IT-Security für Einsteiger (Update)

IT-ManagementIT-ProjekteMarketingNetzwerkeOffice-AnwendungenSicherheitSicherheitsmanagementSoftwareSoziale Netzwerke

Auch Selbstständige und kleine Unternehmen kommen um das lästige Thema IT-Security nicht herum. Viele unterschätzen die Risiken im Web. ITespresso hat Experten befragt, wie sich auch sehr kleine Unternehmen mit wenig Aufwand vor Malware-Attacken und Spionage schützen können.

Das Thema Sicherheit ist komplex. Oft ist es deutlich komplexer als das Produkt oder die Dienstleistung, die das Unternehmen anbietet. Auf was man nicht alles achten muss: Datenspionage, Social Engineering, Malware-Attacken, Identity, Cloud Computing, Trojaner, Phishing, Passwörter, E-Mail-Anhänge, USB-Sticks, Mobilgeräte – jedes Stichwort steht für ein eigenes “Bedrohungsszenario”, mit dem sich IT-Verantwortliche und Security-Experten in Unternehmen beschäftigen müssen.

Doch was ist mit sehr kleinen Unternehmen oder Selbstständigen? Diese haben in der Regel nicht das Geld für einen eigenen IT-Administrator und auch nicht die Fachkenntnisse, um das IT-Equipment, die eigene Website und vor allem die Geschäftsdaten zu schützen.

ITespresso hat Sicherheitsexperten von Symantec, Kaspersky und Trend Micro befragt, wie sich kleine Unternehmen oder Selbstständige mit vertretbarem Aufwand schützen können.

Das BSI für Bürger bietet neben den Infos im Web auch den Newsletter "Bürger CERT", der über aktuelle Sicherheitsprobleme auf dem Laufenden hält.

Die Hersteller von Sicherheitslösungen bieten auf ihren Websites ebenfalls Ratgeber, News und Tipps. Empfehlenswert sind beispielsweise die Ratgeber-Seite von Kaspersky, die Seite “Informationsquellen” von Symantec, die “Sicherheitsinformationen” von Trend Micro oder – für technische Fortgeschrittene – der Labs Blog von F-Secure.

Wer sich herstellerunabhängig informieren will, wählt die Website BSI für Bürger (BSI, Bundesamt für Sicherheit in der Informationstechnik). Die Infos sind zwar in erster Linie für Privatleute gedacht, eignen sich aber auch sehr gut für Freiberufler und Kleinstunternehmen mit wenig Security-Know-how.

Max Galland, Senior Manager SMB Sales EMEA Central Region Symantec

Was sind die wichtigsten Gefahren oder Risiken für kleine Unternehmen? Worauf müssen diese besonders achten?
Kleine Firmen unterschätzen das generelle Risiko, dem sie ausgesetzt sind. Denn die Größe allein ist nicht ausschlaggebend dafür, ob sich ein Cyberkrimineller für ein Ziel interessiert. Der jüngste Symantec-Sicherheitsbericht zeigt, dass Cyberkriminelle verstärkt kleine und mittlere Unternehmen angreifen, um sie als Mittelsmann für den eigentlichen Angriff gegen ein größeres Partnerunternehmen zu missbrauchen.

Zudem geben kleinere Firmen häufig ein sehr viel einfacheres Ziel ab, da weder deren Wissen um die Risiken noch deren Abwehrstruktur ausgeprägt genug sind. 2011 waren 18 Prozent aller gezielten Internetangriffe weltweit gegen Unternehmen mit weniger als 250 Beschäftigten gerichtet.

Daten sind weit verstreut

Hinzu kommt, dass Informationen heutzutage von den Angestellten weit verstreut werden. Sie legen die Daten klassisch auf Servern, in der Cloud oder auf ihrem mobilen Gerät ab. Durch diese Entwicklung hin zum “Mobile Worker” kommt es auch zur Vermischung von privaten und geschäftlichen Daten auf einem Gerät. Der Diebstahl und Verlust des Smartphones oder Tablets sind aktuell die große Gefahr für sensible Geschäftsdaten.

