Image
Foto: K.C. – stock.adobe.com

Serie – 10 Tipps: IT-Sicherheit

Digitaler Schutz für Dummies

Ohne IT wären die meisten Unternehmen aufgeschmissen. Umso erstaunlicher ist es, dass vielerorts IT noch immer als Nebensache gesehen wird. Dabei könnte ein Cyberangriff durchaus existenzbedrohend sein. Hinzu käme ein Imageschaden bei Kunden und Lieferanten. Deswegen sollte man sich beim Thema IT-Sicherheit ständig auf dem Laufenden halten. Ohne externe Dienstleister und Experten ist das allerdings kaum zu schaffen. Doch auch mit Bordmitteln und gesundem Menschenverstand können Sicherheitslücken verhindert werden.



1 UP TO DATE

Ob Hacker-Angriffe oder Erpressungen durch eingeschleuste Trojaner, die Gefahr durch Cyber-Crime steigt stetig. Selbst Interpol-Chef Jürgen Stock hält die Verbrechen im Internet für die Herausforderung schlechthin. Unternehmen sollten sich mit entsprechender Software, einer Firewall, Virenscannern, Anti-Spam-Lösungen etc. dagegen rüsten. Wichtig ist, dass stets alle aktuellen Updates und Patches installiert werden, um bekannte Sicherheitslücken zu schließen. Stellen Sie immer sicher, dass Ihr Betriebssystem, der Browser und der Virenscanner auf dem neuesten Stand sind. Mit einer guten Anti-Ransomware-Software erhöhen Sie die Wahrscheinlichkeit, Verschlüsselungs-Trojaner aufzuspüren, bevor diese Schaden auf Ihrem System anrichten können.

Tipp: Achten Sie darauf, dass Sie Ihren Betriebssystemen und Browsern sowie Ihrer Software erlauben, Updates automatisch zu installieren. Ein jährliches Release reicht nicht.

 

2 WEBSITE ALS EINFALLSTOR


Eine Schwachstelle in vielen Betrieben ist die eigene Website. Der zuvor erwähnte Basisschutz samt regelmäßigen Updates ist zwingend notwendig. Auch kleinere Unternehmen oder Handwerksbetriebe sollten sich nicht mit dem Gedanken in Sicherheit wiegen, dass ihr Unternehmen für einen Hacker sowieso zu klein und nicht von Interesse wäre.


Tipp: Ihre Website sollte vom Firmennetz getrennt sein, z. B. auf einem eigenen Server laufen oder bei einem Drittanbieter. Im Falle eines Hacker-Angriffs würde dadurch vermieden, dass jemand auf sensible Daten im Firmennetz zugreifen kann.

 

3 RISIKEN ABSCHÄTZEN


Die Forscher des Instituts für Internet-Sicherheit der Westfälischen Hochschule in Gelsenkirchen raten Unternehmen und Betrieben, sich zunächst bewusst zu machen, welche IT im Unternehmen verwendet wird. Und wo liegen die zu schützenden Werte? Sind es z. B. CAD-Maschinen, Kundenakten oder Patente? Überlegen Sie, welches Risiko Ihr Unternehmen hat und welche Maßnahmen ergriffen werden sollten. So individuell wie die Geschäftsmodelle sind, so individuell müssen auch die Sicherheitskonzepte sein. Experten können Ihnen maßgeschneiderte Sicherheitskonzepte anfertigen.
Tipp: Sicherheit fängt im Kleinen an. Oft gelangen Viren oder andere Schadsoftware über USB-Sticks in ein Firmennetzwerk. Es sollten nur betriebseigene USB-Sticks verwendet werden, die weder auf Privatrechnern noch auf anderen Geräten außerhalb des Betriebs genutzt werden.

4 SICHERUNGSKOPIEN


Regelmäßige Backups – je nach firmeninternem Datenaufkommen täglich oder wöchentlich – sind unbedingt zu empfehlen. Das schützt Sie nicht nur vor Hacker-Angriffen, sondern auch vor unerwarteten Strom- oder Geräteausfällen sowie Bedienungsfehlern. 


Tipp: Die Sicherungskopie muss vom Firmen-Netzwerk unabhängig, d. h. physisch getrennt sein. Also nicht den externen Datenträger im PC eingesteckt lassen.

 

5 BEWUSSTSEIN SCHAFFEN


Sorglose und unbedarfte Mitarbeiter können ein Sicherheitsrisiko sein. Surfen auf unsicheren Webseiten, Online-Shopping oder die Einwahl in Dating-Portale mit der Firmen-Mail-Adresse kann Kriminellen Zugang zu Ihrem Unternehmen verschaffen. Beim Online-Shopping sollte unbedingt auf die Verschlüsselung (https) geachtet werden. Dass man nur von bekannten Absendern E-Mails und deren Anhänge öffnen sollte, wissen hoffentlich die meisten. Wobei die Betrugsmasche „Fake Mails vom Chef“ (CEO Fraud) viele Unternehmen getroffen hat. Hierbei wurden Entscheidungsträger in Unternehmen mittels E-Mails so manipuliert, dass sie vermeintlich im Auftrag der Geschäftsführung größere Geldbeträge überwiesen haben, die auf diese Weise auf den Konten der Betrüger landeten.


