Wird man dafür bezahlt die Sicherheitspraktiken von Unternehmen zu beurteilen, dann erhält man eine Menge Einblicke in funktionierende und misslungene Sicherheitsmechanismen. Je mehr man sieht, je mehr kann man ein Gefühl dafür entwickeln, was in der Praxis nutzbringend angewandt werden kann. Es gilt: Der Erfolg einer erfolgreichen Sicherheitsstrategien basiert nicht auf Werkzeugen und Produkten – sondern auf funktionierenden Teams.
Mit guten Leuten (an den richtigen Stellen), einem unterstützenden Management und regelmäßig durchgeführten Schutzprozessen ist die Grundlage für ein sehr sicheres Unternehmen geschaffen. Als Voraussetzung gilt: Das Unternehmen muss die Bedeutung und den Wert der IT-sicherheit als einen wesentlichen Bestandteil der Unternehmenskultur erkennen. IT-Sicherheit ist nicht ein notwendiges Übel, sondern eine Unternehmenshaltung, die nicht nur die Kronjuwelen des Unternehmens schützt, sondern auch deren Mitarbeiter.
Die folgenden Praktiken und Strategien helfen allen Unternehmen, die Sicherheit langfristig und nachhaltig zu verbessern.
Konzentrieren Sie sich auf die richtigen Bedrohungen
Ein durchschnittliches Unternehmen steht heute vor der beispiellosen Herausforderung sich gegen eine Vielzahl von Bedrohungen wehren zu müssen. Wir werden von Malware, Hackern, böswilligen oder naiven Mitarbeitern, Regierungen (im In- und Ausland) bedroht. Unser Unternehmen kann über Kupferdraht, Radiowellen oder Lichtimpulse gehackt werden. Aus diesem Grund gibt es buchstäblich Tausende von Dingen, die wir tun müssen, um unser Unternehmen „vollständig“ abzusichern. Jedes Jahr müssen wir Hunderte von Patches in Betriebssysteme, Anwendungen, Hardware, Firmware, Computer, Tablets, mobile Geräte und Telefone einspielen und doch können wir immer noch gehackt und unsere wertvollsten Daten entwendet werden.
Viele Unternehmen haben inzwischen erkannt, dass die meisten Sicherheitsbedrohungen nur der buchstäbliche „Lärm um nichts“ darstellt und eigentlich keine Rolle spielt. Ein paar grundlegende Bedrohungen zu einem bestimmten Zeitpunkt stellen das eigentliche Risiko dar, auf die das Unternehmen reagieren muss. Aus diesem Grund muss man die Top-Bedrohungen des Unternehmens identifizieren, diese Bedrohungen kategorisieren und auf die wichtigen Bedrohungen den Großteil der Bemühungen zur Gefahrenabwehr konzentrieren.
Die meisten Unternehmen gehen den komplizierten Weg und springen stattdessen zwischen Dutzenden Sicherheitsprojekten kontinuierlich hin und her. Meist bleiben die Projekte unvollendet oder nutzen als Abwehrwall nur etwas gegen die kleineren Bedrohungen.
Wurde in der Vergangenheit jemals in ihr Unternehmen über das SNMP-Protokoll oder einem der ungepatchten Server-Management-Interface-Karten eingebrochen? Haben Sie jemals über solche Angriffe in der realen Welt gelesen? Warum sollen dann in ihrer Prioritätenliste diese Angriffsvarianten enthalten sein? In anderen Bereichen ist ihre System- und Software-Umgebung wahrscheinlich wesentlich gefährdeter und den täglichen Exploits ausgesetzt. Um erfolgreich die täglichen Risiken zu reduzieren, muss man die aktuellen Risiken ermitteln und ihren Fokus auf die wichtigen Sicherheitslöcher legen.
Wissen welche Werte/Ressourcen ihr Unternehmen besitzt
Manchmal sind die Dinge, die am wenigsten sexy sind, die hilfreichsten Mechanismen, um den Kampf gegen die Windmühlen zu gewinnen. Die IT-Sicherheit beginnt deshalb mit einer genauen Bestandsaufnahme der Organisation, der Systeme, der Software, der Daten und der Geräte. Die meisten Unternehmen haben wenig Ahnung von der Wirklichkeit der jeweiligen Umgebung. Wie kann man etwas absichern, wenn man nicht weiß, was es ist?
