IT-Sicherheit: Unternehmen und Daten schützen
Digitale Viren können die Hard- und Software schädigen und Büroabläufe stören. Wie schützt man Unternehmen und Daten?
Wer Daten mit Projektpartnern austauscht, Internet-Dienste oder mobile Hardware nutzt, geht Risiken ein. Zu den, durch Computerviren, den sorglosen Umgang mit dem Internet oder mobiler Hardware verursachten Sicherheitsproblemen kommen vermehrt Sabotage-Attacken hinzu. Neben Schadprogrammen, die Daten verschlüsseln oder zerstören, werden zunehmend auch Hacker-Angriffe zu einem Problem für die IT-Sicherheit von Unternehmen. Da in vielen Unternehmen keine IT-Fachleute beschäftigt sind, werden Sicherheitsgefahren zudem nicht oder zu spät erkannt.
Neben diesem „Bildschirmsalat“ können Viren auch ernsthaftere Schäden verursachen.
© W. Riemenschneider
Sicherheitsprobleme durch Schadsoftware
Aufgrund des regen Datenaustauschs im Bauwesen sind Computer-Viren ein latentes Problem. Da man es im geschäftlichen Alltag mit vielen Projektpartnern zu tun hat, ist die Ansteckungsgefahr durch digitale Viren, Würmer, Trojaner und andere Schadprogramme hoch. Sie können Daten verschlüsseln und damit unlesbar machen, Computer blockieren oder Festplatten zerstören. So genannte Bot-Programme können PCs unbemerkt fernsteuern, Keylogger speichern alle Tastatureingaben und geben sie weiter. So genannte Denial of Service-Attacken (DOS) können Netzwerke lahmlegen, Phishing-Auftritte im Internet können Nutzern Passwörter entlocken und anderes mehr.
Neben dem Datenaustausch mit Projektpartnern können auch Mitarbeiter zur Sicherheitslücke werden – etwa wenn E-Mail-Anhänge mit unbekanntem Absender geöffnet, Apps oder Shareware-Programme heruntergeladen oder private Urlaubsfotos als Bildschirmhintergrund per USB-Stick mitgebracht werden. Dann können sich Viren und Würmer im Firmennetzwerk festsetzen. Auch eine Durchmischung der privaten und geschäftlichen Hardware-Nutzung kann zum Sicherheitsproblem werden. Wird etwa das private Smartphone auch geschäftlich genutzt und umgekehrt, kann der sorglose Umgang mit SMS-Nachrichten, E-Mails, App-Plattformen, Foren oder sozialen Netzwerken zum Problem werden. Ist der Ernstfall erst einmal eingetreten und hat sich ein Computervirus in den Systemdateien der Unternehmens-Hardware festgesetzt, kann das Tagesgeschäft erheblich beeinträchtigt werden. Nicht selten müssen Festplatten formatiert, Betriebssysteme und Anwendungsprogramme neu installiert und konfiguriert sowie alle Arbeitsdaten neu aufgespielt werden – sofern entsprechende virenfreie Sicherungskopien vorhanden sind. Somit ist auch die Datensicherung (Backup) ein wichtiger Baustein der IT-Sicherheit.
Basisschutz für Unternehmen und Daten
Wie kann man seine Bürohardware, -software und -daten vor diesen Risiken schützen? Den besten Schutz bieten aufeinander abgestimmte Maßnahmen zum Viren- und Spam-Mail-Schutz, zur Einrichtung von Firewalls, zur Software-Aktualisierung, Datensicherung und Datenverschlüsselung sowie zum Datenschutz.
