Auch KMU müssen sich um das Thema IT-Sicherheit kümmern: Die Bedrohungen werden immer massiver und das DSGVO fordert Maßnahmen zum Datenschutz.

Gefahren für die IT und Daten

Schadsoftware (Trojaner, Malware, Virus, Ransomware)

Der Zweck von Schadsoftware reicht von recht harmlos (z.B. Bitcoin-Schürfen im Hintergrund) bis zum Desaster (Komplett-Verschlüsselung des Computers und Lösegeld-Erpressung).

Schadsoftware kann über verschiedene Wege auf die Computer und ins eigene Netzwerk gelangen:

  • Links und Attachments in E-Mails
  • Software Downloads aus unsicheren Quellen
  • USB-Sticks und andere portable Speicher
  • Unbemerkte Installation durch Dritte

Phishing

Mit Phishing wollen die Angreifer geheime Daten (z.B. Login, Bankdaten, Kreditkarten-Daten) ergaunern.

Phishing passiert mit gefälschten E-Mails, welche den Leser auf einen falschen Webserver leiten, um die Daten abzugreifen.

Hacking (Datendiebstahl, Sabotage, Erpressung)

Hacker versuchen in ein Netzwerk oder einzelne Computer einzudringen, um Daten zu stellen oder das Opfer zu kompromittieren. Nach einem erfolgreichen Hacking-Angriff folgt oft ein Erpressungsversuch.

Hacking beginnt oft mit dem Einsatz von Schadsoftware und Phishing. Wenn das nicht reicht, suchen die Hacker auch gezielt nach Schwachstellen im Netzwerk und der eingesetzten Software.

Auch Hacking aus dem Unternehmensnetzwerk durch böswillige Mitarbeiter ist eine reale Gefahr.

Social Engineering, CEO-Fraud

Diese Angriffe nutzen die „Schwachstelle Mensch“ aus, um an geheime Daten zu kommen oder Geld zu ergaunern.

Aus den Medien ist der „CEO Fraud“ bekannt:

  • Die Angreifer geben sich als CEO des Unternehmens aus und fordern Geldtransaktionen für „geheime Geschäfte“
  • Ein solcher Angriff ist meist sehr gut vorbereitet und es werden interne Informationen verwendet, um Vertrauen zu erwecken
  • Die Kontaktperson, welche das Geld überweisen soll, wird unter Druck gesetzt, um schnelles Handeln zu erzwingen

Diebstahl, Feuer, Wasser

Physischer Verlust oder Zerstörung der Hardware durch Vandalismus, Diebstahl, Feuer, Wasser oder Naturkatastrophen.

Technisches oder menschliches Versagen

Durch Hardware-Defekte oder menschliche Fehler kann es zu Ausfällen von IT-Systemen und Datenverlust kommen.

Gesetzliche Anforderungen

Das DSGVO und andere Gesetze verpflichten Unternehmen dazu, Maßnahmen für die Datensicherheit und IT-Sicherheit zu implementieren und diese nach dem Stand der Technik aufrechtzuerhalten.

Weitere Informationen finden Sie unter Gesetze im IT-Umfeld.

Maßnahmen für IT-Sicherheit

Technische Maßnahmen

Backup

Das Backup ist eine unverzichtbare Maßnahme. Zumindest ein komplettes Backup sollte an einem sicheren Ort außerhalb des Unternehmens gelagert sein.

Tipps dazu finden Sie hier.

Ersatzsystem (Disaster Recovery)

Ein Komplettausfall der IT-Systeme kann mit einem Ersatzsystem, welches an einem anderen Ort bereitsteht, gemildert werden. Damit kann der Betrieb nach kurzer Zeit fortgeführt werden.

Tipps dazu finden Sie hier.

Netzwerk-Firewall

Eine Firewall beschränkt den Datenverkehr zwischen IT-Netzwerksegmenten. Dabei helfen Firewall-Regelwerke, welche aus unsicheren Netzwerken nur genau definierten Datenverkehr durchlassen.

