IT-Security – damit Daten da bleiben, wo sie hingehören. Das sind die Grundlagen der IT-Sicherheit für kleine und mittlere Unternehmen (KMU)

In den letzten 30 – 40 Jahren hat der technische Fortschritt nicht nur den einen oder anderen Hype erzeugt, sondern auch unseren Alltag verändert, denkt man an den Boom der Smartphones, Tablets und Computer. Nichts scheint mehr unmöglich, die weite Welt des Internets grenzenlos. Fast täglich erleben wir Innovationen, die uns dank ihrer Technik beispielsweise das Arbeitsleben erleichtern. Grundsätzlich klingt das alles erst einmal positiv. Aber dieser Fortschritt hat eine dunkle Seite, er macht uns angreifbar. Allein der Begriff Hackerangriff lässt uns zusammenzucken. Doch wie schütze ich mich, wie bringe ich meine hochsensiblen Daten in Sicherheit? Unternehmer sollten sich über Grundlagen der IT-Sicherheit für kleine und mittlere Unternehmen (KMU) informieren!

Alles begann mit einem Virus 

Mitte der 80er-Jahre traten die ersten Computerviren auf, daraus entwickelten sich verschiedenste Schadprogramme, die Zerstörung, Erpressung und Datendiebstahl zur Folge hatten. Bekannte Beispiele für Viren sind Stuxnet, der Industrieanlagen lahmlegte oder EMOTET. Solche Programme sind meist ungezielte Angriffe auf viele Opfer gleichzeitig, auf eine Herde sozusagen. Und wie ist es in der Natur: Das schwächste Tier wird gerissen. In diesem Zusammenhang ist das schwächste Tier die Firma mit der schlechtesten IT-Sicherheit.

 

Homeoffice ist zusätzliche Gefahr für die IT-Sicherheit

Gerade in Zeiten von Homeoffice ist es wichtiger denn je, seine Daten professionell zu schützen. Was für die einen ein Segen ist, ist für die anderen ein Fluch. Ist das Unternehmernetzwerk auf dem Stand von vor zehn Jahren, steckt die Gefährdung bereits im System. Kommt dann noch der Zugriff von außen, also aus dem Homeoffice dazu, ist der Schaden angerichtet. Dann sind die Unternehmensdaten ein Paradies für Kriminelle.

Gezielte Angriffe auf Unternehmen 

Zu ungezielten Angriffen kommen auch ganz gezielte. Dazu sucht sich der Hacker Schwachstellen. Gezielt deshalb, weil das Zielunternehmen ideologisch oder finanziell interessant ist. Außerdem spielen Phishing oder Social Engineering, die erst durch Hacks oder Virenangriffe möglich werden, eine große Rolle. Jeder kennt diese E-Mails vom Onkel aus Amerika, der uns Geld schicken will. Doch zwischen diesen primitiven Versuchen, verstecken sich immer wieder herausragend getarnte E-Mails, die von gehackten E-Mail-Konten – wie von Freunden, Geschäftspartner oder Firmen – zu kommen scheinen.

Auch wenn Antivirensoftware und E-Mail-Sicherheitssysteme installiert sind – Computerviren mutieren, ändern sich und bleiben für kurze Zeit unentdeckt. Der unachtsame Klick auf die Dateianlage kann Daten vernichten und viel Geld kosten.

Ganz konkret passiert folgendes: Durch den Klick auf den Dateianhang wird z. B. EMOTET auf dem Rechner installiert. Von dort aus versucht dieser Wurm, mithilfe hochentwickelter Techniken, das gesamte Netzwerk zu infizieren. EMOTET hat Einfluss auf Server, Datenlaufwerke, Daten und ermöglicht dem kriminellen Absender am Ende Zugriff auf die vollständige EDV.

Nur eine Randnotiz

Strafverfolgungsbehörden aus acht Ländern haben Ende Januar 2021die Infrastruktur von EMOTET unter ihre Kontrolle gebracht. EMOTET wird auch als zerstörerischter Schädling der letzten Jahre bezeichnet. Seit 2014 legte er in sehr zielgerichteten Angriffen immer wieder ganze Firmen lahm und verursachte Schäden in Millionenhöhe. EMOTET dient hier als prägnantes Beispiel, weil es immer wieder Gefahren dieser Art geben wird und die prominente Pressemeldung seiner Abschaltung nichts ist als eine Randnotiz.

Datenklau durch Vernachlässigung

All das funktioniert oft nur, weil Unternehmen ihre IT-Sicherheit sträflich vernachlässigen und die Grundlagen der IT-Sicherheit für kleine und mittlere Unternehmen (KMU) ignorieren.