Man muss auch hinterfragen, wie gut das jeweilige Team alle Programme und Prozesse kennt, die beim Start der PCs und anderer Computer ausgeführt werden. In einer Welt, in der jedes zusätzliche Programm eine weitere Angriffsfläche für Hacker darstellt, kommt es auch auf Kleinigkeiten an. Benötigt man wirklich all das Zeug, welches automatisch gestartet wird? Wie viele Varianten bzw. Versionen eines Programms arbeiten in der jeweiligen Umgebung? Wie viele geschäftskritische Programme bilden das Rückgrat ihres Unternehmens, und in welchen Abhängigkeiten zueinander befinden sich die Programme?
Gut organisierte Unternehmen verfügen über eine strenge Inventarisierungs- und Versionskontrolle und wissen genau wo ein Programm zum Einsatz kommt. Dieser Prozess setzt jedoch eine umfassende und genaue Kenntnis des aktuellen IT-Inventars voraus.
Erst entfernen, dann sichern
Ein nicht benötigtes Programm stellt immer eine unnötige Gefahr dar. Die sichersten Unternehmen kontrollieren streng ihr IT-Inventar. Sie entfernen alle Programme und Daten, die sie nicht benötigen und verringern somit automatisch ihr Risiko.
Ich beriet vor kurzem ein Unternehmen, welches mehr als 50.000 ungepatchte Java-Installationen im Einsatz hatte. Das Java-Inventar basierte auf fünf Versionen. Das IT-Personal wusste nicht, dass in dem Unternehmen so viele Java-Installationen aktiv waren. Domänencontroller, Server, Workstations – Java war überall. Die IT wusste nur von einem einzigen unternehmenskritischen Programm, welches Java benötigte und das lief nur auf ein paar Dutzend Anwendungsservern.
Wir aktualisierten die Java-Versionen und reduzierten den Java-Fußabdruck auf wenige Computer. Gleichzeitig reduzierten wir die Vielfalt auf drei Java-Versionen. Ein paar Dutzend Anwendungen konnten jedoch nicht gepatcht werden. Bei diesen Anwendungen kontaktierten wir die jeweiligen Anbieter, um herauszufinden, warum die betreffenden Java-Versionen nicht aktualisiert werden konnte. In einigen Fällen wechselten wir das Produkt und bemühten uns, in Fällen, in denen eine ungepatchte Java-Anwendung weiter betrieben werden musste, das Sicherheitsrisiko zu minimieren.
Ähnliches gilt nicht nur für jedes Stück an Software und an Hardware, sondern auch für alle Unternehmensdaten. Daher sollte man zunächst die nicht mehr benötigten Daten beseitigen und anschließend den Rest sichern. Das absichtliche Löschen von Daten zählt zu den stärksten Datensicherheitsstrategien. Das ungezügelte Sammeln von Daten muss ein Ende haben. Aus diesem Grund muss jedem Nutzer klar sein, wie lange die jeweiligen Daten aufgehoben werden.
Nur die neuesten Versionen nutzen
Sichere Unternehmen setzen nur die neuesten Versionen von Hard- und Software ein. Natürlich findet man in jedem größeren Unternehmen eine Menge an alter Hardware und Software. Aber der größte Teil des Inventars besteht aus den neuesten Versionen bzw. der neuesten Vorgängerversion (der so genannten N-1 Version).
Dies gilt nicht nur für die Hardware und Betriebssysteme, sondern auch für Anwendungen und auch die genutzten Werkzeuge. Die Beschaffungskosten setzen sich deshalb nicht nur aus dem Kaufpreis und der Wartung, sondern auch aus den zu aktualisierenden zukünftigen Versionen zusammen. Es gilt: Nur die neueste Software und die neueste Hardware verfügt in der Regel über die neuesten Sicherheits-Features. Es ist davon auszugehen, dass die neueste Version viele frühere Löcher und Bedrohung behoben hat und die Hacker immer den Weg des geringsten Wiederstands gehen (und nur ältere Versionen mit bekannten Exploits angreifen).
Patchen mit hoher Geschwindigkeit
Dieser Hinweis ist so alt, dass er bereits zu einem Klischee erstarrt ist: Alle kritischen Schwachstellen sollten innerhalb von einer Woche nach der Verfügbarkeit einer neuen aktualisierten Version durch den Hersteller installiert werden. Diese Wahrheit wird zwar von allen Administratoren akzeptiert, aber nicht umgesetzt. Man findet in den meisten Unternehmen viele ungepatchte kritische Schwachstellen. Die Administratoren behaupten dennoch, dass sie alle Systeme unter Kontrolle haben und deshalb nur die wichtigen Patche einspielen.