Keine Insellösungen

Wir raten Firmen daher, sich nicht mehr in Insellösungen für einzelne Plattformen oder Geräte zu verlieren. Dieses Konzept ist überholt, da es weder skalierbar noch wirtschaftlich ist. Wir raten Firmen, sich auf die Informationen selbst zu konzentrieren und diese plattformübergreifend zu schützen. Dazu können Unternehmen unsere Softwarelösungen einsetzen oder sie entscheiden sich für die wichtigen Sicherheits-, Backup- und Archivierungsaufgaben für einen der 14 Dienste von Symantec direkt aus der Wolke.

Welche Gefahren werden von kleinen Unternehmen möglicherweise unterschätzt? Was sind typische Fehler?
Das Thema Sicherheit endet nicht mit der Installation einer Antivirensoftware, sondern sollte ganzheitlich betrachtet werden. Denn neben Infektionen bestehen auch Gefahren wie Datenverluste aufgrund von Systemabstürzen, Datendiebstählen oder auch durch Manipulation. Was hilft die beste Verschlüsselung sensibler Informationen, wenn diese etwa bei einem Festplatten-Crash wegen fehlenden Backups und Disaster Recovery Möglichkeiten unwiderruflich verloren gehen. Sicherheit muss nach außen wie innen hergestellt und Daten stets verfügbar gehalten werden.

Gesetzliche Richtlinien

Nicht zu vergessen: Die Einhaltung gesetzlicher Richtlinien spielt ebenfalls eine wichtige Rolle. Wenn das kleine Unternehmen beispielsweise mit Kreditkartendaten von Kunden arbeitet, sollte es den entsprechenden PCI-Standard befolgen. Wichtig ist, ein dem Risiko entsprechendes Sicherheitsniveau zu etablieren. Es gibt Informationen und Systeme, die sicher schützenswerter sind als andere. So bleibt Sicherheit wirtschaftlich.
Wie gehen kleine Betriebe oder Selbstständige strategisch am besten vor, wenn sie ihre Sicherheitsinfrastruktur aufbauen?
Gerade für Unternehmen dieser Größenordnung bieten sich Cloud-Lösungen an. Oftmals genügt für kleine Firmen wenige Rechner, Smartphones und die Cloud, um ein Business zu beginnen. Der große Vorteil: Es braucht keine großen Investitionen in Soft- oder Hardware – und bei Bedarf kann einfach entsprechend aufgestockt werden. Geschäftsideen lassen sich so schneller, kostengünstiger und flexibler umsetzen. Besonders wichtig ist auch hier das Thema Sicherheit. Dies sollte genauso flexibel handhabbar sein wie alles andere auch. Deshalb bietet Symantec insgesamt 14 verschiedene Cloud-Services an, aus denen Kleinunternehmen gemäß ihren individuellen Anforderungen wählen können – angefangen von Anti-Malware über Backup bis hin zu Archivierung in der Wolke. Dennoch haben Kunden jederzeit die Freiheit, die Lösungen auch klassisch als Software zu installieren.

"Insellösungen für einzelne Plattformen oder Geräte sind überholt, da sie weder skalierbar noch wirtschaftlich sind." Symantec-Manager Max Galland

Wogegen muss man sich zuerst schützen?
Der erste Schritt ist es, das Risiko zu kennen und den eigenen Mitarbeitern klar zu kommunizieren. Dies sollte kontinuierlich geschehen, um alle gegen Unwissenheit zu schützen: Unternehmen sollen ihre Mitarbeiter schulen, damit das nötige Sicherheitsbewusstsein aufgebaut wird. Hierzu zählen etwa das regelmäßige Wechseln von Passwörtern sowie der Schutz mobiler Geräte. Aber auch die Installation verfügbarer Updates sowie ein gesicherter Zugang zu Internet und E-Mails ist essenziell: So werden sensible Daten geschützt und die tägliche Spam-Flut ausgefiltert.

3600 Schadcode-Varianten für Smartphones

Diese Vorkehrungen sollten auch für mobile Geräte getroffen werden. Denn mittlerweile sind mehr als 3600 Schadcode-Varianten für Smartphones im Umlauf. Entsprechende Lösungen können helfen, die Geräte gegen feindliche Apps, Downloads, SMS, Phishing Mails und anderen Bedrohung zu schützen. Zudem muss Vorsorge gegen einen Diebstahl- oder Verlustfall getroffen werden. Hier helfen Verschlüsselung und Zusatzfunktionen wie Remote Wipe, um die Integrität der verlorenen Daten sicherzustellen.