Das IT-Netzwerk sollte so segmentiert sein, dass potenzielle Angreifer und Ziele nicht im selben Netzwerk sind.

Z.B. könnte das IT-Netzwerk in folgende Segmente aufgeteilt sein:

  • Büro
  • Produktion
  • Zentrale IT (Server)
  • Internet-Services (DMZ)
  • Remote Access (VPN)
  • Gäste
  • Internet

Web-Application-Firewall, Intrusion-Prevention

Web-Application-Firewalls und IPS werden für besonders schutzbedürftige Internet-Services eingesetzt (z.B. Webshop).

Diese Systeme bieten Funktionalitäten wie:

  • Vorgelagerte sichere Authentifizierung (2FA, MFA)
  • Inspektion des Datenverkehrs auf Anomalien und Hacking (z.B. XSS, SQL Injection)
  • Blockierung von Angriffen
  • Protokollierung von Blockierungen, verdächtigen Vorgängen und ggf. auch aller Zugriffe

Verschlüsselung des Datenverkehrs, VPN

Der Datenverkehr über das Internet sollte soweit möglich verschlüsselt sein. Dazu werden VPNs für die Verbindung zu anderen Standorten (Site-Site VPN) und mobile Benutzer (Client-Site VPN) eingesetzt.

Die meisten Firewall-Systeme beinhalten eine VPN Funktion.

Spamfilter

Ein Spamfilter hilft unerwünschte E-Mails auszufiltern und schützt zum Teil auch vor Phishing und Schadsoftware.

Spamfilter werden entweder auf dem E-Mail-Server eingebunden oder als Cloud-Service dem E-Mail-Server vorgelagert.

Viren- und Malware-Schutz

Die PCs, Notebooks sollten mit einem Virenscanner ausgestattet sein, wobei z.B. der Windows-Virenscanner durchaus reicht.

Auch alle Server für die Dateiablage sollten mit Viren/Malware-Schutz ausgestattet sein.

Für Smartphones und Tablets sind ebenfalls Virenscanner verfügbar, aber der Einsatz ist eher umstritten.

Web-Portal

Die Implementierung eines sicheren Web-Portals kann einige IT-Sicherheitsprobleme lösen:

  • Mitarbeiter haben Online-Zugriff auf Informationen und müssen diese nicht auf USB-Sticks/Disks/Smartphones kopieren
  • Sicherer Zugriff über das Internet auf interne IT-Anwendungen
  • Sicherer Datenaustausch mit Lieferanten und externen Mitarbeitern
  • Zugriff mit dem Browser von verschiedenen Endgeräten unterstützt

Ein Web-Portal sollte zumindest folgende sicherheitsrelevanten Funktionen bieten:

  • Verschlüsselter Datentransfer (HTTPS)
  • Unterstützung für Multi-Faktor-Authentifizierung (2FA, MFA)
  • Anbindung an die bestehende Benutzerverwaltung (LDAP, Active Directory)

Verschlüsselung von Datenspeichern

Alle im Unternehmen verwendeten Festplatten, SSD und anderen Datenträger sollten verschlüsselt sein:

  • PCs, Notebooks
  • Server- und Storage-Systeme
  • Smartphones, Tablets
  • Backup
  • Datenarchiv

Damit sind die Daten nicht lesbar, falls die Datenträger in fremde Hände gelangen. Auch die Rückgabe von Datenspeichern im Reparaturfall ist damit kein Problem mehr.

Rechnerraum, Rechenzentrum

Die zentralen IT-Systeme (Server, Storage, Netzwerk) sollten in einem Raum mit Zutrittsschutz aufgestellt sein. Auch Maßnahmen zur Kühlung und automatischen Feuerlöschung sind sinnvoll.

