IT Sicherheit: Unterschied zwischen den Versionen

Aus FAKTURA-X Wiki
Zur Navigation springen Zur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Zeile 300: Zeile 300:
* Beschreibung der Offline-Datensicherung (Wo befindet sich diese? Wie sieht sie aus? Wie viele Exemplare?) Hier sind Fotos und Bildanleitungen nützlich!
* Beschreibung der Offline-Datensicherung (Wo befindet sich diese? Wie sieht sie aus? Wie viele Exemplare?) Hier sind Fotos und Bildanleitungen nützlich!
* Angaben zum Notfallmanager im Unternehmen, dieser hat Zugang zu den Systemen, kann diese abschalten und informiert dann Fachpersonen und Unternehmensleitung (Wer ist Ansprechpartner? Wer ist die Vertretung? Wie lauten die Telefonnummern)
* Angaben zum Notfallmanager im Unternehmen, dieser hat Zugang zu den Systemen, kann diese abschalten und informiert dann Fachpersonen und Unternehmensleitung (Wer ist Ansprechpartner? Wer ist die Vertretung? Wie lauten die Telefonnummern)
{{Tipp1|Notfallpläne müssen einmal pro Quartal geprüft und aktualisiert werden. Danach sollten die Pläne mit den Mitarbeitern besprochen werden. Regelmäßige Widerholungen schärfen das Bewusstsein}}

Version vom 6. Mai 2026, 17:24 Uhr

In diesem Artikel werden die wesentlichen Informationen einer ausreichenden IT-Sicherheit beschrieben. Der erste Abschnitt befasst sich mit Grundlagen zur Entwicklung einer IT-Sicherheitsstrategie.

Dieses Dokument ersetzt keine umfassende IT-Sicherheitsstrategie, sondern ist als Einstieg in das Thema konzipiert. Eine vollständige Betrachtung der IT-Sicherheit in Unternehmen sollte von einer Fachperson durchgeführt werden. Für Unternehmen, die zur kritischen Infrastruktur gehören, ist dies in der NIS-2-Richtlinie geregelt

Der zweite Abschnitt enthält eine Anleitung zum Erstellen einer Checkliste für regelmäßige Prüfung der IT-Sicherheit.

IT Sicherheit ist ein hochdynamischer Prozess, daher müssen die vorhandenen Maßnahmen regelmäßig überprüft und angepasst werden

Ressourcen

  • Für kleine Unternehmen
BSI Seite zum Grundschutz in Unrternehmen
BSI-CyberRisikoCheck nach DIN SPEC 27076
Die BSI IT-Notfallkarte
  • ISO 27001
BSI-Seiten zum Thema ISO 270001
Wikipedia Artikel zur ISO 270001
  • NIS-2
BSI-Seiten zum Thema NIS-2
NIS-2 Betroffenheitsprüfung
MUK Unternehmenskonto für NIS-2 regulierte Unternehmen
Wikipedia Artikel zur NIS-2-Richtlinie
  • KRITIS
BSI-Seiten zum Thema Kritische Infrastruktur
Wikipedia Artikel zu Kritischer Infrastruktur

Bedrohungen

Die Bedrohungslage hat sich in den letzten Jahren sukzessive weltweit verschärft. Viele, insbesondere autoritäre, Staaten nutzen die Möglichkeit, Angriffe gegen Staaten, Wirtschaft und Einzelpersonen durchzuführen.

Spionage, Terrorismus, Terror auf Staatsebene kann sich dabei auch auf kleine, privatwirtschaftliche Unternehmen auswirken, selbst wenn diese weder zur kritischen Infrastruktur zählen, noch als besonders lukrative Ziele gelten. Viele Unternehmen werden oftmals kollateral geschädigt. Andere werden im Rahmen von automatisierten oder unspezifischen Angriffen, geschädigt.

Der wirtschaftliche Schaden durch Cybercrime in Deutschland im Jahr 2025 wird auf 290 Milliarden Euro geschätzt.

