IT Sicherheit: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
FBO (Diskussion | Beiträge) |
FBO (Diskussion | Beiträge) |
||
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 160: | Zeile 160: | ||
:'''Contra:''' | :'''Contra:''' | ||
//-> | //-> | ||
=Basischecks= | |||
In diesem Abschnitt werden einfache Maßnahmen zur Verbesserung der IT-Sicherheit in kleinen Unternehmen zusammengefasst. | |||
{{Achtung|'''IT-Sicherheit ist Chefsache!''' Der Unternehmer muss das Themenfeld IT-Sicherheit als besonders wichtig erklären und allen Mitarbeitern diese Wichtigkeit vermitteln}} | |||
==Aktualisierungen== | |||
Die wichtigste Regel lautet: Halten Sie das Betriebssystem aktuell. Microsoft veröffentlicht am sogenannten ''Patchday'' jeden zweiten Dienstag im Monat Aktualisierungen für Windows-Betriebssystem. | |||
{{Tipp1|Sicherheitsupdates und Qualitätsupdates für das Betriebssystem sollten immer kurz nach Erscheinen installiert werden. Es müssen immer alle Computer auf den aktuellsten Stand gebracht werden}} | |||
Auch Aktualisierungen von Anwendungssoftware sollten kurz nach Erscheinen installiert werden, also auch Aktualisierungen für Office-Pakete, Grafiksoftware, Browser und Mailclients immer einspielen. | |||
{{Achtung|Sicherheitslücken entstehen, wenn nicht jeder Computer und nicht jede Anwendung jederzeit auf dem neuesten Softwarestand ist}} | |||
==Sicherheitssoftware== | |||
Windows enthält alle notwendigen Sicherheitsfunktionen (Virenscanner mit Echtzeitschutz, Software-Firewall, Malware und Ausführungsschutz). Die Erkennungsleistung, Schutzumfang und Aktualität sind vollkommen ausreichen. | |||
{{Tipp1|Prüfen Sie regelmäßig, ob die Schutzkomponenten eingeschaltet sind und ordnungsgemäß arbeiten}} | |||
Ein zusätzlicher Schutz ist in der Regel nicht notwendig, oftmals sind Virenscanner von Fremdanbietern nicht leistungsfähiger, nerven aber mit vielen sinnlosen Meldungen. Teilweise entstehen durch vermeintliche "Sicherheitsprodukte" sogar unnötige Bedrohungen. | |||
{{Achtung|Kostenlose Virenscanner sind in der Regel nicht für gewerbliche Einsätze lizenziert. Dadurch entstehen Lücken im Schutz, die bei Verwendung der originalen Windowskomponenten gar nicht erst aufgetreten wären. Bei kostenpflichtiger Schutzsoftware sollten Sie nach dem Ende der kostenpflichtigen Nutzung darauf achten, dass der Schutz weiter sichergestellt wird oder zum Originalschutz zurückkehren}} | |||
==Datensicherung== | |||
Eine Datensicherung muss: | |||
* täglich angefertigt werden | |||
* vollständig sein | |||
* auf externen Datenträgern gespeichert werden | |||
* nach der Sicherung nicht von Anwendern oder Software löschbar sein | |||
{{Tipp1|Es muss regelmäßig geprüft werden, ob die Sicherung einwandfrei funktioniert}} | |||
Es sollten mehrere Datensicherungen auf mehreren Datenträgern angefertigt werden. Es muss auch regelmäßig geprüft werden, ob Sicherungen im Notfall wiederhergestellt werden können | |||
{{Achtung|Extern gespeicherte und offline gelagerte Datensicherungen sind die letzte Bastion im Kampf gegen Datenverlust}} | |||
==Verhaltensregeln== | |||
Ein großes Risikopotential geht von Anwendern aus, nicht von Computern oder Software. Daher sollten die folgenden Grundsätze immer befolgt werden. | |||
===E-Mail Anhänge=== | |||
* Öffnen Sie E-Mail-Anhänge nur, wenn die Herkunft und der Inhalt eindeutig bekannt sind | |||
* Öffnen Sie E-Mail-Anhänge nicht, wenn es sich um ausführbare Dateien (*.exe, *.pif, etc.), Archive (*.zip, *.rar, etc.) handelt | |||
* Seien Sie bei Office-Dokumenten misstrauisch. | |||
