Wie Sie die IT-Sicherheit Ihres Unternehmens verbessern
Serie IT-Sicherheit – Folge 5:
Einfache Maßnahmen zur Abwehr von Cyber-Angriffen
30. Juli 2019
Abwarten und Tee trinken ist der schlechteste Rat, wenn es um Cybersecurity geht. Für viele Maßnahmen gegen Hackerangriffe braucht man kein umfassendes Wissen über Sicherheitslösungen. Wir geben einige Tipps, die sich einfach umsetzen lassen.
Die Aufforderung, mit der sich der Präsident Arne Schönbohm des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung an die Sicherheitsverantwortlichen in den Unternehmen wendet, klingt leicht ungehalten: „Wir weisen nun erneut und ausdrücklich auf diese Schwachstelle hin und rufen Windows-Anwender auf, die verfügbaren IT-Sicherheitsmaßnahmen umzusetzen.“ Schönbohm bezieht sich auf die kritische Schwachstelle Bluekeep im Remote-Desktop-Protocol-Dienst (RDP) von Microsoft-Windows. Obwohl Microsoft und das BSI bereits im Mai vor der Sicherheitslücke gewarnt und zum Einspielen der verfügbaren Sicherheitsupdates aufgerufen haben, vermutet das BSI immer noch mehr als 14.000 Computer in Deutschland, die über Bluekeep verwundbar sind. Weltweit sollen es eine Million mit dem Internet verbundene Systeme sein.
Solche Zahlen zeigen, dass sich viele IT-Teams nicht des Ernstes der Sicherheitslage bewusst sind. Dabei könnten sie schon mit einfachen Maßnahmen das Sicherheitsniveau steigern.
Patch-Management:
Ein systematisches Patch-Management kann bekannt gewordene Sicherheitslöcher in Softwarelösungen schließen. Zunächst sollten sich die IT-Verantwortlichen einen Überblick verschaffen, welche Geräte im Unternehmensnetzwerk installiert sind oder darauf Zugriff haben und welche Softwarelösungen sie nutzen. Sodann geht es darum, umgehend die Software systematisch auf den neuesten Stand zu bringen und diese nachfolgend regelmäßig zu aktualisieren. Das BSI gibt Hinweise und Hilfestellungen zum Management von Schwachstellen und Sicherheitsupdates in kleinen Unternehmen und für Selbständige.
Antiviren-Software und Firewalls:
Die Zahlen, die die Gothaer Versicherung erhoben hat, sind erschreckend: Noch immer verzichtet jedes fünfte der kleinen und mittleren Unternehmen (KMU) auf die Installation von Virenschutzprogrammen, jedes Vierte hat keine Firewall. Ohne diese einfachsten Sicherheitsvorkehrungen ist es für jeden Hacker ein Leichtes, Computer zu kapern und sensible Unternehmensdaten zu zerstören oder zu entwenden. Das gilt ganz ähnlich auch für Smartphones und Tablets. Angesichts der hohen Kosten, die ein Einbruch ins IT-System verursachen kann, sind die wenigen Euro pro Monat, die ein wirksamer Virenschutz kostet, gut angelegtes Geld.
Sichere Passwörter:
Neben der Installation einer Antivirenlösung und einer Firewall gehören sichere Passwörter zu den einfachsten Schutzmaßnahmen. Was sichere Passwörter sind, behandeln wir in einer späteren Folge in unserer Artikel-Serie zum Thema Sicherheit.
Datensicherung:
Erpressersoftware (Ransomware) wie WannaCry verschlüsselt Daten in befallenen Netzwerken. Erst nach Bezahlung eines Lösegeldes geben die Angreifer die verschlüsselten Daten wieder frei – wenn überhaupt. Um den Schaden gering zu halten und Lösegeldzahlungen zu vermeiden, sollten Unternehmen regelmäßig und in kurzen Zeitabständen Backups aller Daten im Netzwerk erstellen. Da Angriffe mittlerweile auch gezielt auf Backups erfolgen, ist es dringend angeraten, die Sicherungskopien offline zu lagern und sie so vor Cyberangriffen zu schützen.
Mobile Device Management:
Die meisten Unternehmen erlauben den mobilen Zugriff auf Firmendaten per Smartphone und Tablets. Damit ergeben sich aber neue Herausforderungen für die IT-Sicherheit. Um die mobilen Geräte und die darauf gespeicherten Daten bestmöglich zu schützen und die IT-Sicherheitsrichtlinien einer Firma durchzusetzen, ist ein Mobile Device Management (MDM) unverzichtbar. Mit ihm lassen sich mobile Endgeräte bequem verwalten, konfigurieren und bei einem Verlust des Gerätes sogar aus der Ferne sperren. MDM-Lösungen können aus der Cloud bezogen werden, sind somit wegen der Skaleneffekte günstig und damit auch für kleine Unternehmen erschwinglich.
Notfallplan:
Entwickeln Sie einen Plan, der genau regelt, was Mitarbeiter und das IT-Team bei einem IT-Sicherheitsvorfall tun sollen. Erst 57 Prozent der Unternehmen haben eine Notfallstrategie erarbeitet, weitere 27 Prozent sind derzeit dabei, dies zu tun. Bleiben 16 Prozent, die wertvolle Zeit verstreichen lassen, wenn ein Vorfall eingetreten ist, weil nicht genau geregelt ist, welche Maßnahmen sofort eingeleitet werden müssen, um das Schlimmste zu verhindern.
Mitarbeiterschulung und -sensibilisierung:
Ohne informierte und für die Gefahren sensibilisierte Mitarbeiter entfalten viele Abwehrmaßnahmen nicht ihr Potenzial. Deshalb ist es wichtig, die Belegschaft über die Gefahren aufzuklären und sie immer wieder mit Awareness-Kampagnen zu sensibilisieren.
Alle diese Maßnahmen – die Auflistung erhebt keinen Anspruch auf Vollständigkeit – sorgen zumindest für einen Grundschutz. Für eine umfassende Datensicherheit sind weitere, auf die Situation des Unternehmens zugeschnittene Vorkehrungen wie Fraud Detection und Prevention nötig.
Bisher erschienen in unserer Serie zur IT-Sicherheit folgende Artikel: