IT-Sicherheitsreport

IT-Sicherheit in Unternehmen

Sicherheit im EDV-Bereich ist ein bekanntes Thema, sogar viel älter als das Internet. Theoretisch wurde schon in den 50er Jahren von virenähnlichen Programmen geschrieben.

Was bedeutet Sicherheit in der EDV heute? Sind denn kleine Unternehmensnetzwerke in Gefahr? Wer sich diese Fragen stellt, sollte sich mit dieser Thematik unbedingt näher auseinander setzen, denn der Gefahr ist prakisch jeder ausgesetzt vom Großunternehmen über Mittelständler und Kleinunternehmen bis zu den privaten Computerbenutzer. Doch kleinere Unternehmen fühlen sich meist sicher: “Wir machen doch gar nichts wildes, nur ein bisschen Web, auf Google suchen oder andere bekannte Seiten besuchen, ein paar Smartphones sind im Einsatz und Mailing natürlich. Das war's, mehr passiert hier nicht“. Oder auch:“Wir setzen nur sichere Apple Produkte ein“. Dazu kommt noch, dass es nicht mal ihre eigenen Geräte sein müssen, die die Gefahr erzeugen, Fremdgeräte im WLAN, die nicht kontrolliert werden, erhöhen unnötigerweise das Gefahrenpotential.

Bis vor ein paar Jahren hat da ein guter Virenschutz gereicht, dazu eine geeignete Firewall zum Internet und gut.

Aber es ist zu beachten, dass sie die Bedrohung verändert hat. Waren in den 90er Jahren Hacker das Hauptrisiko, die aus ihrer Aktivität eine Art Sport oder Wettstreit gemacht haben, sind es heute wirtschaftliche Interessen höchst krimineller Personen und Gruppen. Schätzungen zu Folge beträgt der Umsatz, den alle Antiviren-Hersteller zusammen erwirtschaften einen Bruchteil von dem, was durch kriminelle Aktivitäten über das Internet zusammen kommt.

Daraus resultiert die Frage, welche Bedrohungen man sich vor Augen führen muss und welche Maßnahmen und Ziele sich daraus ergeben.

Galten lange Zeit Viren per E-Mail als größtes Problem hat sich die Gefahrenquelle immer mehr ins Internet verschoben. Die mediale Eroberung aller Lebensbereiche (besonders durch soziale Netzwerke) hat diese Veränderung noch zusätzlich beschleunigt.

