IT-Sicherheit – 10 Basics für kleine und mittlere Unternehmen

Mit der großen Verbreitung elektronischer „Alleskönner“ und der weltweiten Vernetzung durch das Internet stehen heute Tausende digitaler Dienste zur Wahl. Doch die digitale Welt hat auch Schattenseiten – auch und vor allem für kleine und mittlere Unternehmen, die davon ausgehen, dass sie kein lohnenswertes Ziel sind und sich daher kaum Gedanken zum Thema IT-Sicherheit machen. Doch von automatisierten Systemen, die so genannte Bot-Netze aufbauen oder auf der Suche nach Kontaktdaten für Spamlisten sind, bis hin zu Trojanern, die sich einnisten, Daten absaugen oder Kontakte auslesen – jedes Unternehmen muss sich effektiv gegen Gefahren aus der digitalen Sphäre schützen. Mit den folgenden zehn Basics lässt sich das Sicherheitsniveau in jedem Unternehmen deutlich erhöhen.

1. Die Sicherheitsanalyse: Eine Standortbestimmung
Stellen Sie zunächst fest, wie und wo Sie überall Daten speichern. Dabei geht es um E-Mail- und Kommunikations-, Finanz- oder auch Personaldaten – je nach Branche kommen Produktions-, Kunden- oder Entwicklungsdaten dazu. Im nächsten Schritt sollten Sie diese Daten bewerten: Eine einfache Klassifizierung in „Allgemein Verfügbar“, „Intern“, „Vertraulich“ und „Streng Vertraulich“ ist oft schon ausreichend. Nun ermitteln Sie die jeweiligen Speicherorte Ihrer Daten – vergessen Sie dabei nicht die Endgeräte Ihrer Mitarbeiter. Vor allem mobile Geräte, auf denen häufig manuelle oder automatische Kopien abgelegt sind, sollten auf der Liste stehen.
Schließlich sollten Sie sich fragen: Wie und womit sind Ihre Daten gegen aktuelle Bedrohungen geschützt? Hierzu holen Sie am besten Ihren IT-Spezialisten ins Boot, der dazu Auskunft geben können sollte. Mit dieser kleinen Sicherheitsanalyse erhalten Sie einen schnellen Überblick über die schützenswerten Daten in Ihrem Unternehmen – und wissen, wo Notwendigkeiten zur Verbesserung der Sicherheit bestehen.

2. Die Firewall: Kontrollinstanz am Firmeneingang
Eine Firewall kontrolliert, welche Daten in Ihr Unternehmen hinein und auch wieder hinaus dürfen. So lässt sich etwa festlegen, dass Sie nur E-Mails senden und empfangen können, oder dass Ihre Mitarbeiter von intern Zugriff auf das Internet haben und ansonsten kein Datenverkehr möglich ist. Mit einer solchen Begrenzung der Datenverbindungen schützt die Firewall gegen viele mögliche Bedrohungen.
Moderne Firewall-Systeme überprüfen auch die Inhalte von E-Mails oder besuchten Webseiten und blockieren Daten, sollten diese Schadcode enthalten. Die neueste Generation der Firewalls geht noch ein Stück weiter, indem sie ständig alle Systeme in Ihrem Netzwerk abfragt und erkennt, falls ein Schadcode aktiviert ist. Dann isoliert sie Geräte oder schränkt Zugriffsrechte ein, bis potentielle Schäden behoben sind. Die beste Technik bringt jedoch wenig, wenn sie nicht ständig überwacht und aktualisiert wird. Denken Sie also vor der Investition in eine neue Firewall auch über die langfristige Betreuung und Überwachung nach.

3. Der Virenschutz: Aktive Schadcode-Abwehr
Ein lückenloser Virenschutz ist eine wichtige Maßnahme, um sich gegen Schadcode abzusichern – bereits ein ungeschütztes Gerät hat das Potential, Ihrem gesamten Netzwerk zu schaden. Daher ist bei der Installation und Konfiguration eines Virenschutzes auf die Anzahl der zu schützenden Geräte zu achten.
Führende Hersteller von Antivirus- und Antispam-Programmen bieten in der Regel für alle gängigen Betriebssysteme zwei Arten von Scannern an: Neben dem „Echtzeitscanner“, der Datenzugriffe, Programme und den Arbeitsspeicher tatsächlich in Echtzeit überprüft, gibt es manuelle Scanner, die in der Regel durch den Benutzer oder zeitgesteuert gestartet werden. Der manuelle Scan ist wichtig, da er in der Regel alle Dateien und Programme überprüft – unabhängig davon, ob diese aktuell in Nutzung sind. So wird auch Schadcode gefunden, den der Echtzeitscanner nicht identifizieren kann.
Die Reinigung, die Quarantäne oder aber die Löschung von Schädlingen befallener Dateien, all das gehört zum Leistungsumfang gängiger Antivirus-Software. Doch so einfach die Installation eines Virenschutzes auch scheint, so viel lässt sich falsch machen – von der lückenlosen Installation bis hin zur die richtigen Konfiguration. Wie bei der Firewall ist es wichtig, den Virenschutz permanent zu aktualisieren und zu überwachen.

