden, kann man die mit einem Netzwerkscanner finden und entsprechend reagieren. Außerdem werden Schwachstellen schneller aufgedeckt und man kann präventiv dagegen vorgehen. Egal ob diese im System sind, in den Arbeitsprozessen oder durch die Nutzung des Users entstehen.

Der „IT-Sicherheitsbeauftragte“ mit seinem Team erkennt die Gefahr und erstellt Maßnahmen dagegen. Diese umzusetzen, gilt dann natürlich für jeden Mitarbeiter.

Analyse und Vorsorge bei der IT-Sicherheit

Wollten Sie auch schon mal das Glas brechen und den Alarmknopf drücken? Hat natürlich keiner gemacht, wenn kein Grund vorlag. Blöd wäre aber, wenn man es gebraucht hätte, aber nichts passiert wäre.

Besser man hat was und braucht es nicht, als etwas zu brauchen, aber nicht zu haben.

Und es ist besser ein IT-Sicherheitsleck selbst zu entdecken als von Hacker mit Geldforderungen darauf hingewiesen zu werden.

Wie kann man letzteres verhindern?

Für die Firma würde das folgendes bedeuten:

  • Feueralarm: Scans laufen lassen und schauen, wo es systemtechnische Schwachstellen gibt.
    Oder mal eine Phishing-E-Mail verschicken und sehen, ob und wie viele Mitarbeiter darauf „hereinfallen“.
  • Begehungen der Brandschutzmaßnahmen: Richte ein regelmäßiges, dokumentiertes Patch-Management ein. Auch mit Datenanalysen aus dem Netzwerk kann man Angriffsversuchen entdecken.
  • Auf „MHD“ der Brandschutzmaßnahmen achten: Keine veraltete Hardware oder Software verwenden (keine Wartung möglich, keine Sicherheit möglich).

  • Brandsicher bauen: einrichten und aktuell halten der Firewall

  • Fluchtwege festlegen: funktionierendes Backup- und Recoverykonzept besitzen

  • Rauchmelder und Sprinkleranlagen: regelmäßig IT-Awareness Trainings organisieren und durchführen, IntrusionDetection, IntrusionProtection und SIEM Systeme benutzen, rollenbasiertes Berechtigungskonzept einführen

Unterstützung für einen dieser Bereiche?

An alles zu denken ist nicht einfach. Und alles Umsetzen zu können erst recht nicht.

Sie wollen Tipps? Weitere Infos? Melden Sie sich bei uns. Von unserer kostenlosen Erstberatung können Sie nur profitieren. Machen Sie direkt einen Termin aus!