IT-Sicherheit im Mittelstand, Teil 2: Interne IT-Sicherheitsrisiken gekonnt aussperren

Nach außen ist die IT-Infrastruktur durch Firewalls gut geschützt. Sicherheitsrisiken drohen aber nicht nur aus dem Internet, sondern aus dem Unternehmen selbst – von Mitarbeitern mit mangelndem Sicherheitsbewusstsein oder mit krimineller Energie.

Ein sauberes System lässt keine Lücken

Von Ralph Novak im Auftrag von Oracle Deutschland

Nach außen hin ist die IT-Infrastruktur durch Firewalls ganz gut geschützt. Sicherheitsrisiken drohen aber nicht nur aus den Weiten des WWW, sondern aus dem Unternehmen selbst: Angestellte, denen es zu kompliziert wird, sich jedes Mal neu einzuloggen, wenn sie ein Programm starten, kleben die Zugangsdaten irgendwann als Post-it an den Bildschirm, und ein gekündigter Mitarbeiter, dessen Passwort nicht sofort zurückgesetzt wird, behält Zugriff auf Programme, Prozesse und am Ende auf Daten, von denen der Fortbestand des gesamten Unternehmens abhängt.

Damit wirklich immer nur diejenigen an Ihre Daten kommen, für die sie auch bestimmt sind, braucht es sichere Archive, Vorkehrungen für den Notfall und am besten eine intelligente Nutzerverwaltung. Solch ein weit gefasstes Rechtekonzept ist im Idealfall

  • verlässlich und sicher, dabei aber
  • handhabbar für die Anwender,
  • umfassend, aber
  • einfach zu verwalten, und zwar
  • über einen längeren Zeitraum hinweg (besonders im Hinblick auf die gesetzlichen Aufbewahrungsfristen im Steuer- und Handelsrecht) und das
  • auch in Phasen starker Mitarbeiterfluktuation.

Accounts bündeln

Kein Wunder, dass „password“ immer noch zu den am häufigsten gewählten Passwörtern gehört. In den meisten Unternehmen sind, je nach Branche, Struktur und Wachstum, diverse Anwendungen im Einsatz, die alle ihre eigenen Zugangsdaten verlangen. Das ist nicht nur lästig, sondern gefährlich. Denn die Wahrscheinlichkeit, dass genervte Mitarbeiter allzu simple oder identische Login-Daten wählen und sorglos damit umgehen, steigt mit jedem weiteren Passwort. Die Folge: Eine Sicherheitsmaßnahme sabotiert sich selbst. Für den Administrator bedeutet solcher Wildwuchs dauernde Mehrarbeit. Bei jedem neuen Mitarbeiter muss er in jedem Programm einen separaten Account anlegen und die Rechte vergeben. Bei der Verabschiedung geht das Ganze noch einmal los: Jedes einzelne Login muss wieder gelöscht werden, sonst reißt die veraltete Zugriffsberechtigung ein klaffendes Sicherheitsloch ins System.

Serie: IT-Sicherheit im Mittelstand
Teil 1 erklärt, was zum Grundschutz gehört, welche Türen abgesperrt bleiben müssen und wie das Firmennetzwerk optimale Datenverfügbarkeit gewährleistet. Teil 2 nimmt die häufigste Ausfallursache unter die Lupe: den Anwender. Hier erfahren Sie, was eine gute Nutzerverwaltung leisten soll und warum ein Notfallplan parat liegen muss.

Dieser Problematik begegnen die Softwarehersteller z.B. mit Techniken wie Single Sign-on. Damit gibt nur ein einziges Login, mit dem alle relevanten Nutzerrechte verknüpft sind; die Verwaltung erfolgt von einer zentralen Stelle aus. Der Anwender muss sich jetzt nur einmal anmelden, nur ein Login und nur ein Passwort merken, der Administrator ist entlastet, und die Unternehmensdaten bleiben unter Kontrolle.

Die voll ausgebaute Lösung für Benutzerrechte und -informationen heißt Identity Management (IdM). Eine solche Software übernimmt nicht nur die Verwaltung von Logins und Benutzerrechten, sondern organisiert auch weitere Informationen, die zu den einzelnen Benutzern gehören, z.B. Name, Mail-Adresse oder Telefonnummer. Diese Daten stellt das zentralisierte Identitätsmanagement dann auch den Anwendungen zur Verfügung und verteilt sie auf alle angeschlossenen Systeme.

