Wissenswertes zur IT-Sicherheit

Der Mensch ist der Dreh- und Angelpunkt der Sicherheit im Internet – egal ob als Unternehmer, Mitarbeitende, Geschäftspartner oder Kunde. Ein Unternehmer, der für sein Unternehmen die relevanten Gesetze nicht kennt, ist ebenso ein Risiko wie Mitarbeitende, die leichtfertig Daten preisgeben.

Datenschutz
Der Schutz von personenbezogenen Daten (z. B. Namen, Geburtsdatum, Anschrift, Bankverbindung u. v. m.) gilt für alle Individuen, also auch Mitarbeitende, Geschäftspartner und Kunden. Wesentliche Anforderungen regelt insbesondere die Datenschutzgrundverordnung (DSGVO).

Jeder Unternehmer sollte prüfen, welche Anforderungen für sein Unternehmen relevant sind und wie sie in der Praxis umgesetzt werden können. Oft lässt sich dies mit Unterstützung einer fachkundigen Person mit wenig Aufwand klären. Die Anforderungen des Datenschutzes lassen sich oft mit technischen und organisatorischen Maßnahmen umsetzen. Besonders sei darauf hingewiesen, dass bei der Veröffentlichung von Mitarbeitenden- und Kundendaten (wie z. B. Fotos von einer Firmenveranstaltung) besondere Regeln einzuhalten sind. Eine Nichtbeachtung kann erhebliche Konsequenzen haben.

Informationen zum Thema Datenschutz und den passenden Ansprechpartner in unserem Haus bei Rückfragen finden Sie auf unserer Themenseite.

Social Engineering
Der Begriff Social Engineering oder auch Social Hacking beschreibt ein Vorgehen, bei dem speziell ausgebildete Personen versuchen, mit „normalen“ Mitteln Informationen von anderen Menschen zu erlangen. Hierbei werden alle Wege zwischenmenschlicher Beziehungen und Methoden des Ausspähens in Kombination eingesetzt. Eine so angegriffene Person bemerkt dies oft nicht einmal.
Zur Beschaffung weiterer Informationen werden auch öffentlich zugängliche Quellen wie z. B. Webseiten, Informationen aus sozialen Netzwerken, Veröffentlichungen usw. eingesetzt. Es sollte daher unbedingt geprüft werden, welche Informationen wo öffentlich gemacht werden.

Wissen und Awareness als Schlüssel
Leicht lässt sich erkennen, dass alle bisher genannten Aspekte etwas mit Wissen zu tun haben. Doch Wissen allein genügt nicht – die einzelnen Informationen müssen im Zusammenhang betrachtet werden. Für ein hohes Niveau der IT-Sicherheit ist Wissen eine notwendige Voraussetzung, aber allein nicht ausreichend. Besonders wichtig ist die Art der Wissensvermittlung. Sie muss so gewählt werden, dass die betroffenen Personen Zusammenhänge erkennen können. Jeder einzelne Beschäftigte im Unternehmen soll erkennen, was genau in seiner Position für mehr IT-Sicherheit getan werden kann.

Oft helfen Parallelen und Vergleiche zwischen dem privaten Bereich und der Situation im Unternehmen. Privat erwartet jeder, dass seine Bankdaten vertraulich bleiben – warum sollte das in der Firma anders sein? Reale Beispiele erhöhen die Praxisbezogenheit und wecken Interesse.

Für IT-Angriffe gilt: nicht ob, sondern wann!
Nicht jede mögliche Sicherheitsbedrohung lässt sich vorhersehen. Somit scheidet auch eine Übung für einen derartigen Notfall aus! Die Herausforderung besteht darin, alle im Unternehmen in die Lage zu versetzen, mögliche Risiken frühzeitig zu erkennen und ein Gespür dafür zu entwickeln, wann eine Situation ungewöhnlich ist. Frei nach dem Motto „Gefahr erkannt – Gefahr gebannt“ kann die Reaktion auf neue Situationen trainiert werden.

Eine wichtige Erkenntnis ist, dass einmalige Maßnahmen nicht ausreichen. Ziel ist eine ständige Anpassung und Aktualisierung des Wissens und des Sicherheitsbewusstseins.