Folgen

Es besteht ein mehr als 50 prozentiges Risiko, dass Unternehmen, welche einer Cybercrime-Attacke zum Opfer fallen, so stark geschädigt werden, dass sie den Betrieb einstellen.

Schwachstellen

Schwachstellen entstehen durch fehlende Updates oder Exploits, Sicherheitslücken, fehlende oder nicht ausreichende Sicherheitsmaßnahmen oder menschliches Fehlverhalten. In diesem Abschnitt werden mögliche Schwachstellen genauer beschrieben.

Die älteste und bekannteste Form von Belästigungen und Betrug sind Spam-Mails, die ständig im Internet versendet werden und primitive Werbung oder Betrugsversuche darstellen. Daneben haben sich jedoch auch ernste Bedrohungen entwickelt, die teilweise sorgfältig und technisch anspruchsvoll geplant und dann perfide und raffiniert ausgeführt werden und so eine höhere Erfolgsquote verzeichnen. Im Falle von Emotet wird sogar auf Social Engineering zurückgegriffen.

E-Mail

Das älteste Kommunikationsmittel im Internet ist E-Mail. Das System ist vor über 50 Jahren konzipiert und ursprünglich ohne Sicherheitsfunktionen konzipiert worden, da man den weltweiten Erfolg nicht vorausgesehen hat (ähnlich wie bei "SMS").

Mit der Zeit ist das System E-Mail zwar weiterentwickelt und auch mit Sicherheitsfunktionen versehen worden, die wesentlichen Probleme unter Sicherheitsaspekten sind aber geblieben. Da kein Nachfolger für E-Mail vorgesehen ist, wird man auch in Zukunft mit den Nachteilen leben müssen. Besonders gefährlich sind Schadsoftware in Dateianhängen und Links zu Phishing-Seiten. Durch massenhaft versendete E-Mails DDoS-ähnliche Angriffe durchgeführt und Server überlastet werden. Daneben sind E-Mail ein Baustein in Emotet-Kampagnen.

Externe Daten

Externe Daten in Dateiform als E-Mailanhang, aber auch durch Download im Internet oder offline auf einem Datenträger (beispielsweise USB-Stick) eingebracht, können, wenn sie mit Schadsoftware versehen sind, Schaden anrichten und den Schutz vor Angriffen von Außen kompromittieren. Typische Vertreter von Dateien mit "eingebauter" Schadsoftware sind Office-Dateien mit Makroviren.

Der menschliche Faktor

Menschen sind der größte Unsicherheitsfaktor in der IT-Sicherheit. Neben dem Beeinflussen von Menschen durch Social Engineering sind auch Spionage, Erpressung, mutwillige oder fahrlässige Beschädigung vielfach Ursache für Schadensfälle. Am Häufigsten sind aber vermutlich Unwissenheit oder Fehler in der Umsetzung (vgl. menschlicher Faktor) die Ursache für Gefahren.

Sabotage

Eine große Gefahr besteht durch bewusste Angriffe auf die Handlungsfähigkeit eines Unternehmens. Von der Manipulation der Infrastruktur durch eigene Mitarbeiter, über Diebstahl von Technik durch Verbrecher, bis hin zu Schadsoftware, die gezielt Anlagen beschädigt, ist eine große Bandbreite mit den unterschiedlichsten Motiven denkbar.

Datenverlust

Das Löschen, Verschlüsseln oder Verändern von Daten oder Datenträgern stellt die größte, weil unmittelbare Bedrohung dar. Informationen und Ressourcen sind nicht mehr verfügbar, Wissen und Aufzeichnungen verloren. Die immense Abhängigkeit von Daten wird den Betroffenen erst wirklich klar, wenn man sie nicht mehr nutzen kann.

Infiltration

Das Eindringen in IT Infrastrukturen ist oftmals der erste Schritt eines kompexen Angriffsszenarios und ermöglicht den Tätern den Zugang zu allen Informationen des Unternehmens. Insbesondere Emotet baut auf diese Komponente auf.

