Auch KMU müssen sich aktiv um das Thema IT-Sicherheit kümmern: Die Bedrohungen werden immer massiver und das DSGVO fordert Maßnahmen zum Datenschutz.

Gefahren für die IT und Ihre Daten

Schadsoftware (Trojaner, Malware, Virus, Ransomware)

Der Zweck von Schadsoftware reicht von recht harmlos (z.B. Bitcoin-Schürfen im Hintergrund) bis zum Desaster (Komplett-Verschlüsselung des Computers und Lösegeld-Erpressung).

Schadsoftware kann über verschiedene Wege auf die Computer und ins eigene Netzwerk gelangen:

  • Links und Attachments in E-Mails
  • Software Downloads aus unsicheren Quellen
  • USB-Sticks und andere portable Speicher
  • Unbemerkte Installation durch Dritte

Phishing

Mit Phishing wollen die Angreifer geheime Daten (z.B. Login, Bankdaten, Kreditkarten-Daten) ergaunern.

Phishing passiert mit gefälschten E-Mails, welche den Leser auf einen falschen Webserver leiten, um seine Daten abzugreifen.

Hacking (Datendiebstahl, Sabotage, Erpressung)

Hacker versuchen in ein Netzwerk oder einzelne Computer einzudringen, um Daten zu stellen oder das Opfer zu kompromittieren. Nach einem erfolgreichen Hacking-Angriff folgt oft ein Erpressungsversuch.

Hacking beginnt oft mit dem Einsatz von Schadsoftware und Phishing. Wenn das nicht reicht, suchen die Hacker auch gezielt nach Schwachstellen im Netzwerk und der eingesetzten Software.

Auch böswillige Mitarbeiter können großen Schaden anrichten, weil diese bereits im Unternehmensnetzwerk sind.

Social Engineering, CEO-Fraud

Diese Angriffe nutzen die „Schwachstelle Mensch“ aus, um an geheime Daten zu kommen oder Geld zu ergaunern.

Aus den Medien ist der „CEO Fraud“ bekannt:

  • Die Angreifer geben sich als CEO des Unternehmens aus und fordern Geldtransaktionen für „geheime Geschäfte“
  • Ein solcher Angriff ist meist sehr gut vorbereitet und es werden interne Informationen verwendet, um Vertrauen zu erwecken
  • Die Kontaktperson, welche das Geld überweisen soll, wird unter Druck gesetzt, um schnelles Handeln zu erzwingen

Diebstahl, Verlust, Feuer, Wasser, Naturkatastrophe

Physischer Verlust oder Zerstörung der Hardware durch Vandalismus, Diebstahl, Feuer, Wasser oder Naturkatastrophen.

Technisches oder menschliches Versagen

Durch Hardware-Defekte oder menschliche Fehler kann es zu Ausfällen von IT-Systemen und Datenverlust kommen.

Gesetzliche Anforderungen

Das DSGVO und andere Gesetze (siehe Gesetze im IT-Umfeld) verpflichten Unternehmen dazu

  • Sich mit Datenschutz zu beschäftigen und ggf. einen Datenschutzbeauftragen zu bestellen
  • Maßnahmen für die Datensicherheit und IT-Sicherheit zu implementieren
  • Den Datenschutz nach dem Stand der Technik aufrechtzuerhalten

Maßnahmen für IT-Sicherheit

Technische Maßnahmen

Backup

Das Backup ist eine unverzichtbare Maßnahme und muss von jedem Unternehmen durchgeführt und laufend überwacht werden.

Zumindest ein komplettes Backup sollte an einem sicheren Ort außerhalb des Unternehmens gelagert sein.

Zum Schutz vor Verschlüsselungs-Trojanern werden auch Tape-Backups mit Lagerung in einem Tresor empfohlen, da diese offline sind und von Trojanern nicht vernichtet werden können.

Tipps dazu finden Sie hier.

Absicherung der Benutzer-Geräte (PCs, Notebooks)

Auf jedem Windows-Gerät sollte die Firewall und ein Virenschutz aktiv sein. Dafür reicht mittlerweile die in Windows 10 enthaltene Funktionen (Firewall, Defender).

Ebenso sollte ein Schutz gegen die Einschleppung von Schadsoftware über externen Datenspeicher (USB-Sticks) vorhanden sein, wofür gerne Device-Blocking eingesetzt wird.