Ganz oben in der Prioritätenliste steht die regelmäßige, nach Möglichkeit automatisierte Software-Aktualisierung. Von Herstellern offerierte Updates enthalten nicht nur Software-Verbesserungen und Erweiterungen, sie schließen auch Sicherheitslücken. Deshalb spielt die regelmäßige Aktualisierung von Betriebssystemen, Anwendungsprogrammen, gegebenenfalls auch der so genannten „Firmware“ von Geräten und Anlagen eine so wichtige Rolle. Mit so genannten „Firewalls“ lassen sich Rechner und Netzwerke von äußeren, schädigenden Einflüssen abschirmen. Diese aus Hard- oder Softwarekomponenten bestehenden Sicherungssysteme kontrollieren den Datenfluss zwischen internem und externem Netzwerk. Netzwerk-Firewalls eignen sich für die Absicherung mehrerer Unternehmens-PCs. Direkt auf dem zu schützenden Rechner installierte Desktop-Firewalls dienen dazu, einzelne Arbeitsplatz-PCs, respektive mobile Rechner wie Notebooks vor äußeren Angriffen zu schützen. Werden wichtige Sicherheitsregeln zur Nutzung von Internet-Diensten eingehalten, Programme regelmäßig aktualisiert sowie Sicherheitseinstellungen des Betriebssystems, des Internet-Browsers, des E-Mail-Programms und der Anwendungsprogramme optimal konfiguriert, haben Desktop-Firewalls meist kaum noch etwas zu tun.
Auch WLAN-Funknetze müssen abgesichert werden, indem auf dem WLAN-Router die WPA2-Verschlüsselung aktiviert wird. Schutz vor Computerviren bieten Anti-Virenprogramme. Sie halten die meisten aktuellen Schadprogramme in Schach – vorausgesetzt die Virensoftware wird durch regelmäßige Online-Updates aktuell gehalten. Anti-Virenprogramme schützen nicht nur vor Virenbefall und schädlichen Apps – sie können auch verhindern, dass man umgekehrt selbst zur Virenschleuder wird. Einen Rundum-Schutz versprechen IT-Security-Programme von Avira, Norton, Symantec und anderen Herstellern (siehe Infokasten). Einen Basisschutz gibt es bereits ab etwa 30 Euro pro Rechner und Jahr, für etwas mehr einen Rundum-Schutz, der zusätzlich zum Viren-, Web- und Phishing-Schutz auch einen erweiterten Netzwerkschutz etc. enthält.
Nicht nur im Internet lauert eine Vielzahl potenzieller Gefahren, … © Bitkom
… auch Spionage, Sabotage und der Datendiebstahl sind zunehmend ein Problem. © Bitkom
Auch Mitarbeiter und Mobilhardware einbinden
Auch Mitarbeiter sollten in das IT-Sicherheitskonzept einbezogen und entsprechend geschult werden, damit sie nicht zu einem Sicherheitsfaktor werden. Dann erkennen sie potenzielle Gefahren besser und akzeptieren als lästig empfundene Sicherheitsmaßnahmen eher. Zusätzlich lassen sich durch gezielte technische Maßnahmen Risiken minimieren: So kann man über Zugriffsrechte definieren, wer auf welche Netzwerkbereiche Zugriff hat oder wer welche Anwendungen nutzen darf. Darüber hinaus lassen sich Laufwerke oder USB-Schnittstellen einzelner Arbeitsplätze sperren. Auch der Web-Server (für die Internet-Verbindung zuständiger Rechner) kann so konfiguriert werden, dass problematische Internetseiten Mitarbeitern nicht zugänglich sind. Schutz vor unberechtigtem Zugriff bieten Benutzerkennworte oder in Tastaturen, PC-Mäusen, Notebooks, Tablets oder Smartphones eingebaute Fingerabdruck-Scanner.
IT-Sicherheitsregeln sollten im Unternehmen in Form von Richtlinien für die betriebliche und private Hardware-Nutzung, zu Passwörtern oder zur Datensicherung verbindlich festgeschrieben und alle Mitarbeiter darauf verpflichtet werden.