{{Achtung|Wenn Sie sich nicht absolut über '''Herkunft und Inhalt''' im Klaren sind, öffnen Sie externe Dateien nicht}} | |||
Wenn Sie eine externe Datei öffnen möchten, | |||
Speichern Sie die Datei zunächst auf dem Computer. Sie können dann mit dem Virenscanner prüfen, ob die Datei Bedrohungen enthält. | |||
{{Tipp1| Einzelne Dateien können zusätzlich auf [https://www.virustotal.com Virus Total] überprüft werden}} | |||
Öffnen Sie dann die Anwendung, mit der Sie den Dateityp normalerweise bearbeiten und öffnen Sie die Datei aus der Anwendung. | |||
{{Achtung|Viren aus E-Mailanhängen stellen eine hohe Gefahr dar}} | |||
===Passwörter=== | |||
Passwörter müssen grundsätzlichen Vorgaben entsprechen: | |||
* Mindestens neunstellig | |||
* Aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen bestehend | |||
* Für unterschiedliche Dienste müssen unterschiedliche Passwörter verwendet werden. | |||
{{Tipp1|Mehr Informationen dazu finden Sie auf der Seite [[Passwörter]]}} | |||
* Nutzen Sie einen Passwortmanager | |||
* Nutzen Sie möglichst Zwei-Faktor-Authentifikation | |||
* Passwörter müssen nicht regelmäßig geändert werden, es sei denn, sie wurden bei Datendiebstählen entwendet. | |||
{{Achtung|Kurze oder einfach zu erratende Passwörter stellen eine hohe Gefahr dar}} | |||
===Externe Software=== | |||
Nutzen Sie keine Software aus externen Quellen und installieren Sie niemals Software "zum Ausprobieren". | |||
* Laden Sie Gerätetreiber (Drucker, Kameras, etc.) ausschließlich über die Hersteller-Websites, niemals von alternativen Treiberseiten oder externen Anbietern | |||
* Installieren Sie niemals Hilfsprogramme (TuneUp, CCleaner, etc.), die Windows "aufräumen", "beschleunigen" oder "Probleme lösen". Gleiches gilt für kostenlose Virenscanner, Malware-Schutz oder Software-Firewalls | |||
{{Achtung|Tuning-Software stellt eine hohe Gefahr dar}} | |||
* Laden Sie Anwendungen (Libre-Office, Firefox, Adobe, etc.) ausschließlich über die Hersteller-Website, niemals von alternativen Anbietern | |||
* Nutzen Sie keine kostenpflichtigen Anwendungen mit gestohlenen, gefälschten Lizenzen oder "gecrackte" Software. | |||
===Amateur-Administratoren=== | |||
IT-Administration ist ein Vollzeitberuf. Das Wissen aus dem letzten Jahr ist heute bereits obsolet, da sich in der Informationstechnik ständig alles ändert. Der Administrator eines Rechenzentrums kennt sich nicht zwangsläufig mit einem profanen Arbeitsplatzcomputer aus und wird dazu dann auch keine Empfehlungen geben. | |||
{{Tipp1|Gute IT-Profis kennen ihre Grenzen und halten sich von Themen, mit denen sie sich nicht auskennen, fern}} | |||
Lassen Sie also keine Möchtegern-Fachleute an ihren gewerblichen Systemen herumbasteln. Das gilt insbesondere für Systeme, die bereits von qualifizierten Fachleuten betreut werden. | |||
Wenn also der "gute Kumpel, der sich sonst immer mit seinem Wissen brüstet" seine Hilfe anbietet, fragen Sie ihn: | |||
* Bist Du hauptberuflich in der Informationstechnik? Wenn nein: ''Abbruch'' | |||
* Kennst Du dich mit dieser Problemstellung aus? Wenn nein: ''Abbruch'' | |||
* Wie aktuell ist dein Wissen zu dem Thema? Wenn älter als sechs Monate: ''Abbruch'' | |||
Aber auch wenn der Hobby-Administrator diese Fragen mit "ja" beantwortet, sollten Sie misstrauisch bleiben: | |||
* Wenn Du einen Fehler machst und das Unternehmen pleite geht, kommst Du für den Schaden auf? Wenn nein: ''Abbruch'' | |||
* Wenn Du einen Fehler machst und eine andere Firma diesen dann kostenpflichtig beseitigen muss, kommst Du für die Kosten auf? Wenn nein: ''Abbruch'' | |||
