IT-Sicherheit in KMU

Was tun im Mittelstand und in kleinen und mittleren Unternehmen?

Björn Hertweck* hat das Gefühl, bestraft zu werden – aber für was? Seit einer Stunde ist er im Büro und weiß nicht genau, was er tun soll. Als er vor 7 Jahren die Geschäftsführung der Hertweck Switches GmbH von seinem Vater übernommen hatte, ahnte er, dass es herausfordernd wird. Doch es kam viel härter als erwartet, Zeiten, in denen ein Tiefschlag auf den anderen folgte. Aber Björn hat Steherqualitäten, hatte alles irgendwie geschafft. Seit einem halben Jahr läuft es sogar richtig gut. Kürzlich ist ein großer Anlagenbauer auf ihre Präzisionsschalter aufmerksam geworden, das könnte ein interessanter Abschluss werden. Wir müssen heute das Angebot präzisieren. Nur warum sind plötzlich alle Computer ausgefallen? Das kann doch nicht sein!

Eigentlich sollte dieser Montag ganz entspannt um 9 Uhr mit einer Besprechung zur Bestandsbewertung beginnen. Björn liebt diese Sitzungen, denn sie diskutieren zunächst ausführlich die Fußball-Ergebnisse vom Wochenende. Aber heute ist alles anders. Es war kurz nach 7 Uhr, als er daheim beim Frühstück vom Klingeln des Handys aus seinen Überlegungen gerissen wurde. Amelie, seine Assistentin, sagte, dass die Computer nicht gehen. Wie, sie gehen nicht? Es wird eine komische Meldung angezeigt, irgendetwas mit Bitcoins. Die Hertweck Switches GmbH soll Bitcoins bezahlen, damit die Rechner wieder laufen, wie kann das passieren? Wie kann ein Fremder die Gewalt über alle Computer erlangen, um uns zu erpressen? Da macht sich bestimmt nur jemand einen Spaß.

Der IT-Dienstleister scheint noch den Schlaf der Gerechten zu schlafen. Wenn wir wenigstens vorab mal über eine solche Situation gesprochen hätten, dann wüssten wir jetzt, was zu tun wäre. So müssen wir warten während alles steht. Leider sind auch die Steuerungsrechner in der Produktion betroffen, weshalb in der Frühschicht heute noch kein einziger Schalter vom Band gelaufen ist. Naja, wenn der IT-Dienstleister mal aufgewacht ist, wird hoffentlich um 10 Uhr wieder alles gehen – Ein Irrtum, wie sich bald herausstellen sollte. Es dauerte knapp 2 Wochen, bis die Produktion nach diesem Cyber-Angriff wieder starten konnte und es brauchte 3 Monate, bis die Prozesse in der Verwaltung wieder halbwegs funktionierten. Zum Glück spielte die Hausbank mit, denn bei der Zahlungsfähigkeit der Hertweck Switches GmbH wurde es zwischendurch ziemlich knapp …

*alle Namen sind fiktiv

Ein Szenario wie in dieser Geschichte passiert täglich. Und nicht immer gehen sie gut aus. Nur erfahren wir selten davon, weil niemand gerne darüber spricht.

Was können Sie als Unternehmer, Geschäftsführer oder IT-Verantwortlicher tun, wenn Ihr Geschäft stark von IT abhängt, Sie aber im Hinblick auf die Verlässlichkeit und vor allem die Sicherheit Ihrer EDV-Landschaft nicht genau wissen, wo Sie stehen? Der folgende Text zeigt eine Reihe von Maßnahmen auf, mit denen Sie noch heute beginnen können, um den aktuellen Zustand zu prüfen und in elementaren Punkten zu verbessern. Sollten bei Ihnen alle diese Dinge bereits umgesetzt sein, so finden Sie am Ende Hinweise, wie Sie das Schutz-Niveau systematisch weiter ausbauen können.

Einleitung

Dieser Text richtet sich an kleine und mittlere Unternehmen, die bisher nur einen geringen Fokus auf die Sicherheit ihrer IT hatten und deshalb noch einen geringen Reifegrad aufweisen. Solche Unternehmen zeichnen sich oft durch folgende Merkmale aus:

  • 10 bis 500 Mitarbeiter
  • Jede Branche selbst IT-Unternehmen sind immer wieder betroffen
  • Die IT hat im Unternehmen einen hohen Stellenwert bei der Steuerung der internen Prozesse und bei der Abwicklung von Kundenaufträgen
  • Die IT-Administration wird als Nebenaufgabe wahrgenommen oder ist an einen externen Dienstleister ausgelagert.
  • Die Unternehmen sind aufgrund ihrer Rechtsform oder ihrer Branche keinen strengen Regularien zum Risikomanagement bzw. zum Schutz der IT unterworfen.

