Sonys Weckruf für Cybersicherheit – wie Unternehmer auf den Sony-Hack reagieren könnten
Stellt der massive Datendiebstahl bei Sony einen Weckruf für alle dar, Cybersicherheit endlich ernst zu nehmen?
Die hochbrisanten Cyber-Einbrüche der letzten zwei Jahre – bei Target, eBay, Home Depot, JPMorgan Chase und anderen – legen zwei grundlegende Wahrheiten offen: Erstens ist jedes Unternehmen von IT und dem Internet abhängig. Zweitens gibt es keine Entschuldigungen mehr für Unternehmenslenker, die es versäumen ihr Unternehmen mit angemessenen Sicherheitsmaßnahmen und Plänen für Krisenfälle auszustatten. Dabei ist es egal, ob es sich um gestohlene Daten, korrumpierte Dateien, kompromittierte Identitäten oder Schlimmeres handelt.
Natürlich ist nicht jeder Manager ein technischer Experte – doch gibt es genügend IT-Experten, die hier Abhilfe verschaffen und wissen, wie sich ein Unternehmen am besten schützen kann. Eine grundlegende Cyber-Etikette sowie die Critical Security Controls Methode helfen, die meisten Attacken abzuwenden.
Jim Lewis vom Center for Strategic and International Studies identifizierte vier Maßnahmen, die mehr als 80% aller bekannten Angriffe stoppen. Diese beinhalten eine Inventur aller vorhandenen Hardware, eine Inventur aller Software, die Beschränkung administrativer Berechtigungen und eine automatisierte Netzwerküberwachung. Andere Experten bestätigten dies.
Es handelt sich um sehr einfache, grundlegende Schritte. Doch sie erlauben es dem Unternehmen zu wissen, was mit seinen Netzwerken verbunden ist und was auf diesen ausgeführt wird. Sie betonen außerdem die Bedeutung des Wissens darum, wer die Sicherheitsmaßnahmen umgehen, überschreiben oder ändern kann. Und sie geben einem eine stets aktuelle Übersicht darüber, wo es Schwachstellen gibt und inwiefern diese behoben wurden. Wenn etwas schief läuft, können Firmen mit diesen einfachen Mitteln schnell reagieren. Einige der kürzlichen Cyber-Vorfälle hätten so vermieden werden können.
Warum führen dann nicht mehr Unternehmen diese Maßnahmen durch? Bis vor kurzem sah man Cyber-Angriffe als ein Thema für die nationale Sicherheit, für Unternehmen stellten sie eher Störungen oder Kostenfaktoren dar.
Zwar muss jedes Unternehmen überprüfen, welche Maßnahmen für das eigene Netzwerk am besten passen, doch wenigstens die folgenden grundlegenden Fragen sollte sich jeder Unternehmensleiter stellen:
- Wissen wir, was mit unseren Unternehmenssystemen und -netzwerken verbunden ist?
- Wissen wir, was auf diesen Systemen und Netzwerken läuft oder versucht zu laufen?
- Beschränken und managen wir die Zahl der Personen mit administrativen Berechtigungen, unsere IT-Sicherheitseinstellungen zu umgehen, zu überschreiben und zu ändern?
- Haben wir einen automatisierten, kontinuierlichen und durch Sicherheitstechnologien gestützten Prozess, der uns hilft, die meisten Einbrüche zu verhindern, erfolgreiche schnell zu entdecken und den Schaden für uns und unsere Kunden gering zu halten?
- Wie können wir dies uns und anderen veranschaulichen?
Siehe auch:
- Top 20 Sicherheitsmaßnahmen
- Australien hat die beste Cybersicherheit
- Auszeichnung für einfache und effektive IT-Sicherheitsmaßnahmen
Artikel von fortune.com, 29.12.2014: Is the Sony hack corporate America’s cybersecurity wakeup call?