Das Internet ist eine reiche Fundgrube für persönliche Daten aller Art. Cyber-Kriminellen gelingt es häufig, unerlaubt in den Besitz vertraulicher Information zu gelangen und diese zu missbrauchen. Gleichzeitig blüht der Handel mit personenbezogenen Daten. Ein sicherer Kommunikationskanal ist deshalb nicht nur für Online-Banking, Online-Shopping und eGovernment-Dienste, sondern auch für E-Mail und alle anderen webbasierten Anwendungen unabdingbar. Verschlüsselung ist nach wie vor die sicherste Möglichkeit, Daten vor Missbrauch zu schützen. Doch auch hier setzen Schadprogramme an mit dem Ziel, Verschlüsselungsmethoden auszuhebeln. Digitale Zertifikate gewährleisten das Vertrauen in die Sicherheit von Links, die Vertraulichkeit der Datenübermittlung sowie den Inhalt der besuchten Webseite.
Wie funktioniert Verschlüsselung?
Stellen Sie sich vor, sie tätigen über das Online-Portal Ihrer Bank eine Überweisung, oder Sie hinterlegen persönliche Daten im Profil eines Business-Netzwerks. In beiden Fällen geben Sie vertrauliche Informationen preis, deren Missbrauch für Sie unangenehme Folgen hat. Durch die Verschlüsselung digitaler Daten (engl.: Encryption) werden alle verständlichen Informationen auf Basis eines oder mehrerer "Schlüssel" in eine nicht interpretierbare Zeichenfolge übersetzt. Dies gewährleistet die Integrität der Datenübertragung und die Verwendung der Daten entsprechend geltender Sicherheitsstandards.
Welche Verschlüsselungsmethoden kommen im Internet zum Einsatz?
Am häufigsten wird das Transpor- Layer-Security-Protokoll (TLS) für die Kommunikation im Internet verwendet. TLS ist eine Erweiterung des Secure-Sockets-Layer-Protokolls (SSL). TLS und SSL kombinieren symmetrische Verschlüsselungsverfahren (Sender und Empfänger verwenden einen gemeinsamen, geheimen Schlüssel) mit asymmetrischen Algorithmen (die Daten werden durch einen öffentlich bekannten Schlüssel verschlüsselt und durch einen geheimen Private Key entschlüsselt). Diese Methode wird auch als Public-Key-Technologie bezeichnet.
- 1. Gebot: Planen Sie zuallererst das Sicherheitskonzept!
Definieren Sie Ihren „Goldschatz“ und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept. - 2. Gebot: Ihr Konzept sollte auf Ihre Prozesse und Bedürfnisse ausgelegt sein!
Ein Konzept von der Stange gibt es nicht. Ihr Sicherheitskonzept muss so individuell sein, wie Ihr Unternehmen. Passen Sie das Konzept Ihren Prozessen und Ihren Bedürfnissen an. - 3. Gebot: Kennen Sie Ihre Gegner und deren Strategien!
Ein Informationsvorsprung ist im Cyberkrieg Trumpf. Bringen Sie in Erfahrung, woher die Gefahr für Ihr Unternehmen rührt und mit welchen Maßnahmen Sie ihr adäquat begegnen können. Der Gegner kann die Konkurrenz sein, aus den eigenen Reihen stammen oder Hacker und Spammer sein, die ihre Macht gerne auskosten. - 4. Gebot: Wissen Sie, wann was abgesichert werden muss!
Planen Sie Ihre Maßnahmen gründlich. Zum Pflichtprogramm gehören regelmäßige Programmupdates, eine Datendiät, ein Systemberechtigungskonzept, ein passendes Mobile Device Management oder Cloud-Dienste auf europäischem Boden. Überlegen Sie, welche Sicherheitsmaßnahmen Sie darüber hinaus angehen müssten. Bedenken Sie dabei das richtige Timing. - 5. Gebot: Erhöhen Sie die sichernden Mauern an der niedrigsten Stelle!
Erkennen Sie Ihre Schwächen und Stärken. Dort, wo Ihre Schwächen liegen, sind Sie schnell und leicht angreifbar. Beheben Sie Ihre Schwächen. - 6. Gebot: Ausgaben allein verbessern die Sicherheit nicht!