In einer solchen Umgebung konzentrieren sich die Aktivitäten häufig darauf, den aktuellen Betrieb der EDV aufrecht zu erhalten. Das ist ein sehr positiver Aspekt, denn damit ist das Handeln der IT stark auf das Geschäft und auf die primäre Wertschöpfung ausgerichtet („Business Alignment der IT“), während in großen Organisationen der IT gerne ein Eigenleben unterstellt wird, das mit dem Kerngeschäft wenig zu tun habe. Als Nachteil dieser Fokussierung ergibt sich jedoch oft, dass den Risiken, denen der IT-Betrieb unterworfen ist, nur unzureichend Aufmerksamkeit geschenkt wird. Damit können solche Unternehmen eher von Cyber-Angriffen oder anderen Ausfällen betroffen sein, woraus sich aufgrund der großen Abhängigkeit zur IT eine schwere Krise entwickeln kann.

Mein Unternehmen ist doch für Hacker vollkommen uninteressant - oder?

Die auf allen Rechnern angezeigte Meldung deutet auf Hacker hin. Aber warum haben sie sich gerade die Hertweck Switches GmbH herausgesucht? Björn Hertweck versteht es nicht. Mit unseren 70 Mitarbeitern sind wir doch nur ein kleines mittelständisches Unternehmen. Ja, wir haben über die Jahre etwas Know-How aufgebaut, wie man diese Schalter fertigt. Trotzdem sind wir kein High-Tech-Unternehmen, sondern machen ganz normale Geschäfte. Warum wir?

Hacker-Banden, die es mit Ransomware auf die Erpressung von Unternehmen und Organisationen abgesehen haben, sind bei der Auswahl ihrer Ziele nicht wählerisch. Primär geht es ihnen darum, Geld zu generieren und Kleinvieh macht auch Mist, zumal die Kosten gering sind und es keinerlei Risiko gibt. In einem solchen Umfeld findet der erste Angriff in der Regel ohnehin nicht gezielt statt, sondern wird automatisiert so breit wie möglich gestreut. Das ist zunächst Massengeschäft. Eine Mail mit Schadsoftware im Anhang wird an 10.000 Adressen geschickt, irgendeiner wird den Anhang schon öffnen. Oder ein automatisierter Scan findet irgendwo ein ungeschütztes System, über das man in ein Unternehmensnetzwerk einsteigen kann. Erst dann wird geschaut, wo man überhaupt gelandet ist und was es dort zu holen gibt. 

Eine Individualisierung findet statt, wenn es die Erfolgschancen für weitere Erpressungen erhöht. Beispiel: Das Mail-Konto eines Lieferanten wurde geknackt. Die Angreifer finden dort Mails zu verschiedenen Geschäftsvorgängen. Sie setzen nun die Korrespondenz mit den Kunden fort und schicken individualisierte Mails mit Schad-Anhängen an die verschiedenen Kunden des Lieferanten. Da sich der Mail-Inhalt auf einen laufenden Vorgang bezieht, ist die Wahrscheinlichkeit hoch, dass viele Kunden den Anhang mit der Schadsoftware öffnen werden und somit der Einbruch in weitere Unternehmen gelingt. Auch das kann jeden Mittelständler treffen.

Größe und der Erfolg des Unternehmens kommen ins Spiel, wenn es um die Festsetzung des Lösegelds geht. Konnte das Unternehmen kürzlich einen Millionengewinn verkünden, wird die geforderte Summe sicherlich höher ausfallen als bei einem Feld-Wald-Wiesen-KMU der Kunststoff-Branche.

Anders sieht es aus, wenn es um das gezielte Abgreifen von Informationen geht. Dann wird gezielt nach Wegen gesucht, um in das eine Unternehmen einzudringen. Allerdings wird man versuchen, so lange wie möglich unentdeckt zu bleiben. Ihr Unternehmen verliert zwar wichtiges Know-How, der normale Betrieb wird aber normal weiterlaufen.

Hacker greifen nicht nur High-Tech-Unternehmen an. Viele wollen einfach nur Geld und da kann es jedes KMU treffen.

Warum wird IT-Sicherheit immer wichtiger?