Sollte ihr Unternehmen länger als eine Woche benötigen, um die verfügbaren Patches zu installieren, dann wird ein ein erhöhtes Risiko wissentlich in Kauf genommen – nicht nur, weil Sie die Tür für Hacker offen lassen, sondern weil ihre Konkurrenten diese Türen bereits versperrt haben.
Eigentlich sollte man die verfügbaren Patches vor dem Einsatz ausführlich testen, aber die Tests benötigen Zeit und Geld. Um das Unternehmen wirklich abzusichern, empfiehlt es sich, die Patches so schnell wie möglich einzuspielen. Bei Bedarf kann man einige Tage abwarten, um zu sehen, ob irgendwelche Störungen gemeldet werden. Aber nach einer kurzen Wartezeit gilt: Einspielen, Installieren, Patchen!
Erziehen, erziehen, erziehen
Die Aus- und Fortbildung ist von größter Bedeutung für die Sicherung der Unternehmen. Leider sind viele Unternehmen noch immer der Meinung, dass man die Budgets für die Aus- und Fortbildung der Benutzer-Bildung bei Bedarf kürzen kann, um die Kosten zu senken. Daher ist das Wissen vieler Nutzer oft jämmerlich veraltet und genügt den heutigen Anforderungen nicht mehr.
Eine gute Benutzerschulung konzentriert sich auf die derzeitigen Bedrohungen denen das Unternehmen ausgesetzt ist. Anhand von realen Beispielen lernen die Teilnehmer die notwendigen Schritte und Techniken, die verhindern, dass diese ein Opfer von Betrügern werden.
Auch das gesamte Sicherheitspersonal muss durch Sicherheitstrainings einem permanenten (jährlichen) Update unterzogen werden. Entweder wird die Ausbildung im eigenen Unternehmen durchgeführt oder die betreffenden Mitarbeiter nehmen an externen Schulungen und Konferenzen teil.
Konfigurationen konsistent halten
Die sichersten Organisationen arbeiten durchweg mit konsistenten Konfigurationen und wenig Abweichungen zwischen den Computern. Die meisten Hacker sind weniger clever als penetrant konsequent. Hacker sind in der Regel auf der Suche nach dem einen Loch in Tausenden von Servern, das der Administrator vergessen hat zu schließen.
Die Konsistenz ist daher der natürliche Verbündete der Sicherheit. Führen Sie ihre Prozesse immer auf die gleiche Weise aus! Stellen Sie sicher, dass die installierte Software immer die gleiche ist. Vermeiden Sie, dass sich die Anwender über zehn unterschiedliche Wege mit einem Server verbinden können! Wird eine App oder ein Programm installiert, dann stellen Sie sicher, dass die gleiche Version und Konfiguration auf jedem anderen Server (der gleichen Kategorie) installiert ist. Dies wird jedoch nur möglich, wenn das Unternehmen über Leitlinien zur Konfiguration verfügt und eine rigorose Änderungs- und Konfigurationskontrolle implementiert hat. Die Administratoren und die Anwender müssen begreifen, dass nichts installiert oder neu konfiguriert werden kann, ohne vorher die Änderungen zu dokumentieren und diese sich freigeben zu lassen.
Dies erfordert jedoch keine langen Verzögerungen bei den Änderungsanträgen. Mit der richtige Mischung aus Kontrolle und Flexibilität, stellen Sie sicher, dass jede Änderung, sobald diese ratifiziert ist, auf den entsprechenden Computern im Unternehmen konsistent umgesetzt wird.
Setzen Sie eine Zugriffskontrolle mit den geringsten Privilegien konsequent um
Der Zugang mit den geringsten Privilegien ist eine Sicherheitsmaxime. Diese Erkenntnis wird in den Unternehmen jedoch nur rudimentär umgesetzt. Zugang mit den geringsten Privilegien geht davon aus, dass die Nutzer nur so viele Privilegien erhalten, damit diese ihre wesentlichen Aufgaben erfüllen können. Die meisten Sicherheitsdomänen und Zugriffskontrolllisten sind übermäßig offen und die einmal vergebenen Berechtigungen werden meist nicht mehr überprüft. Die Zugriffssteuerungslisten wachsen oftmals bis an den Punkt an, der diese vollkommen nutzlos macht.
