IT-Sicherheit
In Zeiten von Clouds, Social Media und Co. steigt die Zahl der Cyberangriffe und Straftaten, die über das Internet verübt werden, stetig an.
Die vier größten Gefahren, vor denen Sie sich schützen müssen, sind:
- Datenklau / Datenverlust
Ihre Daten befinden sich in fremden Händen und sind für Sie nicht mehr greifbar.
Oder: Ihre Daten gehen verloren. Das kann die unterschiedlichsten Gründe haben. - Spionage
Die Konkurrenz erhält Einblicke in Ihr Unternehmen und weiß z. B. wie Sie kalkulieren. - Verschlüsselung der Daten
Ihre Daten sind zwar nach wie vor vorhanden, können aber nicht mehr gelesen werden. - Identitätsklau
Jemand gibt sich als Sie aus und begeht in Ihrem Namen Straftaten im Internet.
Dabei ist die Frage nicht, ob Sie angegriffen werden, sondern wann. Schützen Sie sich daher rechtzeitig und erhöhen Sie die IT-Sicherheit in Ihrem Unternehmen. Ein gut durchdachtes IT-Sicherheitskonzept inkl. Datensicherungskonzept, starke Passwörter und geschulte Mitarbeiter bilden dabei die Basis.
Ansprechpartner
Beratungsstelle für Innovation und Technologie (BIT)
Tel. 09431 885-320
Fax 09431 885-285320
Digitalisierungskoordinatorin / Beratungsstelle für Innovation und Technologie (BIT)
Tel. 09431 885-321
Fax 09431 885285-321
Datenverlust/Datensicherung
Der Verlust von Daten kann die unterschiedlichsten Gründe haben, beispielsweise:
- Irrtümliches Löschen oder Überschreiben einer Datei
- Ausfall eines Speichermediums / des PCs
- Beschädigung des IT-Systems aufgrund von Feuer oder Wasser
- Beschädigung der Daten durch Viren oder Würmer
- Verschlüsselung der Daten nach einem Hackerangriff
Dabei gibt es verschiedene Möglichkeiten, die Daten zu sichern:
- Externe Festplatte
Zur Datensicherung werden bestmöglich 3 externe Festplatten immer im Wechsel genutzt. Aufbewahrt werden die Festplatten an einem sicheren (vor Diebstahl und Wasser/Feuer geschützten) Ort. - Bandlaufwerk
Ein Bandlaufwerk speichert Daten auf einem schmalen Band von magnetisierbarem Material. Dieses Band wird zwischen Spulen transportiert, die sich innerhalb des Laufwerks befinden. Während des Schreibvorgangs kodiert ein Schreib-/Lesekopf die Daten auf dem Band. - NAS-System
Ein NAS-System ist ein Speichergerät, das mit dem Netzwerk verbunden ist und autorisierten Benutzern das Speichern und Abrufen von Daten über einen zentralen Ort ermöglicht. So können die Daten zentral für alle Nutzer im Netzwerk zur Verfügung gestellt werden. - Cloud-Speicher
Cloud Storage ist eine Möglichkeit für die Datenspeicherung, in dem digitale Daten auf Servern an externen Standorten gespeichert werden. Die Server werden von einem Drittanbieter verwaltet, der für das Hosting, Verwalten und Sichern der in der Infrastruktur gespeicherten Daten verantwortlich ist. Der Anbieter sorgt dafür, dass die Daten auf seinen Servern immer über öffentliche oder private Internetverbindungen zugänglich sind.
Wie schützen Sie Ihre Daten vor einer Verschlüsselung bzw. vor dem Verlust?
… durch eine Backup-Lösung:
- Sichern Sie Ihre Daten mehrmals auf verschiedenen Medien.
- Sichern Sie Ihre Daten an verschiedenen Orten, um im Falle eines Brands / Wasserschadens keine Daten zu verlieren.
- Überlegen Sie, was alles gesichert werden muss.
- Prüfen Sie, ob die Datensicherung im Ernstfall auch funktionieren würde!
Wichtiger Hinweis:
Datensicherung ist dabei aber nicht gleich Backup!
Eine Backup-Lösung sollte nicht dauerhaft mit dem Netzwerk verbunden sein, da sie so angreifbar ist.
Als Backup-Lösung für ein NAS-System eignen sich deshalb zum Beispiel externe Festplatten, die nach der Datenspeicherung vom Netz genommen werden.
Passwörter
Eine kostenlose und einfache Möglichkeit, die IT-Sicherheit im Unternehmen zu erhöhen ist die Verwendung von sogenannten starken Passwörtern.
Vergleichen wir Passwörter mit Haustüren, so käme ein einfaches Passwort dem Nicht-Abschließen einer Türe gleich. Ein starkes Passwort ist vergleichbar mit der Mehrfachverriegelung moderner Haustüren. Gehen Sie also mit dem Thema Passwörter genauso sensibel um wie mit Ihrer Haustüre!
So finden Sie ein starkes Passwort:
- Reihen Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen möglichst komplex aneinander.
- Grundsätzlich gilt: je länger das Passwort, desto besser.
Ein gutes Passwort sollte in der Regel mindestens 12 Zeichen lang sein. Bei Verschlüsselungsverfahren für WLAN (z. B. WPA und WPA2) ist ein gutes Passwort mindestens 20 Zeichen lang. - Achten Sie darauf, dass das Passwort nicht in Wörterbüchern vorkommt.