Gut informierte Menschen verstehen, was von ihnen erwartet wird. Diese Einsicht führt dazu, dass sich Verhaltensweisen ändern und auch die Motivation steigt. Besonders positiv wirkt sich ehrliche Anerkennung für bewusstes Handeln aus. Eine weitere Quelle für mehr IT-Sicherheit sind die Ideen und Vorschläge der Beschäftigten. Einmal erschlossen, fördert das eine gemeinschaftliche Atmosphäre des Sicherheitsbewusstseins (Awareness).

Die IT-Infrastruktur ist das Rückgrat vieler Unternehmen. Zur IT-Infrastruktur gehören die Hardware - Computer, Netzwerkkomponenten, (Mobil-)Telefone, Kopierer - sowie die darauf laufende Software. In den meisten Fällen wird die eigene IT mit externen Anbietern kombiniert. Die Gewährleistung von Verfügbarkeit, Vertraulichkeit und Integrität der damit verarbeiteten Daten ist essenziell.

Computersicherheit
Die Sicherheit der einzelnen Rechner - ob Desktop-PC, Laptop oder Server - hängt von der Auswahl der Geräte, deren ordnungsgemäßer Administration und dem Nutzerverhalten ab. Unternehmen sollten in Hardware investieren, die für den Businesseinsatz vorgesehen ist und Sicherheitsfeatures wie z.B. Smartcard-Leser u. a. besitzt. Die Hardware muss regelmäßig gewartet und die Daten müssen gesichert werden. Sinnvolle Ergänzungen, wie z. B. Unterbrechungsfreie Stromversorgungen (USV) erhöhen die Verfügbarkeit.

Netzwerksicherheit
Das Netzwerk muss den Datenverkehr nach Sicherheitsvorgaben regeln können (z. B. Firewall). Es wird festgelegt, welche Geräte wie kommunizieren dürfen. Die ständige Überwachung der Aktivitäten und Protokoll-Dateien hilft, Probleme rechtzeitig zu erkennen. Besonderes Augenmerk erhalten Komponenten und Dienste, die Daten sowohl aus dem internen als auch dem Internet verarbeiten. Das Netzwerk sollte von Anfang an gut geplant und in verschiedene logische Segmente aufgeteilt werden. Regelmäßige Audits oder Penetrationstest helfen den Verantwortlichen, Schwachstellen aufzudecken und Aktivitäten für einen sicheren Betrieb zu dokumentieren.

Softwaremanagement
Mit Software wird meistens zu arglos umgegangen. Lizenzmanagement und Vorgaben zur Validierung der Software-Herkunft helfen Schäden durch Strafen oder Malware zu vermeiden. Ein absolutes Muss für alle Rechner ist ein aktuelles Virenschutzprogramm - besser noch eine Security-Suite. Homogene, standardisierte Software spart nicht nur Wartungskosten, sondern fördert auch die Sicherheit, da die Angriffsmöglichkeiten minimiert werden und die Administration Maßnahmen für große Teile der eingesetzten Geräte gleichzeitig durchführen kann. Der Einsatz der Software muss auch durch Vorgaben geregelt und durchgesetzt werden, z.B. E-Mail-Nutzung, Verwendung von Browser-Plug-ins oder die Installation von Programmen durch den Nutzer.

Sicheres Cloud-Computing
Gerade kleine und mittelständische Unternehmen sind auf Angebote von IT-Dienstleistern angewiesen. Der Wechsel von Investitionen in Personal und Hardware hin zu flexiblen Betriebskosten machen manche Unternehmung erst möglich. Heutzutage kann fast alles extern eingekauft werden, vom Hosting von Webseiten und E-Mail über Datenspeicher in der Cloud bis zur Lohnbuchhaltung online. Doch Vorsicht, die Auswahl der Anbieter und Dienste, die Gestaltung der Service-Level-Agreements (Verfügbarkeits- und Performance-Regelungen) bergen einige Fallstricke, insbesondere bei ausländischen Anbietern. Wichtig sind die Strategie und das Risikomanagement bei der Auslagerung von IT-Komponenten. Es ist zu prüfen, ob die Auslagerung das Kerngeschäft betrifft, ob sie mit gesetzlichen Vorgaben wie dem Datenschutz vereinbar ist und ob bei Problemen alternative Anbieter verfügbar sind. Externe Ressourcen werden nach Abstraktionslevel eingeteilt:

• IaaS (Infrastructure as a Service) externe Hardwareressourcen
• PaaS (Platform as a Service) externe Softwareplattformen zur Entwicklung
• SaaS (Software as a Service) externe Softwarelösungen

und sind entsprechend der internen Regeln zu behandeln. Die Unternehmen sind verpflichtet, die Einhaltung der Sicherheitsstandards durch die Anbieter zu prüfen.

