DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicher mit dem Internet agieren

Der gestern sicher geglaubte Inter­net­zugang bedarf regel­mä­ßiger Über­prüfung. Sonst steht er morgen für uner­wünschte Besucher oder Dienst­leister offen.

 

 

 

Die Rolle des Internets bestand anfangs lediglich darin, Infor­ma­tionen bereit­zu­stellen und die Kom­mu­ni­kation mit Geschäfts­partnern zu erleichtern. Seit dem Umstieg auf das Web 2.0 hat sich das Internet wei­ter­ent­wi­ckelt: Es ist ein Inter­ak­tives Medium, dessen Grenzen zu internen Pro­zessen zuse­hends ver­schwinden. Das Internet wird inte­graler Bestandteil in den Pro­zess­ab­läufen zwi­schen Geschäfts­partnern, staat­lichen Stellen und eigenen Mit­ar­beitern.

Wo Licht ist, ist auch Schatten

Was auf der einen Seite durch die Ver­netzung von Pro­zessen unter­schied­licher Unter­nehmen in z.T. ver­schie­denen Ländern im Wett­bewerb einen Sprung nach vorne bedeutet, kann auf der anderen Seite auch im Super-GAU enden: Ein sehr plas­ti­sches Negativ-Bei­­spiel für den Wegfall der Inte­grität des eigenen Netz­werkes ist der aktuelle Fall von Privat-Out­­sourcing. Durch zuneh­mende Ver­netzung und mobile Zugriffe auf Cloud-Dienste fallen alte Schutz­wälle. Dies erfolgt zum Teil unbe­merkt, da die neuen Tech­niken z.T. neue Kon­zepte erfordern, die den neuen Mög­lich­keiten Rechnung tragen. Auch der Fall „Roter Oktober“ ist nur eines der bekannt gewor­denen Bei­spiele.

End­­point-Security, Authen­ti­fi­zierung, Zugriffs­schutz etc.

Durch den ver­stärkten Einsatz dieser Formen der Zusam­men­arbeit erhält der Schutz vor unbe­rech­tigtem Zugriff eine Schlüs­sel­funktion: Weit ver­breitete Schad­software dient inzwi­schen nicht mehr nur zum Miss­brauchen von Daten, sondern auch zum Fern­zu­griff und zur Fern­steuerung fremder PCs. Gezielte Angriffe auf ein­zelne Unter­nehmen oder Struk­turen im Internet dienen dagegen spe­ziell der Spionage oder Störung wirt­schaft­licher Pro­zesse.

Einen Teil der Aufgabe zum Schutz vor unbe­rech­tigtem Zugriff erledigt Sicher­heits­software, wie Anti­vi­ren­pro­gramme und Firewall. Wirksam schützen können diese Helfer aller­dings nur, wenn sicher­ge­stellt ist, dass kein unbe­rech­tigter die Ein­stel­lungen ver­ändern kann (siehe Beitrag Risiken ein­dämmen). Benut­zer­ver­waltung und Sicher­heits-Updates ergänzen diese weit­gehend auto­ma­tisch und autonom arbei­tenden Wächter. Gerade die Benut­zer­ver­waltung wacht mit der Authen­ti­fi­zierung durch Pass­wörter und Berech­ti­gungen über das erfor­der­liche Maß an Zugriffen auf sen­sible Daten und sperrt Unbe­rech­tigte aus. Das Rol­len­konzept mit der Trennung von admi­nis­tra­tiven („Admi­nis­trator“) und pro­duk­tiven Tätig­keiten („ein­ge­schränktes Benut­zer­konto“ führt so weit, dass zum einen ein pro­duktiv ange­mel­deter Mit­ar­beiter keine Pro­gramme instal­lieren oder kon­fi­gu­rieren kann, zum anderen dies auch Pro­gramme und Skripten im Browser ver­wehrt wird.

Nun kann leider nicht alles auto­ma­ti­siert werden. Ein infor­mierter, wach­samer Mit­ar­beiter der nicht alle Mel­dungen mit <ENTER> bestätigt, sondern mit dif­fe­ren­ziertem Ver­halten reagiert und ggf. auch einen Fachmann hin­zu­zieht ist eine nicht zu unter­schät­zende, wert­volle Unter­stützung. Dies gilt nicht nur für die Nutzung der Dienste des Internets, sondern auch bei der lokalen Benutzung von Schnitt­stellen wie z.B. USB.

Für Sicher­heits­vor­keh­rungen zum Arbeiten im Unter­neh­mens­netzwerk finden Sie spe­ziell in den Teilen 3 <Link> und 4 dieser Serie<Link> weitere Infor­ma­tionen.

Für das Arbeiten vom Heim­ar­beits­platz und von mobilen End­ge­räten aus (siehe auch Beitrag Unterwegs sicher ins Netz) sind zusätzlich Sicher­heits­vor­keh­rungen für den Zugriff auf das Unter­neh­mens­netzwerk zu treffen (siehe Beitrag 5 Tipps für mehr Sicherheit beim mobilen Arbeiten). Eine sichere Ver­bindung via SSL oder VPN sperrt Neu­gierige aus. Offene WLAN-Hot­­spots an öffent­lichen Orten, Inter­net­cafés und Hotels sind grund­sätzlich nicht zu emp­fehlen.

Darüber hinaus sollten Pass­wörter nie fest im Betriebs­system hin­terlegt werden, bei Online-Anwen­­dungen sollte niemals die Funktion „ange­meldet bleiben“ akti­viert werden. Per­sön­liche und sen­sible Daten sollten grund­sätzlich nur auf gesi­cherten Seiten ein­ge­geben werden, etwa auf https-Seiten. Für die Kom­mu­ni­kation gilt: Nur die elek­tro­nische Signatur gewähr­leistet, dass Absender und Inhalt einer E‑Mail unver­fälscht sind. Ver­traulich können Inhalte aus­schließlich mittels Ver­schlüs­selung über­tragen werden.

Die bisher erschienen Bei­träge der Serie zur Digi­ta­li­sierung:

Teil 1 “Hand­lungs­bedarf bei neu ent­stan­denen Sicher­heits­lücken

Teil 2 “Die Rolle des eGo­vernments bei der digi­talen Kor­re­spondenz

Teil 3 “Daten­schutz und Daten­si­cherheit beginnen am Arbeits­platz

Teil 4 “Pro­zesse orga­ni­sieren, sicher arbeiten

Teil 5 “Risiken ein­dämmen

Teil 7 “Wie viel Sicherheit ist nötig — Wie viel ist genug

Bild:  © Gerd Altmann / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.