Sicherheit in Unternehmen

Im Gewerbegebiet Girbelsrath ist die weltweit tätige Firma CWIT GMBH ansässig. Geschäftsführer Tobias Lieven hatte bereits anlässlich des Empfanges der Unternehmer im Januar über IT-Sicherheit in Unternehmen referiert.

Während in der Vergangenheit ausschließlich Konzernunternehmen und sicherheitssensible Einrichtungen die Beratung und Umsetzung von IT-Sicherheitsmaßnahmen bei CWIT beauftragten, ist das Unternehmen einer gänzlich neuen Dimension der Anfrage ausgesetzt.

„Heiter bis wolkig wäre eine übertriebene Schönfärberei der IT-Sicherheitslage! „Bedrohlich“ beschreibt die aktuelle Lage schon besser“, so Tobias Lieven, Geschäftsführer der CWIT GmbH. Im Netz werden stündlich neue Versionen verschiedenster Schadsoftware entdeckt, Angriffe gegen Infrastrukturen laufen rund um die Uhr und der Privatanwender wird Opfer von Phishing-Attacken, die ihm mitunter erhebliche Vermögensschäden zufügen, mindestens aber einen gehörigen Aufwand an Folgenbeseitigung.

Leider trägt IT-Sicherheit, bzw. die damit verbundenen Maßnahmen nicht zur primären Wertschöpfung bei, sodass Investitionen hierin keine besonders beliebten Ausgabeposten eines Unternehmens sind. Wer jedoch einmal mit einem Sicherheitsvorfall -ob privat oder geschäftlich- konfrontiert war, der weiß, dass der Schaden am Ende meist beträchtlich ist. Eine unabhängige IT-Sicherheitsüberprüfung der Unternehmensinfrastruktur ist in der überwiegenden Zahl der Fälle günstiger. Maßnahmen zur Verbesserung der IT-Sicherheit sind eine gute Investition in die digitale Zukunft.

Die Entwickler legen das Augenmerk hier nicht nur auf rein technische Funktionen, sondern belegen eindrucksvoll, wie der Anwender gezielt manipuliert werden kann. So kommt es zur massenhaften Verbreitung von Schadsoftware. Zu beobachten war und ist dies im Zusam-menhang mit. „Bewerbungs-E-Mails“, die Anhänge oder Links zu Verschlüsselungstrojanern enthalten.

Ein praktisches Beispiel: Vor einiger Zeit kontaktierte eine Mitarbeiterin eines Unternehmens den IT-Support der Fa.CWIT, mit dem Hinweis, sie könne die Bewerbung nicht öffnen, die sie gerade per E-Mail erhalten habe. Bei näherer Betrachtung stellte sich heraus, es handelte sich um einen Verschlüsselungstrojaner, dessen Ausführung durch Sicherheits-richtlinien verhindert wurde, die zuvor von der Fa. CWIT eingerichtet wurden. Nicht auszu-denken, wenn diese nicht vorhanden wären.

Problemfelder bei der Vorbeugung und Verhinderung von IT-Sicherheitsvorfällen bestehen darin, dass Geschäftsführung und IT selten dieselbe Sprache. Die Mitarbeiter der IT werden von Anderen Unternehmensbereich oft als notorische Einzelgänger mit dem Hang zu intro-vertiertem Verhalten wahrgenommen. So sind der Umgang und auch die Informationsflüsse selten effektiv. Vorstände oder Geschäftsleitung erkundigen sich meist nur beiläufig, ob etwas gegen IT-Sicherheitsrisiken unternommen wurde. Wird dies bejaht, hat die Unter-nehmensleitung ohnehin keine Kontrollmöglichkeit, es sei denn, sie holt sich externen Sach-verstand. Das wiederum wird von vielen IT-Abteilungen als Misstrauen und Kontrollwahn wahrgenommen.

Weiterhin isst festzustellen, dass Unternehmen sich sehr intensiv mit der IT-Sicherheit ihrer Infrastrukturen auseinandersetzen. Man treibt immensen Aufwand zur Erlangung von IT-Sicherheits-Zertifizierungen und hat die Sache organisatorisch im Griff. Technisch stellt sich oft aber heraus, dass die Zertifizierungsurkunde das Papier nicht wert ist. IT-Sicherheit am grünen Tisch zu behandeln ist falsch, es ist eine zutiefst technische Angelegenheit, der auch angemessen Rechnung getragen werden muss.

Dies gilt im Übrigen auch für den Privatanwender, der stets auf ihm „zuliefernde“ Technikexperten angewiesen ist. Auch hier gibt es erheblichen Steigerungsbedarf in den Kenntnissen und Fähigkeiten. Ein Virenscanner ist heute beispielweise allenfalls ein Feigenblatt vor den täglich drohenden Gefahren. Die heilige Dreifaltigkeit aus Virenscanner, Firewall und Datensicherung ist ein längst überholtes Sicherheitsmodell!

Es zeichnet sich ab, dass zukünftig noch kürzere Reaktionszeiten auf die Bedrohungslage an Bedeutung gewinnen. Die Fa. CWIT arbeitet gerade am Ausbau eines Lagezentrums, um dieser Entwicklung kurzfristig begegnen zu können. Werkzeuge und Sicherheitsrichtlinien müssen ständig überprüft und angepasst werden. All das erzeugt finanziellen Aufwand. Wer aber nicht bereit ist, diesen Investitionen in IT-Infrastruktur und einhergehender Sicherheitsmaßnahmen zu folgen, wird langfristig hinter der Digitalisierung zurückbleiben. Wer möchte das schon?!