{{Tipp1|Wenn Sie einen "guten Kumpel haben, der in seiner Freizeit Kraftfahrzeuge repariert", also vor dreißig Jahren erfolgreich das Vorderrad einer Mofa getauscht hat, lassen Sie ihn dann an Ihrem nagelneuen LKW herumbasteln?}} | |||
==Offline-Codewort== | |||
Um die Echtheit einer E-Mail oder den Anruf eines Vorgesetzten überprüfen zu können, ist es empfehlenswert, ein monatlich wechselndes Codewort zu vereinbaren. | |||
{{Achtung|Dieses Codewort wird mündlich vereinbart, also nicht per E-Mail, Messenger o.ä. mitgeteilt}} | |||
Wenn ein Vorgesetzter in einer E-Mail oder einer Sprachnachricht dieses Codewort nicht angibt, werden seine Anweisungen (Überweisungen hoher Geldbeträge, etc.) nicht ausgeführt. | |||
{{Achtung|Selbst dann nicht, wenn er private Details zu erzählen weiß und Stimme, Ausdruck, Wortwahl und persönliche Detailkenntnisse authentisch scheinen}} | |||
==Notfallplan== | |||
Im Notfall ist schnelles, überlegtes Handeln wichtig. | |||
{{Achtung|Bei Gefahr für Leib und Leben ist die Eigen- und Fremdrettung in jedem Falle das Wichtigste! Begeben Sie sich niemals in Gefahr, Systeme oder Daten zu retten}} | |||
Bei unmittelbarer Gefahr (Virus verschlüsselt oder löscht Dateien, Feuer bricht aus, etc.) muss folgende Reihenfolge eingehalten werden: | |||
# '''Sofort alle Systeme, insbesondere Server''', von der Stromversorgung trennen, '''also nicht herunterfahren, sondern sofort stromlos machen'''. Keine Verzögerung durch fotografieren oder "Speichern von Dateien" riskieren. Im Zweifelsfall Haupt- oder Notschalter betätigen | |||
# Danach alles Ausgeschaltet lassen | |||
# Alle Datensicherungen abziehen, beschriften. '''Keinesfalls an einen Computer anschließen''' | |||
# Notfallkontakt informieren | |||
# Alle Eindrücke, insbesondere Meldungen kurz vor oder beim Eintreten des Notfalls aufschreiben, aber keinesfalls dafür Geräte erneut einschalten, um Meldungen zu überprüfen | |||
# Fachpersonen Vorgesetzte und Unternehmensleitung informieren | |||
# Aufzeichnungen, Notizen und Datensicherungen übergeben | |||
Die Fachperson wird über weitere Maßnahmen entscheiden. | |||
==Notfallkarte== | |||
Erstellen Sie eine Notfallkarte mit folgenden Inhalten: | |||
* Angaben des Notfallplans | |||
* Genaue Angabe zu Standorten Sicherungskasten, Hauptschalter, Notfallschalter (Wo befinden sich diese? Wie sehen sie aus? Welchen Schalter muss man umlegen, um die Systeme stromlos zu machen?). Hier sind Fotos und Bildanleitungen nützlich! | |||
* Genaue Angabe zum Standort des Servers (Wo befindet sich dieser? Wie sieht er aus? Wie kann man ihn vom Strom trennen?) Hier sind Fotos und Bildanleitungen nützlich! | |||
* Genaue Angabe zu allen Systemen, die notabgeschaltet werden müssen (Wo befindet sich diese? Wie sehen sie aus? Wie kann man sie vom Strom trennen?) Hier sind Fotos und Bildanleitungen nützlich! | |||
* Beschreibung der Online-Datensicherung (Wo befindet sich diese? Wie sieht sie aus? Wie kann man sie vom System trennen?) Hier sind Fotos und Bildanleitungen nützlich! | |||
* Beschreibung der Offline-Datensicherung (Wo befindet sich diese? Wie sieht sie aus? Wie viele Exemplare?) Hier sind Fotos und Bildanleitungen nützlich! | |||
* Angaben zum Notfallmanager im Unternehmen, dieser hat Zugang zu den Systemen, kann diese abschalten und informiert dann Fachpersonen und Unternehmensleitung (Wer ist Ansprechpartner? Wer ist die Vertretung? Wie lauten die Telefonnummern) | |||
{{Tipp1|Notfallpläne müssen einmal pro Quartal geprüft und aktualisiert werden. Danach sollten die Pläne mit den Mitarbeitern besprochen werden. Regelmäßige Widerholungen schärfen das Bewusstsein}} | |||