logo
logo

Konzepte und Kriterien

Hackerangriff aushebeln mit acht Sicherheitsstandards

5. März 2018 - Der Hackerangriff auf die Bundesregierung vergangene Woche zeigt die Dringlichkeit des Themas. Ohne Prävention und wirksamen Cyberschutz geht nichts mehr. Der Gesamtverband der Deutschen Versicherungswirtschaft hat jetzt acht Sicherheits-Standards für Unternehmen zur Prävention zusammengestellt.

Es gibt keine 100prozentige Sicherheit im Netz. Das musste vergangene Woche selbst die Bundesregierung schmerzlich erkennen, nachdem Hacker in das als sicher geltende Datennetzwerk des Informationsverbund Berlin-Bonn (IVBB) eingedrungen sind. Nach Ansicht der Fachwelt sollte aber deshalb niemand gleich resignieren, denn nicht jeder Hacker ist in der Lage, Attacken dieses Ausmaßes durchzuführen. Demnach lassen sich die meisten Angriffe sogar schon mit einfachen Schutzmechanismen abwehren oder die Auswirkungen spürbar begrenzen. Allerdings sollte generell gelten: Je sensibler Daten sind, desto besser sollten sie geschützt sein. Deswegen hat der GDV Gesamtverband der Deutschen Versicherungswirtschaft (www.gdv.de) jetzt eine unverbindliche Guideline von acht digitalen Sicherheitsstandards für Unternehmen veröffentlicht.

Ohne Brandmelder keine Feuerversicherung. Ähnlich verhält es sich mit der Cyberpolice. Auch dafür braucht es ein Mindestmaß an Eigenvorsorge. Eine Kombination aus verschiedenen Maßnahmen kann einen guten Schutz gegen Angriffe auf die eigene IT leisten. Diese acht Sicherheitsstandards sollten selbst die kleinsten Unternehmen einhalten.

Antivirenprogramm auf dem neuesten Stand halten
Er gehört eigentlich zur Standardausstattung jedes Computers: Ein Virenscanner, der die Festplatte immer wieder nach Schädlingen durchsucht. Gerade in Betrieben, in denen mehrere Mitarbeiter an einem Computer oder in einem Netzwerk arbeiten, ist ein solches Anti-Viren-Programm absolute Pflicht. Während für Privatanwender viele gute kostenlose Programme zur Verfügung stehen, müssen Betriebe zumeist bezahlen. Doch auch hier gibt es Versionen für kleinere Unternehmen, die weniger als 5 Euro im Monat kosten und guten Schutz bieten.

Wichtig ist auch, die Programme auf dem aktuellsten Stand zu halten. Die meisten Antivirenprogramme aktualisieren sich automatisch über das Internet. Diese Funktion sollte auf keinen Fall abgeschaltet werden. Denn nur wenn der Virenscanner auf dem aktuellsten Stand ist, kann er auch zuverlässig die neusten Schädlinge erkennen.

Wöchentliche Datensicherung machen
Wenn ein Ransomeware-Trojaner zuschlägt und wertvolle Dateien verschlüsselt, sind die Daten meist hoffnungslos verloren – es sei denn, die Daten wurden vor dem Angriff noch gesichert. Deshalb sollte ein regelmäßiges Backup zum Standard jedes Betriebes gehören. Experten empfehlen, mindestens einmal pro Woche eine Sicherungskopie zu machen.

Wichtig dabei: Die Datensicherung physisch getrennt vom Server aufbewahren. Denn ist zum Beispiel eine externe Festplatte noch per Kabel mit dem Server verbunden, kann ein Computerschädling auch darauf zugreifen. Besser: Eine Festplatte nutzen, die sich nach dem Backup vom System abziehen lässt.

Experten raten sogar zur 3-2-1-Regel: Drei Kopien aller kritischer Daten sollten auf mindestens zwei unterschiedlichen Medien liegen – auf der Festplatte etwa, der CD oder im Cloudspeicher. Und mindestens eine Kopie sollte außerhalb des Unternehmens gelagert werden – um zu verhindern, dass zum Beispiel ein Brand im Büro oder eine Überflutung alle Datenträger vernichtet.