Tipp: Mitarbeiter sollten regelmäßig geschult und für derartige IT-Gefahren sensibilisiert werden. Es geht darum, die Aufmerksamkeit zu wecken: Würde der Vorgesetzte oder Chef wirklich solche Anweisungen geben? Und das noch in der Urlaubszeit? Stimmt der Absender überhaupt? Ist die Betreffzeile seriös?

 

6 HARTE NÜSSE


Ganz banal, aber wirkungsvoll ist auch die Wahl des richtigen Passworts: Statt „1, 2, 3“ oder des eigenen Geburtstags sollte eine Kombination aus Buchstaben, Zahlen und Sonderzeichen gewählt werden. Ein schwer zu knackendes Passwort generiert man am besten durch einen Merksatz. Bilden Sie einen Satz und verwenden Sie alle Anfangsbuchstaben, Ziffern und Satzzeichen für Ihr Passwort. Beispiel: „Dieser Merksatz schützt mich 2018 vor Überfällen im Netz!“ (DMsm2018vÜiN!). Diesen Merksatz kann man für die jeweils genutzten Online-Dienste variieren. Bilden Sie ein Kürzel für den Dienst (z. B. erster und letzter Buchstabe des Dienstes. Facebook = Fk). Dieses Kürzel können Sie an eine beliebige Stelle des Passwortes setzen.


Tipp: Denken Sie daran, das Passwort mindestens zweimal im Jahr zu ändern. Und für jeden Online-Dienst ein anderes Passwort zu nutzen. Dass Passwörter nicht im Browser gespeichert werden, versteht sich von selbst.

 

7 DATEN HÜTEN


Vom Azubi bis zum Chef sollte die gesamte Belegschaft darauf achten, im Internet und in den sozialen Medien so wenig Daten wie möglich preiszugeben. Moderne Betrugsmaschen und Ausspähmethoden (sogenanntes Social Engineering) basieren auf der Spurensuche im Netz. Die Betrüger nutzen öffentlich zugängliche Informationsquellen (z. B. Webseiten des Unternehmens, Daten aus Online-Jobportalen und sozialen Netzwerken) und spähen die Kontaktdaten aus. Sie erstellen Mails, die optisch dem betriebseigenen Design entsprechen. Über Abwesenheitsassistenten wird kontrolliert, ob jeweilige Mitarbeiter anwesend sind. Darüber hinaus können kriminelle Hacker elektronische Identitäten und Korrespondenzen ausspähen.


Tipp: Das beste Sicherheitskonzept nützt nichts, wenn die Mitarbeiter es unterlaufen. Vereinbarungen zu Passwörtern, USB-Sticks, zur Smartphone-Nutzung etc. sollten schriftlich erfolgen.

8 WLAN ABSICHERN


Das Firmen-WLAN sollte unbedingt verschlüsselt werden. Private Geräte sollten keinen Zugang zum Firmennetz haben. Richten Sie gegebenenfalls einen Gastzugang neben dem eigentlichen Firmennetz ein. Achten Sie darauf, dass Ihr Internetrouter entsprechend administriert werden kann – und dass Sie die Zugriffsrechte haben.

Tipp: Auf der anderen Seite sollten Mitarbeiter nicht mit Firmenrechnern in öffentlichen WLAN-Netzen surfen. Wer viel unterwegs ist, nutzt besser eine UMTS-Karte, über die er von überall ins Internet gelangt.

 

9 SCHLÜSSELFRAGE


Verschlüsselte E-Mail-Kommunikation bietet eine hohe Sicherheit und wird auch vom Institut für Internetsicherheit der Westfälischen Hochschule empfohlen. Alle deutschen Provider (t-online, Web.de, GMX, 1&1) garantieren innerhalb ihrer deutschen Netze automatisch eine Verschlüsselung. Kommuniziert man mit Mail-Adressaten, die bei anderen Providern (z. B. Google) sind, müsste man eine Verschlüsselung einstellen. Dienste wie WhatsApp sind zwar auch verschlüsselt, haben aber den Nachteil, dass die Daten nicht gespeichert werden können.


Tipp: Alles, was über ungesicherte Verbindungen läuft, ist so öffentlich wie eine Postkarte. Profis können schnell Bewegungsprofile und elektronische Identitäten ermitteln.

10 SICHER IN DER CLOUD


Sie bieten riesige Speicherkapazität und Zugriff von jedem Ort: Clouddienste sind eine praktische Sache. Auch viele Anwendungen und Dienste laufen heutzutage über eine Cloud. Die Sicherung der Daten übernimmt der jeweilige Anbieter. Schauen Sie bei der Auswahl des Anbieters aber nicht nur auf den Preis, sondern fragen Sie auch, wie sicher Ihre Daten sind und wo sie gelagert werden.


Tipp: Cloudanbieter, die Ihre Serverfarmen außerhalb der EU haben, unterliegen nicht den strengen EU-Datenschutzanforderungen.

 

Claudia Schneider | redaktion@regio-manager.de

Ausgabe 06/2018