Grundregeln zur IT-Sicherheit in Unternehmen

Cyberangriffe in Deutschland verursachen jährlich rund 223 Millionen Euro Sachschäden. Die Schadenshöhe hat sich im Vergleich zu 2018/2019 damit mehr als verdoppelt. Das geht aus einer Studie des Branchenverbands der deutschen Informations- und Telekommunikationsbranche (Bitkom) hervor. 

Cyberversicherungen können den vollen Schaden kaum kompensieren. Bei einem schweren Schadensfall entsteht ein Eindruck der Unzuverlässigkeit bei Kundenzielgruppen, der durch eine finanzielle Kompensation nicht repariert wird.

Schutzmaßnahmen gegen Cyberkriminalität mit wenig Aufwand möglich

Die IT-Systeme von Unternehmen aller Größen sind gefährdet. Dies gilt auch für IT-Systeme, die nicht mit dem Internet verbunden sind. In diesem Fall können die Datenträger betroffen sein. Cyberkriminelle nutzen Schadsoftware, die sich unkontrolliert weiterverbreitet. Diese wird auch bei verhältnismäßig wenig Beute eingesetzt, die bei kleinsten Unternehmen erzielbar ist.

Prävention gegen Cyberkriminelle ist daher ratsam. Viele sinnvolle Gegenmaßnahmen erfordern Gründlichkeit, Selbstdisziplin, Wissen über Sicherheitsvorkehrungen – aber kaum Zeit und Geld. Prävention ist für jedes Unternehmen umsetzbar und kann vor den meisten Gefahren durch Schadsoftware schützen.

Cyberangriffen vorbeugen – Grundregeln für Unternehmen

Das Partnernetzwerk Wirtschaft 4.0 Sachsen-Anhalt hat staatliche und privatwirtschaftliche Übersichten für die IT-Sicherheit ausgewertet, und die wichtigsten Grundregeln zusammengefasst:

  • Keine Datenträger von außen nutzen: Auch die USB-Sticks von Mitarbeitenden und Geschäftspartnern können mit Schadsoftware infiziert sein
  • Betriebssystem aktuell halten und Sicherheitshinweise beachten: Updates möglichst sofort installieren
  • Zugangsdaten niemals weitergeben
  • Sichere Passwörter verwenden: Lange Buchstabenpasswörter ohne Wörter können viel sicherer sein als acht Zeichen mit Zahlen und Sonderzeichen. 
  • Zwei-Faktor-Authentisierung und starkes Passwort für besonders schützenswerte Daten (z. B. Zugriff auf Bankkonten) verwenden
  • Passwörter nicht unverschlüsselt auf dem Computer speichern oder mit Papier an den Monitor kleben: Die Vielzahl von Passwörtern kann mit einem sorgfältig ausgewählten Passwortmanager-Programm für den Nutzer auf ein Passwort begrenzt werden.
  • Regelmäßig Datenbackups auf sicherem Speicher anlegen: Das Backup – unter anderem im Hinblick auf Brandgefahr – nicht im selben Büro lagern. Backups auf externen Servern sollten nur mit verschlüsselten Verbindung erfolgen. Testen Sie Ihr Backup gelegentlich, um zu sehen, ob es funktioniert.
  • E-Mails kritisch lesen: Auch E-Mails von bekannten Kontakten können gefährlich sein, wenn verwendete E-Mail-Programme mit Schadsoftware infiziert sind und Nachrichten an gespeicherten Kontakte verschicken.
  • Malware-/Virenscanner einsetzen und aktuell halten: Zugriffsscan dauerhaft aktiv, automatische Scanner-Updates, außerhalb der Geschäftszeiten ablaufende automatisierte Komplettscans
  • Sicherheitsfeatures von Anwendungen konfigurieren (z. B. Browser, E-Mail, Office-Programme, Chat-Tools, Multimedia-Abspielprogramme) 
  • Mehrere Benutzerprofile im Betriebssystem anlegen und mit Benutzerprofil ohne Administratorrechte arbeiten 
  • Keine Software aus zweifelhaften Quellen: Beziehen Sie Software vom Hersteller, großen Händlern oder dem IT-Dienstleister Ihres Vertrauens. Betrüger versuchen, mit Schadsoftware infizierte Programme über eigene Webseiten und nicht überprüfende Dritte zu verbreiten.
  • Rechner vor unbefugtem Zugriff schützen: Nutzen Sie ein Betriebssystem-Passwort, loggen Sie sich beim Verlassen des Rechners aus oder aktivieren Sie den Sperrbildschirm, Raum abschließen)
  • nicht verwendete Dienste und Programme deinstallieren oder nicht automatisch beim Systemstart aktivieren lassen
  • Treiber von Netzwerkgeräten (z. B. Drucker) aktuell halten: Updates sofort aufspielen, Standard-Passwort eines Routers durch starkes Kennwort ersetzen
  • Firewall einsetzen und konfigurieren
  • Mit Mobilgeräten in fremden Netzen die Einstellungen Gast/Öffentliches Netz wählen und keine sicherheitskritischen Aktionen (z. B. Online-Banking, Login ins eigene Intranet) durchführen.
  • Einheitliche Sicherheitsstandards für Homeoffice im gesamten Unternehmen: Jeder Mitarbeiter im Homeoffice ist ein Angriffspunkt in Ihr Unternehmens-Intranet.
  • Bei Routern WPS deaktivieren, damit neue Geräte nicht unbemerkt in das WLAN Netz eindringen. 
  • Besuchern nur einen WLAN-Gastzugang ohne Zugriff auf Netzwerkgeräte gewähren
  • Echte Ende-zu-Ende Verschlüsselung erfordert, dass auch Internetdienstleister nicht entschlüsseln und mitlesen können. Beachten Sie dies bei der Auswahl von Kommunikations- und Cloud-Diensten.
 