Machen Sie sich mit der Active-Directory-Gesamtstruktur vertraut. Beim Active-Directory kann entweder zwischen einer vollständigen Authentifizierung oder einer individuelle Authentifizierung gewählt werden. Fast jede Active-Directory-Struktur , die ich in den letzten zehn Jahren geprüft habe, basierte auf einer unvollständigen Authentifizierung. Eine individuelle Authentifizierung für alle Vertrauensmerkmale gilt als schwer sie zu implementieren, denn man muss bei der Umsetzung für jedes Objekt ausdrücklich festlegen, wer darauf zugreifen kann. Aber genau darum geht es bei der Sicherheit. Sichere Unternehmen implementieren überall immer das Prinzip der niedrigsten Rechte und Berechtigungen. Die meisten dieser Unternehmen verfügen über automatische Prozesse, die die Berechtigungen der Nutzer und deren Zugriffsrechte auf die Ressource regelmäßig überprüfen. Der Besitzer der Ressource erhält eine E-Mail, welche mitteilt, wer über Zugriffsrechte auf diese Ressource verfügt. Anschließend wird der Besitzer der Ressource aufgefordert, die Einstellungen zu bestätigen bzw. zu verändern. Antwortet der Besitzer der Ressource nicht auf die E-Mail, wird die Ressource gelöscht bzw. die Zugriffskontrolllisten entfernt.
Jedes Objekt im Unternehmen (Netzwerk, VLAN, VM, Computer, Datei, Ordner) muss einer solchen regelmäßigen Revision unterzogen werden. Nur so kann eine gleichbleibende Sicherheit gewährleistet werden.
Reduzieren Sie die Anzahl der Admin-Accounts
Um den maximalen Zugang zu den Unternehmensressourcen zu erlangen, suchen die Hacker nach hoch privilegierten Admin-Konten. Haben diese erst einmal die Kontrolle über eine Root, die Domäne oder ein Enterprise-Admin-Konto erlangt, dann hat die Sicherheit ihren Abwehrkampf verloren. In der Regel haben die meisten Unternehmen große Probleme den Schutz der Anmeldeinformationen permanent zu gewährleisten. Eigentlich hilft nur die Reduzierung bzw. Abschaffung der Admin-Zugänge. Je weniger Admin-Accounts bestehen, je weniger potentzelle Einbruchziele gibt es im Unternehmen. Das Ziel sollte sein, so wenige wie möglich permanente Superadmin Konten zu nutzen. Stehen jedoch permanente Superadmin-Konten zur Verfügung, dann müssen diese Zugänge überwacht, geprüft und auf wenige gut definierte Bereiche beschränkt werden.
Alle Objekte sollten daher so konfiguriert werden, dass sie entsprechend der jeweiligen Rolle ausgeführt werden können. In einer perfekten Welt erhalten die Nutzer nur dann einen Zugriff auf eine bestimmte Aufgabe, wenn diese auch ausgeführt werden muss – und nicht anders.
Zunächst muss man die verschiedenen notwendigen Aufgaben in jeder Anwendung analysieren, sammeln und häufig ausgeführte Aufgaben in möglichst wenigen Jobrollen konzentrieren. Anschließend werden diese Rollen den jeweiligen Benutzerkonten zugeordnet. Dies führt dazu, dass jedem Benutzerkonto und jeder Person nur noch die Berechtigungen zugewiesen werden, die notwendig sind, um seine Aufgaben erfüllen zu können.
Eine rollenbasierte Zugriffskontrolle (Role-based access control; RBAC) sollte auf jeden Computer angewendet werden. Hierfür wird auf jedem Computer mit der gleichen Rolle die gleiche Sicherheitskonfiguration aktiviert. Natürlich wird es ohne spezielle Software schwierig eine rollenbasierte Zugriffskontrolle für die Anwendungen zu realisieren. Rollenbasierte Zugriffskontrollen für Betriebssysteme und Netzwerk-spezifische Aufgaben sind leichter umzusetzen, da bereits die vorhandenen Werkzeuge hierzu genutzt werden können. In Zukunft werden jedoch alle Zugriffskontrollen per RBAC realisiert werden.
