In den heutigen Zeit von Ransomware („Erpressungstrojaner“), Kryptotrojanern, übermäßigem E-Mail Spam, zunehmenden DDoS-Attacken und unzähligen ausgefeilten digitalen Betrugsmaschen, haben es gerade kleine und mittelständische Unternehmen (KMU) immer schwieriger, ihre Mitarbeiter im Umgang mit den Gefahren der digitalen Neuzeit zu sensibilisieren.Nicht selten fehlen einfach ausreichend Zeit im Geschäftsalltag oder vor allem die finanziellen Ressourcen, um eigene IT-Spezialisten zu beschäftigten, die tagtäglich keine andere Aufgabe haben, als die IT-Sicherheit in kleinen Unternehmen zu gewährleisten. Es wird also höchste Zeit, dass wir unsere 10 Tipps für mehr IT-Sicherheit in kleinen Unternehmen vorstellen.
Schließlich gehört gut ausgebildetes IT-Personal inzwischen zu den hoch bezahlten Fachkräften, deren Lohnkosten in kleine Unternehmen mit nur wenigen Mitarbeitern schlichtweg nicht gestemmt werden können. Zu hoch ist die übrige Auslastung durch den täglichen Geschäftsbetrieb, die Buchführung und rechtliche Novellen, mit denen uns die EU zuverlässig zuschüttet. Vor Kurzem haben wir über die Ausbreitung des Erpressungstrojaners Grandcrab berichtet, der auch in deutschen Unternehmen fleißig war und unzählige Terabyte an Daten verschlüsselt hat. Mit ein Wenig Aufmerksamkeit lässt sich der größte Schaden aber oftmals einfach vermeiden.
Inhalt
Die größten Sicherheitsrisiken in kleinen Unternehmen
Ganz egal, wie man diese Punkte auslegen mag. Am Ende führt jeder Fauxpas in der IT-Sicherheit auf menschliches Versagen oder mangelndes Fachwissen zurück. Falsch konfigurierte Router, Server und Software-Systeme, fahrlässig abgesicherte Netzwerke und nicht vorhandene Backups haben nur eine Ursache: Fahrlässige Menschen.
Dabei ist es nicht einmal jedem vorzuwerfen, dass er sich nur fahrlässig um die Sicherheit der IT-Infrastruktur kümmert. Schließt lief es viele Jahre unkompliziert und ohne Zwischenfälle ab. Festplatten, Lochkarten und Disketten dienten Jahrzehnte als sicherer Datenträger. Das Internet war eine Modeerscheinung, die sogar für Hacker der heutigen Form ein absolutes Novum war. Aber die Zeiten haben sich geändert.
Lässt man diese Faktoren einmal außer Acht, dann lassen sich immer wieder die gleichen IT-Sicherheitsrisiken identifizieren. Im Wesentlichen sind das
- Menschliches Fehlverhalten beim Besuch von Webseiten und dem Bearbeiten Links und E-Mails
- Veraltete Software mit ungepachten Sicherheitslücken
- Fehlende Sicherheits-Software oder Firewalls
- Unzureichend gesicherte Netzwerk-Infrastruktur
- Keine oder veraltete Backups
Schmeißen wir diese Faktoren alle zusammen in unseren Kochtopf für mehr IT-Sicherheit in kleinen Unternehmen, kommen dabei die folgenden 10 Tipps für erhöhte IT-Sicherheit heraus!
10 Tipps für mehr IT-Sicherheit in kleinen Unternehmen
#1: Software aktuell halten
Auch wenn dieser Tipp inzwischen ausgelutscht und allgemein bekannt ist, gehört er noch immer zu den wichtigsten Tipps für mehr IT-Sicherheit in KMUs. Denn allzu oft werden die verwendeten Server und Desktop-Clients auf veralteten aber noch immer weit verbreiteten Betriebssystemen (z.B. Windows XP, Windows 7, Windows Vista) gehalten, die im Laufe der Zeit Sicherheitslücken so groß wie Scheunentore aufweisen und damit eine gefundene Schwachstelle für Angreifer darstellen. Die meisten Sicherheitslücken werden aber zügig durch die Hersteller geschlossen und entsprechende Updates bereitgestellt.
Wenn ein angestellter sein Rechner um 8.00 Uhr startet, dieser im Anschluss gerne die 20-minütige Updatephase beginnen würde, sie aber auf den Feierabend geschoben und dann aufgrund der letzten Telefongespräche um 17.01 Uhr dann doch nicht mehr ausgeführt wird, ist das nicht nur grob fahrlässig, sondern auch einfache Faulheit. Jede unbezahlte Überstunde ist hier gerechtfertigt. Schließlich hängt der eigene Job ja nunmal auch an der Arbeitsfähigkeit des Arbeitgebers.
Updates sollten also so schnell wie möglich eingespielt werden. Das gilt nicht nur für Desktop-Clients, sondern auch für Tablets, Smartphones oder Netzwerk-Technik, die in der Firma im Einsatz ist.
Tipps für die Umsetzung von Updates:
- Verantwortlichen für die IT-Updates bestimmen (muss keine IT-Fachkraft sein)
- Festes Zeitfenster für IT-Updates einplanen
- Einhaltung der Updates schriftlich dokumentieren, um Versäumnisse und Probleme frühzeitig erkennen zu können
#2: Antiviren-Software nutzen
Der Markt ist voll mit Antiviren-Software. Kein Wunder, denn auch der Markt für Schadsoftware wird durch die zunehmende Digitalisierung und das „Internet of Things“ immer attraktiver für die digitale Gaunerschaft. Deshalb ist es nahezu unumgänglich, einen standardmäßigen Virenschutz auf jedem Client-PC oder sogar Smartphone bzw. Tablet zu nutzen, wenn dieses mit den Firmendaten hantiert.
Die bekanntesten Anbieter sind sicherlich das tschechische Unternehmen Avast und das deutsche Unternehmen Avira. Bereits die kostenlose Version bietet einigermaßen guten Schutz gegen reguläre Schadsoftware und ist besser als kein Schutz. Allerdings ist das Investment in die deutlich leistungsfähigeren Premium-Versionen i.d.R. überschaubar und beträgt für 5 oder 10 Lizenzen pro Jahr gerade einmal etwa zwischen 100 und 200 Euro.
Tipps für die Verwendung von Antiviren-Software:
- Vollständigen Rechner-Scan ausführen und Scan-Routine einrichten
- Software-Firewall aktivieren
- E-Mail und Website-Schutz aktivieren
- Ransomware-Schutz aktivieren, falls verfügbar
#3: E-Mail Anhänge und Links genau untersuchen
Malware-verseuchte E-Mail-Anhänge und Links innerhalb von E-Mails stellen eine der größten Gefahren dar, weil sie den direktesten Weg von außen in das sensible Firmennetzwerk darstellen. Der einfachste Schutz gegen kompromittierte E-Mail-Inhalte ist absolute Wachsamkeit. Denn bereits anhand weniger Kriterien lässt sich oftmals feststellen, ob eine E-Mail schädlichen Inhalt enthält.
Wichtige Tipps für den Umgang mit E-Mails:
- Unspezifische „initiative“ Bewerbungs-E-Mails ohne direkten Unternehmensbezug sind grundsätzlich kritisch zu sehen
- E-Mails, insbesondere Bewerbungen, mit E-Mail Anhang wie .ZIP-Archiven sollten im Zweifelsfall direkt gelöscht werden. Das Öffnen der ZIP-Archive ist per se nicht automatisch schädlich, weil sich die gefährlichen Dateien dort drin befinden. Ist das ZIP-Archiv (oder auch .RAR) passwortgeschützt, können Antiviren-Programme den Inhalt nicht scannen, entsprechende Dateien sind sofort zu löschen
- Dateianhänge in ZIP-Archiven oder direkt in der E-Mail sind durch Antiviren-Programme zu untersuchen („Rechtsklick ➞ Scannen“)
- Anhänge mit Dateiendungen wie .PDF oder .DOC sollten zunächst über Rechtsklick ➞ Eigenschaften/Informationen genauer untersucht werden. Auf Windows-Betriebssystemen werden Dateiendungen wie „.exe“ automatisch ausgeblendet, was ein erhebliches Sicherheitsrisiko darstellt. Ausführbare .exe-Dateien (z.B. „Bewerbung.pdf.exe tarnt sich somit automatisch als Bewerbung.pdf) enthalten mit ziemlicher Sicherheit Schadcode, der Clients und Netzwerke befallen kann
#4: E-Mail Spamfilter einsetzen
Standardmäßig sollte jeder E-Mail Hoster einen Spamfilter für alle Postfächer aktivieren. Entweder lässt sich das über eine Nachricht an den eigenen Webhoster bzw. Admin umsetzen, oder direkt über die Einstellungen im Webmail-Client eines Postfachs. Wer einen Microsoft Exchange-Server selber betreibt, sollte sich hier ausgiebig über die jeweiligen Möglichkeiten für die Aktivierung von Spamschutz informieren.
