IT-Sicherheitsrisiken neu bewerten: 5 praktische Empfehlungen

Laut UKTN wurden während des ersten Lockdowns im Vereinigten Königreich mehr als 85.000 Online-Unternehmen gegründet – eine bemerkenswerte Entwicklung. Für viele war dies eine Reaktion auf die wirtschaftlichen Auswirkungen der Pandemie und die Suche nach neuen Einnahmequellen. Andere nutzten die Gelegenheit, um ein neues Geschäftsmodell zu etablieren oder Produkte und Dienstleistungen für ein zunehmend digitales Publikum anzubieten.

Bei vielen dieser Unternehmen handelte es sich um kleine und mittlere Betriebe, die zuvor kaum oder gar nicht online tätig waren. Mit der fortschreitenden Digitalisierung haben sie jedoch gleichzeitig neue Angriffsflächen geschaffen und sich damit häufig unbewusst zusätzlichen Cyberrisiken ausgesetzt.

Während Sicherheitsvorfälle bei großen Unternehmen oftmals hohe Bußgelder und Reputationsschäden nach sich ziehen, können sie für kleinere Unternehmen existenzbedrohend sein. Vielen fehlt die finanzielle Stabilität, um längere Betriebsunterbrechungen oder die Folgen eines schwerwiegenden Cyberangriffs zu bewältigen. Eine aktuelle Studie zeigt, dass nahezu ein Viertel der britischen kleinen und mittleren Unternehmen die Kosten eines durchschnittlichen Cyberangriffs voraussichtlich nicht tragen könnte und dadurch in ihrer Existenz gefährdet wäre.

Wie groß ist das Risiko für kleine und mittlere Unternehmen tatsächlich? Studien zeigen, dass kleine und mittlere Unternehmen überproportional häufig von Cyberangriffen und Datenschutzverletzungen betroffen sind. Gerade Unternehmen, die regelmäßig ihre Ausgaben und Investitionen überprüfen, sollten daher auch ihre Sicherheitsrichtlinien und ihr IT-Risikomanagement kritisch hinterfragen.

Risikomanagement ist heute ein etabliertes Fachgebiet. Frameworks und Methoden wie ISO 31000, die Fünf-Kräfte-Analyse nach Porter oder die Ansoff-Matrix unterstützen Unternehmen dabei, Risiken systematisch zu bewerten und potenzielle Störungen frühzeitig zu erkennen. Fehlentscheidungen können erhebliche Auswirkungen auf den Geschäftserfolg haben. Mit einer fundierten Planung und geeigneten Schutzmaßnahmen lassen sich viele Risiken jedoch wirksam begrenzen.

Angesichts der zunehmenden Komplexität moderner IT-Umgebungen lassen sich Fehler nie vollständig vermeiden. Umso wichtiger ist es, bestehende Sicherheitskonzepte regelmäßig zu überprüfen, neue Arbeitsmodelle angemessen abzusichern und sicherzustellen, dass Notfall- und Business-Continuity-Pläne vorhanden sind.

Die folgenden fünf Empfehlungen helfen dabei, eine wirksame Strategie für das Management von IT-Sicherheitsrisiken zu entwickeln und potenzielle Schwachstellen frühzeitig zu erkennen.

Risiken und IT-Landschaft verstehen

Der erste Schritt besteht darin, Transparenz über die eigene Gefährdungslage zu schaffen. Nur wer potenzielle Schwachstellen und Risiken kennt, kann geeignete Schutzmaßnahmen ergreifen und den Geschäftsbetrieb langfristig absichern.

Die Identifikation relevanter Risiken kann insbesondere in komplexen IT-Umgebungen eine Herausforderung darstellen. Unterstützung bieten etablierte Standards und Frameworks, die Unternehmen dabei helfen, regulatorische Anforderungen zu verstehen und wirksame Sicherheitsmaßnahmen umzusetzen.

Zu den am häufigsten genutzten Standards zählen:

• ISO 27001
• IEC 62443
• das NIST Cybersecurity Framework

Diese Rahmenwerke unterstützen Unternehmen dabei, Sicherheitsrisiken systematisch zu bewerten und geeignete Maßnahmen zur Risikominderung abzuleiten.

Die Angriffsfläche Ihrer IT-Infrastruktur reduzieren

Der Schutz privilegierter Konten sollte zu den zentralen Bestandteilen jeder IT-Sicherheitsstrategie gehören. Aufgrund ihrer weitreichenden Berechtigungen zählen diese Konten zu den bevorzugten Zielen von Cyberkriminellen.

Wird ein privilegiertes Konto kompromittiert, können Angreifer sensible Daten auslesen, manipulieren oder verschlüsseln. Darüber hinaus erhalten sie häufig die Möglichkeit, sich innerhalb der Infrastruktur weiter auszubreiten und zusätzliche Systeme zu kompromittieren.

Eine fundierte Risikobewertung hilft dabei, besonders schützenswerte Konten und Systeme zu identifizieren und geeignete Sicherheitslösungen für deren Absicherung einzusetzen.