Separieren, Separieren, Separieren
Eine gute Hygiene innerhalb der Sicherheitsdomäne ist ein weiterer wesentlicher Baustein von hochsicheren Unternehmen. Eine Sicherheitsdomäne stellt eine (logische) Trennung von mehreren Objekten dar, auf die Nutzer mit entsprechenden Sicherheitsberechtigungen zugreifen können. Der gleiche Sicherheitsnachweis kann nicht ohne vorherige Zustimmung oder einen entsprechenden Zutrittskontrollwechsel für den Zugriff auf zwei Sicherheitsdomänen verwendet werden. Beispielsweise stellt eine Firewall die einfachste Variante einer Sicherheitsdomäne dar. Die Nutzer auf der einen Seite der Firewall können auf die Anwendungen auf der anderen Seite der Firewall nicht ungehindert durchgreifen. Die Ausnahme bilden bestimmte Protokolle, Ports und so weiter, die den vordefinierten Regeln entsprechen. Die meisten Websites entsprechen einer Sicherheitsdomäne und in den meisten Firmennetzwerken sollten mehrere Sicherheitsdomänen inzwischen realisiert sein.
Jede Sicherheitsdomäne sollte über eigenen Namensraum, eine eigene Zugangskontrolle, entsprechende Zugriffsrechte, Privilegien und Rollen verfügen. Diese sollten nur in dem jeweiligen Namensraum von Bedeutung sein. Die Festlegung der Anzahl der aktiven Sicherheitsdomänen im jeweiligen Unternehmen ist nicht einfach. Man sollte sich in der Praxis am Konzept der „geringsten möglichen Privilegien“ orientieren. Eine gewisse Planungsrichtung gibt die folgende Frage vor: Wie viel Schaden kann eintreten, wenn die Zugriffskontrolle fällt, so dass ein Eindringling den kompletten Zugriff über einen bestimmten Bereich erhält?
Wird eine Kommunikation zwischen Sicherheitsdomänen notwendig, sollte nur eine sehr eingeschränkte Berechtigung für den Zugriff zwischen den Domänen realisiert werden. Fremde Accounts sollten keinen oder nur einen geringen Zugriff auf wenige Anwendungen und rollenbasierte Aufgaben innerhalb dieser Anwendungen erhalten. Auf alle anderen Ressourcen innerhalb der Sicherheitsdomäne darf nicht zugegriffen werden.
Intelligente Überwachungspraktiken und rechtzeitige Reaktion
Die überwiegende Mehrheit von Hacking-Angriffen wird in den jeweiligen Ereignis-Logs erfasst. Leider kontrolliert in der Regel niemand diese Aufzeichnungen bzw. diese werden erst nach einem Angriff ausgewertet. Sichere Unternehmen überwachen intensiv den gesamten Datenverkehr auf Anomalien, welche entsprechende Alarme bei ihrem Auftreten erzeugen und die Verantwortlichen benachrichtigt.
Sichere Unternehmen verfügen über eine Vergleichsmatrix aller (bzw. der wichtigsten) Logs. Damit werden die Bedrohungen verglichen und automatisch die passenden Gegenmaßnahmen für die Bedrohungen dargestellt.
Am wichtigsten ist jedoch, dass die Administratoren auf eine Warnung entsprechend reagieren. Wenn man mir sagt, dass ein Sicherheitsteam bestimmte Bedrohung (wie beispielsweise das Passwortraten) überwacht, dann sollte man dessen Reaktionsfähigkeit immer wieder überprüfen. Hierzu generiert man einen entsprechenden Alarm und überprüft wie (oder ob überhaupt) auf den Alarm reagiert wird. In sichere Unternehmen arbeiten Menschen, die aus ihren Sitzen springen, wenn ein entsprechender Alarm ausgelöst wird und die sich darüber erkundigen, was zum Auslösen des Alarms geführt hat.
Leben von Verantwortlichkeiten
Jedes Objekt und Anwendung sollte über einen Verantwortlichen (oder eine Gruppe von Verantwortlichen) verfügen, welche für die ordnungsgemäße Nutzung verantwortlich sind. In typischen Unternehmen verfügen meisten Objekte über keinen Verantwortlichen Und die IT kann meist auch nicht die Person benennen, die ursprünglich den Einsatz dieser Ressource veranlasst hat bzw. weiß nicht, ob diese Ressource noch notwendig ist. In der Regel sind in den meisten Unternehmen die Anzahl der definierten Gruppen wesentlich größer als die Anzahl der aktiven Benutzer-Accounts. Da jedoch niemand so richtig weiß, ob eine Gruppe noch benötigt wird, werden diese nicht gelöscht und als Zugangsleichen über einen langen Zeitraum aktiv gehalten.