Wichtig ist ebenfalls, dass Updates möglichst zeitnah nach der Veröffentlichung installiert werden. Dafür kann man entweder die automatische Installation durch Windows nutzen oder der Administrator kann die Updates zentral gesteuert verteilen.

Das BSI hat für die zentrale Verwaltung der Sicherheitseinstellungen eine Gruppenrichtlinie erstellt, welche hier verfügbar ist.

Ersatzsystem (Disaster Recovery)

Ein Komplettausfall der IT-Systeme kann mit einem Ersatzsystem, welches an einem anderen Ort bereitsteht, gemildert werden. Damit kann der Betrieb nach kurzer Zeit fortgeführt werden.

Tipps dazu finden Sie hier.

Netzwerk-Firewall

Eine Firewall beschränkt den Datenverkehr zwischen Internet und auch internen IT-Netzwerksegmenten. Dabei wird mit Firewall-Regelwerken definiert, welcher Datenverkehr zwischen den Netzwerksegmenten erlaubt ist.

Die Segmentierung des internen IT-Netzwerks verbessert den Schutz vor Hacking und Trojanern.

Z.B. könnte das IT-Netzwerk in folgende Segmente aufgeteilt sein:

  • Büro
  • Produktion
  • Zentrale IT (Server)
  • Internet-Services (DMZ)
  • Remote Access (VPN)
  • Gäste
  • Internet

Web-Application-Firewall, Intrusion-Prevention

Web-Application-Firewalls und IPS werden für besonders schutzbedürftige Internet-Services eingesetzt (z.B. Webshop).

Diese Systeme bieten Funktionalitäten wie:

  • Vorgelagerte sichere Authentifizierung (2FA, MFA)
  • Inspektion des Datenverkehrs auf Anomalien und Hacking (z.B. XSS, SQL Injection)
  • Blockierung von Angriffen
  • Protokollierung von Blockierungen, verdächtigen Vorgängen und ggf. auch aller Zugriffe

Verschlüsselung des Datenverkehrs, VPN

Der Datenverkehr über das Internet zwischen bekannten Parteien (Partner, Mitarbeiter, Kunden) sollte soweit möglich verschlüsselt sein. Das gilt vor allem, wenn geheime oder sensible Daten ausgetauscht werden.

Dazu werden VPNs für die Verbindung zu anderen Standorten (Site-Site VPN) und mobile Benutzer (Client-Site VPN) eingesetzt. Die meisten Firewall-Systeme beinhalten eine VPN Funktion.

Spamfilter

Ein Spamfilter hilft unerwünschte E-Mails auszufiltern und schützt damit auch bei der Eindämmung von Phishing und Schadsoftware.

Spamfilter werden entweder auf dem E-Mail-Server eingebunden oder als Cloud-Service dem E-Mail-Server vorgelagert.

Web-Portal

Die Implementierung eines sicheren Web-Portals kann einige IT-Sicherheitsprobleme lösen:

  • Mitarbeiter haben Online-Zugriff auf Informationen und müssen diese nicht auf USB-Sticks/Disks/Smartphones kopieren
  • Sicherer Zugriff für mobile oder Homeworking Mitarbeiter auf interne IT-Anwendungen
  • Sicherer Datenaustausch mit Lieferanten und externen Mitarbeitern
  • Zugriff mit dem Browser von verschiedenen Endgeräten unterstützt

Ein Web-Portal sollte zumindest folgende sicherheitsrelevanten Funktionen bieten:

  • Verschlüsselter Datentransfer (HTTPS)
  • Unterstützung für Multi-Faktor-Authentifizierung (2FA, MFA)
  • Anbindung an die bestehende Benutzerverwaltung (LDAP, Active Directory)

2-Faktor-Authentifizierung

Schwache Passwörter sind besonders kritisch bei Webservices und VPN-Zugängen.

Systeme mit 2-Faktor-Authentifizierung erhöhen hier die Sicherheit deutlich.

Die zwei Faktoren für den Authentifizierung (Anmeldung) sind:

  • Username und Password
  • Ein wechselnder Code, welche z.B. mit einer Smartphone-App erzeugt werden kann

Sollte ein bestehendes Webservice nicht die Möglichkeit der 2-Faktor-Authentifizierung (2FA) bieten, dann können Sie ein 2FA-System vorschalten (Reverse Proxy).