Finanzen sind wichtig: Gehen Sie mit den finanziellen und personellen Ressourcen sorgsam um. Vermeiden Sie „Hauruck“-Aktionen und Investitionen in falsche Maßnahmen, denn sie schwächen die eigene Position. Bedenken Sie jedoch, dass Ausgaben alleine die Sicherheit nicht verbessern. Die richtige Einstellung zur IT-Sicherheit im Unternehmen ist viel wichtiger für den Erfolg. Eine besondere Bedeutung kommt dabei den Führungskräften zu, die eine Kultur der Sicherheit vorleben und einfordern müssen. - 7. Gebot: Organisieren Sie sich so, dass Sie auch auf neue Sicherheitsrisiken schnell, effizient und effektiv reagieren können!
Eine im Unternehmen anerkannte und professionelle IT-Sicherheitsmannschaft ist das A und O. Nur wenn ihre Stimme ein Gewicht hat, wird die Mannschaft kein zahnloser Tiger sein. Entwerfen Sie einen Krisenplan für den Ernstfall. Darin sollte definiert sein, wer, was, wann tun muss. Entwickeln Sie den Krisenplan weiter, indem Sie Ihre Erfahrungen aus Übungen und aus Vorfällen einfließen lassen. - 8. Gebot: Bestimmen Sie einen Verantwortlichen für das Sicherheitskonzept!
Ohne einen Verantwortlichen, der die Umsetzung des Konzepts kontrolliert, ist das Sicherheitskonzept nicht das Papier wert, auf dem es steht. Das Konzept muss gelebt werden. - 9. Gebot: Kaufen Sie Expertise hinzu, wenn sie Ihnen intern fehlt!
Fehlt Ihnen die Expertise im eigenen Team, können Sie sie kostengünstig und schnell hinzukaufen. - 10. Gebot: Kommunizieren Sie über IT-Sicherheitsaspekte und kontrollieren Sie die Umsetzung des Sicherheitskonzepts!
Kommunizieren Sie regelmäßig über IT-Sicherheitsthemen. Wenn Mitarbeiter nicht wissen, wie sie sich richtig verhalten, werden sie es auch nicht tun. Verbindliche Schulungen zu IT-Sicherheitsthemen sind hilfreich. Kontrollieren Sie die Umsetzung des Sicherheitskonzepts. Vergehen dürfen nicht ignoriert werden. - 11. Gebot: Gehen Sie als Führungskraft stets mit gutem Beispiel voran!
Wichtiger noch als Vergehen zu ahnden ist es, selbst ein Vorbild für IT-Sicherheit zu sein. Nur wenn Sie das Thema glaubwürdig vertreten, werden Ihre Mitarbeiter IT-Sicherheit ernst nehmen. - 12. Gebot: Finden Sie die richtige Balance zwischen IT-Sicherheit und der Arbeitsfähigkeit der Mitarbeiter!
Extreme Sicherheitsmaßnahmen verhindern häufig die Arbeitsfähigkeit der Mitarbeiter. Handeln Sie stets mit Augenmaß. Binden Sie Mitarbeiter bei der Entwicklung von IT-Sicherheitsmaßnahmen ein, um die Auswirkungen der Maßnahmen für den Arbeitsalltag zu verstehen. - 13. Gebot: Seien Sie stets über Ihre IT-Sicherheit, über Fortschritte und Gefahren informiert!
Halten Sie sich auf dem Laufenden. Für den Gegner sollten Sie jedoch stets unberechenbar sein. Verschleiern Sie die eigenen Stärken und Schwächen sowie Ihre Strategie. So diktieren Sie die Bedingungen des Cyber-Kriegs.
Was sind die Aufgaben von SSL bzw. TLS?
Wie der Name bereits verrät, garantiert das Transport Layer Security-Protokoll eine abgesicherte und zuverlässige Datenübertragung zwischen Kommunikationspartnern. Dabei gewährleistet ein hybrides Verschlüsselungsverfahren nicht nur die Sicherheit der Informationen, sondern sorgt auch für die gegenseitige Authentifizierung der Kommunikationspartner. Digitale Zertifikate stellen sicher, dass die verwendeten Schlüssel nicht durch Unbefugte manipuliert wurden. Ziel ist der Aufbau einer vertraulichen Ende-zu-Ende-Datenübertragung unter Verwendung eines gemeinsamen Sitzungsschlüssels. Dabei werden die zu übertragenden Daten vom Sender verschlüsselt und erst vom Empfänger wieder entschlüsselt.