Ein weiteres Beispiel ist das Zurücksetzen aller Passwörter nach einem erfolgten Angriff auf das Unternehmen. Ein solcher Prozess Alässt sich jedoch nicht einfach umsetzen. Einige Accounts sind in der Regel direkt in den Anwendungen integriert und erfordern, dass das betreffende Passwort sowohl in der Anwendung als auch im Service-Account geändert wird. Da oftmals niemand genau weiß, ob eine bestimmte Anwendung überhaupt genutzt wird, kann auch keine hierfür verantwortliche Person gefragt werden. Letztendlich bedeutet dies, dass die Anwendung allein gelassen werden, da man sich keine Betriebsunterbrechung leisten will.
Priorisierung schneller Entscheidungen
In den meisten Unternehmen kommt die Datenanalyse regelmäßig zu kurz. Ein Mangel an Verantwortlichkeiten und geringem Eigenantrieb trägt dazu bei, dass alle Mitarbeiter Angst haben die notwendigen Änderungen vorzunehmen. Dabei ist im Fall eines Einbruchs eine hohe Geschwindigkeit die notwendige Sicherheit wieder herzustellen extrem wichtig.
Sichere Unternehmen zeichnen sich durch eine starke Balance zwischen der Kontrolle und der Fähigkeit, schnelle Entscheidungen zu treffen, aus. Ich habe hoch spezialisierte und handverlesene Projektmanager gesehen, die sich bei den ersten Anzeichen von Problemen schnell verdrückten. Diese Projektmanager verfügen über das notwendige Budget, die Möglichkeit alle notwendigen Änderungen umzusetzen, um bestimmte Probleme bereits im Vorfeld auszuräumen. Solche Projektmanager müssen jedoch schnell ausgetauscht werden, wenn sie ihre Aufgaben nicht erfüllen.
Den Spaß dabei nicht vergessen
Die Kollegialität und die Freundlichkeit und der Spaß bei der Arbeit dürfen bei allen Sicherheitsüberlegungen nicht auf der Strecke bleiben. In viele Unternehmen gilt jedoch der Grundsatz: Viel Feind – viel Ehr! Hassen die Mitarbeiter die Sicherheitsbeauftragten, dann haben diese eine gute Arbeit geleistet. Nichts ist weiter von der Wahrheit entfernt. Wenn ein Unternehmen über effiziente Sicherheitsprozesse verfügt, dann muss das nicht zu Lasten der Nutzbarkeit gehen und eine gewisse Stabilität der Rechner/Server-Systeme ist ein Markenzeichen einer gut funktionierenden IT. Die Computerfachleute wissen was sie können, haben sich auf alle Eventualitäten vorbereitet und sind weder gestresst noch schlecht gelaunt. Diese Kollegen haben die Situation unter Kontrolle.
Ich sage nicht, dass die Arbeit bei einem sicheren Unternehmen ein Kinderspiel ist. Aber mir scheint, dass die Mitarbeiter in solchen Unternehmen mehr Spaß bei der Arbeit haben und kollegialer miteinander umgehen.
Fazit
Die meisten beschriebenen Merkmale von sicheren Unternehmen gehören zum Allgemeinwissen und werden von vielen Unternehmen praktiziert. Man darf jedoch nicht überheblich werden. Die Überheblichkeit über ihre soliden Kenntnisse und Sicherheitsprozesse zur Selbstgefälligkeit und diese versperrt die notwendige kritische Sicht auf den Alltag. Der große Unterschied zwischen Unternehmen, die ihre Kronjuwelen erfolgreich verteidigen und Unternehmen, die sich wie folgt darstellen:
- Es kommt darauf an, sich auf die richtigen Sicherheitselemente zu konzentrieren, und
- im Unternehmen eine Kultur zu schaffen, die dafür sorgt, dass die Mitarbeiter automatisch die richtigen Dinge tun.
Ansonsten heißt es: Ärmel hochkrempeln und die Pläne zur Verbesserung der Sicherheitsmaßnahmen umsetzen. (mh)
