Mittelständische Unternehmen stecken in einem großen Dilemma. Sie sind einerseits verpflichtet, für eine angemessene Sicherheit der Geschäftsdaten zu sorgen, andererseits fehlen ihnen sowohl das Personal als auch teilweise das Verständnis für die Notwendigkeit. In mehr Firmen als vermutet herrscht immer noch die Haltung vor: "Es ist bei uns doch noch nie etwas passiert, und außerdem betrifft uns das ohnehin nicht".
Zudem wird Informationssicherheit meist nur als zusätzlicher Kostenfaktor gesehen, da sich der mögliche Gewinn oder die Verbesserung der Umsatzrendite nicht so einfach rechnen lässt. Dass Betriebe durch eine ausreichende Informationssicherheit auch Wettbewerbsvorteile haben, wird oft übersehen. In Summe führt das dazu, dass die Sicherheitsproblematik so lange ignoriert wird, bis es zu spät ist und Unternehmen erst nach dem Schaden klüger werden.
Im Folgenden nennt die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS), eine neutrale Selbsthilfeorganisation der deutschen Wirtschaft, zehn Möglichkeiten, wie mittelständische Firmen mit relativ wenig Aufwand bereits eine gewisse Grundsicherheit erreichen können. Allerdings ist immer zu beachten, dass Informationssicherheit ein laufender Prozess und kein abschließbares Projekt ist.
Tipp 1: Führen Sie eine Risikoanalyse durch
Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest ein wenig Klarheit über mögliche Gefahren und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise, worauf Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell § 9 und dessen Anlage, helfen weiter.
Tipp 2: Informationssicherheit beginnt von oben
Vorgesetzte müssen in puncto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden. Darüber hinaus haben kryptische Meldungen der Sicherheitssysteme, wie sie heute oft noch üblich sind, eine kontraproduktive Wirkung. Wenn die Mitarbeiter davon ausgehen, die Meldungen der Firewall oder Sicherheitssoftware sowieso nicht zu verstehen, oder dass ihnen bei der Verneinung der jeweiligen Abfrage Ärger droht, ist das ein zweifelhafter Dienst für die Sicherheit.
Tipp 3: Passwörter und Benutzernamen einrichten
Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon allein aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum § 9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert. Solche Passwörter finden sich dann oft frei zugänglich als Post-it am Monitor oder unter der Tastatur. Richten Sie auch für jeden Benutzer ein eigenes Passwort ein.
Tipp 4: Virenscanner und Firewall sind ein Muss
Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken.
Tipp 5: Daten regelmäßig sichern
Informationssicherheit bedeutet nicht nur Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden oder durch Unachtsamkeit auftreten. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern. Im Brandfall würde diese Datensicherung nichts helfen. Es gibt heute preiswerte und sichere Lösungen für Online-Backup in Rechenzentren.
Tipp 6: Erstellen Sie einen Notfallplan
In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich. Müssen Betriebe erst Telefonnummern recherchieren, die möglicherweise auch noch auf dem zerstörten Rechner liegen, haben sie ein Problem mehr.
Tipp 7: Private E-Mail- und Web-Nutzung regeln
Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung erlaubt weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Webseiten zu verhindern. Vermeiden Sie die Ausführung von Skriptsprachen wie zum Beispiel Java auf den lokalen Rechnern, sofern diese nicht von vertrauenswürdigen Websites stammen. Viele Angriffe kommen auf diesem Weg.
Tipp 8: Mobile Datenträger absichern
Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der Mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich.
Tipp 9: Server und Netzwerk schützen
Die physikalische Infrastruktur ihres Unternehmens, das heißt Server, Netzwerk etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon allein aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden. Für einen halbwegs geübten Experten (bisweilen auch IT-Manager) ist das Kopieren der Daten bei physikalischem Zugriff kein Problem, im Zweifel wird die ganze Festplatte mitgenommen.
Tipp 10: Zugriffsregel erleichtern Administration
Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, die die Administration vereinfachen. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.