Diesen IT-Schutz sollten alle Unternehmen haben

Ohne Brandmelder keine Feuerversicherung. Ähnlich verhält es sich mit der Cyberpolice. Auch dafür braucht es ein Mindestmaß an Eigenvorsorge. Diese acht Sicherheitsstandards sollten selbst die kleinsten Unternehmen einhalten.

100prozentige Sicherheit im Netz gibt es nicht. Doch das sollte niemanden dazu verleiten gleich zu resignieren. Die meisten Angriffe lassen sich schon mit einfachen Schutzmechanismen abwehren oder die Auswirkungen spürbar begrenzen. Generell gilt: Je sensibler Daten sind, desto besser sollten sie geschützt sein.

Acht Sicherheitsstandards, die Unternehmen einhalten sollten:

Antivirenprogramm auf dem neuesten Stand halten

Er gehört eigentlich zur Standardausstattung jedes Computers: Ein Virenscanner, der die Festplatte immer wieder nach Schädlingen durchsucht. Gerade in Betrieben, in denen mehrere Mitarbeiter an einem Computer oder in einem Netzwerk arbeiten, ist ein solches Anti-Viren-Programm absolute Pflicht. Während für Privatanwender viele gute kostenlose Programme zur Verfügung stehen, müssen Betriebe zumeist zahlen. Doch auch hier gibt es Versionen für kleinere Unternehmen, die weniger als fünf Euro im Monat kosten und guten Schutz bieten.

Wichtig ist auch, die Programme auf dem aktuellsten Stand zu halten. Die meisten Antivirenprogramme aktualisieren sich automatisch über das Internet. Diese Funktion sollte auf keinen Fall abgeschaltet werden, denn nur wenn der Virenscanner auf dem aktuellsten Stand ist, kann er auch die neusten Schädlinge erkennen.

Wöchentliche Datensicherung machen

Wenn ein Ransomeware-Trojaner zuschlägt und wertvolle Dateien verschlüsselt, sind die Daten meist hoffnungslos verloren – es sei denn, die Daten wurden vor dem Angriff noch gesichert. Deshalb sollte ein regelmäßiges Backup zum Standard jedes Betriebes gehören. Experten empfehlen, mindestens einmal pro Woche eine Sicherungskopie zu machen.

Wichtig dabei: Die Datensicherung physisch getrennt vom Server aufbewahren. Denn ist zum Beispiel eine externe Festplatte noch per Kabel mit dem Server verbunden, kann ein Computerschädling auch darauf zugreifen. Besser: Eine Festplatte nutzen, die sich nach dem Backup vom System abziehen lässt.

Experten raten sogar zur 3-2-1-Regel: Drei Kopien aller kritischer Daten sollten auf mindestens zwei unterschiedlichen Medien liegen – auf der Festplatte etwa, der CD oder im Cloudspeicher. Und mindestens eine Kopie sollte außerhalb des Unternehmens gelagert werden – um zu verhindern, dass zum Beispiel ein Brand im Büro oder eine Überflutung alle Datenträger vernichtet.

Wichtig ist auch: die Datenwiederherstellung proben. Von Zeit zu Zeit sollten Betriebe prüfen, ob sie mithilfe der Sicherheitskopien ihre Daten wiederherstellen können.

Updates und Sicherheitspatches schnell einspielen

Andauernd nerven Betriebssysteme oder Programme mit der Aufforderung, ein Update einzuspielen. Oft verbergen sich dahinter sogenannte Sicherheitspatches, also Versionen einer Software, in der eine Sicherheitslücke geschlossen wurde. Wie wichtig solche Updates sind, zeigte die Angriffswelle mit der WannaCry-Schadsoftware im Mai 2017, die mehr als 230.000 Windows-Computer in über 100 Ländern betraf. WannaCry nutzte eine Sicherheitslücke, die bereits bekannt war. Schon zwei Monate zuvor hatte Microsoft ein Sicherheitspatch herausgegeben. Wer dieses rechtzeitig installiert hatte, war gegen den Angriff immun.

Betriebssysteme laden in der Regel automatisch die aktuellen Updates herunter und installieren diese. Diese Update-Funktion sollte auf keinen Fall deaktiviert werden. Zudem müssen die Rechner danach auch regelmäßig heruntergefahren und neu gestartet werden. Ansonsten können die Updates nicht installiert werden.

Auch einzelne Programme oder Plugins können Sicherheitslücken enthalten. Deshalb sollten auch für Programme und Plugins die aktuellen Versionen eingespielt werden. Auch hier gibt es mittlerweile bei vielen Programmen eine automatische Update-Funktion.

Vor einem Update sollte allerdings eine Datensicherung gemacht werden, da ein Update manchmal auch zu technischen Problemen führen kann.

