Morgens im Büro. Dank smarter Kaffeemaschine haben Sie schon auf dem Weg zur Arbeit für Ihren ersten Koffein-Kick gesorgt. Beim Lesen der neuesten E-Mails fällt Ihnen eine Nachricht besonders auf: Sie werden höflich darum gebeten, 10.000 € in Bitcoins zu überweisen. Andernfalls bleiben Ihre über Nacht verschlüsselten Unternehmensdaten gesperrt. Panisch versuchen Sie, auf den File Server zu zugreifen. Und tatsächlich erhalten Sie den Hinweis, dass ohne kryptografischen Schlüssel kein Zugang möglich ist … Wie konnte das passieren?

Ein Einfallstor für Angriffe

Neben der Automatisierung vieler Aufgaben bringen smarte Endgeräte im Internet-of-Things (kurz IoT) noch eine weitere Eigenschaft mit: Sie haben oftmals erhebliche Sicherheitslücken, die von Dritten für Angriffe auf ein Firmennetzwerk ausgenutzt werden können.

Einer der Gründe hierfür ist der Druck auf Entwicklerseite, immer schneller und kostengünstiger neue Produkte auf den Markt zu bringen. So entstehen Fehler in der Herstellung, die wiederum Sicherheitslücken erzeugen können.

Eine weitere Gefahr besteht darin, dass solche Geräte bei der unternehmenseigenen IT-Sicherheitsstrategie ganz einfach vergessen werden – wieso sollte ich eine Kaffeemaschine sicher machen!?

Sind die kleinen Helfer erst einmal über das Internet erreichbar, können sie über entsprechende Tools ausfindig gemacht werden. Bis zur Instrumentalisierung für einen Angriff sind es dann nur noch wenige Schritte.

Privat erworben, geschäftlich genutzt

Was für Sie futuristisch klingen mag, ist bereits Realität – und die Bedrohungslage steigt. Die Anzahl der IoT-Geräte soll nach Expertenmeinung im Jahr 2021 bereits die 50-Milliarden-Grenze erreichen.

Um die Auswirkungen einer Manipulation zu erahnen, weisen wir auf einen Angriff in jüngster Vergangenheit hin, bei dem Dienste von einigen Großunternehmen wie Amazon, Spotify und Netflix für mehrere Stunden lahmgelegt wurden. Wie das passierte? Hunderttausende smarter IoT-Geräte wurden zur Bildung eines Bot-Netzes instrumentalisiert und anschließend Unmengen von Anfragen an die Server der Unternehmen geschickt. Die Folge: Die Server überlasteten.

Auch wenn sie unternehmensseitig bislang eher selten im Einsatz sind – immer häufiger nutzen Mitarbeiter ihre eigenen smarten Geräte auch beruflich. Das macht eine sinnvolle Kontrolle schwer.

Deshalb empfehlen wir, die berufliche Verwendung privater Geräte zu untersagen oder streng zu reglementieren.

Allerdings: Grundsätzlich sollte man den Einsatz solcher Produkte nicht verteufeln, schließlich gibt es sinnvollere Anwendungsgebiete als die Online-Beauftragung einer Tasse Kaffee.

Wichtig ist vorausschauendes Planen und die Definition sicherheitskonformer Vorgaben bezüglich der Integration in Arbeitsabläufe. Insbesondere berücksichtigt werden sollte die Aufnahme ins Unternehmens-Patchmanagement.

Das Internet of Things und smarte Endgeräte – Chancen und Risiken

IoT bietet dem Mittelstand unternehmerische Vorteile. Um vorhandene Risiken zu beseitigen, empfiehlt sich eine – gemeinsam mit dem IT-Dienstleister entwickelte – Sicherheitsstrategie.

Gerne sprechen wir mit Ihnen über die Möglichkeiten, die IoT Ihnen bietet. Rufen Sie uns kostenfrei an unter 0800 4883 338 oder schreiben Sie uns eine Mail. Weitere Informationen zum Thema Sicherheit finden Sie hier.

© Foto bruce mars von Pexels

Ein ITQ-Artikel von Dennis Joist | Die Bedrohungslage durch Cyber-Kriminelle steigt ebenso wie die Abhängigkeit von der eigenen Informationstechnik. Um Sie vor Hackerangriffen, Datenverlust und Systemausfällen zu schützen, gebe ich Ihnen nachfolgend den Fahrplan für eine sichere IT-Infrastruktur an die Hand.

