IT Security

Mit der vielschichtigen, weltweiten Vernetzung zwischen Unternehmen, Kunden und Lieferanten steigt der Bedarf an IT-Sicherheitslösungen. Auch weil IT-Systeme immer häufiger gezielt angegriffen werden und durch Cybercrime enorme Schäden entstehen können. Unternehmen sollten ihre IT-Landschaft daher vollständig absichern und die Sicherheitsvorkehrungen regelmäßig auf den Prüfstand stellen.

Durch jahrzehntelange Erfahrung mit den besonders hohen Sicherheitsanforderungen der Luftfahrt ist Lufthansa Industry Solutions ein Top-Experte für Informationssicherheit. Wir bieten modernste Sicherheitstechnologien und IT-Dienstleistungen – von der Analyse der Sicherheitsbedürfnisse und der Entwicklung von Sicherheitskonzepten über die Implementierung bis hin zum Betrieb der IT Security. Zu unseren Lösungen zählen Architekturen und Plattformen für den sicheren mobilen Zugriff genauso wie Penetration Tests und Security Audits, um Cybercrime vorzubeugen. 

IT-Trends: Darauf sollten Unternehmen vorbereitet sein

  • Klassische IT-Strukturen werden zunehmend durch die Cloud ersetzt.
  • Das Internet of Things (IoT) wird die Entwicklung künftiger IT-Strukturen prägen.
  • Die Schutzanforderungen an die mobile Kommunikation steigen.
  • Die Datenschutzanforderungen werden mit der DSGVO deutlich verschärft.

Warum ist IT Security wichtig für Unternehmen?

Die vergangenen Jahre haben einen deutlichen Anstieg von Cyberkriminalität insbesondere in den produzierenden Gewerben gezeigt. Umso wichtiger ist es, dass sich Unternehmen entsprechend vorbereiten: mit zeitgemäßen und flächendeckenden Sicherheitslösungen, die alle Bereiche ihrer IT kontinuierlich auf den Prüfstand stellen.

Diagramm zum Thema "IT Security" - Zunahme von IT-Risiken aus Sicht der IT-Anbieter

Deutliche Zunahme von Cyberattacken auf Unternehmen

Die Entwicklung und Verbreitung des Internet of Things (IoT) und der Industrie 4.0 schreiten rasant voran. Mit der zunehmenden Nutzung von mobilen Geräten und smarten Technologien für Unternehmensprozesse wachsen die Datenmengen und Datenschnittstellen – und damit potenzielle Angriffsmöglichkeiten für Cyberkriminelle. Diese Entwicklung spiegelt sich auch in der Wahrnehmung der IT-Risiken aus Sicht der IT-Anbieter wider: Immer mehr Anbieter bewerten das Gefahrenpotenzial als stark wachsend. Doch noch immer unterschätzen viele Unternehmen diese Cyberrisiken – genau wie das Ausmaß der Schäden: So kann zum Beispiel eine per DDoS-Attacke ausgelöste Serverüberlastung einen Ausfall der firmeneigenen IT-Strukturen bis hin zum Stillstand des Geschäftsbetriebs zur Folge haben. Unsere maßgeschneiderten IT-Sicherheitskonzepte für Unternehmen umfassen daher unter anderem die regelmäßige Überprüfung und Aktualisierung bestehender Schutzmechanismen.

Cyberattacken auf Unternehmen

Mehr als die Hälfte (53 %) der deutschen Unternehmen wurde laut einer aktuellen Bitkom-Studie von 2017 Opfer einer Cyberattacke. Durch Datendiebstahl, Wirtschaftsspionage oder IT-Sabotage entstand ein Gesamtschaden von 55 Milliarden Euro.

Erhöhte Cyberrisiken für Industrie, Automotive, Transport und Logistik

Einige wirtschaftliche Sektoren gelten aufgrund ihrer zentralen Bedeutung als besonders gefährdet und unterliegen spezifischen rechtlichen Anforderungen wie dem IT Sicherheitsgesetz und den KRITIS-Verordnungen. Aber auch für andere Sektoren gibt es keine Entwarnung: Cyberkriminalität trifft Unternehmen jeder Größe und aller Branchen.