Björn Hertweck beschleicht ein merkwürdiges Gefühl. Die Krisen der Vergangenheit kamen immer mit Ankündigung. Das heute passierte aber aus heiterem Himmel und alles steht still. Keine Produktion, keine Auftragsabwicklung, keine Buchhaltung. Nicht mal Mail, um neue Angebote zu schreiben. Was davon wäre kurzfristig am wichtigsten? Habe mir nie Gedanken darüber gemacht. 

IT-Risiken lassen sich, wie andere Risiken auch, zweidimensional nach Eintrittswahrscheinlichkeit des Ereignisses und den möglichen schädlichen Auswirkungen bewerten. Je höher die Eintrittswahrscheinlichkeit und/oder je höher die Auswirkungen, desto gravierender ist ein Risiko. Bereits an dieser Betrachtung ist zu erkennen, warum das aktive Management von IT-Risiken in den vergangenen Jahren erheblich an Bedeutung gewonnen hat und auch zukünftig immer wichtiger wird:

Die Eintrittswahrscheinlichkeit für viele IT-Risiken ist z.B. durch folgende Faktoren in den vergangenen Jahren gestiegen:

  • Immer mehr Systeme sind mit dem Internet verbunden und sind somit weltweit erreichbar.
  • Immer mehr Systeme sind miteinander vernetzt. Schadsoftware kann sich damit einfacher verbreiten.
  • Datenträger wie USB-Sticks lassen sich einfach handhaben und können von jedermann in viele Geräte gesteckt werden. Damit kann sich Schadsoftware auch auf Geräte verbreiten, die nicht vernetzt sind.
  • Mit den gestiegenen technischen Möglichkeiten ist die Konfiguration der Systeme komplexer geworden und damit ist auch die Fehleranfälligkeit gewachsen.
  • In sozialen Netzwerken können vielfältige persönliche Daten abgegriffen werden, um sie gezielt für Angriffe auszunutzen (Social Engineering)
  • usw.

Aber auch die potenziellen Auswirkungen von IT-Ausfällen sind in den vergangenen Jahren gewachsen:

  • Immer mehr Prozesse werden elektronisch abgewickelt. Der Ausfall einer zentralen IT-Komponente könnte vielfältige Prozesse beeinträchtigen wie Einkauf, Produktion, Vertrieb und Buchhaltung.
  • Durch die stärkere Vernetzung von Geräten könnte sich eine einmal eingedrungene Schadsoftware großflächig verbreiten und damit viele Bereiche des Unternehmens lähmen.

Hackern und Schadsoftware können somit eine wachsende Zahl von Sicherheitslücken und Möglichkeiten nutzen, wodurch ein erheblicher Schaden entstehen kann. Sollte die IT bisher auch ohne große Anstrengungen im Hinblick auf IT-Sicherheit funktioniert haben, so ist das keine Gewähr für die Zukunft. Im Gegenteil: Die Bedrohungen wachsen kontinuierlich und deshalb sind auch kontinuierliche Anstrengungen bei der IT-Sicherheit notwendig. Die Auswirkungen können die Existenz Ihres Unternehmens bedrohen.

Es gibt immer eine irgendeine Schwachstelle. Deshalb brauchen Sie mehrere Ebenen der Verteidigung. Sonst kann ein einziger Fehler katastrophale Folgen haben.

Notfallplanung bzw. Business Continuity Management

Torben Rittinghaus, der externe IT-Dienstleister der Hertweck Switches GmbH, ist endlich erreichbar: „Remote komme ich gerade nicht auf die Server. Muss vorbeikommen, in 45 Minuten bin ich da, wenn kein Stau ist. Aber kein Problem, wir setzen den Server neu auf und spielen die Datensicherung ein. Heute Nachmittag sollte alles wieder laufen“ – „Und was ist mit den SPS für die Produktionssteuerung?“ – „Kann ich noch nicht sagen, müssen wir uns ansehen“- Puh, also mit 10 Uhr wird es schon mal nichts. Aber wenn es heute Nachmittag wieder läuft, dann ist das noch ok, geht es Björn Hertweck durch den Kopf. Dem Himmel sei dank, dass dieser Rittinghaus gerade keinen Urlaub hat. Nicht auszudenken, wenn er gerade auf den Malediven wäre. Es tut schon genug weh, dass bis heute Nachmittag nichts produziert wird.