Weiterhin sind ein regelmäßiges Backup sowie ein Notfallplan zur Datenwiederherstellung essenziell, um Desktops, Server und Applikationen am Laufen zu halten. Wichtig ist der umfassende Schutz von Informationen – egal, ob es sich um Information zur Firmenkreditkarte, Kunden- oder Mitarbeiterdaten handelt.

Wie hält man sein Wissen über die aktuelle Sicherheitslage auf dem neuesten Stand?

Symantec bietet jedem Kunden kostenlos mehrere Dienste an, um sich als Angestellter und Privatanwender permanent über die aktuellen Gefahren zu informieren. Der Norton Cybercrime Index lässt sich online abrufen und ist eine Wettervorhersage für das Internet. Darin kann der Anwender grafisch aufbereitet lesen, welche Attacken, Phishing-Mails, Spamangriffe und andere auffälligen Schadcodes momentan im Internet kursieren.

Auf der Symantec-Webseite im Response Bereich werden zudem sehr technische Informationen zu den wichtigen aktuellen Entwicklungen veröffentlicht. Gleiches gilt für den Blog-Bereich, in dem die Virenanalysten von Symantec wichtige Trends einordnen und leicht verständlich erklären.

Stefan Ortloff, Virus Analyst bei Kaspersky Lab

Was sind die wichtigsten Gefahren/Risiken für kleine Unternehmen? Worauf sollten diese besonders achten?
Die Gefahren für kleine Unternehmen unterscheiden sich nicht sehr von denen, die auch mittelständische oder größere Unternehmen betreffen können. Ein Großteil der Malware wird via Social Engineering sogar von den Usern selbst installiert. Diese Gefahren lauern zum Beispiel in bösartigen E-Mail-Kampagnen oder hinter Links, die gepostet in sozialen Netzwerken, auch von kompromittierten Accounts von “Freunden” kommen können.

Eine weitere Infektionsquelle sind sog. Drive-by-Downloads. Dabei werden – ohne ein Zutun des Anwenders – ungepatchte Sicherheitslücken in (Betriebssystem-)Software ausgenutzt und so Schadcode auf dem Rechner des Opfers zur Ausführung gebracht. Dafür reicht allein der Besuch einer infizierten Website. Jeder User sollte sein Betriebssystem sowie die genutzte Anwendersoftware immer auf neuestem Stand halten. Ungenutzte, evtl. vorinstallierte Software, sollte deinstalliert werden. Eine aktuelle Sicherheitssoftware sollte natürlich auch nicht fehlen.

Fehlende Backups

Welche Gefahren werden von kleinen Unternehmen möglicherweise oft unterschätzt? Gibt es typische Fehler?

"Ein gesundes Misstrauen schützt bereits vor vielen Bedrohungen, bevor sie den Rechner erreichen können." Stefan Ortloff, Virus Analyst bei Kaspersky Lab.

Neben den oben genannten Gefahren, unterschätzen viele den durch fehlende Backups möglichen Schaden. In letzter Zeit häufen sich beispielsweise Vorfälle, in denen Malware die Daten auf dem Rechner verschlüsseln und nur gegen Bezahlung (vielleicht) wieder freigeben. Mit aktuellen Backups untergraben Anwender das “Geschäftsmodell” dieser sogenannten Ransomware.

Wie gehen kleine Betriebe oder Selbstständige strategisch am besten vor, wenn sie ihre Sicherheitsinfrastruktur aufbauen?
Sie sollten sich von Fachleuten beraten lassen. Je nach Umfang der IT im Unternehmen kommt entweder ein Produkt aus dem Privatanwenderbereich oder ein SMB-Produkt in Frage. Oft untergraben nämlich Anwender den Sicherheitszuwachs von einer Software durch die falsche Anwendung oder ein nicht zum Produkt passendes Umfeld.