Insbesondere in den bereits heute stark vernetzten Branchen Automotive, Industrie sowie Transport und Logistik haben Angriffsversuche und Sicherheitsvorfälle in den letzten Jahren stark zugenommen. Dies erfordert ein Umdenken bei Entscheidungsträgern. Waren Angriffe zuvor oft nur ein lokales Problem für die direkten Opfer, so sind durch die starke Verzahnung verschiedener Geschäftsfelder zunehmend auch Zulieferer, Partner und Kunden betroffen. Die resultierenden Imageschäden, Produktionsausfallkosten und Haftungsrisiken steigen stetig. Der angemessene Schutz der IT wird somit zu einer elementaren Voraussetzung und zum besten Investitionsschutz für ganze Lieferketten.

Diagramm zum Rhema "IT-Security" - IT-Bereiche mit größtem Sicherheitsrisiko

Welche IT-Bereiche sind am stärksten gefährdet?

Mobile bzw. netzwerkfähige Geräte gehören heute in nahezu jedem Unternehmen zum Geschäftsalltag: Sei es für die interne und externe Kommunikation, für die Erstellung von Konzepten und Abrechnungen, im vertrieblichen Einsatz, bei der Wartung von Anlagen, in der Logistikkette oder in Form von „smarten“ Sicherheitskomponenten. Dazu kommen Sensoren und andere intelligente Technologien an Produktionsmaschinen, IP-Kameras sowie die Datenspeicherung in der Cloud, die zunehmend genutzt wird, um relevante Informationen für Kunden, Partner und Mitarbeiter jederzeit und von überall verfügbar zu machen. Die schnelle Entwicklung der Technologien und die große Vielfalt an Geräten macht es für Unternehmen schwierig, die IT-Risiken aktuell im Blick zu behalten – und den notwendigen IT-Schutz flächendeckend umzusetzen.

Somit ist nicht nur die IT-Landschaft im Wandel begriffen, sondern vor allem auch die IT-Sicherheit: IT-Experten sehen IoT und Cloud Computing als die wichtigsten Treiber zur Veränderung im Bereich IT Security.

IT-Analysten schätzten die Anzahl vernetzter Geräte Ende 2017 auf 8,4 Milliarden – über 20 Milliarden sollen es bis 2020 werden. Durch die rasant wachsende Anzahl vernetzter Geräte wird die IT-Sicherheit zur Herausforderung: Viele IoT-Geräte haben herstellerseitige Sicherheitsmängel wie z. B. fehlende Updatefunktionen, Schwachstellen in Protokollen oder unsichere Datenspeicher. Diese wurden und werden häufig von Cyberkriminellen ausgenutzt. Aber auch das fehlende Sicherheitsbewusstsein der IoT-Anwender birgt Risiken – zum Beispiel durch das Verwenden schwacher Passwörter bei administrativen Zugriffen oder das Vernachlässigen von Sicherheitsupdates. Um IoT-Security im Unternehmen zu gewährleisten, müssen nicht nur Geräte und Software, sondern der gesamte digitale Prozess analysiert und mithilfe von Penetration Tests auf Schwachstellen geprüft werden.

Cloudservices zählen heute zum Standard für Unternehmen. Die Auslagerung der IT an einen Cloudanbieter ist komfortabel und kosteneffizient – allerdings werden damit auch Teile der IT-Sicherheit auf einen Dienstleister übertragen. Häufig sind Cloud-Anbieter nur für die physische Sicherheit des Rechenzentrums, die Sicherheit der Server, der Basisnetzwerkstrukturen sowie für bestimmte Basisanwendungen und Standardfunktionen verantwortlich. Darüber hinaus ist es in der Regel Sache der Cloud-Nutzer, die darin genutzten Technologien sicher zu betreiben, die Zugriffsrechte zu definieren und das Identitätsmanagement innerhalb des Unternehmens zu steuern. Auch gesetzliche Sicherheitsvorgaben spielen eine Rolle für die Cloud-Security. Zum Schutz vor Cyberangriffen, Datenverlust und Serverausfällen, aber auch um Haftungsklagen vorzubeugen, sollten die Aufgaben und Pflichten der Cloud-Security für Anbieter und Anwender jeweils vertraglich festgelegt werden.