Wichtig ist es auch, die Datenwiederherstellung zu proben. Von Zeit zu Zeit sollten Betriebe prüfen, ob sie mithilfe der Sicherheitskopien ihre Daten wiederherstellen können.

Updates und Sicherheits-Patches schnell einspielen
Andauernd nerven Betriebssysteme oder Programme mit der Aufforderung, ein Update einzuspielen. Oft verbergen sich dahinter sogenannte Sicherheits-Patches, also Versionen einer Software, in der wieder einmal eine Sicherheitslücke geschlossen wurde. Wie wichtig solche Updates sind, zeigte die Angriffswelle mit der sogenannten WannaCry-Schadsoftware im Mai 2017, die weltweit mehr als 230.000 Windows-Computer in über 100 Ländern betraf. WannaCry nutzte eine Sicherheitslücke, die bereits bekannt war. Schon zwei Monate zuvor hatte Microsoft ein Sicherheitspatch herausgegeben. Wer dieses rechtzeitig installiert hatte, war gegen den Angriff immun.

Betriebssysteme laden in der Regel automatisch die aktuellen Updates herunter und installieren diese. Diese Update-Funktion sollte auf keinen Fall deaktiviert werden. Zudem müssen die Rechner danach auch regelmäßig heruntergefahren und neu gestartet werden. Ansonsten können die Updates nicht installiert werden.

Auch einzelne Programme oder Plug-Ins können Sicherheitslücken enthalten. Deshalb sollten auch für Programme und Plug-Ins die aktuellen Versionen eingespielt werden. Doch auch hier gibt es mittlerweile bei vielen Programmen eine automatische Update-Funktion.

Vor einem Update sollte allerdings eine Datensicherung gemacht werden, da ein Update manchmal auch zu technischen Problemen führen kann.

Firmen-Server mit Firewall sichern
Eine Firewall funktioniert wie eine Grenzkontrolle: Nur mit gültigen Ein- und Ausreisepapieren dürfen Datenpakete vom eigenen Netzwerk ins offene Internet und umgekehrt. Solch einen Schutz sollte jeder Server haben, um die zahllosen Angriffe aus dem Netz abzuwehren. Auch eine Software zur Sicherheitsüberwachung (Security Monitoring) oder zur Erkennung von Eindringlingen (Intrusion Detection) sind gute Maßnahmen, um die Sicherheit des eigenen Netzwerks zu stärken.

IT-Administratorenzugänge einrichten und sparsam nutzen
Ein Computer, nur ein Benutzerprofil und im Ernstfall ein ganz großes Problem: Wer seinen Computer einrichtet, sollte unbedingt ein Administratorprofil mit gesondertem Kennwort einrichten und dieses Profil nur dann benutzen, wenn neue Programme eingerichtet oder das Betriebssystem konfiguriert werden. Für die alltägliche Arbeit sollte immer ein Zugang mit weit weniger Rechten genutzt werden. Der einfache Grund: Fängt sich ein Benutzer mit einem einfachen Zugang einen Virus ein, kann dieser häufig nur begrenzten Schaden anrichten, selbst wenn der Schädling die Kontrolle übernimmt – ohne Administratorenkennwort kann sich der Virus weit weniger ausbreiten.

Individuelle Mitarbeiterzugänge einrichten
Jeder Mitarbeiter sollte einen eigenen Benutzeraccount mit eigenem Passwort bekommen. So können Administratoren genau definieren, welche Berechtigungen ein Mitarbeiter hat und welche nicht. Zudem kann bei einem Angriff mit einzelnen Nutzeraccounts besser nachvollzogen werden, wie ein Eindringling in das Netzwerk gelangen konnte. Viele Betriebe nutzen nur einen Zugang pro Computer, der dann als Sammelzugang verwendet wird. Sammelaccounts sind ein potenzielles Einfallstor, da so nicht kontrolliert werden kann, wie die Passwörter weitergegeben werden. Ehemalige Mitarbeiter hätten so auch weiterhin Zugang zu Daten, wenn solche Passwörter nicht ständig geändert werden.

