10 Grundregeln für einen soliden IT-Grundschutz

4. September 2017

IT-Sicherheit ist ein vielschichtiges Gesamtkonzept, das neben technologischen Vorkehrungen zur Abwehr von Cybergefahren auch organisatorische Maßnahmen enthalten und auf die personelle Sicherheit abzielen muss.
Hier 10 Regeln, wie Sie – auch privat – Ihre IT und Ihre Daten schützen können.

1. Pass- und Kennwörter

Verwenden Sie komplexe Passwörter mit mindestens 8 Zeichen, bestehend aus Groß-/Kleinschreibung, Sonderzeichen etc., und ändern Sie diese Passwörter regelmäßig. Zum Merken komplexer Passwörter gibt es kleine Software-Tools wie z. B. KeePass. Damit können Passwörter sehr einfach erstellt, verwaltet und die verschiedenen Zugangsdaten in einer verschlüsselten Datei abgelegt werden. Bei Anmeldemasken auf Webseiten werden die Passwörter dann automatisch eingetragen. 
Schützen Sie alle Anwendungen mit eigenen Kennwörtern!

2. Updates und Patches

Installieren Sie Sicherheitsaktualisierungen insbesondere von Betriebssystemen, Browsern, E-Mail-Programmen und Office-Anwendungen immer sofort ab Verfügbarkeit.

3. Zugriffsrechte-Verwaltung

Etablieren Sie ein funktionales und effektives Zugriffsrechte-Management auf Daten, Zugangsrechte zu sensiblen Rechenzentrumsbereichen und für den Umgang mit Gästen im Firmennetzwerk.
Setzen Sie dabei auf möglichst sparsamen Datenzugriff in Abhängigkeit von den jeweiligen Tätigkeitsprofilen der Mitarbeiter/-innen, d. h. erlauben Sie nur den Zugriff auf Daten, die wirklich benötigt werden.
Vergeben Sie so gut wie keine Universalrechte, auch nicht für Entwickler und Administratoren. Grenzen Sie die Rechte dieser Personenkreise auf wenige, transparent dokumentierte und überprüfbare Rollen ein. Bei Administratoren lassen sich die Berechtigungsprofile z. B. leicht nach den arbeitsteiligen Rollen splitten, wie Administrator für Benutzer oder für Berechtigungsdaten und ähnliches. Führen Sie bei bestimmten nicht vermeidbaren Konstellationen das Vier-Augen-Prinzip ein.

4. Authentifizierung

Stellen Sie beim Einstieg in Firmendatenbanken und beim Aufruf von Applikationen zumindest eine Zwei-Faktor-Authentifizierung sicher. Beziehen Sie auch die mobilen Devices Ihrer Mitarbeiter/-innen mit ein. Bauen Sie dafür ein zentrales MDM (Mobile Device-Management) auf.

5. Firewalls und DMZ

Verbergen Sie jeden PC mit Internetzugriff hinter einer Firewall. Diese kann entweder als Personal Firewall am Arbeitsplatz oder als zentrale Firewall in einem Netzwerk-/DSL-Router implementiert werden.

Für Großunternehmen mit vielen IT-Systemen empfiehlt sich die Einrichtung einer DMZ (Demilitarized Zone). Mit ihr können Dienste des Rechnerverbundes wie z. B. E-Mail oder Word Wide Web durch eine oder mehrere Firewalls gegenüber zwei oder mehr Netzen wie z. B. WAN (Internet) und LAN (Intranet) isoliert werden. Damit werden sicherheitstechnisch kontrollierte Zugriffsmöglichkeiten auf die angeschlossenen Systeme geschaffen, mit denen parallel öffentlich erreichbare Dienste genutzt werden können und das interne Netz vor unberechtigten Zugriffen geschützt wird.