Trotz der zunehmenden technologischen Komplexität ist das Sicherheitsniveau mobiler Technologien uneinheitlich und häufig nur schwer zu durchschauen. Auf der einen Seite vernachlässigen viele Entwickler das Schwachstellen- und Patch-Management, auf der anderen Seite gibt es in Unternehmen nach wie vor oftmals ein fehlendes Bewusstsein für die IT-Risiken von Apps und anderen Software-Produkten. Für die IT-Sicherheit ist es entscheidend, dass alle im Unternehmen eingesetzten mobilen Technologien regelmäßig auf potenzielle Schwachstellen hin kontrolliert und aktualisiert werden.

Infografik - Angriffspunkte für Cyberkriminelle von LHIND

Welche konkreten IT-Gefahren gibt es für Unternehmen?

Laut einer Umfrage des Versicherungsanbieters FM Global aus dem Jahr 2016 zählen Cyberattacken neben Maschinenbruch und Naturkatastrophen zu den Top-3-Risiken, die in den vergangenen fünf Jahren die Geschäftstätigkeit von Unternehmen negativ beeinflusst haben.

Denn wenn Unternehmen ihre Maschinen mit Sensoren ausstatten, Social Media nutzen oder Daten in der Cloud speichern: Die Digitalisierung hat zur Folge, dass der Bedarf an IT-Sicherheit steigt.

Um gegen die Vielzahl an möglichen Angriffspunkten und Angriffsmethoden wie Malware oder DDoS-Attacken gewappnet zu sein, bedarf es des umfangreichen Know-Hows um geeignete Schutzmaßnahmen zur Erreichung eines hohen IT Security Levels zu integrieren.

Nahezu jede komplexe Software enthält gewisse Code-Fehler und Sicherheitslücken, die von Cyberkriminellen ausgenutzt werden können, etwa für Datendiebstahl oder zum Einschleusen von Bots und anderer Malware in das IT-System.

Schutzmaßnahmen: Ein effizientes Schwachstellen-, Patch- und Lifecycle-Management sowie eine transparente Informationspolitik vonseiten der Softwareanbieter können das Risiko von IT-Sicherheitslücken erheblich senken. Einkäufer und Systemverantwortliche sollten daher darauf achten, ausschließlich geprüfte und regelmäßig aktualisierte Software mit transparenten Sicherheitsstandards einzusetzen.

Ransomware-, DDoS- und APT-Angriffe sowie viele weitere Formen der Cyberkriminalität beruhen weitgehend auf dem Einsatz ausgeklügelter Malware. In den meisten Fällen gelangt die Schadsoftware als E-Mail-Anhang, über Downloads, Apps oder gefälschte Programm-Updates auf ein Gerät. Zwar verfügen diese meist über einen Virenschutz – aber aufgrund ihrer rasend schnellen Weiterentwicklung können Schadprogramme oft nicht voll umfänglich erkannt und abgewehrt werden.

Schutzmaßnahmen: Neben den „klassischen“ Lösungen wie Firewalls und Antivirenprogrammen muss ein IT-Sicherheitskonzept für Unternehmen daher auch eine regelmäßige Überprüfung der Hardware und Software beinhalten. Zudem sollte das Konzept die Software-Nutzer einbeziehen und sie in der sicheren, achtsamen IT-Nutzung schulen.

