DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicher­heits­lücke Orga­ni­sation

Server

Wer seine Daten schützen will, sollte nicht nur auf Software bauen, sondern den Zugang und Zugriff auf Geräte, Pro­gramme und Daten regeln. Wer in Zukunft unbe­ob­achtet bleiben möchte, sollte diesen Beitrag lesen.

 

In den bereits erschienen Bei­trägen der Serie „Räderwerk der Sicherheit“ haben wir über ver­schiedene Sicher­heits­kom­po­nenten und ihr Zusam­men­wirken gesprochen. In diesem Beitrag gehen wir es phy­ischer an,  ganz nach dem Motto „Ich weiß, was Du geschrieben hast!“

Arglos ver­richten Mit­ar­beiter und Chefs ihre Arbeit. Was sie nicht wissen: Sie sind nicht mehr unbe­ob­achtet. Irgendwer hat einen Sniffer im Netzwerk instal­liert und liest fleißig mit. Jeder Brief, jeder Recht­schreib­fehler und auch jedes Passwort wird akri­bisch pro­to­kol­liert. Eigentlich ist es der Job eines Admi­nis­trators über die Benutzer, Res­sourcen und Zugriffe zu wachen, nicht der eines uner­wünschten Pro­grammes. Doch wenn der Admin seine Arbeit nicht ordentlich erledigt oder noch schlimmer, dafür in der Geschäfts­leitung kein Bedarf gesehen wird, geht die Instal­lation schnell und vor allem unbe­merkt von­statten. Sie werden  auch nichts bemerken. Denn Hacker­pa­ra­graph hin oder her, ein Admin-Tool hat eben diese Fähig­keiten. Bei den Tools handelt es sich ja auch nicht um Schad­software.

Ein unrea­lis­ti­sches Sze­nario? Mit­nichten! Das ist Rea­lität. Es benötigt keine tief­schür­fenden Maß­nahmen und kom­pli­zierte Win­kelzüge durch das Internet, um an das Aller­hei­ligste eines Unter­nehmens zu gelangen. Nein, viel ein­facher: Es genügt eine ein­zelne Person, die Zutritt zu den Räum­lich­keiten hat und Zugang zu Siche­rungs­bändern, Daten­trägern oder PCs. Dabei spielt es keine Rolle, ob es sich um einen Mit­ar­beiter, Prak­ti­kanten, Besucher, Kunden, Lie­fe­ranten oder ver­schiedene Formen von Dienst­leistern, wie Rei­ni­gungs­kräfte, Hand­werker, EDV-Partner handelt.

Wer nur an Ihrer Ver­gan­genheit inter­es­siert ist, bedient sich nur an den vor­han­denen Daten­trägern: Fest­platten sind schnell aus­gebaut oder es wird gleich der ganze PC/Server ent­wendet. Backups haben den beson­deren Charme, dass deren Daten in der Regel unver­schlüsselt abgelegt sind. Und auch Druck­server haben nicht zwangs­läufig eine ein­ge­baute Daten­­lösch-Funktion, auch hier liegt die ver­sam­melte Geschäfts­kor­re­spondenz der letzten Wochen säu­berlich sor­tiert.

Wer sich für Ihre künftige Arbeit inter­es­siert geht anders vor, natürlich unbe­merkt. Es wird nichts ent­wendet oder zer­stört. Im Gegenteil, Sie erhalten neue Hardware und/oder Software frei Haus. Viel­leicht sogar ein kos­ten­loses Funk-Modul.

Alles unbe­merkt?
Nicht grund­sätzlich. Wer aller­dings glaubt, dass Sicher­heits­software das All­heil­mittel gegen Angriffe ist, hat die Natur des Pro­blems nicht ver­standen. Sicher­heits­software ist zunächst auch nur ein Stück Software und wird erst dann wirksam, wenn der PC ord­nungs­gemäß in Betrieb genommen wird. Und dann schützt sie auch nur, was der Admin zulässt. Also Software, der der Admi­nis­trator Auf­gaben zuweist, und durch die Kon­fi­gu­ration Berech­ti­gungen ver­leiht, aber auch Grenzen setzt.  Was die nächste Frage auf­wirft: Wer alles hat admi­nis­trative Rechte? Etc.

Wer bereit ist regel­mäßig sein System auf Herz und Nieren prüfen zu lassen, Hard- und Software geplant und doku­men­tiert im Einsatz hat und über einen Admi­nis­trator verfügt, der bestimmte Vor­gänge im Netzwerk unter­bindet oder pro­to­kol­liert, hat die Grundlage für ein sicheres System geschaffen. Wichtig ist ein struk­tu­riertes Vor­gehen, das „von außen nach innen“ das Unter­nehmen umfassend und die Pro­zesse in ihrem Wirk­zu­sam­menhang betrachtet. So ist es mehr als kon­tra­pro­duktiv den Mit­ar­beitern alles zu beschneiden und sich als Chef mit einem Notebook auf eine Messe im Ausland zu begeben, wenn man bei­spiels­weise admi­nis­trative Rechte besitzt, keine Fest­plat­ten­ver­schlüs­selung ver­wendet oder einen Remote-Zugang ins hei­mische Netzwerk besitzt, etc.

Nur auf­ein­ander abge­stimmte Maß­nahmen, die bei Räum­lich­keiten  beginnen, und auch Ver­än­de­rungen an der Hard- bzw. Soft­ware­aus­stattung regis­trieren bieten aus­rei­chenden Schutz.

Teil 1: Safety & Security

Teil 2: Kom­po­nenten der Sicherheit

Teil 3: Zusam­men­spiel von Viren­schutz und Berech­ti­gungen

Bild:  © C. Nöhren / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.