IT-SICHERHEIT.
Zwölf Regeln beachten
Die aktuellen Angriffe auf Suchmaschinen wie Yahoo, Google etc. rücken das Thema Hacking wieder in den Vordergrund. Solche Angriffe sind mittlerweile normaler Alltag und man ist leicht versucht, zu denken, das trifft ja nur die Anderen. Tatsache ist, mit dem Thema Hacking haben sich auch mittelständische Unternehmen immer intensiver auseinanderzusetzen. Eine hundertprozentige Sicherheit gibt es nicht, aber mit ein paar einfachen Regeln lässt sich oft schon viel erreichen.
Wir haben ihnen ein paar praxisnahe Vorsichtsmaßnahmen zusammengestellt, die wir in der Kanzlei auch selbst anwenden und mit denen Sie Ihr Unternehmen schützen können.
Sicherheitsupdates installieren | Installieren Sie regelmäßig von den jeweiligen Herstellern bereitgestellte Sicherheitsupdates für Ihr Betriebssystem und die von Ihnen installierten Programme (zum Beispiel Internet-Browser, Office, Flash Player, Adobe Reader) – idealerweise über die Funktion "Automatische Updates". Diese Funktion können Sie in der Regel im jeweiligen Programm einstellen, meist unter dem Menüpunkt "Optionen" oder "Einstellungen". |
Internetnutzung über Benutzerkonto mit eingeschränkten Rechten | Nutzen Sie für den Zugriff auf das Internet ausschließlich ein Benutzerkonto mit eingeschränkten Rechten, keinesfalls ein Administrator-Konto. Alle gängigen Betriebssysteme bieten die Möglichkeit, sich als Nutzer mit eingeschränkten Rechten anzumelden. |
Backups zur Datensicherung automatisch erstellen | Bei Brand, Diebstahl, Manipulation gehen wichtige Firmendaten verloren oder werden zerstört. Backups zur Datensicherung sind daher regelmäßig automatisch anzulegen. Wichtige Voraussetzung dabei ist: Das Backup muss zur Datenwiederherstellung geeignet sein. Sprechen Sie Ihren EDV-Partner darauf an. |
Schutz vor Viren und Spam | Eine Firewall und täglich aktualisierte Virenscanner gehören zur Grundausstattung des geschäftlichen PCs bzw. Netzwerks. Spamfilter machen die Arbeit zusätzlich sicherer. |
Sichere Passwörter | Eine Grundvoraussetzung, um zu verhindern, dass Internetkriminelle und Wirtschaftsspione an sensible Daten kommen, sind sichere Passwörter. Jeder Mitarbeiter muss wissen, was sichere Passwörter kennzeichnet (z. B. mindestens 8 Zeichen, Kombination aus Zahlen und Buchstaben in Groß- und Kleinschreibung) und warum diese regelmäßig geändert werden sollten. Aber auch dabei gilt: Nicht zu kompliziert gestalten, damit es merkbar bleibt. |
Vorsicht bei der Weitergabe persönlicher Informationen | Seien Sie zurückhaltend mit der Weitergabe persönlicher Informationen. Seien Sie misstrauisch. Klicken Sie nicht automatisch auf jeden Link oder jeden Dateianhang, der Ihnen per E-Mail gesendet wird. Überprüfen Sie gegebenenfalls telefonisch, ob der Absender der Mail authentisch ist. Wenn Sie Software herunterladen möchten, dann sollten Sie dies möglichst ausschließlich von der Webseite des jeweiligen Herstellers tun. |
USB-Sticks und andere externe Speichermedien vor der Nutzung überprüfen | USB-Sticks und andere USB-Geräte und Speichermedien können IT-Sicherheitssysteme wie Firewall oder Virenschutz aushebeln. Daher ist es sinnvoll, sie vorher an einem dafür vorgesehenen Rechner zu testen. |
Sichere E-Mail-Nutzung | Sensible Informationen sollte immer verschlüsselt werden. Dafür gibt es mittlerweile leicht anwendbare Programme. |