Event-Logging, Audit-Log

Zumindest auf allen IT-sicherheitsrelevanten Systemen sollte eine automatische Protokollierung aktiviert sein:

  • Änderungen von Konfiguration und Berechtigungen (Administration)
  • Verdächtige Vorfälle (z.B. fehlerhafte Logins)
  • automatische Schutzmaßnahmen (z.B. Zugriffsblockierung)

Die Protokollierung soll bei der Aufklärung und Beweissicherung bei Sicherheitsvorfällen helfen.

Data-Leak-Prevention (DLP)

Ein DLP System kann dabei unterstützen, eine unerlaubte Weitergabe der Daten zu verhindern.

Im KMU Umfeld werden solche Systeme kaum eingesetzt, außer das Unternehmen muss seine Daten besonders schützen.

DLP-Systeme arbeiten mit einem Regelwerk, welches Datenklassifizierung voraussetzt. Die Klassifizierung kann dabei auch automatisch anhand von Merkmalen (Stichwörter) erfolgen.

Organisatorische Maßnahmen

Datenschutzkonzept

Das DSGVO fordert die Erstellung eines Datenschutzkonzepts, um die Risiken für IT und Daten zu evaluieren und Schutzmaßnahmen zu definieren.

Es muss auch ein Verantwortlicher für den Datenschutz definiert werden. Dieser Verantwortliche muss neben der Planung auch bei Datenschutz-Vorfällen aktiv werden.

Weitere Tipps:

Sichere Anwendungen einsetzen

Bereits bei der Auswahl und Implementierung von neuen Anwendungen/IT-Systemen sollte auf IT-Sicherheit und „privacy by design“ (DSGVO) geachtet werden:

  • Definition von Anforderungen für IT-Security- und Datenschutz im Lasten- und Pflichtenheft
  • Testen der Erfüllung der Anforderungen
  • Testen der Verwundbarkeit (Negativ-Tests, Penetration Tests) bei kritischen Anwendungen/IT-Systemen

Professioneller IT-Betrieb

  • Einhaltung der definierten IT-Betriebs-Prozesse, vor allem für Change Management
  • Zeitnahe Installation von Sicherheitsupdates
  • Dokumentation von Änderungen an den IT-Systemen
  • Dokumentation von Sicherheitsvorfällen

Weitere Tipps finden Sie unter IT-Betrieb.

Restriktive Zugriffsberechtigungen, sichere Passwörter

  • Es sollen nur die Zugriffsrechte vergeben werden, welche ein Anwender zur Erfüllung seiner Aufgaben benötigt
  • Zugänge für austretende Mitarbeiter sollten am Austrittstag gesperrt werden
  • Zugriffsberechtigungen sollten überprüft werden, wenn ein Mitarbeiter seine Position im Unternehmen verändert
  • Die Anforderung, Bewilligung und Einrichtung der Berechtigungen sollten protokolliert sein (z.B. mit einem Support-Ticket-System)
  • Leicht zu knackende Passwörter verhindern (Passwort-Regeln im Benutzerverwaltungssystem)
  • Administrationsrechte auf Server, PCs, Notebooks nur ausgewählten Personen (z.B. IT-Mitarbeiter) geben
  • WLAN Netzwerke verschlüsseln und nur mit Password zur Verfügung stellen (gilt auch für Gäste)

Screening des Personals und der Lieferanten

Je nach Sensibilität der Daten in einem Unternehmen ist es ggf. erforderlich, neue Mitarbeiter und das Personal von Lieferanten zu überprüfen (Leumundszeugnis, Referenzen etc.).

Geheimhaltungserklärung, NDA

Eine Vereinbarung zur Geheimhaltung (NDA) und Datennutzung muss von allen internen und externen Mitarbeitern unterschrieben werden.

Auch für Lieferanten und Partner kann eine solche Vereinbarung notwendig sein. Für IT-Service Anbieter ist eine Vereinbarung zur Datenverarbeitung erforderlich (DSGVO).