Abhören

Das Abhören der Kommunikation und das Beobachten der Abläufe in einem Unternehmen sind ebenfalls ein wichtiger Angriffsvektor. Gewohnheiten und Verhaltensweisen können so als Vorlage für das erfolgreiche Nachahmen verwendet werden. Auch diese Komponente ist Teil einer Emotet-Kampagne.

Malware

Schadsoftware kann in Sicherheitslücken einfallen, aber auch eingeschleppt werden. Ein häufig unterschätzter Angriffsvektor wird entscheidend durch den Anwender beeinflusst, indem er Software oder Plugins installiert.

Beispielsweise enthalten Hilfsprogramme zum Herunterladen von Treibern oder Software häufig Schadsoftware. Vollkommen nutzlos und dabei potenziell gefährlich sind Anwendungen, die den Computer aufträumen oder beschleunigen. Ebenfalls gefährlich sind Plugins für Internetbrowser, die Seitenaufrufe umleiten, Werbung einstreuen oder Daten ausspähen.

In der Regel wird Malware als Virus (wird eingeschleppt) oder Wurm (Dringt in das System ein) bezeichnet, genaurere Unterteilungen werden in den nächsten Abschnitten vorgenommen.

Ransomware

Ransomware ist eine vergleichsweise junge Bedrohung, welche durch die Leistungsfähigkeit moderner Computer und die Erfindung von Kryptowährungen möglich wurde: Dateien werden verschlüsselt und nach Zahlung eines Lösegelds in Kryptowährung wieder entschlüsselt. Die Verschlüsselung arbeitet auf modernen Computern sehr schnell und Kryptowährung ist, wie Bargeld, nicht nachverfolgbar. Hat man anfangs seine Daten nach Zahlung des Lösegelds tatsächlich oft zurückerhalten, ist das heute in der Regel nicht mehr besonders wahrscheinlich. Es ist manchmal möglich, die Art der Verschlüsselung zu ermitteln und die Dateien zu entschlüsseln, aber sicher ist das nicht. Zudem werden die Daten vor dem verschlüsseln oftmals kopiert und dann mit Veröffentlichung gedroht, was bei DSGVO-relevanten Daten Strafen und zumindest einen Imageverlust nach sich ziehen kann.

Der einzig funktionierende Schutz gegen Ransomware ist eine externe Datensicherung.

Emotet

//->

Checkliste

In einer IT-Sicherheitsstrategie werden folgende Aspekte definiert :

//->

Analyse

Um mögliche Schwachstellen aufzuspüren, muss zunächst eine Bestandsaufnahme und Analyse durchgeführt werden. Danach können Maßnahmen geplant und umgesetzt werden. Die Maßnahmen müssen regelmäßig geprüft und angepasst werden. //->

Inventur

sollte zunächst eine Inventur erfolgen und möglichst alle Geräte, Netze und insbesondere Übergangsstellen aufgelistet werden. //->

Identifikation

Für jedes Inventar müssen mögliche Schachpunkte analysiert werden. //->

Pentest

Um nicht bekannte Schwachpunkte aufzudecken, sollte bei entsprechendem Bedarf ein Pentest durchgeführt werden.

Grundsätzlich gilt: Man sollte immer davon ausgehen, dass nicht alle Schwachpunkte erkannt werden

//->

Konzept erstellen

//->

Verantwortliche ernennen

//->

Notfallpläne erstellen

//->

Aktualisierung planen

//->

Die IT-Sicherheitsrichtlinie muss regelmäßig überprüft und aktualisiert werden

Maßnahmen

//->

Rechtemanagement

//->

Passwortschutz

//->

Datensicherung

//->

Updates

//->

Archivierung

//->

Sensibilisierung

//->

Firewall

//->

Virenschutz

Pro:
Contra:

//->

VPN-Gateway

Pro:
Contra:

//->

Segmentierung

Pro:
Contra:

//->

Basischecks

In diesem Abschnitt werden einfache Maßnahmen zur Verbesserung der IT-Sicherheit in kleinen Unternehmen zusammengefasst.