Da Mobilität im Zusammenhang mit der medienbruchfreien Vor-Ort-Erfassung oder Präsentation von Daten immer wichtiger wird, können Smartphones, Tablets, SD-Karten oder USB-Sticks schnell zum Sicherheitsproblem werden. Sie sind klein, leicht, mobil und können dadurch schnell verloren gehen oder gestohlen werden. Schutz vor Hardwarediebstahl bieten sogenannte Kensington-Schlösser. Sie werden einfach über die dafür vorgesehene Standard-Öffnung mit der Hardware fest verbunden, anschließend mit dem Drahtseil und Schloss beispielsweise an einen Schreibtisch befestigt. Geraten Smartphones, Tablets oder USB-Sticks dennoch einmal in falsche Hände, so erschwert oder verhindern Benutzerkennworte Datenverschlüsselungen, dass Daten von unbefugten Dritten geöffnet werden können. Werden sensible Daten auf Dienstreisen oder in den Urlaub mitgenommen, ist die Datenverschlüsselung ein Muss. Der Softwaremarkt bietet dazu diverse, auch kostenlose Open-Source-Verschlüsselungsprogramme. Für mobile Hardware gibt es mittlerweile spezielle Schutzprogramme (z. B. AVG Antivirus free, Lookout etc.). Sie halten Schadprogramme in Schach, sichern Dateien und helfen teilweise sogar, verlorene Mobilhardware per GPS-Ortung wiederzufinden.
Mit Antiviren-Software und anderen Sicherheitsmaßnahmen kann man sich davor schützen.
© Symantec
Was kann man gegen IT-Spionage und Sabotage tun?
Im Bereich der technischen IT-Sicherheit verfügen zwar die meisten Unternehmen über Virenscanner, Firewalls und einen Passwort-Schutz für Rechner und Geräte. Angesichts der vielfältigen und immer komplexeren Bedrohungen reicht dieser gängige Basisschutz allerdings nicht mehr aus. Zudem kommen mit der zunehmenden Vernetzung von Geräten über das Internet (Internet der Dinge) und dem Trend zur Digitalisierung neue sicherheitstechnische Herausforderungen hinzu. Durch die datentechnische Verknüpfung und Verbindung von Geräten und Objekten mit dem Internet potenzieren sich die sicherheitstechnischen Schwachstellen im Unternehmen. Deshalb sind zusätzliche Sicherheitsmaßnahmen notwendig, wie die Verschlüsselung von Netzwerkverbindungen, von Daten auf Datenträgern oder die elektronische Kommunikation per E-Mail. Doch das machen nur wenige. Noch weniger verbreitet ist die Absicherung des internen Netzwerks gegen Datenabfluss von innen oder die Verwendung spezieller Angriffserkennungssysteme. Diese Systeme analysieren Datenströme und melden verdächtige Aktivitäten. Regelungen, wer im internen Netzwerk auf welche Daten zugreifen darf und wer Zutritt zu sensiblen Bereichen eines Unternehmens bekommt, steigern die organisatorische Sicherheit. Zudem sollte es einen Sicherheitsbeauftragten geben, der diese Maßnahmen initiiert und überwacht. Ein mit einem IT-Sicherheitsexperten ausgearbeitetes Notfallkonzept sollte eine schnelle Reaktion im Krisenfall ermöglichen.
In abgeschirmten IT-Sicherheitszentren werden die weltweiten Aktivitäten von Schadprogrammen beobachtet und Gegenmaßnahmen entwickelt.
© Symantec
Fazit: Hundertprozentigen Schutz gibt es nicht!
IT-Sicherheit ist wichtig und wird im Zusammenhang mit der ab 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (EU-DSGVO) noch wichtiger. Mangelnde IT-Sicherheit kann sogar die Existenz eines Unternehmens gefährden. Dennoch kommt es in der Praxis immer wieder zu gravierenden Fehlern – etwa wenn wichtige Software-Updates nicht aufgespielt werden, weil man Inkompatibilitäten mit Systemkomponenten fürchtet oder notwendige Softwareeinstellungen scheut. Hundertprozentigen Schutz vor Schadsoftware, Datenspionage, Datenklau und Sabotage gibt es zwar nicht, denn im ständigen Wettstreit zwischen Schad- und Sicherheitsprogrammen, sind erstere immer einen Schritt voraus. Anwender und Anbieter von IT-Sicherheitslösungen können immer nur möglichst zeitnah reagieren. Dennoch lässt sich das Gefahrenpotenzial weitgehend eingrenzen, wenn man wichtige Regeln befolgt, mit Hardware, Software, Daten, E-Mails und dem Internet sicherheitsbewusst umgeht.