Daten- und Dokumentklassifizierung

Geheime Dokumente sollten entsprechend markiert werden, um eine versehentliche Weitergabe möglichst zu verhindern.

Das DSGVO fordert außerdem die Klassifizierung von Daten und Dokumenten, welche personenbezogene Daten beinhalten.

Zur Datenklassifizierung braucht es:

  • Definition der Datenklassen nach Schutzbedarf und Aufbewahrungsdauer
  • Regelung, wie die Klassifizierung durch Mitarbeiter und IT-Systeme zu erfolgen hat
  • Ggf. technische Maßnahmen, um die Klassifizierung unterstützen (z.B. Funktionen im Office/Windows)
  • Ggf. ein DLP System, welches die unerlaubte Weitergabe von Daten verhindert

Mitarbeiter sensibilisieren

Zumindest einmal im Jahr sollte eine Schulung für IT-Sicherheit für die Mitarbeiter stattfinden.

Vor allem zur Abwehr von Phishing und Social Engineering Attacken ist diese Sensibilisierung unbedingt notwendig.

Umsetzung

Die Fülle der notwendigen Maßnahmen für IT-Sicherheit kann ein KMU leicht überfordern. Die Lösung dazu ist, die Maßnahmen zu bündeln und sich von Spezialisten unterstützen zu lassen.

Software as a Service

Mit der Miete von Anwendungen übergeben Sie einen Teil der Verantwortung für IT-Sicherheit an den Anbieter.

SaaS inkludiert typischerweise folgende IT-Sicherheitsmaßnahmen:

  • Anwendungen werden in einem sicheren Rechenzentrum betrieben
  • IT-Systeme sind redundant ausgelegt und gegen technische Defekte gesichert
  • Backup der Daten und Konfiguration für diese Anwendung sind inkludiert
  • Der Anbieter schützt das System gegen übliche Cyber-Bedrohungen
  • Der Datenverkehr zur Anwendung verschlüsselt (HTTPS, VPN)
  • Die Daten sind auf dem IT-System verschlüsselt gespeichert
  • Professioneller IT-Betrieb durch den Anbieter
  • Event-Logging, Audit-Log ist aktiviert

Anwendungen, welche sich für SaaS anbieten:

  • Team- und Office-Software (z.B. Office365), E-Mail
  • ERP, CRM Software
  • Buchhaltungssoftware
  • Web-Portal
  • Webserver, Webshop

Weitere Tipps finden Sie unter Cloud Computing für KMU.

Cloud Computing

Mit der Verlagerung ihrer IT-Systeme in ein sicheres Rechenzentrum (Housing) decken Sie folgende IT-Sicherheitsmaßnahmen ab:

  • Anwendungen werden in einem Rechenzentrum mit Zutrittsschutz, Klimatisierung und redundanter Stromversorgung betrieben
  • Der Datenverkehr für den Anwendungszugriff ist verschlüsselt (VPN)
  • Netzwerk-Firewall

Nutzen Sie die IT-Infrastruktur von einem Cloud Service Anbieter (managed XaaS), dann sind zusätzlich abgedeckt:

  • Redundante Auslegung des IT-Systems und Schutz vor HW-Defekten
  • Verschlüsselte Datenspeicherung
  • Backup
  • Professioneller IT-Betrieb, 7×24 Verfügbarkeit
  • Event-Logging, Audit-Log

Mit dem Cloud-Service Anbieter können Sie auch weitere Maßnahmen vereinbaren:

  • Ersatzsystem
  • Web-Application-Firewall, IPS
  • Web-Portal
  • DLP

Weitere Tipps finden Sie unter Cloud Computing für KMU.

IT-Security-Consulting

Wenn Sie ihre IT selbst betreiben wollen, dann sollten Sie sich von Experten für IT-Sicherheit unterstützen lassen.

Auch können diese Experten bei den organisatorischen Maßnahmen und bei der Implementierung von neuen Systemen unterstützen.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .