Mittelständische Unternehmen stecken in einem großen Dilemma. Sie sind einerseits verpflichtet, für eine angemessene Sicherheit der Geschäftsdaten zu sorgen, andererseits fehlt ihnen sowohl das Personal als auch teilweise das Verständnis für die Notwendigkeit. In mehr Firmen als vermutet herrscht immer noch die Haltung vor: "Es ist bei uns doch noch nie was passiert und außerdem betrifft uns das doch ohnehin nicht".
Zudem wird Informationssicherheit meist nur als zusätzlicher Kostenfaktor gesehen, da sich der mögliche Gewinn oder die Verbesserung der Umsatzrendite nicht so einfach rechnen lässt. Dass Betriebe durch eine ausreichende Informationssicherheit auch Wettbewerbsvorteile haben, wird oft übersehen. In Summe führt das dazu, dass die Sicherheitsproblematik solange ignoriert wird, bis es zu spät ist und Unternehmen erst nach dem Schaden klüger werden.
Im Folgenden nennt die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS), eine neutrale Selbsthilfeorganisation der deutschen Wirtschaft, zehn Möglichkeiten, wie mittelständische Firmen mit relativ wenig Aufwand bereits eine gewisse Grundsicherheit erreichen können. Allerdings ist immer zu beachten, dass Informationssicherheit ein laufender Prozess und kein abschließbares Projekt ist.
10 Tipps für Ihre Sicherheit
10 Tipps für Ihre Sicherheit
Das Thema Sicherheit wird in Firmen oft noch bagatellisiert. Lesen Sie hier, wie Sie das Risiko einfach senken können.
Tipp 1: Führen Sie eine Risikoanalyse durch
Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter.
Tipp 2: Informationssicherheit beginnt von oben
Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden.
Tipp 3: Passwörter und Benutzernamen einrichten
Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon alleine aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum §9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert.
Tipp 4: Virenscanner und Firewall sind ein Muss
Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten werden und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken.
Tipp 5: Daten regelmäßig sichern
Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern.
Tipp 6: Erstellen Sie einen Notfallplan
In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich.
Tipp 7: Private E-Mail- und Web-Nutzung regeln
Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern.
Tipp 8: Mobile Datenträger absichern
Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich.
Tipp 9: Server und Netzwerk schützen
Die physikalische Infrastruktur ihres Unternehmens, das heißt, Server, Netzwerk, etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon alleine aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden.
Tipp 10: Zugriffsregel erleichtern Adminstration
Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, welche die Administration vereinfachen.
Tipp 1: Führen Sie eine Risikoanalyse durch
Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter.
Tipp 2: Informationssicherheit beginnt von oben
Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden. Darüber hinaus haben kryptische Meldungen der Sicherheitssysteme, wie sie heute oft noch üblich sind, eine kontraproduktive Wirkung. Wenn die Mitarbeiter davon ausgehen, die Meldungen der Firewall oder Sicherheitssoftware sowieso nicht zu verstehen oder, dass ihnen bei der Verneinung der jeweiligen Abfrage Ärger droht, ist das ein zweifelhafter Dienst für die Sicherheit.
Passwörter, Virenscanner & Firewall
Tipp 3: Passwörter und Benutzernamen einrichten
Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon alleine aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum §9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert. Solche Passwörter finden sich dann oft frei zugänglich als Post-It am Monitor oder unter der Tastatur. Richten Sie auch für jeden Benutzer ein eigenes Passwort ein.
Tipp 4: Virenscanner und Firewall sind ein Muss
Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten werden und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken.
Die zehn besten Online-Virenscanner
Dr.Web online virus check
Dateien mit Verdacht auf Infizierung können Sie bei Doktor Web untersuchen lassen. Praktisch: Mit dem zugehörigen <a href="https://addons.mozilla.org/de/firefox/addon/938">Firefox-Addon</a> können Sie Dateien direkt beim Herunterladen auf Viren testen.
Kaspersky Online-Scanner
Die Antivirus-Experten von Kaspersky bieten sowohl einen kostenlosen Antivirus-Check für einzelne Dateien als auch einen Online-Virenscanner für das ganze System an. Nachteile: Beim File-Scanner ist die Dateigröße auf 1 MB begrenzt. Der Virenscanner findet Schädlingssoftware nur - zum Entfernen benötigen Sie die Kaufversion von Kaspersky.
Bitdefender
Der Online-Virenscanner von Bitdefender wird über eine ActiveX-Komponente und funktioniert deshalb nur mit dem Internet Explorer. Achtung: In den Standardeinstellungen werden infizierte Dateien automatisch entfernt.
Trend Micro HouseCall
Trend Micro bietet mit HouseCall einen Online-Virenscanner an, der mit Firefox und Internet Explorer gestartet werden kann. Neben der Überprüfung auf Schädlinge kann HouseCall auch auf Sicherheitslücken in installierten Programmen hinweisen.
Virustotal.com
Der vielleicht bekannteste Antivirus-Dienst zum Überprüfen einzelner Dateien ist das Angebot von Virustotal.com. Dort können Sie Dateien bis zu einer Größe von 10 MB - per Mail bis zu 20 MB - kostenlos auf Schädlinge scannen. Dabei kommen mehr als 30 aktuelle Antiviren-Programme zum Einsatz.
Jottis Malwarescan
Jottis Malwarescan überprüft kostenlos hochgeladene Dateien mit 21 aktuellen Antivirus-Engines. Die Dateigröße für den File-Scanner ist begrenzt auf 10 MB.