Firmen-Server mit Firewall sichern

Eine Firewall funktioniert wie eine Grenzkontrolle: Nur mit gültigen Ein- und Ausreisepapieren dürfen Datenpakete vom eigenen Netzwerk ins offene Internet und umgekehrt. Solch einen Schutz sollte jeder Server haben, um die zahllosen Angriffe aus dem Netz abzuwehren. Auch eine Software zur Sicherheitsüberwachung (Security Monitoring) oder zur Erkennung von Eindringlingen (Intrusion Detection) sind gute Maßnahmen, um die Sicherheit des eigenen Netzwerks zu stärken.

IT-Administratorenzugänge einrichten und sparsam nutzen

Ein Computer, nur ein Benutzerprofil und im Ernstfall ein ganz großes Problem: Wer seinen Computer einrichtet, sollte unbedingt ein Administratorprofil mit gesondertem Kennwort einrichten und dieses Profil nur dann benutzen, wenn neue Programme eingerichtet oder das Betriebssystem konfiguriert werden. Für die alltägliche Arbeit sollte immer ein Zugang mit weit weniger Rechten genutzt werden. Der einfache Grund: Fängt sich ein Benutzer mit einem einfachen Zugang einen Virus ein, kann dieser häufig nur begrenzten Schaden anrichten, selbst wenn der Schädling die Kontrolle übernimmt – ohne Administratorenkennwort kann sich der Virus weit weniger ausbreiten.

Individuelle Mitarbeiterzugänge einrichten

Jeder Mitarbeiter sollte einen eigenen Benutzeraccount mit eigenem Passwort bekommen. So können Administratoren genau definieren, welche Berechtigungen ein Mitarbeiter hat und welche nicht. Zudem kann bei einem Angriff mit einzelnen Nutzeraccounts besser nachvollzogen werden, wie ein Eindringling in das Netzwerk gelangen konnte. Viele Betriebe nutzen nur einen Zugang pro Computer, der dann als Sammelzugang verwendet wird. Sammelaccounts sind ein potenzielles Einfallstor, da so nicht kontrolliert werden kann, wie die Passwörter weitergegeben werden. Ehemalige Mitarbeiter hätten so auch weiterhin Zugang zu Daten, wenn solche Passwörter nicht ständig geändert werden.

Komplexe Passwörter erzwingen

Einfach zu erratende Passwörter sind eines der häufigsten Einfallstore für Angreifer. Trotzdem sind die meisten Menschen dabei immer noch erstaunlich unkreativ: Das häufigste Passwort weltweit ist „123456“, gefolgt von „password“ und „12345678“, wie aus einer Liste der Sicherheitsfirma Splash Data hervorgeht. Um es Hackern nicht zu leicht zu machen, sollte es einen Mindeststandard für Passwörter geben.

Diese sollten beispielsweise eine bestimmte Passwortlänge (zum Beispiel mindestens acht Zeichen) vorschreiben oder die Nutzer dazu verpflichten, mindestens eine Zahl oder ein Sonderzeichen für ihr Passwort zu verwenden. Das Bundesamt für Sicherheit in der Informationstechnik gibt folgende Empfehlungen:

  • Das Passwort sollte mindestens acht Zeichen lang sein, je länger desto besser.
  • Das Passwort sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten sollten nicht verwendet werden. Auch in Wörterbüchern sollte das Passwort nicht 1:1 vorkommen.
  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht qwertz, asdfgh oder 1234abcd.
  • Ein einfaches Passwort allein um eine Ziffer oder ein Sonderzeichen wie $ ! ? oder # zu verwenden, ist auch nicht empfehlenswert.

Ein Administrator kann solche Passwortbedingungen technisch erzwingen: Vergisst ein Mitarbeiter bei der Anpassung des Passworts das geforderte Sonderzeichen, kann er sein Passwort nicht erstellen.

Mobilgeräte sichern

Immer häufiger werden Firmendaten auf Mobilgeräten wie Smartphones, Tablets oder Laptops auch außerhalb des Betriebes genutzt. Für die Arbeit bietet das viele Vorteile. Doch wehe, wenn der Laptop im Zug vergessen oder das Smartphone aus der Tasche gestohlen wird. Wenn diese Geräte nicht geschützt sind, können Diebe schnell und einfach Passwörter oder sensible Firmendaten abfischen. Deshalb sollten auf jeden Fall mobile Datenträger vollverschlüsselt und mithilfe eines Passworts geschützt sein. Darüber hinaus sollten die Daten auf Handys oder Laptops aus der Ferne gelöscht werden können. Auch eine sogenannte Zwei-Faktor-Identifizierung bei kritischen Zugängen sollte erwogen werden: Dies bedeutet, dass neben der Eingabe eines einzelnen Kennworts zusätzlich noch ein weiterer Identifizierungsweg benötigt wird, zum Beispiel über das Handy oder eine Chipkarte. Die bekannteste Zwei-Faktor-Identifizierung ist wohl das MobileTAN-Verfahren beim Online-Banking (mTAN). So müssen sich Bankkunden mit ihrem persönlichen Passwort einloggen, zusätzlich wird eine Transaktionsnummer per SMS ans Handy geschickt.

Quelle: Gesamtverband der Deutschen Versicherungswirtschaft e.V.

Schreibe einen Kommentar