#5: Zugangsberechtigungen und IT-Verwendung überwachen
Gerade in kleinen Unternehmen wird der IT-Pool gerne von den Angestellten genutzt, um zwischendurch oder nach Feierabend schnell ein paar private Dinge zu erledigen. Da wird der USB-Stick am wichtigen Netzwerk-PC angestöpselt, um ein paar dubiose Dokumente und Fotos auszudrucken, während das eigene Smartphone kurz auf dem PC Synchronisiert wird, weil der Speicherplatz des heimischen Notebooks ausgereizt ist. Auch der reine Zugang zu sensiblen IT-Systemen ist nicht nur aus Datenschutz-Gründen sehr kritisch, sondern kann auch die Sicherheit des eigenen Betriebs gefährden. Hier sind klare Regelungen zu treffen.
Tipps für mehr IT-Sicherheit durch richtige Verwendung der IT:
- Mitarbeiter klar darauf hinweisen, dass die Verwendung heimischer IT im Firmennetzwerk untersagt ist, um eine Übertragung von Schadsoftware zu vermeiden
- Wichtige IT-Systeme sollten vor unbefugten Mitarbeitern geschützt werden
- Wenigstens einen regulären Passwort-Schutz auf den Client-PCs einrichten
- Ggf. USB-Ports für unbefugte Verwendung sperren lassen
#6: Netzwerk übersichtlich halten
Unübersichtliche Netzwerke, unzählige Router, Switches und Netzwerk-Kabel, von denen niemand genau weiß, was sie eigentlich machen und wo sie hinführen, sind zwar keine akute Sicherheitsbedrohung, können im Fall der Fälle aber über Leben und Tod der IT entscheiden.
Denn wenn im Worst-Case Szenario das infizierte NAS-Netzwerk-Laufwerk oder der zentrale Server fleißig die eigenen Daten verschlüsselt, kann ein geistesgegenwärtiges Trennen der Netzwerk-Komponenten (Patchkabel, Switches, Router) weiteren Schaden verhindern und zumindest das übrige Netzwerk vor dem Befall bewahren.
Tipps für mehr IT-Sicherheit durch übersichtliche Netzwerke:
- Router und Switches an gut zugänglichen Positionen anbringen, auf die autorisiertes Personal im Fall der Fälle schnellen Zugriff hat
- Kabelsalate entwirren, um ungenutzte Geräte oder Leitungen aus dem Netzwerk zu entfernen
- Nicht genutzte oder veraltete Hardware mit eigener IP-Adresse (insbesondere Router) aus dem Netzwerk entfernen
#7: Router-Konfiguration überprüfen und Firewall aktivieren
Jedes Netzwerk hat einen Knotenpunkt, der irgendwo in das Internet führt. In kleinen Betrieben ist das i.d.R. ein Router, der direkt an die Versorgungsleitung des Providers (z.B. Telekom oder Vodafone) gehängt ist. Auch wenn eine detaillierte Router-Konfiguration für fachlich nicht versierte Anwender sehr schwierig ist, sollten zumindest die Basics überprüft werden und eine Hardware-Firewall aktiviert sein.
Tipps für mehr IT-Sicherheit durch die Router-Konfiguration:
- IP-Adresse des Routers im Browser eingeben (i.d.R. 192.168.0.1, werksseitige Zugänge sind generell auf der Rückseite oder Unterseite des Routers angegeben) und mit dem Standard-Passwort einloggen
- Standard-Passwort und Zugang ändern
- WLAN-Verschlüsselung (mind. WPA2) aktivieren
- Firewall aktivieren
#8: Stromversorgung sicherstellen
Auch wenn die Stromversorgung auf den ersten Blick nur wenig mit der IT-Sicherheit zu tun haben mag, ist eine zuverlässige Energieversorgung dennoch ein entscheidendes Kriterium für die Sicherstellung der Betriebsfähigkeit. Schließlich kann es vorkommen, dass hoch technisierte und serverseitig verwaltete Energiebereitstellung (z.B. in einer Produktionsanlage) im Falle eine Kompromittierung nicht mehr ordnungsgemäß funktioniert. Hier sollte wenigstens eine redundante Stromversorgung sichergestellt werden, damit im Schadensfall zumindest „analog“ weitergearbeitet werden kann.