Ein wichtiger Faktor ist die Notfallplanung. Denn auch bei gut ausgebautem Schutz kann die IT Opfer eines Hacker-Angriffs werden und damit der Ablauf wichtiger Geschäftsprozesse unterbrochen werden. Dem sollte vorgesorgt werden, weil selbst bei guter Vorbereitung die vollständige Wiederherstellung bestimmter Dienste einen Zeitbedarf von mehreren Tagen generieren kann. Wenn zusätzlich noch die notwendigen Informationen zusammengetragen werden müssen, die relevanten Mitarbeiter gerade auf Urlaub in Übersee sind und aufgrund fehlender Informationen bei der Wiederherstellung Fehler gemacht werden, kann sich ein solcher Ausfall um weitere Tage verlängern, was das Geschäft empfindlich beeinträchtigen kann.

Bereiten Sie sich vor: Organisieren Sie Ansprechpartner, die zusammen 365 Tage im Jahr 24 h erreichbar sind. Definieren Sie Sofortmaßnahmen, die das weitere Ausbreiten einer Schadsoftware im Unternehmen verhindern. Dokumentieren Sie Ihre IT, damit auch Dritte Sie bei der Wiederherstellung unterstützen können. Überlegen Sie, wie sie in der Zeit des Ausfalls ihren Geschäftsbetrieb fortsetzen können.

Irgendwann wird auch Ihr Unternehmen von einem Cyber-Angriff getroffen. Seien Sie auf diesen Tag vorbereitet!
Die Vorbereitung entscheidet, ob und wie Ihr Unternehmen diese äußerst komplexe Situation bewältigen wird.

Zum Glück haben wir eine Datensicherung - ähm, oder doch nicht?

Um 11:30 ist Torben Rittinghaus endlich da. Nach dem Ende des Corona-Lockdowns sind Staus leider wieder an der Tagesordnung. Er wirft ein Blick auf die Rechner und bestätigt: Alle von Ransomware befallen, sämtliche Dateien und Archive sind verschlüsselt. Mails, Konstruktionsunterlagen, Präsentationen, Angebote – nichts ist mehr lesbar.

Björn Hertweck lässt sich nicht beunruhigen: Dann müssen wir doch nur einen neuen Server aufsetzen und die Datensicherung einspielen, so wie Sie vorhin am Telefon gesagt haben. Rittinghaus antwortet nicht, seine Stirn ist in tiefe Falten gezogen. Per Remote Desktop-Verbindung prüft er den zweiten Server, der im Außenlager steht, ein paar hundert Meter entfernt auf der anderen Straßenseite. Für die Datensicherung werden jede Nacht die zu sichernden Daten auf diesen zweiten Server gespiegelt. 

Scheiße. Mehr brachte Torben Rittinghaus in diesem Moment nicht heraus. Ihm wird heiß und kalt. In seinem Hirn ratterte es wie wild, er suchte verzweifelt nach einer Lösung. Gleichzeitig hoffte er, dass das hier nur ein schlechter Traum ist, aus dem er gleich aufwachen wird. Jede Sekunde scheint endlos zu dauern. Es hilft nichts, er muss Hertweck jetzt die bittere Wahrheit sagen: Die Datensicherung auf dem zweiten Server ist ebenfalls verschlüsselt.

In den vergangenen Jahren hat es sich vielfach eingebürgert, dass bei Datensicherungen die Daten nur auf einen anderen Server kopiert werden. Wenn sich dieser andere Server an einem entfernten Standort befindet – es sollten mindestens einige Kilometer sein – dann bekommt man damit eine ganz ordentliche Absicherung gegen Plattencrash sowie gegen Elementargefahren wie Feuer und Wasser hin. 

Solange dieser Server aber online mit dem Netzwerk verbunden ist, ist er auch für Ransomware und Hacker erreichbar. Das freut diese, weil sie ein großes Interesse daran haben, möglichst alle Ihre Datensicherungen zu löschen bzw. zu verschlüsseln. Denn wenn Sie nicht selbst in der Lage sind, Ihre Daten wiederherzustellen, wächst Ihre Motivation, das Lösegeld an die Kriminellen zu zahlen. Aus der Perspektive Ransomware haben Sie also mit einer Online-Sicherung keine Datensicherung.