Unternehmen beauftragen einen Sicherheitsdienst, der jeden Tag nachschaut, ob alle Fenster geschlossen sind, die Haustür abgeschlossen und die Alarmanlage eingeschaltet ist, aber bei dem eigenen IT-System sind Fenster und Türen immer offen, für jeden, zu jeder Zeit. Man hat nicht mal einen Schlüssel. Alte Technik ohne Updates, unregelmäßige Wartung, schlechte oder keine Passwörter, da sind viele Firmen offen wie Scheunentore. Und auf der anderen Seite wartet der professionelle Hacker mit Ahnung von der Materie und hoher Motivation.

Ein IT-System gehört regelmäßig überwacht und gewartet.

Die Basis für eine ordentliche und sichere IT-Infrastruktur ist eine Analyse der aktuellen Gegebenheiten. Dafür gibt es einfache Werkzeuge, die zunächst einen Ist-Zustand ermitteln. Daraus wird ein strukturierter Plan erarbeitet. Erhöhter Sicherheitsbedarf (zum Beispiel ausgelöst durch externe Vorgaben von Kunden) können durch sogenannte Informationssicherheitsmanagement-Systeme und entsprechende Zertifizierungen abgedeckt werden. Für eine professionelle Wartung und Systempflege bei einer kleinen Firma bis 30 Mitarbeiter benötigt man im Schnitt 2 – 3 Stunden pro Monat. Der Vorteil ist außerdem, dass eine IT-Firma versichert ist durch ordentliche Betriebsversicherungen und Vermögensschadensversicherungen.

Das muss die Firmen-IT können – die konkreten Grundlagen der IT-Sicherheit für kleine und mittlere Unternehmen

  1. Security – Sicherheit für Ihre IT: dazu zählen Firewall, Virenfilter, Spamfilter, sicherer Zugriff per VPN, sichere, individuelle Accounts und Passwörter, aktuelle Betriebssysteme
  2. Vertraulichkeit – Berechtigungskonzept für Daten und E-Mails
  3. Verfügbarkeit – skalierbare Server mit definierten Wartungsverträgen, zentrale, überwachte Datensicherung mit regelmäßiger Überprüfung und verschlüsselter Offsite-Sicherung
  4. Verwaltbarkeit – zentrale Benutzerverwaltung, strukturiertes Berechtigungskonzept
  5. Compliance – Aufbewahrung von Datensicherungen über 10 Jahre, E-Mail-Archivierung
  6. Information und Sensibilisierung der Mitarbeiter für die Gefahren und deren Vermeidung

Auf den Punkt gebracht

In der heutigen Zeit benötigt die sensible IT-Sicherheit Know-how, Know-how und nochmal Know-how. Nur kompetente und ehrliche Berater können die Scheunentore schließen. Sie bieten Unternehmen ein vielfältiges Spektrum an kostengünstigen und ordentlichen Lösungen und betreuen dauerhaft und nachhaltig. Damit IT-Sicherheit kein Zufall mehr ist, ermöglicht ein Wartungsvertrag den perfekten Schutz.

Über den Autor

Bereits seit 1990 betreut Rainer Leidl mit seinem fundierten Fachwissen den IT-Bereich. Vor der Gründung der Kernkompetenz-IT war er bei einer Finanzdienstleistungsunternehmen für den IT- und die Orgaentwicklung verantwortlich. Als Vorstandsmitglied bildeten seine Schwerpunkte unter anderem das Produktmanagement und die Entwicklung von IT-Prozessen zur Umsetzung der regulatorischen Anforderungen im Finanzbereich. Als Geschäftsführer des IT-Systemhauses Kernkompetenz-IT betreut er Unternehmen in der IT, der Organisationsberatung und unterstützt bei der Digitalisierung, in der Beratung der IT-Infrastruktur und IT-Lösungen sowie beim IT-Prozessdesign.

Über Kernkompetenz-IT

Die Kernkompetenz-IT ist ein innovatives IT-Systemhaus und IT-Dienstleister mit den Schwerpunkten IT-Infrastruktur, IT-Services und IT-Security. Mit einem kompetenten Team von fünf Mitarbeitern beraten und betreuen wir Unternehmen und Unternehmer im Bereich IT, EDV, Digitalisierung und Organisation. Unsere Expertise sichert die Verfügbarkeit der IT und den Erfolg des Unternehmens bei Planung und Aufbau, der Wartung, der Betreuung und dem täglichen Betrieb von IT-Infrastruktur und digitalen Prozessen. Unsere Kunden sind kleine und mittlere Unternehmen im Raum Ostbayern. Wir informieren über Grundlagen der IT-Sicherheit für kleine und mittlere Unternehmen (KMU)

https://www.kernkomptenz-it