Weiterführendes
Unter anderem das BSI bietet Leitfäden und konkrete Anforderungen an eine sichere IT-Infrastruktur unter: www.bsi.bund.de/IT-Grundschutz.

Aspekte der Informationssicherheit spielen in den Bereichen Handel und Finanzen eine besonders wichtige Rolle. Ein wesentlicher Schwerpunkt liegt dabei beim Internetrecht und den möglichen Maßnahmen, ihm zu entsprechen.

Handel im Internet
Der Handel im Internet ist ein besonders komplexer Vorgang. Normalerweise, z. B. in einem Ladengeschäft, sind die Vertragspartner anwesend. Entweder wechselt eine Ware den Besitzer oder eine Dienstleistung wird angeboten und bezahlt. Oft kennen sich die Vertragspartner nicht einmal. Beim Handel im Internet ist das alles anders, da die Vertragspartner nicht körperlich anwesend sind, wird hierbei von Fernabsatz gesprochen. Letztlich geht es darum, ein rechtlich einwandfreies Vertragsverhältnis herzustellen. Insbesondere die Rechte der Verbraucher führen zu hohen Anforderungen an die Unternehmer.
Aufgrund der hohen Komplexität des Themas empfiehlt es sich, professionelle Hilfe in Anspruch zu nehmen. Dies gilt besonders im Fall einer Abmahnung. Speziell in dieser unschönen Situation gilt es zügig, aber nicht voreilig zu handeln.

Finanztransaktionen
Egal, ob es sich um einen Online-Shop, die Bezahlung einer Lieferung oder die Gehaltszahlungen handelt – es wird Geld transferiert. Besonders hier werden Kriminellen angelockt. Neben der Erfüllung der rechtlichen Anforderungen kommt der Abwehr von Angriffen aus dem Netz eine hohe Bedeutung zu. Dies kann mit technischen und organisatorischen Maßnahmen sowie der nötigen Awareness, also dem erforderlichen Sicherheitsbewusstsein, erreicht werden. Der Nutzer sollte ein Gefühl dafür entwickeln, was z. B. in der elektronischen Kommunikation mit Banken wahrscheinlich ist.

Eine Bank wird wichtige Sachverhalte niemals per E-Mail klären oder gar nach vertraulichen Informationen (z. B. PIN/TAN) fragen. Besonders wichtig ist es zu erkennen, ob es sich tatsächlich um die Webseite der Bank handelt. Der Weg dorthin sollte niemals über einen Link führen! Der sicherste Weg ist die direkte Eingabe der Internetadresse (URL). Eine Betrachtung der Internetadresse liefert weitere Informationen. Hier sollte als Übertragungsprotokoll „HTTPS“ und nicht nur „HTTP“ angezeigt werden. Auch weitere Adressbestandteile liefern wichtige Informationen.

Bei einem einzelnen Online-Banking Vorgang werden nie mehrere TANs abfragt.

Für Online-Banking ist die Nutzung der HBCI-Technologie empfehlenswert. Wird auf einem alten PC/Notebook ein kostenfreies Linux-System installiert, entsteht auf diesem Weg ein relativ sichereres Online-Banking PC, wenn er nur dafür genutzt wird.

Elektronische Identitäten
Ein zentrales Thema bei der Kommunikation im Internet ist die Identität der Beteiligten. Wie kann ermittelt werden, ob die Person wirklich die ist, für die sie sich ausgibt? Eine E-Mail-Adresse ist keine Garantie – sie ist mit wenig Aufwand zu fälschen. Eine herkömmliche Unterschrift kann durch eine elektronische Signatur ersetzt werden. Nicht gemeint ist dabei die Text-Signatur in einer E-Mail – sondern geeignetes elektronisches Schlüsselmaterial. Ein Beispiel ist der neue Personalausweis.

Es ist zu beachten, dass nur bestimmte Signaturen ein vollwertiger Ersatz für eine Unterschrift sind. Die Einsatzmöglichkeiten sind vielfältig. So lässt sich z. B. auch mit einer einfachen elektronischen Signatur nachweisen, dass eine E-Mail tatsächlich vom angegebenen Absender stammt. Mit relativ wenig Aufwand ist dann auch eine Verschlüsselung möglich. Ab einer bestimmten Qualität der Signatur lassen sich Dokumente elektronisch signieren, also rechtskräftig unterschreiben.

