IT-Sicherheit – 10 Basics für kleine und mittlere Unternehmen

Bereits in Teil 1 seines Beitrags gab Ralph Friederichs von Cyberdyne KMU hilfreiche Tipps zur Erhöhung der IT-Sicherheit. Auch Teil 2 steht unter dem Motto „Mit Sicherheit gut informiert“, den wir Ihnen heute mit den Tipps 6-10 präsentieren:

6. Die VPN-Verbindung: Datenverkehr verschlüsseln
Alle Daten, die über das WWW verschickt werden, sind zunächst unverschlüsselt – E-Mails lassen sich im Internet lesen wie eine Postkarte. Ähnlich einfach lässt sich ermitteln, auf welche Webseiten oder Server zugegriffen wird. Je nach System können sogar Benutzernamen oder Passwörter ausgelesen werden. Alles keine guten Voraussetzungen, um geschäftliche Informationen auszutauschen.
Sie sollten also immer überprüfen und hinterfragen, welche Daten Sie wie an wen verschicken. Auf der technischen Seite helfen Verschlüsselungssysteme – so genannte „Virtual Private Networks“, kurz VPN – mit denen Daten codiert werden. Dabei wird eine verschlüsselte Verbindung aufgebaut, vergleichbar mit einem Tunnel im Internet, durch den nur Sie Ihre Daten verschicken. Um einen solchen zu ver- und entschlüsselnden E-Mail-Verkehr aufzubauen, müssen Sender und Empfänger vorab Ihre Schlüssel ausgetauscht haben.
VPN-Verbindungen bedürfen einiger Konfigurationen und schränken Sie damit etwas in der Flexibilität ein – sorgen aber für einen wirklich sicheren Datentransfer.

7. Die Verschlüsselung Ihrer Geräte
Auch auf Notebooks, Tablets oder Smartphones kommt Verschlüsselung zum Einsatz. Mehr und mehr Anwender nutzen solche Geräte und verbinden diese mit E-Mail Servern und anderen Systemen. Dabei werden sensible Daten auf den Geräten gespeichert. Vor allem in E-Mails stecken viele interessante, auch vertrauliche Daten und Informationen – diese liegen oft ungeschützt auf den mobilen Endgeräten.
Ist jedoch die Systemfestplatte oder der Speicherbereich auf dem Gerät verschlüsselt, wird Missbrauch ein Riegel vorgeschoben. Nach einem Verlust eines Geräts muss man sich weniger Gedanken darüber machen, ob die Daten darauf in falsche Hände geraten könnten. Eine gute Verschlüsselung ist ohne technische Kenntnisse und viel Rechenleistung in der Regel kaum zu knacken. Die Ver- und Entschlüsselung benötigt in der Regel ein sicheres Passwort, für welches die Empfehlungen aus Punkt 5 ganz besonders gelten.
Seit einigen Jahren werden die Möglichkeiten zur Systemverschlüsselung von den Herstellern bereits in ihre Hard- und Software integriert und müssen somit „nur noch“ aktiviert werden. Da mit der Aktivierung jedoch einige organisatorische Herausforderungen verbunden sind – etwa das Vorgehen, wenn das Master-Passwort vergessen wurde – sollten Sie auf jeden Fall vorab einen Spezialisten konsultieren.

8. Die Datensicherung: Absolutes Muss für jedes IT-System
Eine gründliche Datensicherung kann im schlimmsten Fall Ihr ganzes Unternehmen retten. Diese unabhängige Kopie oder Sicherung Ihrer aktiven Daten und Systeme ist auch ein Ausfallschutz – und eine Rücksicherung nach dem Totalverlust aller aktiven Daten muss auch möglich sein, wenn die aktiven Daten etwa durch Feuer oder Diebstahl verloren sind. Die gesicherten Daten sollten sich auf einem geschützten separaten System (Sicherungsserver) oder Medium (Bandlaufwerk oder NAS-System) befinden.

Die partielle Rücksicherung unachtsam gelöschter Daten – etwa eine E-Mail oder ein Dokument – über einen längeren Zeitraum ist nur möglich, wenn es entsprechende Sicherungssätze gibt. Neben der täglichen Sicherung ist daher auch eine zu definierende Anzahl an Sicherungen der letzten Tage und Wochen aufzubewahren. Die Standard-Datensicherung im Mittelstand besteht heute aus einer zweistufigen Lösung: Stufe eins ist eine Sicherung der aktiven Daten auf ein Medium mit schnellem Zugriff, etwa ein separates NAS-Festplattensystem. Stufe zwei ist eine Sicherung außer Haus, auf einem Band oder einer externen USB-Festplatte. In den letzten Jahren hat sich hier auch die Sicherung in einem Rechenzentrum – ein Cloud-Backup – etabliert.  Ist die Strategie definiert und umgesetzt und die Sicherung läuft nach Plan, sollte eine tägliche Kontrolle der korrekten Durchführung, eine regelmäßige Test-Rücksicherung und einmal jährlich auch eine „Feuerwehrübung“ zum Standard gehören.