Aktualisierungen

Die wichtigste Regel lautet: Halten Sie das Betriebssystem aktuell. Microsoft veröffentlicht am sogenannten Patchday jeden zweiten Dienstag im Monat Aktualisierungen für Windows-Betriebssystem.

Sicherheitsupdates und Qualitätsupdates für das Betriebssystem sollten immer kurz nach Erscheinen installiert werden. Es müssen immer alle Computer auf den aktuellsten Stand gebracht werden

Auch Aktualisierungen von Anwendungssoftware sollten kurz nach Erscheinen installiert werden, also auch Aktualisierungen für Office-Pakete, Grafiksoftware, Browser und Mailclients immer einspielen.

Sicherheitslücken entstehen, wenn nicht jeder Computer und nicht jede Anwendung jederzeit auf dem neuesten Softwarestand ist

Sicherheitssoftware

Windows enthält alle notwendigen Sicherheitsfunktionen (Virenscanner mit Echtzeitschutz, Software-Firewall, Malware und Ausführungsschutz). Die Erkennungsleistung und Aktualisitä ist vollkommen ausreichen.

Prüfen Sie regelmäßig, ob die Schutzkomponenten eingeschaltet sind und ordnungsgemäß arbeiten

Ein zusätzlicher Schutz ist in der Regel nicht notwendig, oftmals sind Virenscanner von Fremdanbietern nicht leistungsfähiger, nerven aber mit vielen sinnlosen Meldungen. Teilweise entstehen durch vermeintliche "Sicherheitsprodukte" sogar unnötige Bedrohungen.

Kostenlose Virenscanner sind in der Regel nicht für gewerbliche EInsätze lizenziert. Dadurch entstehen Lücken im Schutz, die bei Verwendung der originalen Windowskomponenten gar nicht erst aufgetreten wären. Bei kostenpflichtiger Schutzsoftware sollten Sie nach dem Ende der kostenpflichtigen Nutzung darauf achten, dass der Schutz weiter sichergestellt wird oder zum Originalschutz zurückkehren

Datensicherung

Eine Datensicherung muss:

  • täglich angefertigt werden
  • vollständig sein
  • auf externen Datenträgern gespeichert werden
  • nach der Sicherung nicht von Anwendern oder Software löschbar sein
Es muss regelmäßig geprüft werden, ob die Sicherung einwandfrei funktioniert

Es sollten mehrere Datentsicherungen auf mehreren Datenträgern angefertigt werden. Es muss auch regelmäßig geprüft werden, ob Sicherungen im Notfall widerhergestellt werden können

Extern gespeicherte und offline gelagerte Datensicherungen sind die letzte Bastion im Kampf gegen Datenverlust

Verhaltensregeln

Ein großes Risikopotential geht von Anwendern aus, nicht von Computern oder Software. Daher sollten die folgenden Grundsätze immer befolgt werden.

E-Mail Anhänge

  • Öffnen Sie E-Mail-Anhänge nur, wenn die Herkunft und der Inhalt eindeutig bekannt sind
  • Öffnen Sie E-Mail-Anhänge nicht, wenn es sich um ausführbare Dateien (*.exe, *.pif, etc.), (Zip-)archive (*.zip, *.rar) handelt
  • Sein Sie bei Office-Dokumenten misstrauisch.
Wenn Sie sich nicht absolut über Herkunft und den Inhalt im Klaren sind, öffnen Sie externe Dateien nicht

Wenn Sie eine externe Datei öffnen möchten,

Speichern Sie die Datei zunächst auf dem Computer. Sie können dann mit dem Virenscanner prüfen, ob die Datei Bedrohungen enthält.

