Zehn mal zehn goldene IT-Regeln, Teil I

7. Dienste abschalten

Server, die direkten Kontakt zum Internet haben, sind besonders den Begehrlichkeiten von Hackern ausgesetzt. Hier ist es umso wichtiger, dass nur die allernotwendigsten Dienste laufen. Schalten Sie alles ab, was nicht unbedingt für den Betrieb des Diensts benötigt wird. Gehen Sie zur Not noch einen Schritt weiter und verwenden einen nachgelagerten Server, um Dienste bereitzustellen, die nur der nach außen sichtbare Server benutzt. Ein gutes Beispiel sind Datenbanken, aus denen ein Webserver dynamische Seiten generiert.

8. Risiko-Management

Erstellen Sie zusammen mit dem Geschäftsführer und gegebenenfalls den Abteilungsleitern eine Risikoanalyse. Ziel ist es dabei, Bereiche zu identifizieren, deren Ausfall erhebliche Auswirkungen auf den Geschäftsbetrieb hat.

Danach bewerten Sie bei den einzelnen Diensten, wie anfällig sie gegen Angriffe sind. Ein vom Internet erreichbarer Server ist beispielsweise anfälliger als ein nur im lokalen Netz verfügbarer. Anhand dieser Parameter können Sie schnell ermitteln, auf welche Punkte Sie Ihre Sicherungsmaßnahmen fokussieren müssen.

9. Verschlüsselung

Trotz aller Zugangskontrollsysteme kann es immer wieder vorkommen, dass Unbefugte sich Zutritt verschaffen. Wenn diese nun Server oder Festplatten stehlen, befinden sich plötzlich unter Umständen hochwichtige Informationen in deren Händen. Damit sie diese nicht ausnutzen können, sollten Sie wichtige Daten immer verschlüsseln.

10. Passwörter und Single-Sign-On

Schwache Passwörter führen immer wieder zu erfolgreichen Einbrüchen in Server. Zu leicht lässt sich der Name der Ehefrau oder das Geburtsdatum des Benutzers in Erfahrung bringen. Erzwingen Sie daher die Verwendung starker Passwörter mittels entsprechender Maßnahmen. Müssen Ihre Benutzer sich aber zu viele komplizierte Passwörter merken, finden sich die Login-Daten vieler User schnell auf Post-its wieder oder Ihr Helpdesk kann sich auf eine Unzahl von „Passwort vergessen“-Anrufen einstellen. In diesem Fall sollten Sie über Single-Sign-On nachdenken, eventuell sogar mit einem Hardware-Token.