  • IPhone, Android und Co.: Diese Systeme werden von Unternehmen selbst eingeführt oder zum Teil durch die Mitarbeiter in die Unternehmensnetzwerke gebracht. Es ist kaum zu kontrollieren, welche Software auf diesen Geräten installiert ist, bzw. ob auf den Geräten ein Virenschutz läuft oder die neuesten Sicherheitsupdates geladen wurden. Zugriff auf Adressdaten wird leichthin gewährt.
  • Facebook und andere Messenger: Facebook kontrolliert nicht, was Anwender mit diesem Medium machen. Nur in so fern, als es dem wirtschaftlichen Interesse des Unternehmens entspricht. Folglich wurden schon heute viele Angriffe über Facebook und Co. initiiert. Wer hat nicht schon einmal unbedacht auf den „Gefällt-mir“-Button geklickt, der oft für Attacken genutzt wird. Vom wirtschaftlichen Schaden durch Zeitverlust durch Benutzung dieser Plattformen ganz abgesehen. Großen Unternehmen haben Facebook längst als Marktchance, aber auch als Gefahr erkannt. Facebook wird durch Firewallsysteme kontrolliert und zeitbegrenzt erlaubt aber nicht mehr unkontrolliert den Benutzern überlassen.
  • Online Banking: Onlinekriminelle machen Milliarden mit gehackten Accounts. Sony's Online Desaster war nur der bekannteste Fall, aber nicht der einzige. Eine sichere Strategie und bewusster Umgang mit den Zugangsdaten ist heute unbedingt notwendig.
  • Sichere Webseiten: Auch Google konnte in der Vergangenheit nicht verhindern, dass auf der ersten Seite bereits Gefahren lauerten. Einmal angeklickt hat der Angriff auch schon stattgefunden. Die meisten Angriffe erfolgen dabei über Flash, Java und andere Plugins, die in den Browsern stecken. Der Browser ist oft aktuell und gegen bekannte Bedrohungen geschützt. Zusatzsoftware jedoch wird oft nicht aktualisiert, wodurch sich Unternehmen durch längst nicht mehr gefährliche Bedrohungen infizieren.
  • Downloads und Streaming: Auch eine Filmdatei kann schädlichen Code enthalten. Nicht nur ausführbare Programme sind eine Bedrohung, dagegen ist der Virenschutz meist gerüstet, auch diverse andere Daten die wir aus dem Netz laden, stellen Heute ebenso eine Bedrohung dar. Performanceprobleme sind nicht selten auf Angriffe oder unbedachte Nutzung des Internet zurückzuführen.
  • Kontrolle: Kontrolle versus Datenschutz. Das eine schließt das andere nicht aus. Alle Geräte eines Netzwerkes, also eines Unternehmens, sollten nur den Zielen des Unternehmens dienen. Ist dies vertraglich klar, dann darf kontrolliert werden, was im Netzwerk so läuft. Und es muss sogar kontrolliert werden, da man sonst die Regelung stillschweigend wieder außer Kraft setzt. Wir empfehlen, jeglichen Webverkehr zu scannen, das geht absolut anonym und dennoch können Seiten oder Funktionen aufgespürt und blockiert werden, die schädlich sind.

Einige Hinweise die beachtet werden sollten:

Nicht nur Windows, auch die installierten Programme und Addons wie Java und Shockwave sollten immer aktuell sein.

Der Virenschutz sollte Unternehmensweit eingerichtet sein.

Eine Firewall, die den Netzverkehr kontrolliert muss eingerichtet sein.

Die Kontrolle des Webverkehrs sollte für alle Geräte im Netz konfiguriert sein.

Lassen Sie Gäste nicht in Ihrem internen Netzwerk arbeiten. Wer erstmal innen ist, kann mehr und wissen Sie ob Ihr Gast nicht infiziert ist.
Schnupfen kann man sehen, das Notebook des Gastes niest aber leider nicht. Dafür gibt es „Gastnetzwerke“.

Scannen Sie regelmäßig das Netzwerk nach unbekannten Geräten.

Es sollte eine Betriebsvereinbarung zur Nutzung der Unternehmens EDV geben.

Kontrollieren Sie die Datensicherung. Lassen Sie sich aufzeigen und erklären, was gesichert wird und fragen Sie ggf. nach.

Grundregeln für Sicherheit

Für das Unternehmen ist eines wichtig: Allein der Geschäftsführer haftet im Fall von Datenverlust. Das ist geregelt. Kein Mitarbeiter und kein Dienstleister kann Ihnen diese Haftung abnehmen.

Wir wollen hier keine Ängste schüren und schon gar nicht zur Zensur und dergleichen aufrufen. Wir wollen, dass ihr Unternehmen sicher arbeitet, dass unternehmenskritische Daten nicht in falsche Hände geraten und so ein wirtschaftlicher Schaden verursacht wird. Wir wollen die Sensibilität für dieses jederzeit brisante Thema erhöhen, denn wenn lange mit einer bestimmten Gefahr gearbeitet wird, kann sich leicht eine gewisse Gleichgültigkeit einschleichen und kein Unternehmen sollte seine Sicherheit dem Glück überlassen.

10 goldene Regeln, die die Universität Bielefeld veröffentlicht hat zeigen, was man tun kann, um die Daten und das Netzwerk sicherer zu halten.

Mit den Werkzeugen von YouAtNotes und der Befolgung der Grundregeln ist die Sicherheit der Unternehmensdaten wesentlich verbessert. Eine 100%ig Garantie kann ihnen keiner bescheinigen, aber man kann die Sicherheit maximieren.