Ransomware ist eine Malware-Variante, die die Hardware blockiert oder Nutzerdaten verschlüsselt, sodass Geräte nicht mehr nutzbar sind. Erst nach Zahlung eines Lösegeldes wird das Gerät wieder freigegeben. Angriffe erfolgen flächendeckend, wie zum Beispiel beim Schadprogramm WannaCry, aber auch gezielt gegen ein Unternehmen oder eine Organisation.

Schutzmaßnahmen: Reduzieren lässt sich das Risiko einer Attacke zum Beispiel durch eine strategische Netzwerksegmentierung im Unternehmen und durch ein systematisches Patch-Management, um Schwachstellen im System frühzeitig zu eliminieren. Ein simulierter Cyberangriff kann helfen, Risiken realistisch abzubilden und entsprechende Maßnahmen zu ergreifen.

Diagramm zum Rhema "IT-Security" - Cyberattacken durch Ransomware

Von rund 600 befragten IT-Experten berichtet knapp ein Drittel (31 %) von mindestens einem Angriff durch Ransomware in 2017. Das geforderte Lösegeld zahlen nur die wenigsten Unternehmen (3 %) – der Großteil versucht die Attacke mit AV-Software oder durch das Zurückspielen von Backups abzuwehren.

Quelle: www.eco.de/wp-content/blogs.dir/eco_report_it-sicherheit-2017.pdf

DDoS-Angriffe (Distributed Denial of Service) verursachen eine mutwillige Überlastung des Servers, um die IT-Strukturen eines Unternehmens teilweise oder vollständig lahmzulegen. In der Regel erfolgen solche Angriffe über Botnetze, die in kürzester Zeit selbständig eine große Anzahl an Geräten mit der Schadsoftware infizieren. DDoS-Angriffe werden häufig mit einer Lösegeldforderung verbunden.

Schutzmaßnahmen: Da Botnetze auf Malware basieren, greifen hier die klassischen Schutzmaßnahmen wie eine systematische Schwachstellenanalyse, regelmäßige Software-Updates, eine strategisch aufgebaute Netzwerksegmentierung sowie ein gesteigertes Bewusstsein für IT-Sicherheitsrisiken bei den Mitarbeitern. Darüber hinaus sollten Unternehmen über spezielle DDoS-Prevention-Lösungen nachdenken, die den zur Überlastung führenden Traffic in kürzester Zeit umleiten.

APT-Angriffe (Advanced Persistent Threats) sind eine breit angelegte Methode zur Datenbeschaffung. Klassischerweise werden APTs von Nachrichtendiensten eingesetzt, allerdings mehren sich Hinweise, dass die Methode mittlerweile zur Wirtschaftsspionage eingesetzt wird. APTs gelangen häufig über Software-Updates in ein System.

Schutzmaßnahmen: Der grundlegende Schutz durch Firewall und Virenschutzprogramme bleibt unverzichtbar. Darüber hinaus sollten Hardware und Software im Netzwerk segmentiert und durch Zugriffsrechte gesichert werden. Anwenderschulungen, regelmäßige Audits zur Schwachstellenerkennung und eine effektive Notfall-Strategie runden das Sicherheitskonzept ab.

IT-Sicherheitskonzepts: Die vier zentralen Bereiche

  • Secure Process Architecture: Ein angemessenes Schutzniveau definieren und aufbauen
  • Security by Design: Operative Lösungen umsetzen
  • Audits: Compliance und Sicherheitsbestimmungen wahren
  • Advanced Cyber Security: Für den Notfall gewappnet sein

 

LHIND – Beratung und Lösungen im Bereich IT Security

Das Leistungsspektrum von LHIND umfasst vier Themenfelder. Wir sorgen dafür, dass diese vier Bereiche im Rahmen eines individuellen IT-Sicherheitskonzepts effektiv ineinander greifen.