Verschlüsselung von Datenspeichern

Alle im Unternehmen verwendeten Festplatten, SSD und anderen Datenträger sollten verschlüsselt sein:

  • PCs, Notebooks
  • Server- und Storage-Systeme
  • Smartphones, Tablets
  • Backup
  • Datenarchiv

Die Daten sind ohne Schlüssel damit nicht lesbar und damit geschützt, auch wenn sie in falsche Hände geraden. Die Rückgabe von Datenspeichern im Reparaturfall ist damit auch kein Problem mehr.

Rechnerraum, Rechenzentrum

Die zentralen IT-Systeme (Server, Storage, Netzwerk) sollten sich in einem Raum mit Zutrittsschutz befinden (Serverraum).

Im Serverraum müssen Maßnahmen zur Kühlung vorhanden sein und auch eine automatische Feuerlöschung ist sinnvoll.

Event-Logging, Audit-Log

Zumindest auf allen kritischen IT-Systemen sollte eine automatische Protokollierung aktiviert sein:

  • Änderungen von Konfiguration und Berechtigungen (Administration)
  • Verdächtige Vorfälle (z.B. fehlerhafte Logins)
  • automatische Schutzmaßnahmen (z.B. Zugriffsblockierung)

Das Protokoll kann bei der Aufklärung und zur Beweissicherung bei Sicherheitsvorfällen wesentlich unterstützen.

Data-Leak-Prevention (DLP)

Ein DLP System kann Sie dabei unterstützen, eine versehentliche oder unerlaubte Weitergabe der Daten zu verhindern.

DLP-Systeme arbeiten mit einem Regelwerk, welches eine Datenklassifizierung voraussetzt. Die Klassifizierung kann dabei auch automatisch anhand von Merkmalen (Stichwörter) erfolgen.

Die Wartung des Regelwerks und mögliche Fehlbewertungen bedeuten einiges an Administrationsaufwand. Daher werden solche Systeme von KMU derzeit kaum eingesetzt. Ausnahme sind Unternehmen, welche Ihre Daten besonders schützen müssen.

Mobile Geräte ohne Windows (Smartphones, Tablets)

Die Betriebssysteme iOS und Android haben einige Sicherheitsfunktionen eingebaut, jedoch muss die Verwendung auch durchgesetzt werden:

  • Verwendung nur mit PIN / Fingerabdruck oder Face-Scan
  • Verschlüsselung des Gerätespeichers
  • Vermeidung der Speicherung von Firmendaten auf dem Gerät

Hilfreich ist dazu die Implementierung einer zentralen Verwaltung von mobilen Geräten (MDM):

  • Regeln für den Zugriff und die Speicherung von Unternehmensdaten durchzusetzen (z.B. Gerät muss verschlüsselt sein, Gerät muss mit PIN gesichert sein)
  • Das Gerät aus der Ferne z.B. nach Diebstahl zu sperren oder zu löschen
  • Ein Inventar für alle mobilen Geräte zu führen

Organisatorische Maßnahmen

Datenschutzkonzept

Das DSGVO fordert die Erstellung eines Datenschutzkonzepts, um die Risiken für IT und Daten zu evaluieren und Schutzmaßnahmen zu definieren.

Es sollte ein Verantwortlicher für den Datenschutz definiert werden, ggf. ist ein Datenschutzbeauftragter vom DSGVO auch gefordert. Die Aufgaben dieses Verantwortlichen sind:

  • Erstellung und Wartung des Datenschutzkonzepts
  • Einhaltung des Datenschutzkonzepts überwachen
  • Bei Sicherheitsvorfällen im Zusammenhang mit Datenschutz aktiv werden

Weitere Tipps dazu:

Inventarisierung der IT-Geräte

Ein aktuelles Inventar über alle IT-Geräte des Unternehmens ist wichtig, da nur das aktiv geschützt werden kann, was auch bekannt ist.