Oracle kurz vorgestellt

Oracle Deutschland.gif

Oracle weiß gut, was „mittelständisch“ heißt. Knapp 75 % der Kunden kommen aus diesem Segment. Schließlich stellt man hier bereits seit 1977 diejenigen in den Mittelpunkt, die der Motor ihrer Märkte sind: Unternehmen aus dem Mittelstand.

Oracle ist ein Softwareanbieter, der Unternehmen erfolgreich dabei unterstützt, ihre Kommunikation zu verbessern und Prozesse intelligent zu integrieren. Als Spezialist für standardisierte Lösungen kann Oracle auf jahrzehntelange Erfahrung und die Zusammenarbeit mit starken Partnern bauen. Ausbaufähige Module oder ganze Architekturen optimieren die gesamten Abläufe, so dass auch kleine und mittlere Unternehmen im globalen Wettbewerb erfolgreich bestehen können.

Bewährte Produkte und Lösungen

  • Oracle Database: Eines der bekanntesten Produkte ist nach wie vor Oracle Database. Das Datenbanksystem hält Informationen sicher parat, liefert die Reaktionszeiten, die Kunden heute fordern, und verringert kostspielige Ausfallzeiten. Real Application Clusters sorgt für hohe Verfügbarkeit und Skalierbarkeit bei niedrigen Kosten. Die aktuelle Version Oracle Database 11g ist die erste speziell für Grid Computing konzipierte Datenbank. Gegenüber seinen Vorgängern bietet 11g ungeahnte Performance für Windows, Linux und Unix-Server. Binärdaten werden nicht nur schnell geschrieben und gelesen, sondern durch ein neues Kompressionsverfahren gleichzeitig um die Hälfte bis auf ein Drittel der Größe reduziert. Und: Oracle Database 11g macht Unternehmen fit für weiteres Wachstum. Ohne eine einzelne Zeile Codeänderung lässt sich 11g vom Einzelserver zu Grid-Computing migrieren. Oracle Database ist für große, kleine und mittelständische Unternehmen gleichermaßen geeignet – schließlich sind Verfügbarkeit und Performance bei straffen Strukturen nicht weniger wichtig.
  • Informationsmanagement und Prozessteuerung: Die Produktlinien Oracle E-Business Suite und PeopleSoft Enterprise, JD Edwards EnterpriseOne und JD Edwards World, Siebel und Hyperion sind speziell für die Bereiche Corporate Performance Management, Customer Relationship Management, Financial Management, Human Capital Management, Procurement, Project Management und Supply Chain Management ausgelegt. Unternehmen aller Art gewinnen damit eine bessere Informationsgrundlage und können entscheidende Prozesse gezielt beeinflussen.

Wer sich über die speziell für den Mittelstand konzipierten IT-Lösungen von Oracle informieren will, stöbert entweder direkt auf der Mittelstandswebseite von Oracle Deutschland. Oder Sie nehmen auf dem Weg dorthin noch unser aktuelles Geschenk für Oracle-Interessenten mit.


ORACLE Deutschland B.V. & Co. KG, Riesstraße 25, D-80992 München, 0800-1824138, dir_ie@oracle.com, www.oracle.de

Erste Hilfe planen

In IT-Krisensituationen ist es unbedingt wichtig, dass Sie wissen, welcher Ansprechpartner wofür zuständig ist, welche Maßnahmen zu ergreifen sind und wer zu informieren ist. Das alles steht am besten in einem gut zugänglichen Notfallplan. Falls es ernst wird, ist dann sofort klar, was zu tun ist und vor allem: in welcher Reihenfolge es zu tun ist.

Unter Umständen lohnt sich sogar eine Rufbereitschaft – je nachdem, wie kritisch die betreffende Unternehmensanwendung ist. Im Zeitalter von Handys und Unified Messaging Services sollte es doch möglich sein, schnell den Spezialisten ans Telefon zu kriegen. Moderne Telefonanlagen bieten hierfür auch die Möglichkeit von Rufketten: Ist die erste Nummer in der Kette nicht erreichbar, wird automatisch die nächste gewählt, antwortet auch diese nicht, geht es zur nächsten Nummer in der Liste und so fort. Der Vorteil liegt auf der Hand: Sie müssen sich nur eine einzige Nummer notieren. In jedem Fall gehört sie mit auf den Notfallplan.