Wenn die Sicherung auf ein System kopiert wird, das besonders geschützt ist, kann das die Überlebenswahrscheinlichkeit Ihrer Sicherung erhöhen. Das kann auch eine Sicherung in der Cloud sein. Jedoch sollte auch hier genau hingeschaut werden, wie es aufgebaut wird. Denn die Angreifer werden ebenfalls genau hinsehen. Wenn auf einen Anhang mit Schadsoftware geklickt wird, geht nicht 5 Minuten später die Verschlüsselung los. Stattdessen eröffnet die Software oft einen Zugang, über den die Angreifer in das Firmennetzwerk einsteigen und sich über Tage und Wochen umschauen. Diese Zeit nutzen sie, um Daten abzuziehen. Sie versuchen dabei aber auch, weitere Passwörter zu abzugreifen, um später maximale Zerstörung der Daten anrichten zu können. Somit wird u.U. auch der Zugang zum Sicherungsserver bekannt oder die Daten werden in dem Moment gelöscht, wenn der Sicherungsserver zum Zweck der Datensicherung kurzzeitig mit dem Netz verbunden ist. 

Die sicherste Variante sind Offline-Sicherungen, die in mehreren Generationen für einen längeren Zeitraum vorliegen. Das heißt: Daten aufspielen, Datenträger vom Netz trennen, sicher aufbewahren, und erst nach einem festgelegten Rhythmus erneut nutzen. Das ist zwar furchtbar „Old School“. Aber ein Datenträger, der vom System getrennt in einem Safe oder Bankschließfach aufbewahrt wird, ist für einen Hacker einfach nicht zu erreichen. Er kann die beste Software der Welt schreiben oder sich auf den Kopf stellen – er wird Ihre wertvollen Daten nicht löschen können.

Machen Sie Offline-Sicherungen Ihrer Daten und bewahren Sie sie in mehreren Generationen auf. 

Was zum Teufel ist Ransomware?

Auch wenn Björn Hertweck noch nicht alles verstanden hatte: Er spürte, dass sie in erheblichen Schwierigkeiten stecken. Jetzt braucht er erstmal ein Wasser. Zusammen mit Torben Rittinghaus geht er in Amelies Büro, die beiden ein Glas einschenkt. „Jetzt erklären Sie doch nochmal, wie das mit Ransomware funktioniert!“ Rittinghaus holt Luft, dann legt er los: „Kriminelle Hacker sind in das Netzwerk der Hertweck Switches GmbH eingedrungen und haben alle Daten verschlüsselt. Nun verlangen sie Geld dafür, dass sie uns den Key zum Entschlüsseln geben.“ Hertweck wittert sofort eine Chance: „Kann man die Kriminellen nicht über das Geld ausfindig machen, das man ihnen zahlt?“ Rittinghaus ist skeptisch: „Die sitzen meistens in Ländern, in denen man ihrer nicht habhaft werden kann. Und außerdem wollen sie das Geld in einer Kryptowährung wie Bitcoin, das geht vollkommen anonym.“

„Aber wenn wir eine Datensicherung hätten, dann würden wir aus der Nummer sauber rauskommen?“ Auch hier bleibt Rittinghaus nachdenklich: „Kommt darauf an. Die verschlüsseln nicht nur die Daten, sondern kopieren sie auch. Sie drohen dann damit, die Daten im Internet zu veröffentlichen, sollte man nicht zahlen.“ Hier meldet sich Amelie zu Wort, die kürzlich eine Schulung zum Datenschutz absolviert hat: „Dann haben die also auch unsere CRM- und Personaldaten??“ – „Wahrscheinlich ja“ – „Dann müssen wir das der Datenschutzbehörde melden.“

Trotz des Datenschutz-Themas atmet Björn Hertweck erstmal auf. Denn zum Glück haben sie noch keine Konstruktionsunterlagen des Anlagenbauers übersendet bekommen, den sie als wichtigen Neukunden gewinnen wollen. Es wäre ein Desaster, wenn er seine Unterlagen im Internet wiederfinden würde.

Risikobasierter Ansatz

Da Ressourcen wie Budget und Zeit in den Unternehmen begrenzt sind und ein 100%-Schutz ohnehin nie erreicht werden kann, empfiehlt sich eine risikobasierte Herangehensweise. Anstatt also nach dem Gießkannenprinzip „überall ein bisschen“ zu tun, sollten Sie gezielt an den Stellen ansetzen, die ein hohes Gefährdungspotenzial für Ihr Geschäft haben.

Dafür gibt es gute und bewährte Vorgehensmodelle wie beispielsweise „Leitfaden zur Basis-Absicherung nach IT-Grundschutz“ vom BSI und „BSI-Standard 100-4 Notfallmanagement“, „ISIS12“ vom Bayerischen IT-Sicherheitscluster e.V. oder „Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ vom VdS (alle Links dazu unten). Sie alle haben jedoch einen Nachteil: Sie sehen zunächst nach einem großen Projekt aus. Das wirkt vor allem auf solche KMU abschreckend, die sehr knapp an Ressourcen sind und auch kein Geld für externe Berater ausgeben wollen. Hier ist die Gefahr groß, dass das Thema wieder zur Seite gelegt und gar nichts unternommen wird.