Inventarisieren Sie zumindest alle IT-Geräte, welche mit einem Netzwerk verbunden sind:

  • PCs, Notebooks
  • Server
  • Mobiltelefone
  • Tablets
  • Drucker
  • Netzwerkgeräte (Router, Switches, Modems, IT-Security-Appliances)

Sichere Anwendungen einsetzen

Bereits bei der Auswahl und Implementierung von neuen Anwendungen/IT-Systemen sollte auf IT-Sicherheit und „privacy by design“ (DSGVO) geachtet werden:

  • Definition von Anforderungen für IT-Security- und Datenschutz im Lasten- und Pflichtenheft
  • Testen der Erfüllung dieser Anforderungen
  • Testen der Verwundbarkeit bei kritischen Anwendungen/IT-Systemen (Negativ-Tests, Penetration Tests durch Experten)

Professioneller IT-Betrieb

Mit professionellem IT-Betrieb ist Folgendes gemeint:

  • Einhaltung der definierten IT-Betriebs-Prozesse, vor allem für Change Management
  • Zeitnahe Installation von Sicherheitsupdates
  • Dokumentation von Änderungen an den IT-Systemen
  • Dokumentation von Sicherheitsvorfällen

Weitere Tipps dazu finden Sie unter IT-Betrieb.

Restriktive Zugriffsberechtigungen, sichere Passwörter

Empfehlungen dazu sind:

  • Es sollen nur die Zugriffsrechte vergeben werden, welche ein Anwender zur Erfüllung seiner Aufgaben benötigt
  • Zugänge für austretende Mitarbeiter sollten am Austrittstag gesperrt werden
  • Zugriffsberechtigungen sollten überprüft werden, wenn ein Mitarbeiter seine Position im Unternehmen verändert
  • Die Anforderung, Bewilligung und Einrichtung der Berechtigungen sollten protokolliert sein (z.B. mit einem Support-Ticket-System)
  • Leicht zu knackende Passwörter verhindern (Passwort-Regeln im Benutzerverwaltungssystem)
  • Administrationsrechte auf Server, PCs, Notebooks nur ausgewählten Personen (z.B. IT-Mitarbeiter) geben und dafür eigene Benutzerkonten einrichten
  • Für kritische Zugänge wie z.B. Administration überall 2FA/MFA einsetzen
  • Keine offenen WLAN-Netzwerke im Unternehmen
    • WLAN Netzwerke verschlüsseln und nur mit Password zur Verfügung stellen
    • Auch Besuchern die WLAN-Nutzung nur mit Password und zeitlich befristet zur Verfügung stellen
  • Automatische Bildschirmsperre auf allen Geräten einrichten
  • Auf mobilen Geräte (Smartphones, Tablets) eine PIN bzw. Zugriffsschutz konfigurieren

Screening des Personals und der Lieferanten

Je nach Sensibilität der Daten in einem Unternehmen ist es ggf. erforderlich, neue Mitarbeiter und das Personal von Lieferanten zu überprüfen (Leumundszeugnis, Referenzen etc.).

Geheimhaltungserklärung, NDA

Eine Vereinbarung zur Geheimhaltung (NDA) und Datennutzung muss von allen internen und externen Mitarbeitern unterschrieben werden (ein Muster finden Sie hier).

Auch für Lieferanten und Partner kann eine solche Vereinbarung notwendig sein. Für IT-Service Anbieter ist eine Vereinbarung zur Datenverarbeitung erforderlich (DSGVO).

Daten- und Dokumentklassifizierung

Geheime Dokumente sollten entsprechend markiert werden, um eine versehentliche Weitergabe möglichst zu verhindern.

Das DSGVO fordert außerdem die Klassifizierung von Daten und Dokumenten, welche personenbezogene Daten beinhalten.

Zur Umsetzung der Datenklassifizierung brauchen Sie Folgendes:

  • Definition der Datenklassen nach Schutzbedarf und Aufbewahrungsdauer
  • Regelung, wie die Klassifizierung durch Mitarbeiter und IT-Systeme zu erfolgen hat
  • Ggf. technische Maßnahmen, um die Klassifizierung unterstützen (z.B. Funktionen im Office/Windows)
  • Ggf. ein DLP System, welches die unerlaubte Weitergabe von Daten verhindert

Mitarbeiter sensibilisieren

Zumindest einmal im Jahr sollte eine Schulung für IT-Sicherheit für die Mitarbeiter stattfinden:

  • Welche Bedrohungen für IT und Daten gibt es?
  • Praktische Beispiele: welche Angriffe hat das Unternehmen (oder Branchenkollegen) schon erlebt?
  • Welche Schutzmaßnahmen sind implementiert?
  • Was jeder Mitarbeiter beachten muss
    • Clear Desk Policy (keine Dokumente herumliegen lassen)
    • Hausverstand nutzen (Was zu schön ist, um wahr zu sein, ist auch nicht wahr)
    • Gesundes Misstrauen gegenüber Fremden
    • Regelungen aus dem Datenschutzkonzept
    • Umgang mit Schutzmaßnahmen des Unternehmens
    • Umgang mit Datenträgern und mobilen Geräten ausserhalb des Unternehmens
    • Wie bekommt der Mitarbeiter Hilfe, falls etwas unklar ist oder er Hilfe braucht
    • Wohin und wie sind Sicherheitsvorfälle zu melden

Vor allem zur Abwehr von Phishing und Social Engineering Attacken ist diese Sensibilisierung unbedingt notwendig.