Archive anlegen

Daten aus Finanzsoftware, Personalverwaltung, Customer Relationship Management, E-Mail und anderen Programmen müssen Sie teilweise bis zu zehn Jahre lang vorhalten, um die steuer- und handelsrechtlichen Aufbewahrungsfristen zu wahren. Das heißt allerdings nicht, dass Sie dauernden Zugriff brauchen. Sie dürfen Abgelegtes GDPdU-konform durchaus auf Sicherungsmedien auslagern, solange sichergestellt ist, dass Sie bei einer Prüfung „in angemessener Zeit“ darauf zurückgreifen können. Wichtig ist: die Daten müssen so archiviert sein, dass sie im Nachhinein nicht verändert werden können. Bei externen Medien (Backup-Bändern, CD/DVD oder Wechselfestplatten) ist es zudem sehr wichtig, die Datenträger so aufzubewahren, dass sie sowohl vor dem Zugriff Fremder (Diebstahl oder Vandalismus) als auch vor sonstigen widrigen Einflüssen (Feuer oder Wasser) sicher sind.

Serie: Unified Threat Management
Teil 1 erläutert die Idee hinter UTM und be­richtet aus der Praxis, was eine solche Lösung bringen kann. Teil 2 stellt sich auf skeptische Seite und klopft das Flaschen­hals­konzept auf mög­liche Schwach­stellen ab. Teil 3 geht den Markt an und schildert das Geschäfts- und Service­modell am Bei­spiel des deutschen Her­stellers Securepoint.

Übrigens kann es auch aus versicherungstechnischen Gründen sinnvoll sein, Daten dauerhaft aufzubewahren. Dabei spielt neben den materiellen Sicherheitsvorkehrungen auch der elektronische Datenschutz eine wichtige Rolle. Kunden- oder Patienteninformationen erfordern besondere Maßnahmen – das bloße Auslagern auf Dateiebene bietet hier keinen Schutz. Festplattenverschlüsselung oder die Datensicherung mit einem Backup-Programm, das verschlüsselte Sicherungssätze anlegt, sind besser geeignet.

Datentresore pachten

Outsourcing ist eine recht elegante Möglichkeit, einen Großteil der Sicherheitsaufwendungen abzugeben: Wer Aufwand und Kosten eines eigenen Rechenzentrums scheut, der lagert einen Teil seiner IT eben aus. Statt ständig auf den Servern nach dem Rechten zu sehen, können die Verantwortlichen sich dann um die Belange ihrer Anwender kümmern. Die Applikationen des Unternehmens laufen dann auf gemieteten Servern, die beim Provider im hermetisch abgeriegelten Rechenzentrum stehen, in das kein Unbefugter je hineingelangt. Unterbrechungsfreie Stromversorgung und mehrfache Internet-Anbindung sorgen für größtmögliche Verfügbarkeit.

An Ihre Daten gelangen Sie entweder über das öffentliche Internet, durch VPN-Verbindungen oder per Standleitung, die direkten Zugriff gewährt. VPN dagegen sichert die Kommunikation über das öffentliche Netz ab, indem es die Daten verschlüsselt überträgt. Das funktioniert aus dem firmeneigenen Netz ebenso wie für Außendienstmitarbeiter und Filialen, die auf diese Weise einen geschützten Zugang zum Firmenserver haben und stets auf dem aktuellen Stand bleiben.

Fazit: Sichere Lösungen wachsen mit

Die Sicherheit der Unternehmensdaten ist für jede Organisation absolut vorrangig. Weder dürfen kritische Informationen aus dem Firmennetz gelangen, noch dürfen Daten von Unbefugten verändert werden. Nur so ist Revisionssicherheit gewährleistet, können potenzielle Rechtsansprüche abgewehrt und Strategien vor Mitbewerbern verborgen bleiben. Bereits mit dem IT-Grundschutz sollte daher ein geprobter Notfallplan stehen. Außerdem sollten Sie eine Lösung für die Zugriffsregelung finden, die nicht nur sicher, sondern auch tatsächlich praktikabel ist. Bedenken Sie bei der Wahl, dass so ein System auch dann noch zuverlässig funktionieren soll, wenn einige Zeit vergangen ist, Mitarbeiter gewechselt haben, die Bestände reorganisiert sind und das Unternehmen expandiert hat.

Nützliche Links