IT Security: Übersicht des Leistungsangebots von LHIND

Unsere Leistungen für die IT-Sicherheit Ihres Unternehmens

Unser Ziel ist es, das Bewusstsein für spezifische IT-Risiken in Ihrem Unternehmen zu steigern und Ihnen zu helfen, diese aktiv zu steuern. Mit unseren risikoorientierten, individuellen Sicherheitskonzepten bereiten wir Sie bestmöglich auf potenzielle Ernstfälle vor, bevor diese eintreten. Unsere operativen Sicherheitslösungen, die wir flächendeckend und in Übereinstimmung mit geltenden Richtlinien umsetzen, schaffen das technisch notwendige Fundament für einen wirtschaftlich angemessenen Schutz. Mit Notfallsimulationen und regelmäßigen Audits nehmen wir kontinuierlich den Zustand Ihrer IT-Sicherheit genau unter die Lupe. Mit unseren Penetrationstests simulieren wir echte Angriffe auf Ihre Systeme und stehen Ihnen auch bei einem realen Angriff mit Soforthilfe zur Seite.

Aufbau eines optimalen IT-Schutzniveaus

Gemeinsam mit Ihnen nehmen wir alle Prozesse und Schnittstellen Ihrer IT unter die Lupe. Wir überprüfen die eingesetzten Technologien auf Aktualität und Sicherheit, identifizieren potenzielle Schwachstellen und machen bei Bedarf Vorschläge zur Optimierung. Darüber hinaus setzen wir uns mit den für Ihre Branche geltenden Sicherheitsbestimmungen und anderen Compliance-Themen auseinander und entwickeln ein für Ihr Unternehmen passgenaues IT-Sicherheitskonzept auf hohem Niveau. So haben Sie alle Aspekte Ihrer Soft- und Hardware im Blick und können IT-Risiken realistisch einschätzen.

Kernthemen im Bereich Secure Process Architecture

  • Aufbau eines Information Security Management Systems (ISMS): ISO 2700x, Grundschutz nach BSI-Vorgaben (Bundesamt für Sicherheit in der Informationstechnik) 
  • IT-Sicherheitskonzepte gemäß KRITIS (Kritische Infrastrukturen)
  • Umsetzung von Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG)

Beratung für operative Sicherheitslösungen

Auf der Grundlage der geltenden Bestimmungen und mit Blick auf den aktuellen Status Ihrer IT empfehlen wir operative Individual- und Standardsicherheitslösungen und integrieren diese in Ihre Prozesse. Die Schwerpunkte unserer operativen Lösungen liegen im Bereich Digitale Vertrauensstrukturen, Security-Monitoring-Lösungen, Websecurity und Trackingsysteme, Mobile Security, Cloud Security sowie IoT Security. So wird die Arbeit mit Ihrer IT effizienter, nutzerfreundlicher und gleichzeitig sicherer.

Kernthemen im Bereich Security by Design

  • Public-Key-Infrastruktur (PKI), Hardware Security Module (HSM), Kryptographie
  • Configuration Management Database (CMDB), Identity und Access Management (IDM&AM), Security Information and Event-Management (SIEM), Schutz vor Advanced Persistent Threat (APT)
  • Azure/Amazon Web Services (AWS) Sicherheit, Open Web Application Security Project (OWASP) Top 10
  • Open Web Application Security Project (OWASP) Mobile Top 10, Mobile-Device-Management (MDM)
  • Embedded Security, Lightweight Protocols

Kontinuierliche Umsetzungskontrolle und Compliance

Geltende Standards und Sicherheitsanforderungen ändern sich ebenso wie die verwendete Hard- und Software. Wir helfen Ihnen, in Sachen IT Security auf dem neuesten Stand zu bleiben. Mit maßgeschneiderten Security Checks und IT-Architektur Reviews zeigen wir Ihnen Aktualisierungsbedarf auf. Mit individuellen Privacy Audits unterstützen wir Sie bei den Themen Datenschutz und Compliance – so minimieren Sie das Risiko finanzieller Verluste durch Angriffe oder Sanktionen und stärken langfristig das Vertrauen in Ihr Unternehmen.