6. Antiviren-Programme

Schirmen Sie alle Rechner mit Antivirenprogrammen und Spamschutz ab. Internetdaten (Web, Mail) sollten zentral über einen Server laufen und dort geprüft werden. Da nicht immer gewährleistet ist, dass ein einzelner Technologieanbieter auch wirklich tagesaktuell alle Bedrohungen erkennt, können zur Anhebung der Sicherheit von IT-Anwendungen auch mehrstufige Abwehrmechanismen verschiedener Hersteller nacheinander geschaltet integriert werden.
Aktualisieren Sie die Virendatenbanken täglich, am besten noch häufiger!

7. Intrusion Detection

Setzen Sie ein SIEM (Security Information Event Management) zur Erkennung von Anomalien bei allen vernetzten Geräten auf. Wenden Sie dabei „Security by design“-Regeln an. Heute gibt es bereits weitreichende Hilfestellung für das Scannen des Netzwerk-Verkehrs und die Erkennung von unterschiedlichster Malware, aber auch von Zero Day Exploits durch künstliche Intelligenz und Machine Learning-Technologien.

8. Durchgehende Verschlüsselung

Damit Daten wirklich sicher sind, braucht es echte Ende-zu-Ende-Verschlüsselung, d. h. die Daten müssen sowohl am Transportweg als auch in den Speicherdestinationen und während der Bearbeitung wirkungsvoll geschützt sein.
Wenn Daten am Internettransportweg mit TLS (Transport Layer Security) verschlüsselt sind, erkennt man dies daran, dass dem http ein „s“ für „secure“ angehängt wird – also https. Für die Transportverschlüsselung kommen auch VPNs (Virtual Private Networks) zum Einsatz. 
SSH (Secure Shell) hingegen sorgt für die sichere Verbindung zwischen Client und Server. 
Für die Verschlüsselung der Inhalte existieren Technologien wie Containerverschlüsselung oder systemweite Festplattenverschlüsselung.

Sonderfall E-Mail-Verschlüsselung

Ein Sonderfall ist die Verschlüsselung von E-Mails. Für 2017 geht das Technologie-Marktforschungsunternehmen „The Radicati Group“ von 269 Milliarden täglich versendeten und empfangenen E-Mails aus. E-Mail ist in der Geschäftskommunikation noch immer eine dominierende Applikation und trotzdem verschlüsseln z. B. nur 16 % der deutschen Unternehmen ihre E-Mail-Kommunikation. Dabei stehen mit dem Schlüssel- und Signatur-basierten PGP (Pretty Good Privacy) und dem Zertifikats-basierten S/MIME (Secure/Multipurpose Internet Mail Extensions) zwei wirklich bewährte Verfahren für die E-Mail-Verschlüsselung zur Verfügung.
Im Zweifelsfall gilt jedoch: Versenden Sie nie hoch sensible Firmenunterlagen per E-Mail!

9. Backup

Strukturierte und in interpretierfähige Information verwandelte Daten sind heute das größte Unternehmens-Asset, so dass ein Datenverlust sich schnell zur größeren Krise auswachsen kann. Die Erstellung von Backups und die redundante Datensicherung sind daher Kernbestandteil jeder IT-Security-Strategie. Festplatten und auch mobile externe Speichermedien können jederzeit einen Defekt aufweisen. Daher ist es von essentieller Bedeutung, die Datenbestände nach jedem Verarbeitungsvorgang unmittelbar an einem sicheren, physisch völlig getrennten Ort als Backup abzulegen.

10. Gefahren-Awareness

Jedes Unternehmen ist heute angesichts der massenhaften Bedrohungen im Cyberraum aufgerufen, seinen Mitarbeitern/-innen mit laufenden Schulungen ein erhöhtes Gefahrenbewusstsein zu vermitteln. Gerade gegen die hoch bedrohlichen Phishing-Attacken zum Ausspähen von Passwörtern, PINs und TANs oder Kreditkartendaten, gegen Ransomware-Angriffe über das Einfallstor E-Mail oder auch gegen Identitätsdiebstahl oder CEO-Fraud hilft nur massive Aufklärung darüber, wie solche Einbrüche der Cyberkriminellen ablaufen und auf welche Hinweise (Erkennungsmerkmale) man achten muss, um nicht unüberlegt Firmenwerte aufs Spiel zu setzen.