Sicherheit im Unternehmen: Tipps für eine sichere IT

Die Frage ist nicht, ob ein Unternehmen durch Hacker angegriffen wird, sondern nur wann. Sicherlich spielt dabei eine Rolle, als wie „wichtig“ das Netzwerk gilt, aber auch, welche Vorsichtsmaßnahmen getroffen wurden.

Tipps für mehr Sicherheit

Es ist nicht ganz einfach, für ein Höchstmaß an Sicherheit im Unternehmen zu sorgen, wenn irgendwo auf dieser Welt jemand die ganze Zeit daran tüftelt, wie er möglichst effektiv in Netzwerke einbrechen kann. Wenn Sie nicht zu einem Ziel gehören, werden Sie vielleicht durch Zufall zu einem. Es gilt also in jedem Fall, bestimmte Dinge zu berücksichtigen, um für mehr IT-Sicherheit im Unternehmen zu sorgen. Dazu gehört in jedem Fall, den Remote-Zugriff, einen der typischen Angriffspunkte, so sicher wie möglich zu gestalten, das heißt zum Beispiel, eine Software einzusetzen, die beim Remote-Zugriff eine mehrstufige Authentifizierung verlangt.“

Denn beinahe jedes Unternehmen wird früher oder später Opfer eines Hackerangriffs, wobei verständlich ist, dass die Firmen dieses Erlebnis lieber auf später verschieben wollen. Mit den folgenden allgemeinen Handlungsempfehlungen erhöhen Sie die Sicherheit in Ihrem Unternehmen:

1. Verständnis für den Hacker entwickeln
   Damit ist nicht gemeint, dass Sie Nachsicht mit ihm üben sollen. Vielmehr sollten Sie verstehen, warum er bei Ihnen einbrechen will. Geht es wie so oft ums Geld? Geht es um Prestige, weil Sie ein besonders kompliziertes Sicherheitssystem haben? Verstehen Sie Ziele und Taktiken und seien Sie gewiss, dass die meisten Hacker nur halb so raffiniert vorgehen, wie ihnen immer unterstellt wird. Meist wollen sie so einfach wie möglich ans Ziel gelangen und passen ihre Vorgehensweise entsprechend an.
2. Das Sicherheitssystem anpassen
   Wenn in Ihrem Unternehmen kaum etwas zu holen ist und auch kaum sensible Daten gespeichert werden, brauchen Sie ein weniger ausgefeiltes Sicherheitssystem als ein Unternehmen, das hochbrisante Dinge auf den Rechnern zu liegen hat. Planen Sie außerdem eine Cyberversicherung ein, diese trägt im Schadensfall die Kosten. Und diese können hoch sein, wenn es um eine Verletzung von persönlichen Daten bzw. deren Schutz geht!
3. Mitarbeiterschulungen
   Alle Mitarbeiter eines Unternehmens sollten darin geschult sein, was es heißt, auf Phishing zu reagieren oder zu erkennen, wenn sich jemand unbefugt Zugriff zu geschützten Daten verschaffen wollte. Zu den Schulungen sollte auch der bewusste Umgang mit Passwörtern gehören.
4. Zugänge kontrollieren
   Um sensible Daten zu schützen, muss der Zugriff autorisiert werden. Erlauben Sie nicht zu viele Benutzeridentitäten und lassen Sie alle eine mehrstufige Authentifizierung durchlaufen. Der Zugang zu den Daten sollte als Privileg betrachtet werden!
5. Das Szenario durchspielen
   Alle Angestellten, Vorstandsmitglieder und überhaupt alle in einem Unternehmen Tätigen sollten wissen, wie sie sich im Fall einer Datenschutzverletzung oder eines Hackerangriffs verhalten sollten. Die genaue Vorgehensweise sollte regelmäßig kommuniziert werden. So wird niemand überrascht und ist später überfordert, wenn herauskommt, dass es einen Angriff auf das Netzwerk gegeben hat.