#9: VPN Clients einsetzen
VPN-Software gehört zu den wichtigsten Tools für Unternehmen, die in irgend einer Form auf sensible Daten zugreifen müssen. Selbst wenn nur der Geschäftsführer kurz und knackig seine Kontostände abrufen will, kann die Nutzung eines VPN-Clients nicht schaden. Denn auch in unzureichend abgesicherten Netzwerken kann sich Software tummeln, die den ausgehenden Netzwerk-Traffic analysiert und missbrauchen kann. Mit Hilfe einer Ende-zu-Ende verschlüsselten Verbindung via VPN (damit ist nicht das interne Firmen-VPN gemeint), kann das Risiko für einen Datenmissbrauch minimiert werden.
In unserem Beitrag zur Nutzung von VPN in WLAN-Hotspots haben wir ausführlich über das Thema berichtet. Wird der Punkt #2 (Antivirensoftware nutzen) beherzigt, sind in der kostenpflichtigen Version hier sogar i.d.R. gleichzeitig uneingeschränkte VPN-Clients verfügbar.
#10: Backup-Routine einrichten
Ein Backup ist kein Backup. Wer diesen Spruch beherzigt, hat sich wahrscheinlich ein Grundverständnis für IT-Sicherheit und Risikominimierung erarbeitet. Ein gängiges Praxisbeispiel:
Das kleine Handwerksunternehmen sichert seine 3 Windows-PCs (Chef, Buchhaltung, Verkauf) auf einer eigens dafür im Netzwerk eingerichteten NAS (Network Attached Storage). Jeden Freitag sichert die NAS alle Inhalte der Client-PCs auf der eigenen Festplatte, die durch ein 2-Bay System mit zwei gespiegelten Festplatten vor kurzfristigem Datenverlust gut abgesichert ist. Der Chef kann gut schlafen. Am nächsten Tag öffnet die Buchhaltung mit ihren Admin-Rechten eine gefälschte Bewerbungs-Mail, die Ransomware enthält und die über das Netzwerk gut erreichbare NAS befällt, die anschließend vollständig verschlüsselt wird. Im Anschluss werden auch die Client-PCs weitestgehend befallen und die Daten sind verloren.
In diesem Fall ist also das Backup-Medium selbst das Opfer geworden, womit sämtliche Backups hinfällig sind. Wie gesagt – ein Backup ist kein Backup. Auch für Backup-Medien muss eine eigene, möglichst isolierte Backup-Routine aufgebaut werden, die ein Grundmaß an absoluter Datensicherheit ermöglicht. Schließlich laufen auch immer wieder unkontrollierte Angriffe auf NAS von Synology und QNAP ab.
Tipps für eine sichere Backup-Routine:
- Moderne 2- oder 4-Bay NAS* verwenden (je nach Betriebsgröße auch mehr). Die bekanntesten NAS-Systeme sind von Synology* oder von QNAP*
- Weitere Festplatten, kaufen, die abwechselnd im RAID1-Modus die Daten sichert. So kann bei einer 2-Bay NAS (2 Festplatten, davon eine redundant) je die zweite als Sicherheits-Backup ausgetauscht und sicher verstaut werden. Die Festplatten von Western Digital RED* sind gut für den Langzeit-Betrieb in einem NAS-System geeignet
- Die NAS auf einer weiteren (nur zu Backup-Zwecken am Netzwerk angeschlossene) NAS sichern. Alternativ kann auch eine externe Festplatte dafür genutzt werden, wobei diese mindestens der RAID-Kapazität des NAS-Systems entsprechen muss (z.B. 6 TB externe Festplatte bei 6 TB NAS-Kapazität)
- Externe Festplatten nach dem Backup von der NAS trennen und sicher aufbewahren
Fazit: Backups sind Priorität 1
Eine hundertprozentige Sicherheit der IT-Systeme ist unmöglich zu erreichen. Wer ab die hier aufgeführten 10 Tipps für mehr IT-Sicherheit in kleinen Unternehmen beherzigt, der kann mit gutem Gewissen seiner Arbeit nachgehen. Dabei ist eine zum Unternehmen passende Backup-Strategie der wichtigste Punkt überhaupt. Denn nur wenn die eigenen Daten nach einem Schadfall auch wiederhergestellt werden können, kann der betriebliche Schaden durch Hacker-Angriffe, Ransomware und Co. gering gehalten werden.