Zusätzliche Sicherheitsregeln für mittlere und große Unternehmen 

  • Etablieren und pflegen Sie eine Benutzerverwaltung in ihrem Content Management System bzw. Intranet. Niemand braucht auf Daten von Projekten zugreifen, in denen man nicht arbeitet und die man auch nicht beaufsichtigt.
  • Nur von den IT-Spezialisten freigegebene Cloud-Dienste sollten genutzt werden, damit zum Beispiel keine sensiblen Daten unverschlüsselt übertragen werden. Die Auswahl der Cloud-Dienste ist auch in Bezug auf Datenschutzkonformität wichtig.
  • Erwägen Sie die Einteilung des Unternehmens-Intranets in mehrere abgekapselte Bereiche, damit ein Eindringling zunächst nur einen Bereich kompromittieren kann.
  • Eine Security Information Event Management Software (SIEM) kann helfen, unerlaubtes Eindringen frühzeitig zu bemerken und Schäden zu begrenzen.
  • Trainieren Sie Ihr Personal für IT-Sicherheit. Sie können Übungs-E-Mails nutzen, um zu unvorsichtige Mitarbeiter besonders zu schulen.
  • Sicherheit sollte einen hohen Stellenwert genießen und darf auch etwas kosten, denn Sicherheit schützt vor Schäden. Kompetente IT-Experten und Netzwerkadministratoren – inhouse oder als externe Berater – sollten das Gehör des Unternehmensmanagements haben, um nötige IT-Sicherheitsmaßnahmen umsetzen zu können.

Bei der Auswahl von Standardsoftware für IT-Sicherheit (z. B. Virenscanner, Passwortmanagern) ist es ratsam, aktuelle Tests von kompetenten Akteuren wie IT-Fachzeitschriften bei der Auswahl heranzuziehen und auf mindestens gute Sicherheitsbewertungen zu achten.

Unternehmensrisiko DDoS-Attacke

Es gibt die Angriffsform des “Denial of Service”, in der Praxis eher “Distributed Denial of Service” (DDoS). Angreifer nutzen dabei eine große Zahl gekaperter Rechner im Internet, um extrem viele Anfragen an einen Webserver – zum Beispiel Ihres Unternehmens oder Webhosters – zu senden, der dadurch überlastet ist und seine eigentlichen Aufgaben nicht mehr erfüllt. Zum besseren Verständnis: Stellen Sie sich vor, 50 Personen würden in einem Supermarkt zur selben Kasse gehen und das Personal ansprechen, ohne etwas kaufen zu wollen. Die Mitarbeitenden kämen eine Weile nicht mehr dazu, ihre Kassenarbeit zu erledigen. 

Sicherheitsregeln oder eigene Webserver beugen DDoS-Attacken nicht vor. Als Schutzmaßnahme gibt es vor allem den Service von Dienstleistern, die bei einer DDoS-Attacke mit ihren Kapazitäten aushelfen und zum Beispiel als Eingangsfilter agieren. Weitere Informationen zu DDos-Attacken bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Autor: Dipl.-Ök. B.Eng. S. Ortmann

Das KAT wird gefördert durch das Land Sachsen-Anhalt und EFRE der Europäischen Union