Einzelne Dateien können zusätzlich auf Virus Total überprüft werden

Öffnen Sie dann die Anwendung, mit der Sie den Dateityp normaleerweise bearbeiten und öffnen Sie die Datei aus der Anwendung.

Viren aus E-Mailanhängen stellen eine hohe Gefahr dar

Passwörter

Passwörter müssen grundsätzlichen Vorgaben entsprechen:

  • Mindestens neunstellig
  • Aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen bestehend
  • Für unterschiedliche Dienste müssen unterschiedliche Passwörter verwendet werden.
Mehr Informationen dazu finden Sie auf der Seite Passwörter
  • Nutzen Sie einen Passwortmanager
  • Nutzen Sie möglichst Zwei-Faktor-Authentifikation
  • Passörter müssen nicht regelmäßig geändert werden, es sei denn, sie wurden bei Datendiebstählen entwendet.
Kurze oder einfach zu erratende Passwörter stellen eine hohe Gefahr dar

Externe Software

Nutzen Sie keine Software aus externen Quellen und installieren Sie niemals Software "zum Ausprobieren".

  • Laden Sie Gerätetreiber (Drucker, Kameras, etc.) ausschließlich über die Hersteller-Websites, niemals von alternativen Treiberseiten oder externen Anbietern
  • Installieren Sie niemals Hilfsprogramme (TuneUp, CCleaner, etc.), die Windows "aufräumen", "beschleunigen" oder "Probleme lösen". Gleiches gilt für kostenlose Virenscanner, Malware-Schutz oder Software-Firewalls
Tuning-Software stellt eine hohe Gefahr dar
  • Laden Sie Anwendungen (Libre-Office, Firefox, Adobe, etc.) ausschließlich über die Hersteller-Website, niemals von alternativen Anbietern
  • Nutzen Sie keine kostenpflichtigen Anwendungen mit gestohlenen, gefälschtren Lizenzen oder "gecrackte" Software.

Amateur-Administratoren

IT-Administration ist ein Vollzeitberuf. Das Wissen aus dem letzten Jahr ist heute bereits obsolet, da sich in der Informationstechnik ständig alles ändert. Der Administrator eines Rechenzentrums kennt sich nicht zwangsläufig mit einem profanen Arbeitsplatzcomputer aus und wird dazu dann auch keine Empfehlungen geben.

Gute IT-Profis kennen ihre Grenzen und halten sich von Themen, mit denen sie sich nicht auskennen, fern

Lassen Sie also keine Möchtegern-Fachleute an ihren gewerblichen Systemen herumbasteln. Das gilt insbesondere für Systeme, die bereits von qualifizierten Fachleuten betreut werden.

Wenn also der "gute Kumpel, der sich sonst immer mit seinem Wissen brüstet" seine Hilfe anbietet, fragen Sie ihn:

  • Bist Du hauptberuflich in der Informationstechnik? Wenn nein: Abbruch
  • Kennst Du dich mit dieser Problemstellung aus? Wenn nein: Abbruch
  • Wie aktuell ist dein Wissen zu dem Thema? Wenn älter als sechs Monate: Abbruch

Aber auch wenn der Hobby-Administrator diese Fragen mit "ja" beantwortet, sollten Sie misstrauisch bleiben:

  • Wenn Du einen Fehler machst und das Unternehmen pleite geht, kommst Du für den Schaden auf? Wenn nein: Abbruch
  • Wenn Du einen Fehler machst und eine andere Firma diesen dann kostenpflichtig beseitigen muss, kommst Du für die Kosten auf? Wenn nein: Abbruch
Wenn Sie einen "guten Kumpel haben, der in seiner Freizeit Kraftfahrzeuge repariert", also vor dreißig Jahren erfolgreich das Vorderrad einer Mofa getauscht hat, lassen Sie ihn dann an Ihrem nagelneuen LKW herumbasteln?

