4 sinnvolle Maßnahmen für eine Steigerung der IT-Sicherheit

Share on facebook
Share on twitter
Share on linkedin

IT-Sicherheit ist ein schwieriges Thema. Absolute Sicherheit gibt es nicht, Sicherheitsmaßnahmen schränken des Öfteren die Arbeitnehmer ein und kosten zudem noch ordentlich Geld. Doch vor allem bei Betrieben kleiner und mittlerer Größe muss die IT nicht Fort Knox sein, grundlegende Maßnahmen erreichen bereits einen hohen Schutz. Zudem ist IT-Sicherheit nicht nur das Abwehren von bösartigen Hackern, sondern auch im Sinne von Ausfallsicherheit zu verstehen.

4 Sinnvolle Maßnahmen IT-Sicherheit

1. Maßnahme: regelmäßige Backups

Vernünftige Backups sind eine der wichtigsten Maßnahmen, um die IT-Sicherheit zu erhöhen, oder zumindest, um die Auswirkungen eines IT-Sicherheit Vorfalls zu reduzieren. Aber was sind vernünftige Backups überhaupt?

Gute Backups der IT

Es reicht leider nicht, nur die Dateien vom Fileserver zu sichern. Zum Beispiel bei einem Angriff durch Ransomware sind in der Regel auch viele Arbeitsplätze betroffen. Einen Arbeitsplatz von Hand wieder einzurichten kann schnell mehrere Stunden dauern. Bei einem großen Netzwerk ist somit mit einem Ausfall der Infrastruktur für Wochen zu rechnen. Unser Backup muss also alle Server und alle Clients umfassen. Nur dann können alle betroffenen Systeme zeitnahe und vollständig wiederhergestellt werden. Aber auch Backups müssen geschützt werden. Was hält schließlich die Ransomware davon ab auch das Backup zu verschlüsseln?

3-2-1-Backup-Regel

Hier hilft die 3-2-1-Backup-Regel. Drei Datenkopien, zwei Medien, ein externes Backup. Drei Kopien bedeutet, dass neben den Originaldaten noch mindestens zwei Backups vorhanden sein sollten. Diese Datenkopien sollten dabei nicht alle auf einer NAS liegen. Sollte diese unbrauchbar werden, sind gleich alle Kopien hinüber. Deshalb empfehlen sich zwei Medien, sowie eine externes.

Was tun, wenn ein Einbrecher Ihre IT stiehlt

Eine Möglichkeit, diese Regeln zu befolgen ist folgendes Konzept. Alle Server und Arbeitsplätze sichern täglich ihre Daten auf eine NAS. Eine NAS ist dabei nichts anderes als ein großes Bündel Festplatten, welche im Netzwerk eingehängt wurden. Die NAS sichert diese Backups weiter. Zum Beispiel in die Cloud unter Verwendung von Verschlüsselung. Nützlich ist dabei auch, für jedes Gerät mehrere Backups zu behalten, damit im Zweifelsfall auch mehrere Wochen zurückgegangen werden kann.

2. Maßnahme: Sensibilisierung Ihrer Mitarbeiter

Ein großer Teil der Angriffe heutzutage nutzt Social-Engineering. Im besonderen Phishing und Spear-Phishing sind dabei besonders beliebt. Dabei wird das normale Verhalten von Menschen ausgenutzt, um diese zu gefährlichen Handlungen zu verleiten. Social-Engineering lässt sich durch technische Maßnahmen kaum verhindern. Um also die IT-Sicherheit zu erhöhen, bleibt nichts anderes als die Mitarbeiter für eben diese Angriffe zu sensibilisieren. Dafür gibt es unterschiedlichste Möglichkeiten.

Phishing kann nicht nur von Angreifern durchgeführt werden, sondern auch von Ihrer eigenen IT oder externen Dienstleistern. Diese senden genau wie potenzielle Angreifer spezielle E-Mails an Ihre Mitarbeiter. Die enthaltenen Links und Anhänge infizieren allerdings nicht die Geräte, sondern leiten zum Beispiel an eine E-Learning Plattform zum Thema Cyber Sicherheit weiter. Einer der wichtigsten Vorteile einer solchen Phishing Kampagne ist es zu zeigen, wie groß der Nachholbedarf in Sachen Sensibilisierung ist.

Eine Möglichkeit zur weiteren Sensibilisierung sind sogenannte Live-Hacking Veranstaltungen. Hier zeigen Hacker live, wie Phishing-Mails erstellt werden und welche Auswirkungen zum Beispiel das Aktivieren von Makros in Word Dokumenten haben kann. Aber auch anderen Thematik können auf diese weise sehr eindrucksvoll vermittelt werden.