Panda ActiveScan
Vom spanischen AntiViren-Spezialisten Panda ist der Onlinedienst ActiveScan. Mit ihm können Sie Ihr System kostenlos auf Viren überprüfen lassen. Vorteil: Pandas ActiveScan kann im Gegenteil zu den meisten Konkurrenprodukten auch in Firefox gestartet werden und ist nicht zwingend auf den Internet Explorer angewiesen.
Windows Live Onecare Safety Scanner
Auch Microsoft bietet einen eigenen Onlinescanner zum Auffinden von Viren, Spyware und Sicherheitslücken an. Natürlich wird dafür zwingend der Internet Explorer benötigt.
VirSCAN
Einen weiteren File-Scanner bietet der Onlinedienst VirSCAN. Hier können Sie Dateien bis zu 10 MB hochladen. Auch Zip- und Rar-Archive mit bis zu zehn Dateien werden unterstützt. Zur Überprüfung der Dateien greift der Onlinescanner auf über 30 Antivirus-Engines zurück.
HijackThis.de Security
HijackThis.de bietet keinen Online-Virenscanner, sondern eine Möglichkeit Logfiles des gleichnamigen Programms automatisch auswerten zu lassen. <a href="http://www.pcwelt.de/downloads/browser_netz/internet-tools/38229/hijackthis/">HijackThis</a> listet alle im System versteckten Prozesse und Autostarteinträge auf - bewertet aber deren Gefahr nicht. HijackThis.de hilft hier weiter: Kopieren Sie einfach die von HijackThis erstellte Logfile in die dortige Textbox und klicken Sie auf "Auswerten".
Backup & Notfallplan
Tipp 5: Daten regelmäßig sichern
Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern. Im Brandfall würde diese Datensicherung nichts helfen. Es gibt heute preiswerte und sichere Lösungen für Online-Backup in Rechenzentren.
Tipp 6: Erstellen Sie einen Notfallplan
In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich. Müssen Betriebe erst Telefonnummern recherchieren, die möglicherweise auch noch auf dem zerstörten Rechner liegen, haben Sie ein Problem mehr.
IT-Sicherheit 2011: Risiken in Unternehmen minimie
Markus Hennig, Astaro
"Es ist wichtig, die eigene Infrastruktur mit Schutzmechanismen aufzurüsten, die den modernen Internettechnologien gerecht werden."
Sascha Krieger, eleven
"Während die Quantität von Spam abnahm, legte die Qualität, was die Überlistung von Spam-Filtern anging, zu. Dies galt für die verstärkte Nutzung populärer Anlässe wie zum Beispiel Feiertage als Spam-Köder ebenso wie für E-Mails, die mit versteckten Links oder JavaScript-Umleitungen versuchten, Reputationsfilter auszutricksen."
Christian Funk, Kaspersky Labs
"Virtualisierung und Cloud Computing haben sich etabliert und die Kinderstube verlassen. Insbesondere die Clouds haben ihren Wert durch ihre flexible Erreichbarkeit bewiesen, nun geht es darum, die Endgeräte adäquat abzusichern, um Fremdzugriffe durch verlorene Note- und Netbooks sowie Smartphones zu verhindern, und so sensible Unternehmensdaten geschützt zu halten.“
Isabell Unseld, McAfee
" Eine noch höhere Verbreitung von Malware wird über mobile Geräte erwartet, die von Mitarbeitern nicht nur privat, sondern auch beruflich genutzt werden und so Unternehmensnetzwerke einem höheren Risiko aussetzen. Auch das Downloaden nicht vertrauenswürdiger Applikationen wird Administratoren nächstes Jahr beschäftigen."
Michael Hoos, Symantec
" Cyberattacken erreichten dieses Jahr mit Stuxnet eine neue Qualität. Der Schädling greift gezielt kritische Infrastrukturen an, in diesem Fall die Steuerung von Fertigungsanlagen. Einmal eingenistet, kann er diese Systeme erschreckend geschickt und weitreichend manipulieren. "
Martin Rösler, Trend Micro
"Mitarbeiter bringen ihr eigenes Equipment wie Smartphones oder Tablets mit ins Unternehmen. Somit wird "Mobile Device Management"eine große Herausforderung werden. Die so genannten "Nomadic Workers" sind Standard. Das heißt, es gibt keine festen Netzwerkgrenzen mehr. Vielmehr findet eine Vermischung statt von Firmen- und privater Nutzung.“
Private Web-Nutzung & mobile Datenträger
Tipp 7: Private E-Mail- und Web-Nutzung regeln
Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern. Vermeiden Sie die Ausführung von Skriptsprachen wie zum Beispiel Java auf den lokalen Rechnern, sofern diese nicht von vertrauenswürdigen Websites stammen. Viele Angriffe kommen über diesen Weg.
Tipp 8: Mobile Datenträger absichern
Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich.
Infrastruktur & Zugriffsregeln
Tipp 9: Server und Netzwerk schützen
Die physikalische Infrastruktur ihres Unternehmens, das heißt, Server, Netzwerk, etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon alleine aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden. Für einen halbwegs geübten Experten (bisweilen auch IT-Manager) ist das Kopieren der Daten bei physikalischem Zugriff kein Problem, im Zweifel wird die gesamte Festplatte mitgenommen.
Tipp 10: Zugriffsregel erleichtern Adminstration
Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, welche die Administration vereinfachen. (pg)