Elementare Schritte

Wir empfehlen eine systematische Herangehensweise nach einem der anerkannten Vorgehensmodelle. Bevor Sie jedoch aus Zeit- oder Ressourcenmangel überhaupt nichts tun, sollten Sie zumindest die nachfolgenden Schritte in Angriff nehmen. Sie können damit sofort beginnen.

IT-Sicherheit und Notfallplanung zur Chefsache erklären
Machen Sie den Mitarbeitern klar, dass dies wichtige Themen sind, die jeden betreffen. Bekräftigen Sie das regelmäßig in Besprechungen.

Interne IT bzw. externe IT-Dienstleister einbeziehen
Machen Sie deutlich, dass Sie IT-Sicherheit und Notfallplanung zu den wesentlichen Aufgaben gehört und stellen Sie Verbindlichkeit her. Nehmen Sie es in die interne Stellenbeschreibung auf. Erweitern Sie den Vertrag mit externen IT-Dienstleistern um diese Punkte.

Inventarisieren Sie Ihren IT-Bestand
Vergeben Sie für jedes Gerät wie Server, Rechner, externe Festplatte eine eindeutige Nummer, die sichtbar auf dem Gerät befestigt wird. Führen Sie den Bestand in einer Excel-Liste oder in einer darauf spezialisierten Anwendung und protokollieren Sie Veränderungen. Sie können Ihre IT nur steuern, wenn Sie wissen, was Ihre IT umfasst.

Plan des Netzwerks
Lassen Sie von der IT oder vom IT-Dienstleister einen Plan Ihres Netzwerks erstellen. Auf diese Weise wird erkennbar, welche Teile wie miteinander kommunizieren können. Aktualisieren Sie den Plan mindestens jährlich.

Verzeichnis der Anwendungen
Erstellen Sie ein Verzeichnis der IT-Anwendungen, die in Ihrem Unternehmen genutzt werden, z.B. Mail, Office, Produktionsplanung.

Verzeichnis der Geschäftsprozesse
Erstellen Sie ein Verzeichnis der für Ihr Geschäft relevanten Prozesse im Unternehmen, z.B. Beschaffung, Vertrieb, Auftragsabwicklung, Buchhaltung usw. Ordnen Sie zu, welche Anwendungen für jeden Prozess benötigt werden. Legen Sie fest, in welcher Reihenfolge sie nach einem Ausfall wiederhergestellt werden sollten.

Kritische IT-Komponenten
Identifizieren Sie aus den so zusammengetragenen Informationen die IT-Komponenten, die für Ihr Geschäft besonders wichtig sind. Diese brauchen besonderen Schutz sowie eine Planung, wie sie nach einem Ausfall wiederhergestellt werden können.

Physikalische Sicherheit
Erfassen Sie alle Räumlichkeiten und Plätze, in denen sich IT-Geräte befinden und bewerten Sie sie im Hinblick auf die Gefahren durch Feuer, Wasser, Hitze, Kälte, Staub und Verschmutzung, Einbruch usw. Besonders Standorte von Servern und anderen zentralen Komponenten sollten besonders geschützt sein.

Netzwerksegmentierung
Ihr Firmennetzwerk sollte in sinnvolle Bereiche aufgeteilt werden, z.B. Verwaltung und Produktion. Zwischen diesen sollte es nur wenige und gesicherte Übergänge geben. Nutzen: Wenn es ein Angreifer in den Verwaltungsbereich geschafft hat, bleibt Ihre Produktion verschont.

Konfiguration der Arbeitsplatzrechner
IT-Anwender sollten immer nur die minimal notwendigen Rechte auf ihren Computern haben. Sie sollten nicht Administrator sein, sie sollten keine Software installieren dürfen, die Ausführung von Makros in Office-Programmen sollten sofern möglich deaktiviert sein. Der Rechner sollte sich nach einer gewissen Zeit der Inaktivität selbst sperren. Das Betriebssystem sollte vom Hersteller noch gewartet werden und Updates sollten selbstständig gezogen werden.