Für einen sicheren Austausch von Dokumenten bieten verschiedene Anbieter Lösungen, bei denen Dokumente verschlüsselt auf einem Server hinterlegt und von dort von berechtigten Personen verschlüsselt abgeholt werden können.

Social Media wird auch bei Unternehmen immer beliebter. Plattformen wie Facebook, Twitter und Xing haben sich längst als zusätzliches Kommunikationsinstrument für Gewerbetreibende aller Branchen und Unternehmensformen etabliert.

Längst haben auch Betrüger Social Media für sich entdeckt, daher sollte man Kontaktanfragen und Nachrichten mit Anhängen oder Links von Unbekannten kritisch prüfen. Was auf Xing eher selten ist, ist bei Facebook oder Twitter an der Tagesordnung. Sogenannte Scams gaukeln Ihnen z. B. vor, wie man auf Facebook das Profillayout ändern oder zeigen kann, wer Ihr Profil besucht hat. Das ist bei Facebook jedoch derzeit gar nicht möglich. Es handelt sich um Betrugsmaschen mit dem Ziel, an Ihre Daten zu kommen oder Ihr Profil als Werbeplattform zu nutzen. Wichtig ist es zu verstehen, dass neben neuen auch „alte“ Betrugsmaschen in sozialen Netzwerken eingesetzt werden.

Was ist Scam?
Scam (engl. Betrug) ist eine Sonderform von Spam, von der erhöhte Gefahr ausgeht. Zwar infiziert man sich nicht gleich zwangsläufig mit einem Virus oder Trojaner, dennoch landet man oft auf Webseiten von Kriminellen. Der größte Teil der im Umlauf befindlichen Scams ist in englischer Sprache verfasst, jedoch finden sich gerade auf Facebook immer häufiger deutschsprachige Scams, meist schlecht übersetzt und relativ leicht zu enttarnen. Scams zielen auf die Neugierde des Empfängers ab, um ihn über den Klick auf Links auf andere Webseiten und interessante Inhalte zu locken. Vorsicht ist bei vermeintlichen Bild- oder Videoinhalten geboten.

Phishing im Web 2.0
Unter Phishing werden Versuche verstanden, über gefälschte Webseiten, Log-in Fenster, E-Mail oder Kurznachrichten an Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Auch über Facebook werden solche Attacken ausgeführt.

Aufforderungen wie „Sieh, wer besonders oft dein Profil ansieht“, sollen sofortiges Handeln provozieren. Der Klick auf „Zulassen“, wenn eine solche App nach einer Genehmigung fragt oder Sie zu einer Umfrage führt, ist schnell ausgeführt. Und schon findet sich ein fremder Post oder Werbung im eigenen Profil, ohne dass man weiß, woher. Die möglichen Folgen sind Kennwort-Diebstahl, Daten-Klau, Spam-Attacken oder sogar die Integration des Rechners in ein Bot-Netz (Netz gekaperter und fernkontrollierter Rechner), meist, ohne dass der Benutzer es merkt.

Auch Nutzer von Twitter können davon betroffen sein. Es werden s. g. Direct Messages verschickt, die den Nutzer auf eine gefälschte Twitter Seite leiten sollen, um sich dort einzuloggen. Wer das befolgt, verschickt über seinen Account bald ebenfalls massenhaft Spam-DMs.

Die andere Bedrohung: Abmahnungen
Eine ganz andere Art von Bedrohungen stellen Abmahnungen für gewerblich genutzte Social Media Auftritte dar, denn für Facebook Fanpages, Firmen Tweets und Co. sind gesetzliche Vorgaben zu beachten, z.B. das Datenschutz-, Marken- und Urheberrecht. „Findige Abmahner“ suchen systematisch nach fehlerhaften Websites und Social Media Auftritten von Firmen. Die Abmahnkosten können beträchtlich sein.

Auch für gewerbliche Social Media Auftritte ist eine Beratung durch geeignete Spezialisten erforderlich. So ist z.B. ein vorschriftsmäßiges Impressum auch für Social Media Auftritte Pflicht.

Auch wenn die Social Media Auftritte meist etwas lockerer als die eigene Webseite aufgemacht und betrieben werden, so sind auch hier Betriebs- und Geschäftsgeheimnisse zu wahren und geschäftsschädigende Äußerungen zu unterlassen.