Netzwerke als Risiko

Noch vor einigen Jahren gab es den oder die Firmenrechner, wobei jeder PC für sich arbeitete. Dann gab es das Firmennetzwerk und das Internet und heute sind sogar Smartphones und Tablets mit den Rechnern verbunden. Heraus kommt dabei ein umfassendes Netzwerk, das von verschiedenen Stellen aus angreifbar ist.

Das Internet of Things mag hilfreich sein, ist es aber für die Hacker ebenso und hat sich zum größten Spielplatz für alle, die sich unerlaubten Zugang zu Daten verschaffen wollen, entwickelt. Die immer größer werdende Angriffsfläche für Hacker muss besonders geschützt werden und es obliegt jedem Unternehmen, die IT-Sicherheit im Firmennetzwerk zu erhöhen. Neben den bereits genannten und eher allgemeinen Tipps sind auch die folgenden Punkte wichtig:

1. Effektive Zusammenarbeit fördern
   In einem Unternehmen geht es in der Regel um Effizienz. Leider wird diese beim Umgang mit Daten noch eher wenig verfolgt. Es gilt daher, die Silostruktur zu beseitigen und dafür zu sorgen, dass es weniger leicht zu Einbrüchen bei Prozessen und Informationsverarbeitungen kommt. Die Organisationsstrukturen sollten nicht streng hierarchisch sein, denn viele Netzwerkteams bekommen nur sehr beschränkt mit, was der Support gerade leisten muss. Wer über ein Aufgabenfeld nicht Bescheid weiß, kümmert sich auch nicht darum und ist am Ende überrascht, wenn es ihn doch betrifft. Datensilos sollten entfernt werden, stattdessen müssen die Teams auf das gleiche Tool sowie auf die gleichen Datensätze zugreifen können.
2. Transparenter werden
   Alle Mitarbeiter müssen wissen, auf welche Daten es ankommt und welche wirklich schützenswert sind. Dies macht es leichter, den Schutz möglichst umfassend zu gestalten und im Rahmen einer Analyse festzulegen, wie groß ein potenzieller Verlust sein würde. Wer weiß, wo die Schwachstellen liegen, kann anders reagieren und schützt diese explizit. Dies wiederum benötigt mehr Transparenz im Unternehmen. Es muss nicht nur bekannt sein, welche Daten überhaupt genutzt werden, sondern auch, auf welchen Geräten diese gespeichert sind und wer darauf Zugriff hat. Der Administrator kann durch die Erfassung aller Daten ein Situationsbild erstellen und weiß genau, wer wann und wo auf welche Daten zugreift.
3. Mehr Automatisierung
   Die Spezialisten des IT-Supports werden entlastet, wenn sie wissen, welche Aufgaben wie zu managen sind und wenn diese möglichst automatisiert ablaufen können. Viele Aufgaben sind sehr zeitintensiv, gleichzeitig aber zeitkritisch und müssen so schnell wie möglich erledigt werden. Wenn IT-Prozesse automatisiert ablaufen, werden Termine und Fristen besser eingehalten und es kommt seltener zu Verzögerungen und Fehlern. Insgesamt steigt dadurch die Sicherheit innerhalb der gesamten IT enorm und der Support hat gleichzeitig die Chance, gezielt auf Ereignisse zu reagieren und zielgerichtete Maßnahmen zu ergreifen. Wichtig ist dafür aber, dass offene Applikationsschnittstellen genutzt werden.
4. IT-Verantwortliche stärken
   Wenn die IT gut funktionieren soll, müssen die entsprechenden Mitarbeiter gestärkt werden. Es gilt, fachkundige und erfahrene Mitarbeiter zu finden, die sich mit diesem Bereich auskennen und die sich in diesem gerade erst entwickelten Berufszweig der IT-Sicherheit ständig weiterbilden. Die Experten müssen sich mit Netzwerken ebenso auskennen wie mit den Themen Anwendungssicherheit und Cloud Computing, sollen außerdem das mobile Internet und dessen Herausforderungen berücksichtigen. Die neuen Technologien, die eingesetzt werden, sind eine Hilfestellung und sorgen dafür, dass Spezialwissen weiter ausgebaut wird. Die Experten arbeiten dann mit neuen Apps und Softwares zusammen und können direkt nach dem Auftreten einer Bedrohung reagieren.