Im Bereich Sensibilisierung in der IT-Sicherheit werden auch ganz klassische Schulungen angeboten. Egal ob remote oder vor Ort.

3. Maßnahme: Technische Maßnahmen

Zwar ist Social-Engineering ein großes Thema, allerdings sollte die rein technische IT-Sicherheit nicht vernachlässigt werden. Dies fängt bei einem ordentlichen Patch-Management an. Wenn bei einem Produkt, zum Beispiel Windows 10, durch einen „guten“ Hacker eine Sicherheitslücke entdeckt wird, durch die man Beispielsweise das Gerät aus der Ferne Übernehmen kann, meldet dieser die an Microsoft. Eine solche Lücke kann in der Regel bei allen Windows 10 Computern weltweit ausgenutzt werden. Mit dem Wissen um diese Lücke kann Microsoft einen Sicherheitspatch kreieren und veröffentlichen. Der Endanwender muss für seine IT-Sicherheit nichts weiter tun, als den Patch zu installieren. Hier hapert es bei etlichen Unternehmen. Sicherheitsupdates werden nur unregelmäßig installiert, was die gesamte IT verwundbar gegenüber einem technisch versierten Angreifer lässt.

Patchmanagement – Früher vs. Heute

Früher hat sich der Administrator alle paar Wochen hingesetzt und alle Systeme von Hand gepatcht. Das macht heutzutage niemand mehr, oder sollte es zumindest nicht. Mithilfe von Automatisierungstools wie Ansible, Saltstack und ähnlichen kann vollautomatisch jeden Tag jeder Server aktualisiert werden. Der Administrator hat nur noch eine kontrollierende Funktion.

Diese kontrollierende Funktion kann durch eine gute Serverüberwachung erweitert werden. Bekannte Vertreter sind hier Check_MK, Nagios und Servereye. Damit kann ein Administrator, wenn nötig tausende Server überwachen. Vorgänge wie die Überlastung einer Festplatte werden erkannt, bevor der eigentliche Fehler eintritt und ausgefallene Dienste werden innerhalb von Sekunden gemeldet.

weitere technische Maßnahmen

Bei den technischen Maßnahmen darf auch nicht der klassische Virenscanner fehlen. Virenscanner können den einen oder anderen angriff abwehren, sind aber keineswegs perfekt. Vor allem Schadsoftware die „neu auf dem Markt“ ist, wird häufig nicht erkannt. Ein Fehlen des Scanners öffnet aber auch älterer Schadsoftware Tür und Tor.

Die einzelnen Hersteller haben dabei einen unterschiedlichen Funktionsumfang. Kurz gesagt lohnt es sich bei den Marktriesen wie zum Beispiel Kaspersky zu bleiben. Diese haben einfach die Ressourcen auch hochkomplexe Sicherheitsfeatures zu implementieren. Viele kleinere Hersteller können da nicht mehr mithalten. Der normale PC-Nutzer aber auch einige Informatiker wissen dies nicht unbedingt und greift schnell mal zum schlechteren Produkt. Eines der größten Probleme dabei ist, dass diese eher minderwertigen Produkte den Windows Defender deaktivieren. Im Gegensatz zur allgemeinen Meinung ist der Windows Defender kein katastrophales Produkt mehr. Ganz im Gegenteil, der Defender hat sich in den letzten Jahren zu einem der besten Lösungen auf dem Markt entwickelt.

4. Maßnahme: Organisatorische Maßnahmen

Für die IT-Sicherheit ist auch eine gewisse Anzahl an organisatorischen Maßnahmen erforderlich. Was helfen schließlich Backups, wenn niemand weiß, wie diese wiederherzustellen sind? Oder wenn ein Mitarbeiter auf einen Anhang mit Schadsoftware klickt, dies bemerkt, aber nicht weiß, wem er den Vorfall melden soll? Für solche Fälle müssen einfach Vorbereitungen getroffen werden.

So kann es sinnig sein, wenn jeder Mitarbeiter die Telefonnummer vom IT-Service an seinem Arbeitsplatz liegen hat. Fällt der PC aus, kann man diese nicht mehr mal eben schnell nachschauen. Der Mitarbeiter sollte auch wissen, dass er sofort seinen Vorgesetzten informieren muss. Spätestens dieser muss einen Plan in der Schublade haben, den er nur noch greifen muss. Damit kann er wichtige Erstanweisungen geben. So kann er zum Beispiel veranlassen sämtliche IT-Geräte abzuschalten, um das weitere ausbreiten von Schadsoftware zu verhindern.