Wogegen muss man sich zuerst schützen?
Vor zu viel Vertrauen in Inhalte von E-Mails oder Postings in Sozialen Netzen. Ein gesundes Misstrauen schützt bereits vor vielen Bedrohungen, bevor sie den Rechner erreichen können. Wurde jedoch die Software des Anwenders ausgetrickst oder sind die Angreifer sehr geschickt vorgegangen um den Nutzer zu täuschen, helfen aktuelle Sicherheits- und Anwendersoftware, die auf dem neuesten Stand gehalten wurden, selbst diese Gefahr zu minimieren.

Wie hält man sein Wissen über die aktuelle Sicherheitslage auf dem neuesten Stand?

Online-Medien mit Schwerpunkt IT unterhalten meistens auch eine Redaktion zum Thema IT-Sicherheit. Auch die Blogs von AV-Herstellern bieten einen guten Überblick über die Bedrohungslage im Netz, beispielsweise auf Viruslist oder Securelist.

Christian Klein, Senior Sales Engineer Trend Micro

Was sind die wichtigsten Gefahren oder Risiken für kleine Unternehmen? Worauf müssen diese besonders achten?
Manche sehr kleine Unternehmen oder Selbstständige haben oft fast kein IT-Know-how. Viele wissen zum Beispiel nicht einmal, ob eine Firewall aktiviert ist oder nicht. Aus Gründen falsch verstandener Benutzerfreundlichkeit werden häufig Sicherheitsmaßnahmen vernachlässigt. Aber zumindest die Windows-Firewall sollte aktiviert sowie ein Antivirenscanner installiert sein.

"Manche Unternehmen fühlen sich sicher, wenn sie Freeware-Tools installiert haben. Doch das ist ein Trugschluss", sagt Christian Klein, Senior Sales Engineer bei Trend Micro.

Der meist verbreitete Weg von Malware sind derzeit Links in einer E-Mail, die dann auf infizierte Webseiten führen. Ein weiterer beliebter Angriffsweg der Hacker besteht darin, Sicherheitslücken von Browsern auszunutzen, um User unbemerkt im Hintergrund auf bösartige Webseiten weiterzuleiten von wo aus schadhafter Code den Rechner des Users infiziert.

Alte Antiviren-Software deinstallieren

Bei der Installation einer Sicherheitssoftware ist darauf zu achten, dass die Systemvoraussetzungen erfüllt werden. Wenn man einen neuen Virenscanner auf einem alten Rechner installiert, ist häufig der Arbeitsspeicher zu klein. Für solche älteren Systeme bzw. Systeme mit wenig Arbeitsspeicher gibt es von Trend Micro entsprechende Lösungen welche hier verwendet werden müssten. Viele vergessen, die alte Antivirensoftware zu deinstallieren bzw. zu überprüfen ob die bereits vorhandene Lösung sauber deinstalliert wurde, bevor sie eine neue aufspielen.

Selbst gestrickte Freeware-Lösungen

Welche Gefahren werden von kleinen Unternehmen möglicherweise unterschätzt? Was sind typische Fehler?
Viele Unternehmen arbeiten auch mit selbst gestrickten Lösungen wie Freeware-Tools. Die fühlen sich sicher, weil sie ja was installiert haben. Doch das ist ein Trugschluss. Es ist schon sinnvoll, ein paar Euro mehr in Sicherheit zu investieren. Denn letztlich sind auch Kleinunternehmen von ihrer IT abhängig.

Wie gehen kleine Betriebe oder Selbstständige strategisch am besten vor, wenn sie ihre Sicherheitsinfrastruktur aufbauen?
Viele Händler spezialisieren sich auf Kleinstkunden und bieten als zusätzlichen Service an, dass sie beispielsweise einen von Trend Micro gehosteten Security-Server einrichten und Konfigurationsänderungen für die jeweiligen Software-Agenten der Kunden einbauen.

Sicherheits-Tipps für Facebook-Nutzer

Für viele Unternehmen oder Selbstständige gehört es heute zum guten Ton in sozialen Netzwerken wie Facebook präsent zu sein. Marketingexperten sind überzeugt, dass Unternehmen hier näheren Kontakt zu ihren Kunden bekommen. Diese könnten wichtiges Feedback zu den eigenen Produkte oder Dienstleistungen geben oder dem Unternehmen einfach nur zeigen, was sie von ihm halten. Doch gerade Soziale Netzwerke gelten als Sicherheitsrisiko. Mitarbeiter, die sich während der Arbeitszeit in Facebook tummeln, sind der Alptraum jedes IT-Administrators. Sie könnten unwissentlich Informationen über ihr Unternehmen oder aktuelle Projekte verraten.