Sicherheit im WLAN

Für jedes Unternehmen ist der Schutz sämtlicher Daten von größter Wichtigkeit. So gilt es auch, das weitverbreitete WLAN zu schützen, wobei an erster Stelle die passende Verschlüsselung steht. Hier gilt der einfache Grundsatz, dass meist die Verschlüsselungstechnik am besten ist, die gerade die neueste ist. Ausnahme: Der WPS-Standard verbindet alle Geräte eines Nutzers per Knopfdruck mit dem Router. Hacker wissen das und nutzen es als Angriffspunkt. Ein Passwort ist hier nicht nötig, was die Sache deutlich vereinfacht. Im Zweifelsfall sollten Sie diese Funktion daher lieber abschalten.

Wählen Sie ein sicheres Passwort für Ihr WLAN im Unternehmen (und auch zu Hause)! Je mehr Zeichen das Passwort hat, desto schwerer lässt es sich knacken. Allerdings ist es auch schwerer zu merken, daher sollten Sie es vielleicht einmal mit einem ganzen Satz probieren. Auch ein Buchtitel kann zum Passwort werden und beinhaltet bestenfalls eine Kombination aus Buchstaben und Zahlen. Oder Sie ergänzen Buchstaben durch Sonderzeichen und müssen sich nur noch merken, welche Sonderzeichen das waren.
Halten Sie Firmware aktuell und sorgen Sie dafür, dass kein Fernzugriff möglich ist.

Mit jeder Aktualisierung stellt sich wieder diese Frage und nicht selten ist der Fernzugriff schon in den Voreinstellungen aktiviert. Das mag praktisch sein, öffnet einem Hacker aber Tür und Tor. Sind Sie auf diesen Fernzugriff nicht angewiesen, sollten Sie ihn deaktivieren.

Abschalten sollten Sie auch den DHCP-Server, wenn Sie Ihr WLAN sicherer machen wollen. Dieser Server sorgt dafür, dass zahlreiche Informationen verschickt werden und dass diese zu allen angeschlossenen Endgeräten gelangen. Wieder eine gute Angriffsstelle für Hacker!

Nutzen Sie die MAC-Adresse für Ihre Sicherheit und konfigurieren Sie den Router so, dass er sich nur mit den Geräten verbindet, die eine bestimmte MAC-Adresse haben. Geben Sie hier zum Beispiel an, dass nur Smartphone oder Notebook Zugriff auf das WLAN bekommen. Allerdings ist dies keine allein gültige Sicherheitsmaßnahme, denn viele Tools können MAC-Adressen auslesen und bekommen so Zugriff auf die Daten bzw. auf das Netzwerk. Jedoch machen sich nur wenige Hacker die Mühe, die vielen Hindernisse vor dem möglichen Zugriff zu umgehen.

Zuguterletzt: Wenn Sie das WLAN ab und zu ausschalten, machen Sie es potenziellen Hackern um ein Vielfaches schwerer. Diese wissen nicht, wann sich ein Angriff lohnt und wann sie wirklich in das Netzwerk eindringen können. Wenn sie es mehrere Male probiert haben und erfolglos geblieben sind, geben sie vielleicht auf. Bis dahin haben Sie und Ihr IT-Team erkannt, dass ein Angriff vorlag und konnten entsprechend darauf reagieren sowie die Sicherheitsmaßnahmen erhöhen. Das Ausschalten des WLAN kann auch für einzelne Geräte sinnvoll sein, denn nicht alle müssen Tag und Nacht im Netzwerk online sein.

---

Bildnachweis:©Shutterstock-Titelbld: Gorodenkoff-#01: _ Monkey Business Images -#02: Ditty_about_summer -#03: _ Billion Photos