7 Regeln für die IT-Sicherheit von Unternehmen

IT-Sicherheit im Unternehmen

Das Klicken eines Links, das Gewähren von Zutritt, die Weitergabe von kritischen Informationen oder der Verlust von kritischer Infrastruktur (z.B. Laptop) sind für mehr als 98 Prozent aller Security-Vorfälle im IT-Bereich verantwortlich.

Das größte Sicherheitsrisiko ist das fehlende Wissen um mögliche Risiken. Technologien wie Firewall und Virenscanner sowie professionelle IT-Betreuung sind ein zusätzlicher Schutz.

Technologie, Bewusstsein und Bereitschaft sind entscheidend, um online sicher unterwegs zu sein.

Wir haben 7 Regeln erarbeitet, die mit Hilfe dieser drei Komponenten eine weitgehende Absicherung gegen Gefahren im Netz ermöglichen.

Regel 1: Nicht achtlos auf Links klicken!

Achten Sie auf die Links, die Sie anklicken. Der Text sagt nichts über den Link der dahinter liegt aus. Daher liegt eine große Gefahr darin, achtlos auf einen Link zu klicken, der angeblich zu einer Unternehmenshomepage führt, aber in Wahrheit auf eine Seite weiterleitet, die Schadcode enthält.

Klicken Sie als Beispiel auf diesen Link: http://www.google.com/

Dachten Sie etwa, dass Sie zu Google weitergeleitet werden? Um zu sehen, wohin der Link wirklich führt, bewegen Sie den Mauszeiger über den Link. Dann wird die wahre Zieladresse angezeigt.

Regel 2: Auf die E-Mail-Adresse des Absenders achten!

Achten Sie auf die realen Absender der E-Mails, die Sie empfangen. Auch hier gilt: Der Text, der den Absender angibt, ist ein frei zu definierender Text (der sogenannte Display Name). Erst wenn sie auf die wirkliche Mailadresse sehen, wissen Sie mit ziemlicher Sicherheit, von wem das E-Mail stammt.

Besondere Vorsicht ist bei Absendern großer Webmailanbieter à la Hotmail, Gmail, GMX oder Yahoo geboten (Auflistung unvollständig). Das Fälschen einer E-Mail-Adresse ist schwierig bis unmöglich – die richtige Konfiguration der IT-Landschaft vorausgesetzt.

Beispiel: bill.gates@microsoft.com

Die Mailadresse, die sich hinter der Anzeige bill.gates@microsoft.com verbirgt, ist eine andere als Sie angezeigt bekommen. Blicken Sie hinter die Kulissen! Wenn Sie die Maus über den Mail-Link bewegen, sehen Sie wieder die tatsächliche E-Mail-Adresse.

Regel 3: Physischen Zugriff für betriebsfremde Personen verhindern!

Betriebsfremden Personen gegenüber sollten Sie grundsätzlich skeptisch sein. Im echten Leben ist es ähnlich wie bei Links und E-Mail-Adressen: Das was draufsteht, muss nicht immer drinnen sein. Prüfen Sie daher genau, welchen Personen Sie Zugang und Zugriff zu Ihrer IT-Infrastruktur gewähren.

IT-Security ist nicht zu gewährleisten, wenn der Angreifer physischen Zugriff auf die Systeme hat. Folgerichtig müssen betriebsfremde Personen, sobald sie öffentliche Bereiche verlassen auch von einem Mitarbeiter begleitet werden.

Regel 4: Firewall stets aktualisieren!

Stellen Sie die Aktualität Ihrer Firewall sicher. Die Firewall ist die Schutzmaßnahme, die Ihr Unternehmen Richtung Internet absichert. Wichtig ist es, die Aktualität der Software und die notwendig Performance der Hardware sicherzustellen. Darüberhinaus sollten aber auch alle Anpassungen der Konfiguration dokumentiert werden und die Konfiguration als Gesamtes in regelmäßigen Intervallen geprüft werden.

Ihr IT-Administrator oder der zuständige Dienstleister muss Ihnen zu dieser Frage detailliert Auskunft geben können. Um Gewissheit zur Aktualität und Funktion Ihrer Firewall zu erlangen, lassen Sie zur Sicherheit einen externen Security Audit Ihrer Firewall durchführen.

Regel 5: Virenscanner hinter der Firewall einsetzen!