Regeln für die Social-Media-Nutzung | Facebook, WhatsApp & Co.: Mitarbeiter nutzen während der Arbeitszeit soziale Netzwerke. Daher ist es ratsam, dafür Vorgaben zu machen, die Datensicherheit gewährleisten. |
Veranwortlichkeiten schaffen | Da die meisten Chefs nicht viel Zeit haben, um sich mit den IT-Risiken und Sicherheitsmaßnahmen ausführlich zu beschäftigen, kann es sinnvoll sein, einen Verantwortlichen zu benennen und entsprechend ausbilden zu lassen. |
Compliance-Bestimmungen berücksichtigen | Unternehmen sind gesetzlich verpflichtet Datenschutzregeln einzuhalten. Dazu gehören auch archivierungsrechtliche Pflichten (z. B. für das Finanzamt). |
Mittelständler sollten deshalb klären | Welche E-Mails sind wie lange zu archivieren? Welche sind wann wieder zu löschen? Wie sind geschäftliche und private E-Mails zu trennen? |
Fazit: Die hier genannten 12 Punkte helfen Ihnen dabei, mit vertretbarem Aufwand ein innerbetriebliches Sicherheitsnetz zu spannen. Das Wichtigste dabei ist: Entwickeln Sie ausreichend Sensibilität im Umgang mit IT-Systemen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt darüberhinaus noch einige Maßnahmen, die Sie ebenfalls beachten sollten. Die weiteren Empfehlungen sind ergänzende Maßnahmen, mit deren Umsetzung Sie Cyber-Kriminellen weniger Angriffsfläche bieten und präventiv dafür sorgen können, Ihre Internet-Sicherheit zu verbessern und mögliche negative Folgen zu mindern.
Einsatz moderner Internet-Browser | Verwenden Sie einen modernen Internet-Browser mit fortschrittlichen Sicherheitsmechanismen wie etwa einer Sandbox. Konsequent umgesetzt wird dieser Schutz gegenwärtig zum Beispiel von Google Chrome. Zudem sollte der Browser über einen Filtermechanismus verfügen, der Sie vor schädlichen Webseiten warnt, bevor Sie diese ansurfen. Beispiele solcher Filtermechanismen sind der Smart Screen Filter beim Internet Explorer sowie der Phishing- und Malwareschutz bei Google Chrome und Mozilla Firefox. Darüber hinaus sollten Sie nur solche Browser-Zusatzprogramme "Plugins" verwenden, die Sie unbedingt benötigen. |
Verschiedene Passwörter bei Online-Diensten | Nutzen Sie möglichst sichere Passwörter. Verwenden Sie für jeden genutzten Online-Dienst – zum Beispiel E-Mail, Online Shops, Online Banking, Foren, Soziale Netzwerke – ein anderes, sicheres Passwort. Ändern Sie diese Passwörter regelmäßig. Vom Anbieter oder Hersteller voreingestellte Passwörter sollten Sie sofort ändern. |
Verschlüsselte Verbindung | Wenn Sie im Internet persönliche Daten übertragen wollen, etwa beim Online Banking oder beim Online Shopping, dann sollten Sie dies ausschließlich über eine verschlüsselte Verbindung tun. Jeder seriöse Online-Dienst bietet eine solche Möglichkeit an, beispielsweise durch die Nutzung des sicheren Kommunikationsprotokolls "HTTPS". Sie erkennen dies an der von Ihnen aufgerufenen Internetadresse, die stets mit "https://" beginnt und an dem kleinen Schloss-Symbol in Ihrem Browserfenster. |
Programme deinstallieren | Deinstallieren Sie nicht benötigte Programme. Je weniger Anwendungen Sie nutzen, desto kleiner ist die Angriffsfläche Ihres gesamten Systems. |
Verschlüsseltes WLAN | Wenn Sie ein WLAN ("Wireless LAN", drahtloses Netzwerk) nutzen, dann sollte dies stets mittels des Verschlüsselungsstandards WPA2 verschlüsselt sein. |
Sicherheitsstatus prüfen | Überprüfen Sie in regelmäßigen Abständen den Sicherheitsstatus Ihres Computers und ggf. Netzwerks. |