Gelsenkirchen. . In Sachen Daten-Sicherheit gibt es offenbar noch viel Nachholbedarf. Insbesondere kleinere Betriebe und Mittelständler lassen bei sensiblen Daten nicht die nötige Vorsicht walten.
Unternehmen, Behörden und Institutionen stellen für Hacker beliebte Ziele dar. Nicht zuletzt deshalb hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jüngst gewarnt, dass bei gut der Hälfte aller Betriebe in Deutschland digitale Türen und Tore sperrangelweit offenstehen. Wie leicht es manche Unternehmen, insbesondere kleinere Betriebe und Mittelständler, den Kriminellen machen, sich in ihre Netzwerke zu hacken und wie man sich am besten davor schützen kann, mit dieser Fragestellung hat sich die Redaktion an einen Experten gewandt.
Tobias Esser leitet die Abteilung Intranet-Dienste und Virtualisierung bei Gelsen-Net. Er berichtet: „Wir haben noch kein IT-fremdes Unternehmen besucht, bei dem in Sachen Sicherheit nichts zu verbessern gewesen wäre.“ Das betreffe den kleinen familiengeführten Malermeisterbetrieb von nebenan ebenso wie das breiter aufgestellte produzierende Gewerbe. Esser zählt ein simples Beispiel auf, allein da drückt schon oft der Schuh. „Vielfach gibt es immer noch keine Back-up-Technik, mit der man relevante Daten auf einem zweiten (ausgelagerten) Medium sichert. Spätestens dann, wenn der PC im Sekretariat oder Büro angegriffen worden ist, die gespeicherten Abrechnungen weg sind und die nächste Steuererklärung ansteht, „hat der Betreib ein massives Problem“.
Die offenkundigen Schwachstellen
Eine fortwährende Schwachstelle: der Passwortschutz. Der ist, sofern überhaupt vorhanden, nicht selten recht rudimentär, noch immer wird gern zum Vornamen der Frau oder des Mannes gegriffen – zur Freude der Hacker. Die anonymen Angreifer lachen sich aber nicht nur deswegen ins Fäustchen, sagt Tobias Esser. „Sensible Firmendaten gehören nicht auf einen lokalen Rechner, und erst recht nicht auf das allseits beliebte Laufwerk C. Das ist tödlich.“ Abhilfe schaffe ein Intranet, also ein nicht öffentliches Rechnernetz mit eingeschränktem Funktionsumfang.
Ähnlich bedrohlich ist auch der Umgang mit Speichermedien wie etwa mit dem praktischen USB-Stick. „Legt man einen davon mit der auffälligen Beschriftung Triple-X in ein Büro, so kann man die Uhr danach stellen, wann die Neugier eines Mitarbeiters siegt und der Stick am Rechner hängt. Und mit ihm ein Computer-Virus oder Trojaner“, erzählt Esser. Oft vernachlässigt würden auch Software-Updates – mindestens ein Mal am Tag sei dies Pflicht, ebenso die Installation einer Firewall (digitale Schutzmauer des Rechnernetzes) und einer Anti-Virensoftware.
Der Faktor Mensch
Der größte Risikofaktor ist und bleibt aber der Mensch selbst. „Die IT- Gefahr aus dem Innern ist für Kleinunternehmer genauso groß wie die Gefahr von Außen für Großkonzerne“, weiß Tobias Esser. „Daher“, so der Fachmann von Gelsen-Net, „sollte die private Nutzung eines Firmenrechners unterbunden oder zumindest stark eingeschränkt sein.“ Beispielsweise was das Abfragen der persönlichen E-Mailkonten anbelangt, in denen immer wieder verseuchte „Phising-Mails“ landen. Auch dürfe Fremdsoftware nicht installiert werden, sagt Esser. So schließt man weitere Einfall-Kanäle für ungebetene Gäste aus. Unter Phishing versteht man Versuche, über gefälschte Webseiten, Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und Identitätsdiebstahl zu begehen. Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank.
Spätestens hier bringt Esser den Begriff des Administrators ein, stellvertretend für geschulte IT-Kräfte mit erweiterter Nutzungskompetenz. Sie können beispielsweise das interne Firmennetzwerk pflegen, warten, neue Software-Anwendungen installieren und auch regelmäßig die Sicherung von Daten steuern.