Achten Sie auf die Verwendung von Virenscannern. Der Virenscanner ist im Regelfall ein Bestandteil der Firewall und eine Software, die auf Client- und Serversystemen installiert ist. Der Virenscanner auf der Firewall ist dafür zuständig, Daten auf Schädlichkeit zu prüfen, die die Firewall passieren. Auf den dahinter gelegenen Systemen sollte nach Möglichkeit ein anderes Virenscanner-Produkt als auf der Firewall verwendet werden. Denn unterschiedliche Virenscanner erkennen und isolieren unterschiedliche Viren unterschiedlich schnell.

Der Virenschutz auf internen Systemen ist auch deswegen wichtig, weil nicht jede Bedrohung über die Firewall eindringen muss. Oft gelangen Viren durch USB-Datenträger oder die externe Verwendung von Notebooks und Smartphones in das interne Netz.

Auch zu dieser Frage muss Ihr IT-Administrator zeitnahe und detailliert antworten können. Sollte das nicht der Fall sein, findet dieser wichtige Bereich nicht ausreichend Beachtung.

Regel 6: Unterschiedliche und starke Passwörter verwenden!

Verwenden Sie unterschiedliche und starke Passwörter. Es ist ratsam zumindest für die kritischen Systeme (z.B. Telebanking, Windows Login, ERP-Login, …) unterschiedliche Passwörter zu verwenden.

Sie sollten auch auf die Komplexität des Passworts achten. Viele User haben Schwierigkeiten sich komplexe Passwörter zu merken. Eine einfache Methode, die diesbezüglich Abhilfe schaffen kann, ist es, sich Sätze zu merken und das Passwort auf Basis der Anfangsbuchstaben und Satzzeichen zu „bauen“.

Bei Erstellung und Management von Passwörtern können Awareness Schulungen helfen. Diese Schulungen machen auf Problembereich aufmerksam und bieten Lösungsansätze an.

Regel 7: Keine privaten Cloud-Lösungen im Unternehmen!

Achten Sie darauf, dass Ihre Mitarbeiter keine privaten Cloud-Lösungen zur Bearbeitung von Unternehmensinhalten verwenden. Cloud-Lösungen müssen immer in Kooperation mit dem IT-Team eingeführt werden. Niemals dürfen diese ohne Wissen der IT-Administration im Firmennetzwerk verwendet werden. In der Praxis verwenden viele Mitarbeiter Cloud-Services wie DropBox, Gmail, Hotmail, Skype sowie private Notebooks oder Handys, auf denen diese installiert sind.

Diese und ähnliche Applikationen sind eine Möglichkeit, dass Daten aus dem Unternehmen abfließen und Sicherheitslücken von Angreifern genutzt werden können.

Wenn die Funktionen dieser Cloud-Services von Ihren Mitarbeitern für Ihre Arbeit benötigt werden, sollte das Unternehmen diese Funktionalität kontrolliert zur Verfügung stellen. Nur so kann verhindert werden, dass Ihre Mitarbeiter auf externe Services zugreifen und somit eine Schatten-IT im Unternehmen etablieren.

IT ist Technologie und Dienstleistung, manchmal in umgekehrter Reihenfolge. IT sollte nicht hauptsächlich als Kostenfaktor verstanden werden, wenn IT-seitig bewusst und verantwortungsvoll gearbeitet wird, stehen jedem Euro, der investiert wird, mehrere Euros an Ersparnis oder Effizienzsteigerung gegenüber.

Wir lieben sichere Firmennetzwerke!

IT-Security ist immer ein Grenzgang zwischen Usability und Security. IT-Security kostet Zeit und Geld. Doch mit einem kompetenten Partner wie GEKKO ist jeder Euro eine gute und sinnvolle Investition, die auf die Bedürfnisse und die technischen Rahmenbedingungen des Unternehmens eingeht.

Wir würden uns freuen, Sie beraten, schulen und betreuen zu dürfen. Unsere Erfahrung spart Ihnen Zeit und Geld.

zum kostenlosen Beratungsgespräch
2018-01-24T01:37:42+00:00 22.01.2018|IT-Security|

Über den Autor:

Johannes Kunschert
Als Mitgründer der GEKKO und Vater von 7 Kindern, ist Projektmanagement sein zweiter Name. Dank seiner 20-jährigen IT-Erfahrung ist Jo Experte in der Abwicklung professioneller IT-Betreuung. Fordern Sie ihn einfach heraus!

Hinterlassen Sie einen Kommentar