4. Das aktive Update- und Patchmanagement: Keine Sicherheitslücken
Sollte Ihre Firewall oder Ihr Virenschutz einmal versagen und etwa eine aktuelle Bedrohung nicht erkennen, so ist hoffentlich Ihre Software auf dem neuesten Stand – diese ist aufgrund der sich ständig verändernden IT-Entwicklung nie zu 100% „fertig“ und so finden Hacker oft Sicherheitslücken. Dann dauert es nicht lange, bis es dazu einen sogenannten „Exploit“ gibt – eine zielgerichtete Möglichkeit, Schwachstellen auszunutzen.
Die teilweise nervigen Update-Meldungen der Software-Produkte auf Ihrem Computer haben also durchaus einen Sinn. Und die zeitnahe Aktualisierung aller Programme – das sogenannte Patchen – ist extrem wichtig. Auch hier sollte Ihr Augenmerk auf der lückenlosen Aktualisierung liegen, denn Ihr gesamtes Netzwerk ist immer nur so sicher wie das schwächste System darin.
Moderne Software zum Update- und Patchmanagement nimmt Ihnen an dieser Stelle einiges an Arbeit ab. So lässt sich nicht nur der ganze Prozess zentralisieren und überwachen – dem Nutzer wird auch die Verantwortung für die Installation genommen und er bekommt keine störenden Update-Meldungen mehr.

5. Die Passwörter: Je komplexer, desto besser
Die beste Technik bringt nichts, wenn der Mensch versagt. Einfache Passwörter wie der Mädchennamen der Mutter oder die Lieblings-Automarke schützen Ihr System kaum – moderne, frei verfügbare Tools ermitteln einfache Codes in kürzester Zeit, greifen Passwort-Hashes, Netzwerk- und/oder WLAN-Verkehr ab oder zapfen Remote-Rechner und andere Quellen an. Mit Brute-Force-, Dictionary- und Krypto-Angriffen lassen sich selbst starke Passwörter knacken. Wie aber sieht ein sicheres Passwort aus, und wie merkt man sich dieses? Dazu gibt es viele Empfehlungen.

Hier nur die wichtigsten:
– Mindestens 8 bis 14 Zeichen
– Ein anderes Passwort für jedes Konto – nie das gleiche Passwort für alle Dienste
– Ändern Sie Ihre Passwörter mindestens alle 6 Monate
– Kombinieren Sie Buchstaben (Groß- und Kleinbuchstaben), Zahlen und Symbole
– Keine Wörter, die man so geschrieben in einem Wörterbuch finden könnte
– Keine persönlichen Daten wie Namen, Geburtsdaten, Jahrestage etc.
– Keine Buchstaben- oder Zahlen-Reihen wie ABCDE oder 12345

Die Satzmethode ist eine gute Eselsbrücke, um komplexe Passwörter zu erstellen: Suchen Sie sich einen gut zu merkenden Satz aus, nehmen Sie von diesem die Anfangsbuchstaben inklusive Groß- und Kleinschreibung und bauen sie zu einem Passwort zusammen. Buchstaben lassen sich durch Sonderzeichen oder Zahlen ersetzen. Aus „Heute scheint die Sonne zum ersten Mal“ wird etwa „Hsd$z1*“. Bei der Vielzahl an Passwörtern, die heute nötig sind, empfiehlt sich der Einsatz eines Passwort-Safes. Wie in einem echten Safe legen Sie hier Ihre Codes ab und müssen sich nur noch ein – allerdings entsprechend komplexes und sicheres – Passwort merken.

Ein Beitrag von Ralph Friederichs | Cyberdyne IT

Foto: GKSD | Fotolia.com

Über den Autor

Ralph Friederichs
Ralph Friederichs

Ralph Friederichs ist Gründer und Geschäftsführer der CYBERDYNE IT GmbH aus Köln. Schon während seines Betriebswirtschaftsstudiums 1994 an der FH Köln gründete er dieses Unternehmen. CYBERDYNE ist ein IT-Service Dienstleister für mittelständische Unternehmen im Rheinland und beschäftigt aktuell 33 IT-Spezialisten. Ralph Friederichs ist Experte für IT-Sicherheit und digitale Unternehmensprozesse. Ehrenamtlich engagiert er sich seit vielen Jahren als Mitglied der Vollversammlung der IHK Köln.

Werden Sie Unterstützer von Digital Cologne!

Ihr Engagement zählt. Beteiligen Sie sich an unserer Initiative!