Slide background Sicherheit für Unternehmen

IT Sicherheit im Unternehmen

 

Sicherheit wird von kleinen und mittleren Unternehmen meist nur als nerviges Randthema gesehen. Falls überhaupt.

Was bedeutet IT Sicherheit?

Im einfachsten Fall kann es den Unterschied zwischen einem florierenden Unternehmen und einem Konkursfall bedeuten. Glauben Sie nicht?

Wie würde es Ihnen gefallen, wenn Sie ein Produkt entwerfen, sich überlegen, es entwickeln und kurz bevor Sie es soweit haben, dass alles passt, bringt der Mitbewerb das gleiche Produkt auf den Markt. Seltsamer Zufall oder Betriebsspionage?

Sicherheit beginnt mit kleinen Dingen. Z.B. ein Passwort für das W-LAN, eine Firewall mit sicherem Kennwort, sichere VPN-Verbindungen ins Firmennetz, Kennwort-Strategien für Benutzerzugänge, ...

Ja, Sicherheit kostet Geld. Keine Sicherheit kann aber noch viel teuerer sein.

1,2,3 - Datenclou(d)

Immer wieder ist der Begriff "Cloud" in der IT verwendet. Leider aber immer in unterschiedlicher Verwendung. Firmen sprechen von Cloud-Services und meinen damit z.B. einen virtuellen Server. Unter Cloud-Services wird aber auch das extern gehostete Mailverzeichnis gemeint, oder der externe Datenspeicher. das Online-Backup, die virtuelle Infratstruktur oder einfach nur die Webseite.

Cloud kann eine gute Sache sein. Sicherheitstechnisch muss man sich halt überlegen, welche Daten man dort hinlegt.

Grundsätlich gilt: Wenn ich nicht will, das jemand die Daten erhält, darf ich diese dann nicht veröffenlichen.

"Auf den Speicher hab ja nur ich Zugriff" wird dann immer wieder argumentiert. Klar. Und der Admin der Firma, die das Cloudsystem verwaltet. Der Backup-Operator des Cloudsystems sieht die Daten auch, sonst kann er diese ja nicht sichern. Sie haben ein Passwort für den Speicher vergeben, jedoch ein schlechtes Gedächtnis. Also ein einfaches Kennwort.

Ein durchschnittlicher Hacker braucht zum herausfinden eines 5stelligen Kennworts aus Zahlen und Buchstaben nur Sekunden. Ein 6stelliges Kennwort dauert schon etwas länger, ist aber immer noch kein Hindernis. 8stellige Kennwörter sind im Schnitt in 3-4 Stunden erraten.

Systeme, sie Sie nur über Internet erreichen können, können auch von Hackern erreicht werden. Und Sie können uns glauben, Hacker finden diese Systeme.

"Aber ich hab ja keine wertvollen Daten dort liegen" hören wir auch immer wieder. Nur das weiß der Hacker nicht. Und vielleicht ist etwas für den Hacker dabei, das auf den ersten Blick wertlos erscheint. Auch mit Bestellbestätigungen von Lieferanten kann man eine Menge Schaden anrichten.

VoIP Sicherheit

Voice over IP - Eine Technologie, die es Ihnen ganz leicht ermöglicht eine zusätzliche Nebenstelle in Ihrer Firma einzurichten.

Bendenken Sie aber, dass ein Hacker, der Zugriff auf das System auch teuere Ferngespräche auf Mehrwertnummern führen kann.

"Das passiert doch nie" denken Sie? Einer Familie aus Dortmund hat diese Einstellung eine Telefonrechnung von rund € 8.000 eingebracht. Und das ist ein Privatanschluss. Stellen Sie sich vor, Sie haben eine Telefonanlage für mehrere Nebenstellen an mehreren Standorten installiert. Der böse Computerhacker kapert nur eine Nebenstelle und telefoniert mit Kuba. Bei größeren Firmen, die Telefonrechnungen ohnehin im mehrstelligen Bereich haben, wird das vielleicht gar nicht so schnell auffallen. Ihnen als Kleinunternehmer oder als mittelständisches Unternehmer werden Telefonrechnungen von über € 10.000 vielleicht doch auffallen und  nicht unbedingt damit rechnen.

Sie fragen sich, wie sowas passieren soll? Viele Anbieter ködern Sie  mit gehosteten Telefonalagen. Die gesamte Hardware wird bei Ihrem Anbieter installiert, Sie brauchen nur noch die Telefone aufstellen und die Nebenstelle eintragen. Super. Auch für den Hacker. Der kann dann bei solchen Anlagen nicht nur Ihre Firma schädigen, sondern hat die breite Auswahl. Und warum? Weil Sie eine Nebenstelle angelegt haben und das Standardkennwort "1234" gelassen haben.

"Ja, wer ist den so blöd" werden Sie fragen. Galuben Sie uns, das passiert öfter als Sie denken.

 

Smartphone - Spion in der Tasche

Sie haben ein Smartphone von Apple, Samsung, Sony, Microsoft oder sonst einen Hersteller?

Sehr gut, dann haben Sie schon einen Spion in Ihrer Firma entdeckt.

Die meisten Smartphones senden an die Hersteller sogenannte "Nutzungsstatistiken". In diesen Daten ist normalerweise die Geräte-ID, Datum / Uhrzeit, Position des Geräts, Geöffnete Apps, Installierte Apps, etc. enthalten.

Diese Daten werden nur erhoben, um die Geräte besser auf die Kunden abzustimmen. Sagt man uns. Wenn man näher hinsieht, wird das schon stimmen, jedoch sind die Datenmengen beträchtlich, und es ergibt sich aus den Daten zwangsläufig ein Zweitnutzen.

Wenn Sie ein Gerät betrieblich nutzen, muss Ihnen bewusst sein, dass der Hersteller des Geräts bis zu einem gewissen Grad weiß, was Sie mit dem Gerät machen. Wenn Sie sensible Daten Ihrer Firma nicht auf diese Weise teilen möchten, dann sollten Sie diese Daten auch nicht auf dem Gerät, öffnen, bearbeiten, etc.

Die Bequemlichkeit und die Einfachheit dieser Geräte verleitet uns allerdings immer, Dinge zu tun, die wir sonst nicht getan hätten. Oder stellen Sie sich am Marktplatz in Ihrer Gemeinde und erklären allen Anwesenden die geheime Geschäftsstrategie des nächsten halben Jahres?

Wildernde Mitarbeiter

Mitarbeiter sind das größte Kapital eines Unternehmens. Dieses Zitat stammt aus der Feder Henry Fords. Natürlich hat er recht. Jedoch wird jeder Mitarbeiter, der das Unternehmen verlassen muss, auch zum größten Risikofaktor. Dann stimmt wohl eher die Aussage, dass "jeder Mitarbeiter ist ein bezahlter Feind" ist.

Sie als Unternehmer müssen sich darüber im klaren sein, dass ein gekündigter Mitarbeiter das größte potenzielle Datenleck ist. Dieser Mitarbeiter kann nichts mehr verlieren, den gekündigt ist er ja schon. Wenn er zu diesem Zeitpunkt noch Zugriff auf sensible Daten hab, können Sie davon ausgehen, dass diese Daten auf einem privaten Datenträger landen. Und im Normalfall wird der Mitarbeiter ihnen auch unterschreiben, dass er alle Unterlagen ausgehändigt hat. Zumindest die in Papierform. Von digitalen Medien war ja nicht die Rede. Natürlich können Sie, falls Sie irgendwann zufällig darauf kommen, dass der Mitbewerb Unterlagen von Ihrer Entwicklung verwendet gegen die neue Firma Ihres Mitarbeiters und auch gegen den Mitarbeiter klagen, nur bringt Sie das im Geschäftsleben nicht weiter. Denn bis die Klage durch ist, hat der Mitbewerb das Produkt auf die Weise verändert, dass Sie es nicht mehr beweisen können, das dort Ihre Grundlagenforschung, Ihr Entwicklergenie drinnen steckt. Und wenn Sie dann noch ein Patent anmelden möchten, könnte es sein, dass das Patentamt Ihnen mitteilt, dass Ihre Idee, Ihre Entwicklung nicht mehr schützenswert ist, weil der Mitbewerb bereits ein Produkt in der Fläche hat.

Machen Sie sich klar, dass Sie Mitarbeiter nach Kündigung den Zugriff auf sensible Daten sperren müssen. Am besten bereits bevor Sie diesen kündigen.

Virenschutz

Viren, Trojaner, Würmer und ähnliches sind nervig, weil die im schlimmsten Fall Ihre Infrastruktur lahm legen.

Schlimmer ist sogenannte Spyware. Diese befindet sich am PC und protokolliert alles mit, was Sie dort machen. In unregelmäßigen Abständen werden dann diese "Berichte" an eine Internetadresse gesendet. Diese Spionage kann ähnliche folgen haben, wie ein gekündigter Mitarbeiter.

Um sich dagegen zu sichern, können Sie Virensoftware verwenden und darauf achten, diese aktuell zu halten. Einmal im Jahr dann nocht einen Spyware-Jäger auf den Rechner und gut ist es.

Unsere Leistungen für Sie

 

  • Überprüfung Ihrer IT-Anlage auf mögliche Schwachstellen
  • Testen der Schwachstellen
  • Beratung und Konzeption von sinnvollen sicheren Systemen
  • Organisationsschulungen im sicheren Umgang mit EDV

heise Security

News und Hintergrund-Informationen zur IT-Sicherheit

heise-Angebot: Frühbucherrabatt sichern: Heise Cloud-Konferenz 2017

Mi, 23 August 2017 10:51 by heise online

Am 17. Oktober 2017 präsentieren c’t und iX die erste gemeinsame Heise Cloud-Konferenz. Cloud-Anwender, -Experten und Entscheider treffen sich zum Austausch über praktische Erfahrungen mit Private, Hybrid und Public Cloud.

Google schmeißt 500 potenzielle Spionage-Apps aus App Store

Mi, 23 August 2017 10:47 by heise online

Ein Software Development Kit für Werbeeinblendungen soll Schnüffelfunktionen mitbringen. Damit ausgestattete Android-Apps weisen über 100 Millionen Downloads auf, warnen Sicherheitsforscher.

Microsoft-Report: Mehr Angriffe auf cloudbasierte Konten

Di, 22 August 2017 15:31 by heise online

Microsofts Clouddienste werden laut Security Intelligence Report zu einem immer beliebteren Ziel für Hackerangriffe. Der Bericht nennt außerdem Zahlen zur globalen Verteilung von Ransomware: Hier ist Europa Spitzenreiter.