Kernthemen im Bereich Audits

  • IT Security Audits
  • IT Risk Audits
  • Privacy (Impact) Audits

Verteidigungsstrategien für den Ernstfall

Angriff ist die beste Verteidigung: Mit einem simulierten Cyberangriff identifizieren wir gezielt Schwachstellen in Ihrer IT. Sie gewinnen Einblick in kritische Komponenten und Toleranzbereiche und bekommen einen realistischen Eindruck von den potenziellen Schäden für Ihr Unternehmen. Das Ergebnis des Penetrationstests hilft uns, Ihre IT Security noch besser gegen verschiedene Angriffsformen zu schützen. Selbstverständlich stehen wir Ihnen auch im Ernstfall unterstützend zur Seite – schnell und effizient leiten wir die notwendigen Maßnahmen ein, um operative und finanzielle Verluste zu minimieren.

Kernthemen im Bereich Advanced Cyber Security

  • Aktive Penetrationstests
  • Fachliches und technisches Notfallmanagement
  • IT Forensik
  • Vorbereitung von Gegenmaßnahmen

Erfahren Sie mehr zu den Themen, die Ihre Branche bewegen

Sie möchten mehr über die relevanten IT-Themen erfahren? Wir informieren Sie aktuell und branchenspezifisch zu Kernthemen wie Big Data , Industrie 4.0 , Collaboration Platforms und anderen. Auf Wunsch beraten wir Sie gern persönlich – sprechen Sie uns jederzeit an.

Erfahren Sie mehr über moderne IT Security

Sicher vernetzt mit moderner IT Security

Mit zunehmender Vernetzung durch IoT und Industrie 4.0 wachsen die Angriffsflächen für Cyberkriminelle. Unternehmen sollten daher ihre IT Security auf den Prüfstand stellen.
IT Security kontinuierlich verbessern
Erfahren Sie mehr über das Einsatzpotenzial von Blockchain-Lösungen in der Luftfahrt

Mit Blockchain zu mehr Transparenz in der Luftfahrt

Als neutrales Dokumentationssystem von Informationen ist das Potenzial von Blockchain immens. Beispielsweise könnte es die Transparenz in der Flugzeugwartung erhöhen.
Zum Anwendungsbeispiel
Erfahren Sie mehr über die IT-Schulungen von LHIND

Unser Schulungsangebot

Lufthansa Industry Solutions macht Sie und Ihre Mitarbeiter fit für die Digitalisierung. Zu Themen wie agiles Projektmanagement und Scrum, RapidMiner, Hadoop, DevOps – Continuous Delivery and Deployment, Industrie 4.0 / Internet of Things oder Blockchain bietet Lufthansa Industry Solutions gezielte Schulungen mit Workshop-Elementen an. Die Veranstaltungen zeichnen sich durch einen hohen Praxisbezug aus und die Inhalte können auf den konkreten Bedarf Ihres Unternehmens zugeschnitten werden.
Das Schulungsangebot im Überblick

Connected Cars: Geschäftsfeld mit Zukunft

Connected Cars bieten der Automotive-Branche die Chance, sich mithilfe von neuen digitalen Services vom Wettbewerb abzusetzen und mit ihren Kunden eine nachhaltige Kundenbeziehung aufzubauen.
Mehr zu Connected Cars
Erfahren Sie mehr über Sensoren und Data Analytics für effizienten Maschineneinsatz und Wartung in der Industrie

Mit Sensorik Geräte effizienter einsetzen und warten

IoT ist ein Treiber der Digitalisierung. Setzen Industrieunternehmen Sensoren ein, können sie Geräte kostensparender nutzen und Kunden neue Services bieten.
Mehr zu Sensorik-Lösungen
Erfahren Sie mehr über Big Data im Management von Energiesystemen

Mit Big Data das neue Energiesystem erfolgreich managen

Getrieben von der Digitalisierung, entsteht ein neues, intelligentes Daten- und Energienetz, das Energieversorger nur mithilfe von IT kosteneffizient steuern können.
IT für die Energiebranche

Um die Website und Services für Sie zu optimieren, werden Cookies verwendet. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Nähere Informationen finden Sie hier.