Offline-Codewort

Um die Echtheit einer E-Mail oder den Anruf eines Vorgesetzten überprüfen zu können, ist es empfehlenswert, ein monatlich wechselndes Codewort zu vereinbaren.

Dieses Codewort wird mündlich vereinbart, also nicht per E-Mail, Messenger o.ä. mitgeteilt

Wenn ein Vorgesetzter in einer E-Mail oder einer Sprachnachricht dieses Codewort nicht angibt, werden seine Anweisungen (Überweisungen hoher Geldbeträge, etc.) nicht ausgeführt.

Selbst dann nicht, wenn er private Details zu erzählen weiß und Stimme, Ausdruck, Wortwahl und erzählerische Details authentisch scheinen

Notfallplan

Im Notfall ist schnelles, überlegtes Handeln wichtig.

Bei Gefahr für Leib und Leben ist die Eigen- und Fremdrettung in jedem Falle das Wichtigste! Begeben Sie sich niemals in Gefahr, Systeme oder Daten zu retten

Bei unmittelbarer Gefahr (Virus verschlüsselt oder löscht Dateien, Feuer bricht aus, etc.) muss folgende Reihenfolge eingehalten werden:

  1. Sofort alle Systeme, insbesondere Server, von der Stromversorgung trennen, also nicht herunterfahren, sondern sofort stromlos machen. Keine Verzögerung durch fotografieren oder "Speichern von Dateien". Im Zweifelsfall Haupt- oder Notschalter betätigen
  2. Danach alles Ausgeschaltet lassen
  3. Alle Datensicherungen abziehen, beschriften. Keinesfalls an einen Computer anschließen
  4. Notfallkontakt informieren
  5. Alle Eindrücke, insbesondere Meldungen kurz vor oder beim Eintreten des Notfalls aufschreiben, aber keinesfalls dafür Geräte erneut einschalten, um Meldungen zu überprüfen
  6. Fachpersonen Vorgesetzte und Unternehmensleitung informieren
  7. Aufzeichnungen, Notizen und Datensicherungen übergeben

Die Fachperson wird über weitere Maßnahmen entscheiden.

Notfallkarte

Erstellen Sie eine Notfallkarte mit folgenden Inhalten:

  • Angaben des Notfallplans
  • Genaue Angabe zu Standorten Sicherungskasten, Hauptschalter, Notfallschalter (Wo befinden sich diese? Wie sehen sie aus? Welchen Schalter muss man umlegen, um die Systeme stromlos zu machen?). Hier sind Fotos und Bildanleitungen nützlich!
  • Genaue Angabe zum Standort des Servers (Wo befindet sich dieser? Wie sieht er aus? Wie kann man ihn vom Strom trennen?) Hier sind Fotos und Bildanleitungen nützlich!
  • Genaue Angabe zu allen Systemen, die notabgeschlatet werden müssen (Wo befindet sich diese? Wie sehen sie aus? Wie kann man sie vom Strom trennen?) Hier sind Fotos und Bildanleitungen nützlich!
  • Beschreibung der Online-Datensicherung (Wo befindet sich diese? Wie sieht sie aus? Wie kann man sie vom System trennen?) Hier sind Fotos und Bildanleitungen nützlich!
  • Beschreibung der Offline-Datensicherung (Wo befindet sich diese? Wie sieht sie aus? Wie viele Exemplare?) Hier sind Fotos und Bildanleitungen nützlich!
  • Angaben zum Notfallmanager im Unternehmen, dieser hat Zugang zu den Systemen, kann diese abschalten und informiert dann Fachpersonen und Unternehmensleitung (Wer ist Ansprechpartner? Wer ist die Vertretung? Wie lauten die Telefonnummern)
Notfallpläne müssen einmal pro Quartal geprüft und aktualisiert werden. Danach sollten die Pläne mit den Mitarbeitern besprochen werden. Regelmäßige Widerholungen schärfen das Bewusstsein
Abgerufen von „https://wiki.fakturax.de/index.php?title=IT_Sicherheit&oldid=20683