Wo fange ich an?

Sie starten dort, wo die IT-Infrastruktur Sicherheitslücken aufweist und bei den Systemen, die dringend für Ihre wichtigsten Geschäftsprozesse benötigt werden.

Betrachten Sie Ihre Geschäftsprozesse ganz allgemein, um sich möglicher Risiken bewusst zu werden und angemessene Entscheidungen treffen zu können. Der erforderliche Aufwand zur Absicherung kritischer Geschäftsprozesse ist maßgeblich davon abhängig, wie lange man auf diese verzichten kann, ohne dass ein existenzgefährdender Schaden eintritt. Im nächsten Schritt sollte eine spezielle Prüfung stattfinden, inwiefern die IT-Systeme, von denen Ihre Geschäftsprozesse abhängig sind, ausreichend gegen Angriffe durch Dritte und vor Datenverlust geschützt sind.

Es gibt eine Vielzahl wirksamer Maßnahmen zur Steigerung der IT-Sicherheit – die passenden werden jedoch selten genutzt. Externe Angreifer bedient sich vorrangig an den Früchten, die am niedrigsten am Baum hängen.

Leiten Sie daher zunächst Sicherheitsmaßnahmen ein die verhindern, dass Ihr Unternehmen von außen als leichtes Angriffsziel erscheint. Womit wir zum eigentlichen Fahrplan für eine sichere IT-Infrastruktur kommen:

1. Informationssicherheits-Audit und Penetrationstest

Untersuchen Sie regelmäßig, ob und inwieweit die getroffenen Schutzmaßnahmen angemessen sind.

Empfehlenswert hierfür ist die Basisprüfung ITQ. Zugeschnitten auf die Ansprüche von kleineren und mittleren Unternehmen liefert diese Infrastrukturprüfung einen Maßnahmenkatalog zur Beseitigung möglicher Missstände gleich mit. Zudem sollte die IT-Infrastruktur einem Penetrationstest unterzogen werden – dieser simulierte Hacker-Angriff untersucht Ihr Netzwerk auf Sicherheitsmängel.

2. Datenklassifizierung

Ermitteln Sie Ihre ‘Kronjuwelen’. Das sind die Daten, die den höchsten unternehmerischen Wert darstellen oder als besonders vertraulich gelten.

Wichtig: Welche Daten das sind, sollte allen Mitarbeitern bekannt sein. Denn nur so können sie sich im Umgang mit diesen Daten angemessen verhalten.

3. Berechtigungskonzept

Mitarbeiter sollten grundsätzlich nur solche Informationen einsehen können, die zur Erledigung ihrer Aufgaben notwendig sind. Das Gleiche gilt für den Zugang zu IT-Systemen.

Ist der Schutzbedarf von Daten bekannt, schließt sich die Frage an, welche Personen auf diese zugreifen sollten. Damit die Rechte klar definiert sind, sollte ein Berechtigungskonzept nach Benutzern oder Benutzergruppen erstellt werden.

4. Mitarbeiter

Schulen und sensibilisieren Sie Ihr Personal kontinuierlich.

Die stärksten Sicherheitsvorkehrungen sind wirkungslos, wenn Mails ungeprüft geöffnet oder USB Sticks unbekannter Herkunft an Rechner angeschlossen werden und Mitarbeiter ihre Passwörter sichtbar am Arbeitsplatz platzieren. Oft ist dieses Verhalten nicht auf Faulheit, sondern fehlendes Problembewusstsein seitens der Mitarbeiter zurückzuführen.

5. Datensicherung

Ein funktionierendes Datensicherungskonzept ist essenziell, um verlorene Daten bei Bedarf wieder einspielen zu können.

Die Frage ist nicht, ob Daten verloren gehen, sondern wann. Der Zeitraum, über den ein Datenverlust hingenommen werden kann, definiert hierfür die passenden Sicherungsintervalle. Prüfen Sie die Datensicherung regelmäßig, um deren kontinuierliche Funktion zu gewährleisten. Lagern Sie die Datenträger wichtiger Sicherungen aus – zum Beispiel in ein Bankschließfach.

6. Patchmanagement

Spielen Sie aktuelle Updates zeitnah ein.