Komplexe Passwörter erzwingen
Einfach zu erratende Passwörter sind eines der häufigsten Einfallstore für Angreifer. Trotzdem sind die meisten Menschen dabei immer noch erstaunlich unkreativ: Das häufigste Passwort weltweit ist „123456“, gefolgt von „password“ und „12345678“, wie aus einer Liste der Sicherheitsfirma Splash Data (www.splashdata.com) hervorgeht. Um es Hackern nicht zu leicht zu machen, sollte es einen Mindeststandard für Passwörter geben.

Diese sollten beispielsweise eine bestimmte Passwortlänge (zum Beispiel mindestens acht Zeichen) vorschreiben oder die Nutzer dazu verpflichten, mindestens eine Zahl oder ein Sonderzeichen für ihr Passwort zu verwenden. Das Bundesamt für Sicherheit in der Informationstechnik gibt folgende Empfehlungen:

Komplexe Passwörter …

  • … sollten mindestens acht Zeichen lang sein, je länger desto besser.
  • … bestehen aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…)
  • … sollten Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten nicht verwenden. Auch in Wörterbüchern sollte das Passwort nicht 1:1 vorkommen.
  • … sollten nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht ‚qwertz‘, ‚asdfgh‘ oder ‚1234abcd‘.
  • Und: Ein einfaches Passwort allein um eine Ziffer oder ein Sonderzeichen wie $ ! ? oder # zu verwenden, ist auch nicht empfehlenswert.

Ein Administrator kann solche Passwortbedingungen technisch erzwingen: Vergisst ein Mitarbeiter bei der Anpassung des Passworts das geforderte Sonderzeichen, kann er sein Passwort nicht erstellen.

Mobilgeräte sichern
Eine weitere Gefahr: Immer häufiger werden Firmendaten auf Mobilgeräten wie Smartphones, Tablets oder Laptops auch außerhalb des Betriebes genutzt. Für die Arbeit bietet das viele Vorteile. Doch wehe, wenn der Laptop im Zug vergessen oder das Smartphone aus der Tasche gestohlen wird. Wenn diese Geräte nicht geschützt sind, können Diebe schnell und einfach Passwörter oder sensible Firmendaten abfischen.

Deshalb sollten auf jeden Fall mobile Datenträger vollverschlüsselt und mithilfe eines Passworts geschützt sein. Darüber hinaus sollten die Daten auf Handys oder Laptops aus der Ferne gelöscht werden können. Auch eine sogenannte Zwei-Faktor-Identifizierung bei kritischen Zugängen sollte erwogen werden: Dies bedeutet, dass neben der Eingabe eines einzelnen Kennworts zusätzlich noch ein weiterer Identifizierungsweg benötigt wird, zum Beispiel über das Handy oder eine Chipkarte.

Die bekannteste Zwei-Faktor-Identifizierung ist wohl das MobileTAN-Verfahren beim Online-Banking (mTAN). So müssen sich Bankkunden mit ihrem persönlichen Passwort einloggen, zusätzlich wird eine Transaktionsnummer per SMS ans Handy geschickt. (-ver / www.bocquel-news.de)

zurück

Achtung Copyright: Die Inhalte von bocquel-news.de sind nach dem Urheberrecht für journalistische Texte geschützt. Die Artikel sind ausschließlich zur persönlichen Lektüre und Information bestimmt. Abdrucke und Weiterverwendung - beispielsweise zum kommerziellen Gebrauch auf einer anderen Homepage / Website oder Druckstücken - sind nur nach persönlicher Rücksprache mit der Redaktion (info@bocquel-news.de) gestattet.