Das Risiko Datenabfall
Auch bergen ausgediente Hardware und Speichermedien, achtlos entsorgt, ein hohes Risiko, „etwa die alten Festplatten einer Arztpraxis mit sensiblen Patientendaten“. Festplatten CDs, DVDs und ähnliche Informationsträger sollten daher vor dem Gang zum Entsorger durchbohrt, geschreddert oder zerbrochen werden, rät der Gelsen-Net-Experte. Und schon gar nicht im Hausmüll landen. Tobias Esser berichtet zu guter Letzt auch davon, dass es jüngst viele Anfragen nach Einbrüchen in Betrieben gegeben habe. Da waren gleich die PCs samt Inhalt weg. „Solch einen Datenklau kann sich kein Betrieb erlauben“, sagt Esser. Allein deshalb lohnt es sich, per Back-up vorzubeugen.
Zehn-Punkte-Checkliste für den Computer
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Tipps für den Basisschutz:
1.: Installieren Sie ein Virenschutzprogramm und ein Anti-Spyware-Programm und halten Sie die immer auf dem aktuellen Stand.
2.: Setzen Sie eine Personal Firewall ein und aktualisieren Sie diese regelmäßig. Sie schützt bei richtiger Konfiguration vor Angriffen aus dem Internet und verhindert zudem bei einer Infektion des PCs mit einem Computerschädling, dass ausspionierte Daten an einen Angreifer übersendet werden können.
3.: Achten Sie darauf, ob es Sicherheitsupdates für Ihr Betriebssystem und sonstige von Ihnen genutzte Software gibt und installieren Sie die Updates möglichst kurzfristig.
4.: Schadprogramme haben die gleichen Rechte auf Ihrem PC, die Sie selbst bei der Anmeldung erhalten. Arbeiten Sie daher nur dann als Administrator, wenn es unbedingt erforderlich ist. Richten Sie für alle Nutzer eines PCs unterschiedliche Benutzerkonten ein. Vergeben Sie für diese Konten nur die Berechtigungen, die der jeweilige Nutzer für seine Arbeit braucht. So werden auch private Dateien vor dem Zugriff anderer geschützt. Verwenden Sie Dienste im Internet (z. B. durch Nutzung des Browsers) nach Möglichkeit nur, wenn Sie mit einem dieser eingeschränkten Konten und nicht als Administrator angemeldet sind.
5.: Gehen Sie sorgfältig mit Ihren Zugangsdaten um: Halten Sie Passwort und Benutzernamen sowie Zugangscodes für Dienste (z. B. beim Online-Banking) unter Verschluss. Wechseln Sie Passwörter in regelmäßigen Abständen. Ändern Sie unbedingt von Herstellern voreingestellte Passwörter. Verwenden Sie nicht das gleiche Passwort für alle Ihre Anmeldungen.
6.: Seien Sie wachsam beim Öffnen von E-Mail-Anhängen. Schadprogramme werden oft über Dateianhänge in Mails verbreitet. Im Zweifelsfall fragen Sie vorsichtshalber beim Absender nach, ob der Anhang von ihm stammt.
7.: Seien Sie vorsichtig beim Download von Daten und Software aus dem Internet. Vergewissern Sie sich vor dem Download von Programmen aus dem Internet, ob die Quelle vertrauenswürdig ist und bringen Sie Ihr Virenschutzprogramm auf den aktuellsten Stand.
8.: Seien Sie zurückhaltend mit der Weitergabe persönlicher Informationen. Online-Betrüger steigern ihre Erfolgsraten, indem sie individuell auf ihre Opfer zugehen: Zuvor ausspionierte Daten, wie etwa Surfgewohnheiten oder Namen aus dem persönlichen Umfeld, werden dazu verwandt, Vertrauen zu erwecken.
9.: Wenn Sie Übertragungstechnologien wie Voice over IP (VoIP) oder Wireless LAN (WLAN) nutzen, dann achten Sie besonders auf eine Verschlüsselung Ihrer Kommunikation, damit die Übertragung Ihrer Daten nicht von Dritten mitgelesen bzw. Gespräche nicht abgehört werden können.
10.: Kommt es trotz aller getroffenen Schutzmaßnahmen zu einer Infektion des Computers mit einem Schädling, können wichtige Daten verloren gehen. Um den Schaden möglichst gering zu halten, sollten Sie regelmäßig Sicherungskopien Ihrer Dateien auf CD-ROM/DVD oder externen Festplatten erstellen.
Sicherheitstag von Gelsen-Net
Gelsen-Net veranstaltet regelmäßig kostenlose Sicherheitstage, bei denen Experten des Cybercrime-Kompetenzzentrum des Landeskriminalamts mit von der Partie sind oder etwa des Instituts für Internet-Sicherheit der Westfälischen Hochschule. Sie informieren über aktuelle Entwicklungen und Gefährdungslagen. Auskunft gibt es bei Udo Bredemeier, 0209 702-2233, Mail an udo.bredemeier@gelsen-net.de, im Internet auf www.gelsen-net.de.