9. Die intelligenten Web- und E-Mail Filter: Ständige Datenprüfung
Firewalls bieten in der Regel einen so genannten Portfilter. Der Port ist Teil einer Netzwerkadresse, vergleichbar mit dem einzelnen Briefkasten in einem Mehrfamilienhaus. Über den Portfilter regelt die Firewall, in welchen Briefkasten bzw. über welchen Port Daten in das Netzwerk gelangen. In der Regel gibt es Ports für E-Mails (Port 25), für Webseiten (Port 80), oft auch für verschlüsselte Webseiten (Port 443). Insgesamt gibt es 65535 Ports – also eine ganze Menge, die geschützt werden müssen.

Der Schutz alleine ist jedoch nicht ausreichend. Ist ein Port erst mal offen, können die Daten meistens ungehindert fließen. Da aber nicht alle Daten wirklich frei von Schadcode oder auch Spam sind, sollten man alle ein- und ausgehenden Daten mit intelligenten Web- und E-Mail Filtern überprüfen. Und genau das übernehmen intelligente Firewalls, welche über Filtersoftware verfügen, die auf unterschiedlichste Art und Weise die Daten überprüft und analysiert. Dabei werden typische Muster von Schadcode gesucht, Absender und Empfänger überprüft und alle Zusatzinformationen, die in einem Datenpaket enthalten sind – die sogenannten Metadateien. Erst wenn die Daten sauber sind, werden diese weiter geleitet. Besteht der Verdacht auf Schadcode, Spam oder gefährliche Absender, lassen sich die Daten abweisen, löschen oder unter Quarantäne stellen.

10. Die Mitarbeiter-Sensibilisierung: So wichtig wie die richtige Technik
Die besten Tools bringen nichts, wenn der Mensch nicht mitspielt. Jeder hat schon E-Mails erhalten, die auf den ersten Blick von der vertrauten Bank oder einem oft genutzten Onlineshop zu stammen scheinen. Die Gefahr droht dabei meist in Form eines Links oder Anhangs, die nach Aktivierung einen Schadcode auf Ihrem Rechner wirken lassen, der sich im Netzwerk verbreiten kann. Es liegt auch immer bei Ihnen, zu erkennen, ob eine E-Mail authentisch ist oder das Postfach eines Geschäftspartners manipuliert wurde.

Grundsätzlich sollten Sie und Ihre Mitarbeiter folgende Grundregeln verinnerlichen:
– Klicken Sie niemals Links in verdächtigen E-Mails an
– Öffnen Sie Anhänge nicht direkt – immer erst speichern
– Verdächtige Anhänge weder speichern noch öffnen, sondern sofort löschen
– Beim Beantworten von Mails immer die „Kopie an“-Liste kontrollieren
– Keine vertraulichen Informationen per unverschlüsselter E-Mail versenden
– Die Software unbedingt aktuell halten, Updates und Sicherheitspatches installieren
– Auf die Verwendung von signierten E-Mails achten und diese selber nutzen
– Alle E-Mails von unbekannten Absendern sofort ungeöffnet löschen

Mit dem Fortschreiten der Entwicklung der aktuellen Technik und dadurch auch der drohenden Gefahren kommen hier ständig neue Empfehlungen hinzu. Daher raten wir zu einer regelmäßigen Sensibilisierung und ausführlichen Schulung Ihrer Mitarbeiter.

Ein Beitrag von Ralph Friederichs | Cyberdyne IT

Foto: GKSD | Fotolia.com

Über den Autor

Ralph Friederichs
Ralph Friederichs

Ralph Friederichs ist Gründer und Geschäftsführer der CYBERDYNE IT GmbH aus Köln. Schon während seines Betriebswirtschaftsstudiums 1994 an der FH Köln gründete er dieses Unternehmen. CYBERDYNE ist ein IT-Service Dienstleister für mittelständische Unternehmen im Rheinland und beschäftigt aktuell 33 IT-Spezialisten. Ralph Friederichs ist Experte für IT-Sicherheit und digitale Unternehmensprozesse. Ehrenamtlich engagiert er sich seit vielen Jahren als Mitglied der Vollversammlung der IHK Köln.

Werden Sie Unterstützer von Digital Cologne!

Ihr Engagement zählt. Beteiligen Sie sich an unserer Initiative!