Sicherung der Daten
Sorgen Sie für eine regelmäßige Datensicherung, denn das ist der wirksamste Schutz vor Schäden durch Viren und Trojaner. Dabei dürfen die Daten allerdings nicht nur einfach auf einen anderen Server im Netz gespiegelt werden, denn dieser wäre von Schädlingen gleichermaßen betroffen. Am besten ist eine Sicherung, die danach physikalisch vom Unternehmensnetz getrennt wird, zum Beispiel eine Bandsicherung oder eine Festplatte, die nach erfolgter Sicherung abgezogen und an einen sicheren Ort gebracht wird. Außerdem sollten immer mehrere Sicherungsgenerationen aufbewahrt werden, da sich manche Schädlinge nach der Infektion zunächst eine Zeit lang schlafend stellen, bevor sie aktiv werden. Wenn Sie nur zwei Sicherungsmedien im täglichen Wechsel verwenden, wären Ihre Sicherungen u.U. wertlos. Wenden Sie stattdessen ein gestaffeltes Verfahren an, z.B. mit sechs Medien für tägliche Sicherungen, die jeweils am gleichen Wochentag der darauf folgenden Woche überschrieben werden. Und einem weiteren Satz von Medien, die jeweils am siebenten Tag der Woche verwendet werden, aber mehrere Wochen (z.B. drei Monate) aufbewahrt werden, bevor sie überschrieben werden. Da diese Sicherungen nur einmal pro Woche gemacht werden, ist auch eher ein zusätzlicher Aufwand vertretbar, um diese Medien an einem besonders sicheren Ort zu verwahren, z.B. in einem Bankschließfach. Ganz wichtig sind wiederkehrende Tests, ob die Sicherungen vollständig sind und sie sich auch wieder einspielen lassen. Ansonsten würde man sich auf dieses wesentliche Element blind verlassen und erst im Ernstfall feststellen, ob es tatsächlich funktioniert – dann kann es aber zu spät sein.

Sicherung der Anwendungen
Programme sollten ebenfalls gesichert werden, denn auch sie müssen neu installiert werden können. Das betrifft insbesondere spezielle bzw. proprietäre Anwendungen, die anders als beispielsweise Office-Software nicht sofort bezogen werden können. Sollten keine Installationsmedien vorliegen, so muss die Platte geklont und an einem sicheren Ort aufbewahrt werden. Auch sollten Lizenzschlüssel zu erworbener Software im schnellen Zugriff sein.

Vertreter
Ein IT-Störfall kann auch eintreten, wenn Ihr IT-Verantwortlicher oder Ihr One-Man-IT-Dienstleister gerade 2 Wochen auf Kreuzfahrt in der Karibik ist. Stellen Sie deshalb sicher, dass es zu jedem Zeitpunkt einen Ansprechpartner gibt.

Notfallplan
Erstellen Sie einen Notfallplan für mögliche Störfälle und aktualisieren Sie ihn mindestens jährlich. Halten Sie den Notfallplan ausgedruckt bereit, damit er auch bei gestörter IT nutzbar ist. Sie können bei KonBriefing.com eine Word-Vorlage für einen IT-Notfallplan herunterladen (kostenlos, keine Anmeldung erforderlich)

Richtlinien für Mitarbeiter
Machen Sie Ihren Mitarbeitern klare Vorgaben, wie sie die Firmen-IT zu nutzen haben, was zulässig und was unzulässig ist. Erlassen Sie dazu Richtlinien und lassen Sie sich deren Kenntnisnahme bestätigen. Solche Richtlinien können beispielsweise enthalten …

  • Keine Weitergabe von Kennwörtern
  • Sperren von Rechnern beim Verlassen des Arbeitsplatzes
  • Installation von Software nur mit Erlaubnis
  • Ausschließliche Nutzung von firmeneigenen Datenträgern wie USB-Sticks
  • Umgang mit mobilen Datenträgern
  • Private Nutzung des Firmenrechners
  • Nutzung privater Endgeräte im Firmennetz
  • Verantwortlichkeit für Datensicherung
  • Verhalten bei auffälligem Verhalten und Auftreten von Schadsoftware

Die Richtlinien sollten so beschaffen sein, dass sie bei der täglichen Arbeit auch einhaltbar sind. Andernfalls besteht die Gefahr, dass sie missachtet werden oder dass Umgehungslösungen erdacht werden.

