Skandal um IT-Sicherheitslücke: Tipps zur Reduzierung von Risiken
Sicherheitslücke macht sensible Nutzerdaten leicht zugänglich – und wird wissentlich ignoriert!
Die IT-Sicherheit verschiedener Systeme sollte allgemein gelten, egal ob sie betriebsintern oder extern erbracht wird. Was nicht passieren sollte, ist, dass Sicherheitslücken bei Webseiten und Servern bestehen, die von deren Betreibern wissentlich ignoriert werden. Genau dies geschah aber mit den Repositories des Versionskontrollsystems Git.
Alte Fehler wiederholen sich (hoffentlich) nicht
Repositories dienen dazu, verschiedene Versionen von Programmen abzulegen und davon Codearchive auszulesen. Der Flensburger IT-Sicherheitsunternehmer Matthias Nels ermittelte rund 41.000 fehlerhaft konfigurierte Systeme beziehungsweise Server. Durch die Sicherheitslücken, die diese offen ließen, sei es ein Leichtes für Angreifer gewesen, Codes, Zugangs- und Nutzerdaten zu entwenden.
Das stellt einerseits ein gravierendes Risiko für Unternehmenskunden und Online-Nutzer dar, andererseits bedeutet es negative Konsequenzen für Betriebe, denn sie haben die Data Privacy ihrer Kunden verletzt! Von der Sicherheitslücke betroffen sind nämlich Server von DAX-Konzernen, Hochschulen, Stadtwerke, Arztpraxen, Online-Shops und viele mehr. Sie müssen mit Abmahnungen durch die DSGVO rechnen. Diese können kurzfristig unangenehm sein und bedeuten langfristig beachtliche Kosten.
„Viele kleine und mittelgroße Organisationen machen sich um ihre IT-Sicherheit keinen Kopf, da muss es mal knallen, bevor sie die richtigen Schutzmaßnahmen einleiten.“
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Solche Probleme lassen sich durch die Gewährleistung beziehungsweise deutliche Erhöhung der unternehmenseigene ePrivacy und die konstante Pflege der IT-Sicherheit vermeiden. So können Risiken, wie die Kompromittierung durch fehlerhafte Server, sinken. Das ist insbesondere in Anbetracht des wachsenden Risikopotentials des Netzes wichtig.
Zunächst ist es ein Muss, den Git-Sicherheitsmangel zu beheben. Sind sich Betroffene nicht sicher, ob ihr Server Sicherheitslücken aufweist, geben sie in ihrem Browser http://meinedomain.de/.git/config ein. Zeigt dieser infolgedessen eine Konfigurationsdatei an, ist er vom Problem betroffen, so das Computertechnik-Magazin „c’t“.
Dieses Vorgehen kann kurzfristig nützen. Damit das Problem um die IT-Sicherheit aber nicht fortbesteht, gilt es langfristige Lösungen zu finden!
Konkrete Tipps zur Reduzierung von IT-Sicherheitsrisiken
Um die unternehmenseigene IT-Sicherheit zu erhöhen und den Datenschutz zu gewährleisten, muss man sich erstmal vergewissern, welche Unternehmensstrukturen überhaupt IT-getrieben sind. Netzwerk, Router und Server? Websites und Apps? Es hilft, eine Liste aller Strukturen zu erstellen und dann einen Maßstab an die eigenen Systeme und Strukturen zu stellen. Hierzu kann man den Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) konsultieren.
Ist der Stand der betriebsinternen Informationstechnologie erst einmal ermittelt, kann man potentielle Risiken bestimmen und eliminieren.
1. Reduzierung von Komplexität
Als erstes muss man die Komplexität der betriebsinternen IT-Sicherheit mindern. Hierzu lassen sich Services konsolidieren, überflüssige Inhalte löschen und die Angriffsfläche, die man als Betrieb bietet, minimieren. Als Tipp: Alles, was sich im Rahmen einer ABC-Analyse nicht als Kernkompetenz oder absoluter „Werbetreiber“ erweist, muss kritisch hinterfragt werden.
Zusätzlich ist es eine Überlegung wert, bisher selbst erbrachte Leistungen (Arbeitszeiterfassung, Abrechnung, Verwaltung) an neue, externe Anbieter auszulagern.
2. Auslagerung an externe Spezialisten
Hat man die wirklich notwendigen Services ausfindig gemacht und ist zu dem Schluss gekommen, dass sie ausgelagert werden müssen, gilt es Tools zu finden, die einem die Arbeit abnehmen! Beispielsweise kann ein Content-Management-System wie Teamleader eine Lösung sowohl für das Enterprise-Resource-Planning als auch für das Customer-Relationship-Management sein.
3. BSI-konformer Vertragsabschluss mit Lieferanten
Am wichtigsten ist aber, dass man externe Anbieter vor Abschluss eines Vertrags hinsichtlich ihrer Einhaltung der BSI-Vorgaben prüft! Um die unternehmenseigene IT-Sicherheit zu garantieren, können diese Vorgaben als Richtlinie in die Lieferantenvereinbarung aufgenommen werden.