Risiken für die betriebliche IT-Sicherheit begegnen

Görlitz, 24. Februar 2022. Von Thomas Beier. Ist eine absolute Sicherheit für die Informations- und Telekommunikationsstruktur von Unternehmen und anderen Organisationen wie etwa Verwaltungen oder Gesundheitsdienstleister überhaupt machbar? Diese Frage begegnet uns bei BeierMedia.de immer wieder. Gern sprechen wir dann vom Bergsteiger, der sich sorgfältig und umsichtig sichert. Das reicht dann schon und ersetzt eine deutlich langatmigere Antwort.

Software mit offengelegtem Quellcode gut für die IT-Sicherheit

Wenn es auf diese Frage eine wirklich einfache Antwort gäbe, bräuchte sich die Bundesrepublik kein Bundesamt für Sicherheit in der Informationstechnik (BSI) zu leisten. Wer auf dieser Seite ein wenig herumklickt, entdeckt in den Themen interessante, teils durchaus überraschende Informationen. So wird etwa unter “Unternehmen und Organisationen” im Bereich “Informationen und Empfehlungen” die strategische Position des BSI in Bezug auf “Freie Software” – auch Open Source Software oder FLOSS für Free/Libre Open Source Software genannt – kundgetan.

Dabei wird nicht etwa der herstellergebundenen Software der Vorzug gegeben, sondern es werden die Vorteile der FLOSS-Anwendungen hervorgehoben. So könne derartige Software jederzeit auf Sicherheitslücken geprüft werden und werden welche gefunden, können diese herstellerunabhängig geschlossen werden. Außerdem können die Sicherheitstechniken der FLOSS-Software unabhängig vom Geschäftsmodell eines Herstellers angepasst werden. Dabei sieht das BSI in einer vielfältigen Softwarelandschaft im Falle eines Falles als Mittel zu Schadensbegrenzung: Würden sehr viele Nutzer auf ein- und dieselbe Software setzen, könnte ein Angreifer mit wenig Aufwand vielerorts Schaden machen.

IT-Risiken im Alltag

Die informationstechnischen Risiken im Alltag haben im Grunde zwei Wurzeln: Mensch und Technik – und gern wirken sie zusammen. Beim Menschen ist es vor allem der sorglose Umgang mit Software sowohl im betrieblichen wie im privaten Bereich, der Bedrohungen die Tür öffnet.

Typische Beispiele sind:

• kein Gespür für Indikatoren, an denen man Fake-E-Mails erkennen kann
• öffnen von E-Mail-Anhängen allein aus Neugier
• akzeptieren von Freundschaftsanfragen Unbekannter in den sozialen Netzwerken
• Besuch potentiell verseuchter Webseiten
• blindes Vertrauen auf technische Schutzmaßnahmen
• Verwendung schwacher oder leicht zu erratender Passwörter
• leichtfertige Preisgabe persönlicher Daten
• bedenkenlose Installation von Software, insbesondere von Spielen, nach dem Motto: "Hauptsache kostenlos!"

Gerade bei Apps für das Smartphone sollte man vorsichtig sein. Soll etwa ein QR-Code-Scanner installiert werden und verlangt die Software vor der Installation den Zugriff aufs Mikrofon, obgleich sie für ihre Funktion gar kein Mikrofon benötigt, dann sollte man schon stutzig werden. Schlimm genug in diesem Zusammenhang ist es, dass man den Zugriff auf die Kamera und das Verzeichnis, in dem die Fotos gespeichert sind, gewähren muss. Man kann getrost schlussfolgern: Für vertrauliche Informationen ist das Handy – wie im Grunde jeder PC mit unzureichend geschützter Internetverbindung – kein guter Ort.

Der Zugang zum Internet: Geht’s vielleicht auch ohne?

So, wie der Breitband-Ausbau im Landkreis Görlitz voranschreitet, scheint der Gedanke ein Frevel: Eine großer Schritt in Richtung Datenschutz und -sicherheit wäre getan, würde man auf die Verbindung zum Internet ganz verzichten. Doch wer macht das schon? Dennoch ist es eine Überlegung wert, wann und unter welchen Umständen man seinen Webzugang – ob nur per Kabel oder Funk – unter Umständen ganz einfach mal kappen sollte. So eine typische Situation sind beispielsweise Computer, die über Nacht in den Energiesparmodus versetzt werden. Je nach persönlichem Sicherheitsempfinden könnte die Devise “LAN-Kabel statt WLAN!” heißen: Ist das Kabel dann vom Computer abgezogen, herrschen klare Verhältnisse. Die Frage ist nur: Kennt jemand wen, der das macht?

Doch die Praxis ist oft anders: Spätestens seitdem Internetrouter zugleich dem Telefonanschluss samst Anrufaufzeichnung und Faxempfang dienen, sind diese Geräte ständig am Netz. Wer verzichtet dann schon auf das komfortable WLAN, selbst wenn man moderne Router so programmieren kann, dass sie stundenweise den Webzugriff abschalten? Deshalb muss, wer mit wirklich sensiblen Daten – Entwicklungsunterlagen, Kunden-, Lieferanten-, Mitarbeiter- oder Patientendaten, Forschungsarbeiten, Archive und so weiter – umgeht, auch technische Vorsorge treffen, um es Angreifern zu erschweren, zu den wertvollen Datenbeständen vorzudringen.

Unternehmen verlagern sich technisch ins Web

In Zeiten von Datenclouds, von Software-as-a-Service, von Home Office und mobilem Leben und Arbeiten wachsen die Sicherheitsanforderungen weiter. Dann geht es nicht mehr nur darum, die Verbindung eines internen Computernetzwerks mit dem Internet so zu gestalten, dass Cybergefahren möglichst ausgeschaltet werden, sondern dann dringt – bildlich gesprochen – das Computernetzwerk des Unternehmens selbst ins Internet vor. Anders gesagt: Mehrere oder viele einzelne Geräte sowie Netzwerke des Unternehmens müssen via Internet verbunden werden, wo es früher nur eine einzige Schnittstelle zum Web gab.

Manch Privatnutzer kennt vielleicht Sophos Home Free als gutes kostenloses Antivirenprogramm. Doch anders als andere bekannte IT Sicherheitsunternehmen hat sich Sophos auf Datenschutz-, Antivirus- und Antispam-Komplett-Lösungen für Netzwerke von Unternehmen, großen Bildungseinrichtungen wie etwa Universitäten sowie von Behörden ausgerichtet und steht im Ruf, einfach zu verwaltende Lösungen anzubieten. Dazu gehört die auch eine für kleinere und mittlere Unternehmen geeignete Lösung, die es möglich macht, mehrere Standorte mit der Sophos Firewall mit Datentunnel verbinden zu können.

Auf den Punkt gebracht

Maßnahmen zur Datensicherheit, also gegen Datendiebstahl, Datenmanipulation oder schlichtweg Datenvernichtung, sind niemals für die Ewigkeit, sondern bedürfen der regelmäßigen Überprüfung. Während bei Laien vor Jahren vor allem die Bedrohung durch sogenannte Computerviren sowie Trojaner im Mittelpunkt des Interesses standen, sind es inzwischen Phishing und Ransomware. Angreifbare Schwachstelle ist dabei nicht nur der ungeschulte Mensch, sondern auch Hard- und Software bedürfen des Schutzes auf aktuellem Stand.