Die Strategie für Fernzugriffe überprüfen

Remote-Mitarbeitende und externe Dienstleister, die auf kritische Systeme zugreifen, bringen zusätzliche Sicherheitsanforderungen mit sich. Verbindungen außerhalb des Unternehmensnetzwerks eröffnen potenzielle Angriffswege, insbesondere wenn privilegierte Zugriffsrechte genutzt werden.

Im Gegensatz zu Benutzern innerhalb des Unternehmensnetzwerks profitieren externe Zugriffe nicht immer von denselben Schutzmechanismen. Hinzu kommt, dass die Identität der zugreifenden Person sowie der Sicherheitsstatus des verwendeten Endgeräts nicht ohne Weiteres überprüft werden können.

Mitarbeitende oder Dienstleister können sich von nicht verwalteten oder potenziell kompromittierten Geräten aus anmelden. Die Bewertung und Absicherung dieser Risiken sollte daher ein fester Bestandteil jeder IT-Sicherheitsstrategie sein.

Das Least-Privilege-Prinzip konsequent umsetzen

Eine einfache Möglichkeit, die Risiken privilegierter Konten zu reduzieren, besteht darin, unnötige Berechtigungen zu entfernen. In der Praxis ist dies jedoch oft leichter gesagt als getan. Werden Benutzern pauschal Zugriffsrechte entzogen, kann dies Arbeitsabläufe beeinträchtigen und die Produktivität erheblich einschränken.

Deutlich effektiver ist die konsequente Anwendung des Least-Privilege-Prinzips. Dabei erhalten Benutzer nur die Berechtigungen, die sie tatsächlich für eine bestimmte Aufgabe benötigen – und auch nur für den erforderlichen Zeitraum.

Lösungen für Endpoint Privilege Management unterstützen diesen Ansatz, indem sie privilegierte Rechte gezielt und kontrolliert bereitstellen. So erhält der richtige Benutzer zur richtigen Zeit die erforderlichen Berechtigungen für die jeweilige Aufgabe – nicht mehr und nicht weniger. Auf diese Weise lassen sich Sicherheitsrisiken reduzieren, ohne die Effizienz der Mitarbeitenden einzuschränken.

Vertrauen ist keine Sicherheitsstrategie

Der letzte Punkt mag zunächst radikal erscheinen: Vertrauen Sie keinem Benutzer automatisch – auch nicht privilegierten Anwendern.

Aus technischer Sicht sind interne Benutzer nicht grundsätzlich vertrauenswürdiger als externe. Jeder Mensch kann Fehler machen, und selbst erfahrene Administratoren können versehentlich die falsche Aktion auf einem kritischen System ausführen.

Hinzu kommt, dass auch privilegierte Benutzer Ziel ausgefeilter Phishing-Kampagnen und Social-Engineering-Angriffe werden können. Gelangen Angreifer an deren Zugangsdaten, stehen ihnen häufig weitreichende Berechtigungen zur Verfügung.

Darüber hinaus sollten Unternehmen auch das Risiko böswilliger Insider nicht außer Acht lassen. Unzufriedene Mitarbeitende oder ehemalige Beschäftigte mit weitreichenden Zugriffsrechten können erhebliche Schäden verursachen, wenn angemessene Sicherheitskontrollen fehlen.

Moderne Sicherheitsstrategien basieren daher nicht auf blindem Vertrauen, sondern auf dem Prinzip der kontinuierlichen Überprüfung von Benutzern, Berechtigungen und Aktivitäten.

Warum sich ein proaktiver Umgang mit Risiken auszahlt

Jedes Unternehmen ist mit Risiken konfrontiert. Ob Investitionen, Budgetplanung oder die Auswahl neuer Technologien – unternehmerische Entscheidungen basieren stets auf der sorgfältigen Abwägung von Chancen und Risiken. Für die IT-Sicherheit gilt nichts anderes.

Ein wirksames IT-Risikomanagement hilft Unternehmen dabei, potenzielle Bedrohungen frühzeitig zu erkennen, geeignete Schutzmaßnahmen umzusetzen und die Auswirkungen möglicher Sicherheitsvorfälle zu begrenzen. Mit einer klaren Strategie und den richtigen Sicherheitskontrollen lassen sich Risiken deutlich reduzieren und die Widerstandsfähigkeit des Unternehmens stärken.

Gerade kleine und mittlere Unternehmen sind häufig Ziel von Cyberangriffen und verfügen oft nur über begrenzte Ressourcen, um die Folgen eines Sicherheitsvorfalls aufzufangen. Umso wichtiger ist es, IT-Sicherheitsrisiken frühzeitig zu bewerten und geeignete Schutzmaßnahmen zu etablieren.

Ein besonderer Fokus sollte dabei auf privilegierten Konten und privilegierten Zugriffsrechten liegen. Werden diese konsequent verwaltet und abgesichert, sinkt das Risiko einer Kompromittierung kritischer Systeme erheblich.

Unternehmen, die ihre Sicherheitsstrategie frühzeitig planen, entsprechende Budgets berücksichtigen und klare Richtlinien für den Schutz ihrer IT-Infrastruktur etablieren, schaffen die Grundlage für nachhaltiges Wachstum und langfristige Resilienz.