Symantec-Experte Stefan Wesche gibt im Folgenden Tipps für den sicheren Umgang mit Facebook und Co.

1. Nicht von dubiosen Links linken lassen
Seien Sie vorsichtig mit Links, die sensationelle Inhalte versprechen wie zum Beispiel schockierende Videos von Prominenten, Bilder von Unfällen oder Lockangebote wie etwa kostenlose zusätzliche Spielpunkte oder Gutscheine für Shops. Mit solchen Links werden Nutzer in die Falle gelockt und können im schlimmsten Fall auf einer infizierten Seite landen. Hier können sie sich dann gefährlichen Schadcode einfangen, der z. B. Passwörter und Kreditkartendaten ausspäht.

 

Die meisten Unternehmen sind auch in Facebook vertreten. Der Screenshot zeigt den Auftritt von Kaspersky Lab.

 

2. Erst denken, dann posten
Facebook und andere soziale Netzwerke verführen vor allem dann zu einem sorglosen Umgang mit Informationen, wenn sie unterwegs – und oft auch in Eile – genutzt werden. Posts wie “Bin ab sofort 2 Wochen auf Mallorca!” oder “Hier für alle meine neue Handynummer” sind schnell geschrieben – und haben manchmal gravierende Folgen für den Absender. Es empfiehlt sich also, eine Sekunde nachzudenken, bevor Sie etwas posten: Wollen Sie die Nachricht tatsächlich mit allen Freunden, Kollegen und Bekannten teilen? Das gilt übrigens auch für die Bilder aus Ihrem Sommerurlaub oder von der letzten gemeinsamen Feier mit Freunden – vor allem, wenn es mal wieder etwas ausgelassener zuging.
3. Sensationslust kann sich rächen
Immer wieder tauchen auf Facebook ungewöhnliche, sensationelle oder auch schockierende Status Updates und Inhalte auf, die dann gerne geteilt und weitergeleitet werden. Häufig aber werden solche Updates – deren Inhalt nicht selten reiner Unsinn ist – ausschließlich mit dem Ziel gepostet, Traffic zu infizierten Seiten zu generieren. Teilen Sie also mit Ihren Freunden nie Inhalte, die aus einer für Sie unbekannten Quelle stammen.

4. Vorsicht mit Apps: Nur aus seriöser Quelle
Ohne Apps ist Facebook fast nicht mehr vorstellbar. In nur wenigen Klicks sind sie einsatzbereit – und bei Facebook-Nutzern extrem beliebt. Viele Nutzer wissen allerdings nicht, dass in Apps immer häufiger Schadprogramme installiert sind, die den Hackern beispielsweise Zugang zum Nutzerprofil ermöglichen. Daher ist Vorsicht vor einem zu sorglosen Umgang mit Apps geboten: Achten Sie darauf, ob und welche Berechtigungen die Anwendung verlangt und auf welche Daten sie zugreifen will: manche Apps wollen beispielsweise auf Ihr Profil zugreifen und in Ihrem Namen posten. Übrigens: Sie können die Berechtigungen, die Sie der Anwendung erteilt haben, nach der Installation wieder entziehen.

5. “Zauber”-Apps gibt es nicht!
Viele wollen es nur zu gerne wissen: Wer hat alles das eigene Facebook-Profil aufgerufen – und wie oft? Bestimmte Apps versprechen, genau diese Informationen zu liefern. Ein fatales Versprechen, denn diese Apps sind in der Regel nichts anderes als eine Erfindung von Internetkriminellen, die an die persönlichen Daten von Nutzern kommen wollen – oder einfach mit den Klicks und Likes ihren Reibach machen. Deshalb: Lassen Sie besser die Finger von Apps, die ungeahnte Einblicke versprechen, denn diese Einblicke – allerdings in Ihre eigenen Angaben – verschaffen sie nur deren Erfindern.