Sicherheitstipps - einfach erklärt?
Gefragt werden sollte im Zweifel der Technikexperten des Vertrauens. Unternehmen haben gänzlich andere Anforderungen, als der Privatanwender.

IT-Sicherheitstipps für Unternehmens- und Privatanwender der Fa. CWIT

Administrations-Rechte

Immer wieder stellen wir fest, dass Anwender mit den Berechtigungen eines Administrators auf ihren Rechnern arbeiten. Dies ist sowohl bei privaten Systemen der Fall, aber auch immer wieder in geschäftlichen IT-Infrastrukturen. Dort ist es in der überwiegenden Zahl der Fälle auf die grenzenlose Bequemlichkeit der Systemadministratoren zurückzuführen.

Die Berechtigungen eines Administrators befähigen den Anwender zu jeglicher Operation auf dem System. Damit einhergehend kann sich auch jede Schadsoftware ungehindert auf dem Rechner ausbreiten, bzw. auch Änderungen zum Schaden des Anwenders vornehmen. Für das Arbeiten – insbesondere das Surfen im Internet – ist diese Berechtigungsstufe nicht notwendig. Wir empfehlen daher einen Benutzer mit Administrationsrechten anzulegen und diesen nur im Falle von Konfigurationsänderungen oder Softwareinstallationen zu nutzen. Dem regelmäßig genutzten Benutzerkonto sollten diese Berechtigungen entzogen werden.

Anwender von Windows-Betriebssystemen finden die Einstellungen dazu in der Systemsteuerung unter „Benutzerkonten“. Dort sind die Optionen „Eigenen Kontotyp ändern“ und anderes „Konto verwalten“. Zu beachten ist dabei: Gibt es nur ein Benutzerkonto, so muss dieses administrative Rechte haben. Erst nach der Anlage des Benutzerkontos und dem dortigen Zuweisen von administrativen Rechten, können diese beim regelmäßig genutzten Benutzer geändert werden.

In Unternehmensumgebungen ist der Netzwerkverantwortliche, bzw. der System-administrator Ansprechpartner zu Änderungen an den Berechtigungen.

Datensicherheit: USB-Sticks und externe Festplatten

Nichts ist gravierender, als beim Verlust eines USB-Sticks oder einer externen Festplatte in der Unsicherheit zu leben, ob die darauf gespeicherten Daten in falsche Hände fallen.

Hier lässt sich mittlerweile mit Windows-Bordmitteln eine sog. Bitlocker-Verschlüsselung einrichten, deren Konfiguration auch mit Anwenderkenntnissen möglich ist. Einzige Voraussetzung ist, dass die installierte Windows-Version mindestens in der Ausprägung „Professional“ vorhanden ist.

Eine leicht verständliche Anleitung finden Sie in diesem Video:
https://www.youtube.com/watch?v=4-LLhhjH7c4

Aktuelle Betriebssysteme:

Immer wieder hören wir die Aussage, dass Anwender weiterhin gerne mit Windows 7 arbeiten. Darin wurde bislang auch kein Hindernis gesehen, ist die Unterstützung seitens Microsoft doch noch eine Weile gegeben. Nach den in den vergangenen Wochen bekannt gewordenen Sicherheitsvorfällen im Zusammenhang mit Verschlüsselungstrojanern, muss man die Verwendung zumindest in Frage stellen. Die betroffenen Sicherheitslücken betrafen alle Betriebssysteme von Windows XP bis einschließlich Windows 8. Windows 8.1 und 10 waren nicht betroffen. Anwender älterer Windows-Versionen können eine Upgrade-Installation auf das aktuelle Betriebssystem vornehmen. Hierzu kann es erforderlich sein, die aktuelle Lizenz zu erwerben:
https://amzn.to/2qQG60u

Datensicherung:

Eine aktuelle Datensicherung mit verschiedenen Versionsständen der vergangenen Wochen ist unabdingbar. Wir empfehlen daher eine sog. Image-Sicherung auf eine externe Festplatte zu schreiben und diese nach erfolgreichem Sicherungsvorgang vom PC-System zu entfernen, sodass die darauf enthaltenen Daten nicht von einem Verschlüsselungstrojaner befallen werden können.

Tipp: Der Softwarehersteller Veeam bietet eine kostenfreie Variante seines Profi-Tools „Backup & Recovery“. Die Bezeichnung der kostenfreien Variante ist „Veeam Endpoint Backup“. Der PC-Spezialist Ihres Vertrauens hilft bei der Einrichtung.
https://www.veeam.com/de/windows-endpoint-server-backup-free.html

Passwort-Manager

Die Sicherheitsempfehlung zur Verwendung unterschiedlicher Passwörter bei verschiedenen Diensten dürfte seit geraumer Zeit bekannt sein. Doch wohin mit den Passwörtern und wie erzeuge ich ein sicheres Passwort?!

Hier helfen Passwort-Manager. Dabei handelt es sich um eine Software zur Installation auf dem PC-System oder Notebook in dessen Datenbank die Passwörter zu den einzelnen Logins verschlüsselt abgelegt werden. Die Passwortdatenbank kann auch auf einem USB-Stick zur Nutzung an verschiedenen Rechnern mitgeführt werden.
Stand heute empfehlen wir die Verwendung des Passwort-Managers „KeePass“:

 http://www.keepass.info/