Um auf den Ernstfall vernünftig vorbereitet zu sein empfiehlt es sich unter anderem Notfallübungen abzuhalten. Dabei müssen Sie nicht den gesamten Geschäftsbetrieb für eine Krisenübung herunterfahren, es reicht oft schon einmal die Szenarien gedanklich mit allen Beteiligten durchzuführen.

Auch kann es sinnvoll sein, Passwortlisten für den Notfall in einen Tresor zu legen. Um ein Backup wiederherzustellen braucht es häufig ein Passwort. Wenn dieses nun aber auf dem ausgefallenen Server gespeichert war, wird es mit der Wiederherstellung schwierig.

Auch sollte es in jedem Unternehmen klare Prozesse für wichtige IT-Aufgaben geben. Wenn Beispielsweise im Verkauf ein neuer Mitarbeiter eingestellt wird, muss der Administrator wissen, welche Berechtigungen der neue Benutzer erhalten soll. Erhält er im Zweifelsfalle zu umfangreichen Berechtigungen, kann dies die IT-Sicherheit des Unternehmens gefährden. Nicht, weil der neue Mitarbeiter unbedingt etwas Böses im Schilde führt, sondern weil es passieren kann das sein Account aus etwaigen Gründen von einem potenziellen Angreifer komprimiert wird.

Der gegenteilige Prozess muss auch vorhanden und sorgfältig befolgt werden. Sie möchten nicht, dass jemand den Sie gerade fristlos kündigen mussten, noch wochenlang auf ihre IT zugreifen kann. Nicht verwendete Accounts lassen sich auch sehr schön von böswilligen Angreifern nutzen.

Zusammenfassend

Anhand dieses Artikels sollte eindeutig zu sehen sein, dass eine erhebliche Verbesserung der IT-Sicherheit schon durch einfache Änderungen erreicht werden kann. Diese müssen noch nicht einmal viel Kosten. Es muss also nicht immer der volle Penetrationstest für mehrere zehntausend Euro sein. Dieser ist eher sinnig, wenn alle anderen Möglichkeiten bereits ausgeschöpft wurden.

Brauchen Sie Hilfe dabei, die IT-Sicherheit Ihres Unternehmens zu steigern? OSYSCON kann Ihnen dabei helfen.

Das könnte Sie auch interessieren

firewall

Eine Firewall ist knapp gesagt ein Cybersecurity-Tool bzw. ein Rechnerschutz und dient der Informationssicherheit.

IT-Sicherheit
Frau klaut Daten, da sie durch eine Sicherheitslücke gekommen ist

Sicherheit ist in der heutigen Welt ein absolutes Muss. Das gilt vor Allem für Ihr IT Netzwerk.

IT-Sicherheit
Managed Backup

Ein fehlendes Backup macht sich immer erst zu spät bemerkbar. Daten sind das Gold unserer Zeit und müssen geschützt werden.

IT-Sicherheit
Credential Phishing anhand eines Beispiels: geöffneter Briefumschlag

E-Mails von Hackern landen bei jedem immer mal wieder im Postfach. Diese Woche auch in unserem und dem eines Kunden.

IT-Sicherheit
Email sorgt für falschen Klick und lässt den Malware befall zu!

Ein falscher Klick kann Ihnen mehrere Tausend Euro und einen hohen Reputationsschaden kosten.

IT-Sicherheit
3 Typische Arten eines Cyberangriffs

Diese 3 Vorgehensweisen sind typisch für einen Hacker. Was können Sie als Opfer dagegen tun?

IT-Sicherheit
Jetzt für den OSYSCON Newsletter anmelden
Bleiben Sie auf dem neusten Stand der digitalen Sicherheit
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Mit dem Eintragen akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.
Onboarding

Im Onboarding werden wir Sie und Ihr Netzwerk zunächst genauer kennenlernen und bestimmen einen gemeinsamen Fahrplan. Wir fordern Dokumente an, die wir für die Begutachtung benötigen und klären Ihre Bedenken. Sonderwünsche Ihrerseits werden ebenfalls besprochen. Sie möchten bestimmte Geräte von der Prüfung ausschließen? Kein Problem. Sie möchten, dass wir auf etwas besonders viel Augenmerk legen? Auch kein Problem. All dies und vieles mehr muss vor dem Beginn einer jeden Prüfung geklärt werden.

Holen Sie sich ihr individuelles Angebot

Mit dem Absenden akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.