Bewusstsein bei den Mitarbeitern schaffen
Sorgen Sie dafür, dass Ihre Mitarbeiter eigene Kompetenz auf dem Gebiet der IT-Sicherheit erlangen. Dafür gibt es zahlreiche Online-Schulungen, die über das Internet absolviert werden können. Die Teilnahme wird für jeden Mitarbeiter verpflichtend gemacht und dokumentiert. In solchen Trainings wird beispielsweise auf Merkmale von Phishing-Mails hingewiesen oder Vorschläge für komplexe aber trotzdem leicht merkbare Passwörter gemacht.
Siehe auch: Awareness-Poster IT-Sicherheit

Wirksamkeit überprüfen
Sorgen Sie durch wiederkehrende Kontrollen dafür, dass die Richtlinien eingehalten werden und dass die Maßnahmen greifen. Machen Sie beispielsweise darauf aufmerksam, wenn Rechner bei Abwesenheit nicht gesperrt wurden. Prüfen Sie, ob auf Windows-Rechnern aktuelle Updates sind. Lassen Sie sich demonstrieren, dass bei einer Sicherung tatsächlich alle relevanten Daten gesichert wurden und sich die Sicherung wieder einspielen lässt. Prüfen Sie, ob der Server-Raum abgesperrt ist usw.

Informationen zu Bedrohungen
Verschaffen Sie sich fortlaufend Informationen zu aktuellen Bedrohungen und machen Sie sich dadurch immer wieder bewusst, dass es sich um eine reale Gefahr handelt, die auch Ihr Unternehmen treffen kann. In der lokalen Zeitung wird häufiger über Einbruchsserien in Gartenlauben berichtet als über Cyber-Angriffe. Trotzdem gibt es die Cyber-Angriffe und sie sind in ihren Auswirkungen viel gravierender.
Vorschlag: heise Security https://www.heise.de/security/

Üben, üben, üben
Üben sie regelmäßig den IT-Notfall. Bei einem Hacker-Angriff sind in kurzer Zeit viele Entscheidungen zu treffen. Entscheidungen zu Themen, mit denen Sie sich sonst nicht beschäftigen. Entscheidungen unter großer Unsicherheit. Entscheidungen mit großer Tragweite für die weitere wirtschaftliche Entwicklung Ihres Unternehmens. Das wird nur gut, wenn man das schon ein paar Mal gemacht hat, zumindest simuliert.

Weitere Schritte

Wenn Sie die oben aufgeführten Maßnahmen beherzigen, dann ist Ihre Unternehmens-IT keineswegs sicher. Sie sind nur ein Stückchen weiter, als wenn Sie gar nichts machen würden. Wir empfehlen deshalb, das Thema systematisch mit einem bewährten Vorgehensmodell anzugehen. Davon gibt es schlanke Varianten, die speziell auf die Bedürfnisse kleiner Organisationen zugeschnitten sind, wie beispielsweise ISIS12.

Zusammen mit Ihrer IT bzw. Ihrem IT-Dienstleister sollten Sie auch längerfristige Themen angehen und planen. Dazu gehört beispielsweise die Migration von proprietären Altanwendungen, bevor diese nicht mehr wartbar oder lauffähig sind. Und die verstärkte Nutzung von Cloud-Angeboten, um selbst weniger Software betreiben zu müssen.

IT-Sicherheit machst Du nicht für die IT, sondern für die Existenz Deines Unternehmens.
Deshalb ist es Deine verdammte Verantwortung als Chef.
Fang heute damit an.

Links

Isis12 – InformationsSicherheitsmanagementSystem in 12 Schritten
https://isis12.it-sicherheitscluster.de/

Leitfaden zur Basis-Absicherung nach IT-Grundschutz
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.html

BSI-Standard 100-4: Notfallmanagement
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard04/ITGStandard04_node.html

VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), Anforderungen
https://shop.vds.de/de/produkt/vds-10000/

Du bist KMU?

Dann vernetzen Sie sich mit uns!

Sind Sie Unternehmer, Geschäftsführer oder Verantwortlicher (*) in einem kleinen oder mittelständischen Unternehmen? Dann schreiben Sie uns über Ihre Sorgen und Nöte im Bereich IT-Sicherheit, Compliance und Datenschutz. Ihr Feedback hilft, die passenden Inhalte bereitzustellen und Einfluss auf Anbieter von Produkten und Dienstleistungen zu nehmen.

Schreiben Sie uns eine Mail: Kontakt

(*) Wir meinen natürlich immer alle Geschlechter

Bert Kondruß, Geschäftsführer KonBriefing Research

Bert Kondruß
Senior Analyst

Bert ist Senior Analyst bei KonBriefing.com. Nach dem Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur ist er seit über 30 Jahren in verschiedenen Fach- und Führungspositionen in der IT tätig. Seine Fokusthemen sind Compliance und IT-Sicherheit. Bert lebt in der Region Stuttgart