Mitarbeiter müssen über Schulungen und Sicherheitsvorgaben in das IT-Sicherheitskonzept eingebunden werden. © Bitkom
Basis-Sicherheitstipps
1. Virenschutzprogramm installieren und kontinuierlich auf aktuellem Stand halten (am besten automatische Aktualisierung aktivieren).
2. E-Mails unbekannter Absender und Anhänge nicht öffnen. E-Mails möglichst im Nur-Text-Format lesen, E-Mails verschlüsseln.
3. Mit Bedacht im Internet surfen und die Sicherheitseinstellungen des Internet-Browsers möglichst hoch setzen.
4. Von wichtigen Daten regelmäßig Sicherungskopien anfertigen. So hat man stets eine virusfreie Version parat.
5. Software regelmäßig updaten und alle Sicherheitsoptionen von Betriebssystem, Browser, Anwendungsprogrammen etc. nutzen.
6. Mit Hardware- und Software-Firewalls nicht nur das Netzwerk, sondern auch mobile Rechner schützen.
7. Bei mehreren PC-Nutzern unterschiedliche Kennwörter einrichten. Nur die Berechtigungen vergeben, die der Nutzer unbedingt braucht.
8. Kennwörter, Benutzerdaten oder Zugangscodes unter Verschluss halten und niemals in einer Datei notieren.
9. WLAN und Bluetooth nur aktivieren, wenn sie gebraucht werden und aktuellen Verschlüsselungsstandard (WPA2) nutzen.
10. Sicherheitslücken (Mobilhardware, Mitarbeiter) durch Passwörter, Verschlüsselung, Zugangsbeschränkung etc. schließen.
Virenschutz ist auch Kundenschutz
Man kann schnell selbst zur Viren-Schleuder werden: Ein per E-Mail-Anhang als DOC- oder PDF-Datei versandtes Angebot kann die Rechner von Kunden infizieren, wenn sich unbemerkt ein Virus einnistet. Das kann Kunden in Schwierigkeiten bringen und Geschäftsbeziehungen belasten. Deshalb sollten E-Mail-Anhänge, an Kunden ausgehändigte USB-Sticks etc. zuvor durch Security-Programme auf mögliche Schadsoftware geprüft werden.
Auch das gehört zur IT-Sicherheit: Hardware-Schlösser verhindern Diebstähle, …
© Kensington
Weitere Infos / Quellen*
Mittelstand 4.0-Agentur Prozesse (Hrsg.): Leitfaden IT-Sicherheitsmanagement in kleinen und mittleren Unternehmen, Eigenverlag Magdeburg, 2017, Download: www.mittelstand-digital.de, Wissenspool, IT-Sicherheit für KMU
www.avira.com/at/threats Aktuelle Virenübersicht
www.bitkom-datenschutz.de Datenschutz-Infos der BITKOM
www.it-safe.at IT-Sicherheitsinfos der WKO
www.mittelstand-digital.de Wissenspool, IT-Sicherheit für KMU
www.heise.at/security Security-Portal Heise-Verlag
www.virenschutz.info Virenschutz-Info-Portal
www.wikipedia.at Suche: Internetkriminalität etc.
Anbieter IT-Security-Programme *
www.avg.com, www.avira.com, www.eset.com, www.f-secure.com, www.gdata.at, www.kaspersky.com, www.mcafee.com, www.norton.com, www.pandasecurity.com, www.sophos.de, www.steganos.com, www.symantec.de
* Auswahl, ohne Anspruch auf Vollständigkeit!
Text: ©Marian Behaneck, Walter Riemenschneider
Kategorie: EDV