Beiträge mit dem Tag: IT-Sicherheit

Was Ihnen IT-Compliance bringt

Februar 5, 2019 12:38 | Veröffentlich von
it compliance

Mit zunehmendem Fortschritt der Technik, sowie einer immer größer werdenden Anzahl von Anbietern und Abnehmern illegal erworbener firmeninterner Daten wird der Schutz dieser Daten immer wichtiger. Dabei reicht es oft nicht aus, die wichtigen Informationen rein technisch zu schützen. Mindestens ebenso wichtig ist die Entwicklung und Überwachung von ‚Spielregeln‘, an die sich alle Mitarbeiter und Mitarbeiterinnen halten müssen. Im folgenden Beitrag erfahren Sie etwas mehr über die Grundlagen der Compliance.

Lesezeit: 2 Minuten

Woher kommt der Begriff Compliance?

Ursprünglich stammt der Begriff Compliance aus dem medizinischen Bereich und bezeichnet das Befolgen von ärztlichen Ratschlägen. Als in den 1980er-Jahren eine Reihe von Skandalen die US Wirtschaft erschütterte, wurde dieser Ausdruck als Sammelbegriff für die Einhaltung von internen wie externen Regeln zur Korruptionsbekämpfung gewählt.

Mit der zunehmenden Digitalisierung sowie Globalisierung der Wirtschaft entstanden spätestens seit Beginn dieses Jahrtausends immer mehr Bedrohungen für Betriebe, welche mit den ursprünglichen Compliance-Regeln zur Korruptions- und Spionagebekämpfung nicht mehr abgedeckt werden konnten. Als Antwort auf diese Bedrohungen hat sich eine eigene Unterdisziplin der Compliance entwickelt: Die IT-Compliance. Worum es dabei genau geht erfahren Sie in den nächsten Kapiteln.

Warum IT-Compliance wichtig ist

Seit Jahren ist der erfolgversprechendste Angriffsvektor für Hacker und sonstige Datendiebe nicht mehr ein direkter Angriff auf IT-Systeme. Diese sind – wenn sie immer auf den aktuellsten Stand gehalten werden – mittlerweile so sicher, dass ein derartiger Angriff viel zu umständlich (und in einzelnen Fällen nahezu unmöglich) wäre. Viel gefährlicher für Unternehmen sind in diesem Zusammenhang Angriffe über „Social Engineering“. Dieser Begriff bezeichnet das Sammeln und Ausnützen öffentlich verfügbarer Informationen, sowie organisatorischer Mängel. Beispiele für derartige Angriffe sind:

  • Das Platzieren eines vermeintlichen USB-Sticks mit der Aufschrift „Urlaubsfotos“ im oder in der Nähe des Betriebsgebäudes. Dieser „USB-Stick“ hat aber in Wirklichkeit eine automatische Startfunktion, die beim Anstecken eine Verbindung zu einem anderen Computer aufbaut und so dem Angreifer vollen Zugriff auf den angegriffenen PC gibt.
  • Phishing-Attacken: Der Angreifer sucht auf Social Media und sonstigen öffentlichen Kanälen nach Hobbies und Interessen des Opfers, und sendet unter falschem Namen eine E-Mail mit einem infizierten Anhang oder dem Link zu einer betrügerischen Seite, welche ihm Zugriff auf den Computer des Opfers gibt.
  • Einfache oder lang benutzte Passwörter: Mit einer ausgiebigen Recherche über die Interessen und Hobbies des Opfers kann ein Angreifer automatisiert eine Liste mit möglichen einfachen Passwörtern erstellen, und diese wieder und wieder durchprobieren, bis er einmal das richtige Passwort erwischt und dadurch Zugriff erlangt.

Wie sie sehen, benötigen all diese gefährlichen Angriffe im Gegensatz zur klassischen Wirtschafts-Compliance keine böse Absicht, sondern nur Unachtsamkeiten der Mitarbeiter. Gleichzeitig können derartige Angriffe aber kaum mit rein technischen Maßnahmen verhindert werden.

Was kann ich tun?

Grundsätzlich muss jedes Unternehmen selbst herausfinden, welche Maßnahmen sinnvoll und nützlich sind. Einige grundlegende Gedanken, die allerdings für jedes Unternehmen gelten sollten, sind folgende:

  • Wie gehen Mitarbeiter mit unbekannten Medien um?
  • Was passiert, wenn interne Medien verloren gehen?
  • Wie kompliziert sind Passwörter?
  • Wie oft werden Passwörter geändert?
  • Haben Mitarbeiter Zugriff auf Daten, die sie nicht benötigen?
  • Haben Fremdfirmen freien Zugang zu Räumlichkeiten mit internen Daten?

Aber Achtung!

Wenn Sie Regelungen und Richtlinien zu streng gestalten, kann es sein, dass Maßnahmen das Gegenteil des gewünschten Effekts erzielen. Wenn sie beispielsweise die Mitarbeiter dazu zwingen, wöchentlich ein neues, hochkomplexes Passwort zu wählen, werden diese früher oder später ihre Passwörter niederschreiben und so eine neue Sicherheitslücke aufmachen. Daher spielt das Fingerspitzengefühl – ebenso wie eine gute Aufklärung – eine große Rolle bei der Einführung solcher Maßnahmen.

Haben wir Ihr Interesse geweckt?

Sollten Sie weitere Informationen benötigen, haben wir hier eine kompakte Checkliste erstellt, die Ihnen bei den ersten Schritten hilft. Ebenso stehen wir Ihnen natürlich jederzeit gerne mit Rat und Tat zur Seite.

Kategorisiert in: Blog, IT-Compliance

KMU DIGITAL Beratung

Dezember 30, 2017 22:15 | Veröffentlich von

DI(FH) Michael Ulm, MA

DI(FH) Michael Ulm, MA

Digitalisierungstrends bieten für Sie als Unternehmen großes Potenzial und viele Chancen. Zugleich steigen für kleine und mittlere Unternehmen die Herausforderungen am Markt und dem wachsenden Mitbewerb. Daher gibt es die Förderung “KMU DIGITAL” und die dazugehörige „KMU DIGITAL Beratung“. Diese bietet umfassende Unterstützung, die Chancen der Digitalisierung in die Tat umzusetzen.

Michael Ulm ist zertifizierten Berater für geförderte KMU DIGITAL Beratung und unterstützt Sie von der 100% geförderten Potenzialanalyse bis in den Schwerpunkten E-Commerce & Social Media mit einer bis zu 50% geförderten E-Commerce Strategie Beratung für Ihr Unternehmen. Die Bereiche Data & IT Security und der Datenschutzgrundverordnung können als zweite Variante in einer bis zu 50% geförderten Beratung erfolgen. Der dritte Schwerpunkt, Geschäftsmodelle & Prozesse, ist ebenso als bis zu 50% geförderte Beratung möglich.

Entscheiden Sie selbst anhand der Potenzialanalyse ob und bei welcher Strategieberatung der drei Schwerpunkte Sie begleitet werden wollen. Erfahren Sie mehr über den Ablauf der KMU Digital Beratung und holen Sie sich bis zu 4.000,- € Förderung für den Start in die Digitalisierung Ihres Unternehmens.

(mehr …)

Kategorisiert in: Datenschutz, E-Commerce