DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Kom­po­nenten der Sicherheit

Einbruch

Eine Kette ist nur so stark wie das schwächste Glied. Deshalb sollten Sie beim Sicher­heits­konzept alle not­wen­digen Kom­po­nenten im Auge behalten.

Ein Teil von Software-Kom­­po­­nenten wird bei­spiels­weise bei MS Windows gleich frei Haus geliefert.  Ein Teil kann je nach Bedarf zuge­kauft werden. Zudem muss einiges orga­ni­sa­to­risch erledigt werden. Lassen Sie uns zunächst die ver­schie­denen Sicher­heits­kom­po­nenten einzeln betrachten.

 

 

Sicher­heits­software
Die schlechte Nach­richt zuerst: Sie schützt nicht gegen Fehl­funk­tionen oder feh­ler­hafte Bedienung bzw. Defekte. Die gute Nach­richt gleich hin­terher: Sie ist aber sehr wichtig gegen Malware, Angriffe und unbe­rech­tigte Zugriffe. Der Viren­scanner kümmert sich um schäd­liche Software, die Firewall um die Zugriffs­be­rech­ti­gungen, die Kom­mu­ni­kation und den Daten­aus­tausch der Pro­gramme mit anderen PCs oder dem Internet. 

Benut­zer­ver­waltung, Policies, Pass­wörter
Für das Herz­stück brauchen Sie keine extra Software, sondern nur einen Über­blick über Mit­ar­beiter und Pro­gramme: Mit der Benut­zer­ver­waltung regeln Sie, wer was darf oder besser, wer welche Dinge nicht darf.  Sie können grund­sätzlich com­­puter- oder nut­zer­be­zogen fest­legen, welche Pro­gramme und Betriebs­sys­tem­funk­tionen aus­ge­führt werden dürfen. Mit indi­vi­du­ellen Nutzer-Pas­s­­wörtern regeln Sie den Zugang zu Pro­grammen und Daten. Wer sich anmeldet, iden­ti­fi­ziert sich am PC. Durch die Benut­zer­ver­waltung erhält jeder „seine“ für die Arbeit erfor­der­lichen  Berech­ti­gungen bzw. Sperren. Wer sich nicht anmelden kann, kann den PC oder bestimmte Pro­gramme und deren Daten nicht benutzen. Ganz einfach und effektiv. Der Download von Musik oder Videos, bzw. das Spielen ist damit schnell abge­stellt.  

Bei­spiel:
Die Lohn­buch­haltung ist im Unter­neh­mens­netzwerk viel­leicht sinn­vol­ler­weise auf einem spe­zi­ellen PC abgelegt, doch nur die ent­spre­chenden Berech­ti­gungen und Pass­wörter sorgen dafür, dass kein Unbe­rech­tigter darauf zugreifen kann. Nur die Mit­ar­beiter, die für die Lohn­ab­rechnung zuständig sind, können diese auf­rufen und bear­beiten.
Pass­wörter, die bereits vor dem Hoch­fahren des Rechners abge­fragt werden ( BIOS-Pas­s­­wörter) sorgen dafür, dass der PC nur von berech­tigen Per­sonen gestartet werden kann.

Updates
Malware ver­sucht gerne, bekannte und nicht geschlossene Sicher­heits­lücken aus­zu­nutzen. Sind die Lücken geschlossen, wird ein hoher Anteil der Schad­software einfach aus­ge­sperrt.
Deshalb gilt: Sicher­heits­lücken schließen, Updates vom Her­steller möglich bald instal­lieren!
Die Crux dabei ist, dass Updates aber auch den PC oder das Netzwerk zum Absturz bringen können, wenn sich Kom­po­nenten ver­schie­dener Software nicht unter­ein­ander ver­tragen. Deshalb sollte diese Aufgabe von einem Admi­nis­trator vor­ge­nommen werden, der sich vorher über mög­liche und bekannte Pro­bleme mit den jewei­ligen Updates aus­ein­ander gesetzt hat.

Daten­si­cherung
Und doch lässt es sich manchmal nicht ver­hindern: Der “Worst Case” tritt ein. Über­schwemmung, Ein­bruch, Hardware-Defekt: Die Daten sind weg oder beschädigt. Die Daten­si­cherung ist Ihre letzte Hoffnung! Kon­trol­lieren Sie daher regel­mäßig, ob alle für Sie wich­tigen Daten gesi­chert wurden. Ver­gessen Sie dabei nicht die mobilen Geräte – dazu habe ich bereits einen Artikel erstellt, in dem Sie sich detail­liert infor­mieren können. Prüfen Sie dann, ob die Sicherung wirklich funk­tio­niert! Spielen Sie Daten zurück und prüfen Sie diese. Selbst­ver­ständlich lagern Sie die ver­wen­deten Medien so, wie der Her­steller dies emp­fiehlt. Ein Magnetband nimmt es Ihnen bei­spiels­weise schnell übel, wenn Sie es neben einem Strom­ver­braucher oder einem Magnetfeld ablegen, eine DVD ver­trägt keine Sonne.

Mobile Geräte
Über die bereits geschil­derten Maß­nahmen hinaus besteht bei mobilen Geräten die Gefahr, sie fallen zu lassen, sie zu ver­lieren oder, dass sie gestohlen werden. Umso mehr, je kleiner das Gerät ist. Spä­testens dann stellt man fest, welche Daten nur auf dem Gerät vor­handen sind und dass, ohne Passwort, jeder auf die Daten zugreifen kann. Sind Zugangs­daten ins Fir­men­netzwerk oder Internet hin­terlegt, kann sich jeder beliebig an Ihren Daten ver­greifen. Im schlimmsten Fall in Ihrem Namen Ein­käufe tätigen bzw. Malware an die Geschäfts­partner ver­teilen etc. Die Ein­bindung von mobilen Geräten sollte deshalb besonders sicher­heits­kri­tisch geprüft werden (mehr dazu).

Sicher­heits­maß­nahmen im Zeit­verlauf
Das alles nützt natürlich nur, wenn jemand weiß, wie die Software ein­zu­richten ist und im lau­fenden Betrieb die Mel­dungen der Sicher­heits­software ver­steht und auch regel­mäßig prüft, was die Software zum Teil nur in ihren Log­bü­chern über (poten­zielle) Angriffe meldet.
Aber über die Her­an­ge­hens­weise lassen Sie uns in einem der nächsten Bei­träge sprechen…

Teil 1: Safety & Security

Teil 3: Zusam­men­spiel von Viren­schutz und Berech­ti­gungen

Teil 4: Sicher­heits­lücke Orga­ni­sation

Bild: © Rainer Sturm / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.