Mobile Endgeräte wie Smartphones und Tablet Computer sind auch aus dem Geschäftsalltag nicht mehr wegzudenken. In jüngster Vergangenheit galten mobile Endgeräte, deren Betriebssysteme (z. B. iOS oder Android) sowie Applikationen (Programme oder kurz: Apps) noch als relativ sicher. Durch ihre rasante Verbreitung wurden sie jedoch zum attraktiven Ziel für Kriminelle. Bedingt durch einen starken Wettbewerb steigt gleichzeitig die Zahl der Sicherheitslücken in Betriebssystemen und Applikationen.

Nie unbeaufsichtigt
Mobile Endgeräte sollten niemals unbeaufsichtigt zurückgelassen oder verliehen werden. Nehmen Sie ihre mobilen Geräte nicht zu Besprechungen mit sensiblem Inhalt mit, da sie sowohl hart- als auch softwareseitig als „Wanze“ umfunktioniert werden können. Wer nicht darauf verzichten kann: den Akku während der Zeit entfernen.

Drahtlos, nicht verantwortungslos
Drahtlose Verbindungen wie Bluetooth, WLAN (Wireless LAN) oder Infrarot sollten generell nur dann aktiviert werden, wenn sie auch zum Einsatz kommen. Eine WLAN-Verbindung muss den aktuellen Empfehlungen entsprechen, also ausreichend verschlüsselt sein. In der Bluetooth-Konfiguration des Gerätes ist die Benutzerkennung generell auf „verbergen/verstecken“ umzustellen. Die Benutzerkennung bei Bluetooth sollte nur dann kurz aktiviert werden, wenn erstmalig die Kommunikation mit neuen Geräten der Umgebung aufgebaut wird. Die Benutzerkennung darf keinen Rückschluss auf den Gerätetyp beinhalten, da ein Angreifer mit dieser Information gezielter nach Sicherheitslücken suchen kann. Der Gerätename ist meist voreingestellt und muss geändert werden. Gleiches gilt im Übrigen auch für WLAN-Router selbst.

Eine regelmäßige Datensicherung ist auch bei mobilen Geräten wichtig, um bei einem Systemabsturz oder Ausfall nicht alle Daten zu verlieren. Auch der Internetzugang sollte nur dann aktiviert werden, wenn er auch genutzt wird.

Apps aus sicheren Quellen
Die Anzahl nützlicher Apps wächst rasant. Als Quelle sollten nur vertrauenswürdige App-Stores genutzt werden. Es ist aber zu bedenken, dass sich auch hier vermehrt Schadprogramme einschleichen können, auch wenn die Anbieter Gegenmaßnahmen ergriffen haben. Vor dem Herunterladen der Apps sollte man sich genau ansehen, auf welche Funktionen die Apps zugreifen. Häufig sind Standortabfrage und Zugriff auf das Adressbuch automatisch eingestellt. Foren und Testberichte im Internet liefern weitere Informationen.

Gefahr bei Verlust
In einem verschlüsselten WLAN-Netzwerk wird ein gemeinsamer „Pre-Shared Key“ (vorher vereinbarter Schlüssel) genutzt, um die Vertraulichkeit der Kommunikation zu gewährleisten. Geht ein mobiles Endgerät aus diesem Netzwerk verloren, so kann auch der Schlüssel in falsche Hände geraten. Das wiederum kann einen unbefugten Zugriff auf das Firmennetzwerk zur Folge haben.

Sensibilisierung als wichtigster Faktor
Neben allen technischen und organisatorischen Vorkehrungen sollte man die Mitarbeitenden für einen sicherheitsorientierten Umgang mit Unternehmensdaten sensibilisieren. Die Einführung von Sicherheitsrichtlinien für mobile Geräte ist hier das Ziel. Darauf ist beim Einsatz mobiler Endgeräte zu achten:

• Sichere Konfiguration, Nutzung der vorhandenen Sicherheitsfunktionen
• Verschlüsselung sensibler Daten
• Verwendung komplexer Passwörter
• Sperren bei Inaktivität
• Löschen bei Verlust
• automatische Update-Funktion nutzen
• Sensibilisierung für Umgang mit Geräten und Daten
• Mögliche Gefahren müssen kommuniziert werden
• entsprechende Abwehrmaßnahmen sind einzusetzen