Warum IT Sicherheit?

„Was soll man bei uns denn schon klauen“ höre ich oft in den ersten Gesprächen über IT Sicherheit bei unseren Kunden. Das mag im ersten Moment auch stimmen, wobei man dann immer wieder bedenken muss, dass hier Datenschutz und Prestige Gründe durchaus auch bei kleinen Firmen zum Zuge kommen. In den Adressbeständen von Outlook oder meinem Warenwirtschaftssystem stehen auf jeden Fall schützenswerte Daten. Wie man auch bei den aktuellen Skandalen sehen kann, sind diese für Kriminelle äußerst interessant (Telekom, Landesbank Berlin).

Viel interessanter für einen Internetbetrüger sind jedoch die Ressourcen, welche er für Straftaten missbrauchen kann. Ein einfacher Virus oder Trojaner kann schon einiges an Schaden anrichten. Oft genug wurden wir zur Hilfe gerufen, da ein Neukunde, aufgrund der langsamen Verbindung, kaum noch im Internet arbeiten konnte. Als erstes haben wir festgestellt, das kein oder nur unzureichend Virenschutz installiert war. Zusätzlich fanden wir diverse Trojaner, welche damit beschäftigt waren Millionen von Spams zu versenden. Dann geht die eigene Internetleitung schon mal in die Knie und kaum ein Nutzer weiß weshalb.

Dies ist natürlich ärgerlich wegen der nicht zu nutzenden Internetleitung, aber viel schwerwiegender sind die Fragen der Haftung. Es können nicht nur SPAMs versendet werden sondern auch illegale Software oder Inhalte können über so einen infizierten Rechner vertrieben werden. Wenn die Staatsanwaltschaft erst mal in der Tür steht, dann ist es zu spät. Dann werden die Computer erst mal beschlagnahmt und bis man diese Wiederbekommt können einige Jahre ins Land gehen. Selbst wenn man unschuldig ist und dieses auch nachgewiesen wird, werden die Computer oftmals als Beweismittel mehrere Jahre festgehalten.

Was kann man tun?

IT Sicherheit ist kein Produkt welches man kaufen kann. IT Sicherheit ist immer ein Prozess der aus mehreren Teilen besteht und ständig aktualisiert werden muss. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eigens dafür den IT-Grundschutz ins Leben gerufen (http://www.bsi.de/gshb/index.htm). Dort ist ein Katalog hinterlegt, in dem viele Eventualitäten und Maßnahmen hinterlegt sind.

Grundlegend sollte man darauf achten folgende Maßnahmen in jedem gewerblichen (und eigentlich auch privaten) Bereich umzusetzen:

Virenschutz

An einem professionellen Virenschutz geht kein Weg vorbei. Hier sollte man im gewerblichen Bereich darauf achten ein Produkt zu wählen, welches auch regelmäßig aktualisiert wird. Im Durchschnitt kosten Virenscanner zwischen 20 und 30 Euro pro Jahr und Computer. Die kostenfreien Varianten sind meistens aus lizenzrechtlichen Gründen nicht für kommerzielle Zwecke freigegeben und auch der Updatezyklus und die Erkennungsrate lassen dort zu wünschen übrig.

Firewall

Eine Firewall soll das Unternehmen gegen Angriffe aus dem Internet schützen. Allerdings sollte man darauf achten, dass eine Firewall auch die Zugriffe von Innen heraus überwacht und schützt. Sollte sich mal ein Virus eingeschlichen haben, der z.B. Spams versendet, kann dies eine geeignete und richtig eingerichtete Firewall verhindern, da der infizierte Rechner gar keine Emails direkt verschicken darf.

Spamfilter

Spams sind ein Ärgernis, welches durchaus auch Geld kosten kann. Ohne Spamfilter kann man schnell über 100 Spam Emails am Tag bekommen. Wenn ich nur 5 Minuten pro Tag darauf verwende Spams zu löschen, dann habe ich im Monat schnell annähernd 2 Stunden pro Email darauf verwendet. Ein Spamfilter kann diese Flut eindämmen und den zeitlichen Aufwand reduzieren.

Content Filter

Wissen Sie was Ihre Angestellten im Internet machen? Selbst wenn man die private Internetnutzung am Arbeitsplatz duldet oder als sinnvoll ansieht, sollte man sich dennoch schützen. Der Firmeninhaber haftet grundsätzlich dafür was mit seinem Internetanschluss gemacht wird. Bei GmbHs haftet der Geschäftsführer dafür sogar persönlich. Wenn ein Mitarbeiter bewusst oder auch unbewusst illegale Inhalte im Internet herunterlädt kann dies schnell zu einem Problem für den Geschäftsinhaber werden. Ein Contentfilter kann Internetseiten nach Kategorien sperren. Sinnvoll ist es hier pornografische und kriminelle Inhalte permanent zu sperren und Freizeit Inhalte nur während eines Zeitfensters z.B. von 12:00-14:00 Uhr zu erlauben.

Passwörter

Passwörter sollten regelmäßig geändert werden. Auch sollten Passwörter verwendet werden, welche man sich merken kann, aber die nicht zu erraten sind. Passwörter sollten nicht an einem öffentlichen Ort notiert werden. Durch ihr Passwort identifizieren Sie sich. Wenn jemand in Ihrem Namen (mit Ihrem Passwort) Unfug treibt, fällt das üblicherweise auf den Account Inhaber zurück.

Sicherheitskonzept

Um sich gegen Haftungsfragen und Fehler zu schützen sollte in jedem Unternehmen ein Sicherheitskonzept erstellt werden und vorhanden sein, welches für den Betrieb angemessen ist. Als Grundlage dafür kann man viele Teile aus dem Grundschutzhandbuch des BSI übernehmen. Optimaler weise setzt man eine Grundschutzstrategie für das eigene Unternehmen um.

Fazit

IT Sicherheit ist ein komplexer Prozess, welcher regelmäßig geprüft werden muss. Dies kann nur durch einen geeigneten Mitarbeiter der firmeninternen IT-Abteilung, oder ein entsprechendes IT-Systemhaus gewährleistet werden. Jeder ist gefährdet.