Umsetzung

Die Fülle der notwendigen Maßnahmen für IT-Sicherheit kann ein KMU leicht überfordern. Die Lösung dazu ist, sich von IT-Security-Spezialisten unterstützen zu lassen und (wenige) IT-Security-Lösungen mit einem breiten Anwendungsbereich einzusetzen.

Das BSI empfiehlt folgende Priorisierung für die Umsetzung von IT-Sicherheitsmaßnahmen:

  1. Implementierung eines Grundschutzes für alle IT-Systeme
  2. Absicherung der unternehmenskritischen IT-Systeme (Kernsysteme)
  3. Implementierung des Standardschutzes für alle IT-Systeme

Software as a Service (SaaS)

Mit der Miete von Anwendungen übergeben Sie einen Teil der Verantwortung für IT-Sicherheit an den Service-Anbieter.

SaaS inkludiert typischerweise folgende IT-Sicherheitsmaßnahmen:

  • Anwendungen werden in einem sicheren Rechenzentrum betrieben
  • IT-Systeme sind redundant ausgelegt und gegen technische Defekte gesichert
  • Backup der Daten und Konfiguration für diese Anwendung sind inkludiert
  • Der Anbieter schützt das System gegen übliche Cyber-Bedrohungen
  • Der Datenverkehr ist verschlüsselt (HTTPS, VPN)
  • Ihre Daten sind auf dem IT-System verschlüsselt gespeichert
  • Professioneller IT-Betrieb
  • Protokollierung wird durchgeführt (Event-Logging, Audit-Log)

Anwendungen, welche sich für SaaS anbieten:

  • Team- und Office-Software, E-Mail (z.B. Office365)
  • ERP, CRM Software
  • Buchhaltungssoftware
  • Web-Portal
  • Webserver, Webshop

Weitere Tipps finden Sie unter Cloud Computing für KMU.

Nutzung von Cloud IT-Infrastructure

Nutzen Sie die IT-Infrastruktur von einem Cloud Service Anbieter (managed XaaS), dann decken Sie damit folgende IT-Sicherheitsmaßnahmen ab:

  • Die IT-Infrastruktur befindet sich in einem Rechenzentrum mit Zutrittsschutz, Klimatisierung und redundanter Stromversorgung
  • Redundante Auslegung des IT-Systems und Schutz vor HW-Defekten
  • Netzwerk-Firewall ist vorhanden
  • Verschlüsselte Datenspeicherung
  • Backup kann genutzt werden (meist separat zu vereinbaren)
  • Professioneller IT-Betrieb, 7×24 Verfügbarkeit

Wichtig hier bei der Nutzung von Cloud-Services aber auch ein vertrauenswürdiger Anbieter. Weitere Tipps finden Sie unter Cloud Computing für KMU.

Data Center Housing

Mit der Verlagerung ihrer IT-Systeme in ein sicheres Rechenzentrum (Housing) decken Sie folgende IT-Sicherheitsmaßnahmen ab:

  • Ihre Server befinden sich in einem Rechenzentrum mit Zutrittsschutz, Klimatisierung und redundanter Stromversorgung
  • Breitbandige Internet-Anbindung der Server
  • Netzwerk-Firewall ist vorhanden
  • Professioneller IT-Betrieb, 7×24 Verfügbarkeit

Mit dem Cloud-Service Anbieter können Sie auch weitere Maßnahmen vereinbaren:

Weitere Tipps finden Sie unter Cloud Computing für KMU.

IT-Security-Consulting

Wenn Sie ihre IT selbst betreiben wollen, dann sollten Sie sich von Experten für IT-Sicherheit unterstützen lassen.

Auch können diese Experten bei den organisatorischen Maßnahmen und bei der Implementierung von neuen Systemen unterstützen.

Link-Tipps