Beliebtes Angriffsziel für Hacker sind Sicherheitslücken, die durch Programmierfehler entstanden sind. Achten Sie daher dringend darauf, dass alle aktuellen Updates zeitnah eingespielt werden. Neue Soft- und Hardware sollte zudem immer sofort inventarisiert und in Ihr Patchmanagement aufgenommen werden.

7. Passwortschutz

Regeln Sie den Umgang mit Passwörtern verbindlich und stellen Sie genau Vorgaben auf.

Zu empfehlen ist der Einsatz eines Passwortmanagers, mit dem man sichere Kennwörter automatisch generiert und verwaltet. Systeme und Anwendungen, die besonders vertrauliche Informationen verarbeiten, sollten durch eine Zwei-Faktor-Authentifizierung geschützt werden.

8. Notfallmanagement

Erstellen Sie einen Notfallplan für Ihre IT-Systeme

Genauso sicher wie Datenverlust ist (leider), dass sich irgendwann ein Notfall bezüglich der Funktion Ihrer IT-Systeme ereignen wird. Ein Notfallplan legt fest, wie der Betrieb im Ernstfall auf schnellstem Weg wiederhergestellt werden kann. Es empfiehlt sich, verschiedene Schadensszenarien durchzuspielen und Überlegungen anzustellen, welche Maßnahmen sinnvoll sind.

9. Virenschutz

Implementieren Sie Virenschutzlösungen – auf allen Systemen.

Software zum Schutz vor Schadprogrammen sollte auf allen IT-Systemen installiert sein. Gerne werden hierbei mobile Endgeräte wie Smartphones, Tablets und Laptops vergessen, obwohl diese noch anfälliger für Viren sind. Die Konfiguration muss den Sicherheitsanforderungen des Unternehmens entsprechen und regelmäßig kontrolliert werden – gleiches gilt übrigens für Firewalls.

Es existiert eine Vielzahl notwendiger Schutzmaßnahmen, um die IT-Sicherheit im Unternehmen auf ein angemessenes Niveau zu bringen – die Ergebnisse eines Informationssicherheits-Audit (siehe Punkt 1.) ermöglichen die richtigen Rückschlüsse, um Sicherheitslücken Stück für Stück zu schließen.

Sie haben Fragen zum Fahrplan für eine sichere IT-Infrastruktur? Rufen Sie uns an unter 0800 4883 338. Weitere Details zum Thema Sicherheit finden Sie hier.

© Foto Lorenzo von Pexels

Nicht, dass die Einführung der DSGVO ein alter Hut wäre – im Gegenteil. Gehört hat davon inzwischen zwar jeder, allein mit der Umsetzung erforderlicher Maßnahmen tut man sich möglicherweise schwer. Dazu kommt, dass der Gesetzgeber die Anforderungen immer wieder anpasst – mit teils erheblichen Auswirkungen. Bestes Beispiel dafür ist die Handhabung und Verwaltung von Cookies auf Ihrer Unternehmens-Website, welche neue DSGVO-konforme Cookie-Werkzeuge für Rechtssicherheit erforderlich machen.

Erst festlegen, dann klicken

Bisher war es so, dass ein Hinweis bezüglich der Nutzung von Cookies genügte (den man üblicherweise beim ersten Aufruf einer Website bestätigen konnte, aber nicht musste).

Nunmehr sieht die DSGVO jedoch vor, dass Websites ‘unbedienbar’ sind, solange Art und Umfang der Cookie-Nutzung vom Besucher nicht festgelegt wurde.

Für Ihre Internet-Präsenz bedeutet dies ganz konkret, dass Sie nur dann rechtssicher agieren, wenn Sie ein entsprechendes Cookie-Werkzeug einsetzen.

Aktuell gibt es bereits mehrere seriöse Anbieter DSGVO-konformer Cookie-Lösungen. Wir selbst haben aufgrund der neuen Gesetzeslage jüngst auf den deutschen Anbieter Borlabs umgestellt.

Ihre Fragen zum Thema beantworten wir Ihnen gerne – rufen Sie uns einfach an unter 0800 4883 338. Weitere Informationen zu unserer Arbeit finden Sie auf den Bereichsseiten Cloud + Infrastruktur, Sicherheit und Digitalisierung.

© Foto Lisa Fotios von Pexels