- Nicht geeignet sind Namen von Familienmitgliedern oder Haustieren, Geburtsdaten, …
- Verwenden Sie keine Wiederholungs- oder Tastaturmuster, beispielsweise "1234abcd".
Es gibt verschiedene Möglichkeiten, um starke Passwörter zu finden:
- Bauen Sie sich eine Eselsbrücke, um sich Ihr Passwort leichter merken zu können. Beispiel: Meine Oma fährt jeden 1. Sonntag mit dem Fahrrad zur Kirche. M0fj1.SmdFzK.
- Passwortkarte
Die Anwendung ist einfach:
- Wählen Sie im Koordinatensystem einen beliebigen Startpunkt aus.
- Vom Startpunkt aus nehmen Sie einen „Weg“ in eine beliebige Richtung vor, dabei ist die Verwendung von horizontalen, vertikalen, diagonalen Richtungen sowie auch von Richtungswechseln und Zickzack möglich.
- Variieren Sie ggf. Ihre Passworterstellung, indem Sie z.B. die Zeichenfolge ihres Weges durch das Auslassen von Zeichen nach einem festen Muster verlängern. Oder schreiben Sie eine darin enthaltene Zahl aus oder vertauschen Sie jeweils den ersten und letzten Buchstaben.
- Die Muster-Passwortkarte soll ein Hilfsmittel für Unternehmen sein, um auch eigene individuelle/persönliche Passwortkarten für die Mitarbeiter zu entwickeln. - Passwortmanager
Der Passwort-Manager verwahrt Benutzernamen und dazugehörige Passwörter mittels Verschlüsselung sicher wie ein Tresor. Durch Eingabe des Masterpassworts kann dieser geöffnet werden und alle Zugangsdaten können eingesehen werden.
Auch unterstützt er bei der Passwortvergabe durch softwaregestützte Generierung starker Passwörter und kennzeichnet i.d.R. bereits vergebene, schwache Passwörter.
Unsere Tipps zum Thema Passwörter:
- Ändern Sie Ihr Passwort regelmäßig.
- Geben Sie Ihre Passwörter nicht an Zweite weiter!
- Notieren Sie Ihre Passwörter nicht!
- Verwenden Sie einen verschlüsselten Passwortmanager. zum Beispiel KeePass.
Spam, Phishing & Co.
Einer der häufigsten Wege, Ihren Computer mit Schadsoftware zu infizieren, sind E-Mail-Anhänge und eingebettete Links. Seien Sie deshalb wachsam bei E-Mails, die einen Anhang oder Link enthalten.
Um sicherzugehen, dass es sich um keine „schädliche“ E-Mail handelt, prüfen Sie jede eingehende E-Mail anhand von drei Kriterien, den sog. ABA-Kriterien.
ABA = Absender – Betreff - Anhang
- Absender
Ist der Absender bekannt und richtig geschrieben?
Prüfen Sie die E-Mail-Adresse auf Richtigkeit. Achten Sie dabei auf die Endung der E-Mail-Adresse. - Betreff
Ist der Text im Betreff sinnvoll und präzise geschrieben?
Ein unpräzise betitelter Betreff (z.B. „Ihre Rechnung“ ohne weitere konkretere Angaben) weist auf eine schädliche E-Mail hin. - Anhang
Ist ein Anhang zu erwarten?
Achten Sie dabei auf das Dateiformat und den Namen der Datei.
So können Sie Phishing-Emails meistens erkennen:
- Die Anrede ist meist unpersönlich gehalten (z. B. "Lieber Kunde")
- Dringender Handlungsbedarf wird signalisiert ("Sie müssen unbedingt sofort …")
- Drohungen kommen zum Einsatz ("Wenn Sie das nicht tun, dann …")
- Vertrauliche Daten wie Zugangsdaten werden abgefragt
- Die Mail enthält einen Link, dem gefolgt werden soll.
- Es sind kyrillische Buchstaben oder falsch aufgelöste bzw. fehlende Umlaute enthalten (z. B. nur "a" statt "ä")
Sollten Sie den Verdacht haben, dass es sich bei einer der E-Mails in Ihrem Postfach um eine "schädliche" E-Mail handelt, sollten Sie beim vermeintlichen Absender erst nachfragen oder die Mail sofort löschen!
Zwei-Faktor-Authentifizierung
Für besonders sensible Inhalte gibt es auch noch die Möglichkeit einer Zwei-Faktor-Authentifizierung. Dazu könnte z.B. ein Bestätigungscode an ein weiteres Gerät wie Ihr Smartphone gesendet werden, um den Vorgang zusätzlich zur Eingabe des Passworts abzusichern.
Mögliche Verfahren für 2. Faktor:
- SMS
- Software (App) generiert zeitabhängiges Einmalpasswort
- Hardware, zum Beispiel Chipkarte
- Personalausweis (eID)
- Biometrie z.B. Fingerabdruck
Empfehlung: Nutzen Sie für zwei Faktoren zwei verschiedene Geräte!
Mitarbeiter
Ihre Mitarbeiter spielen bei der IT-Sicherheit eine sehr wichtige Rolle! Denn sie sind es, die täglich am PC Daten verarbeiten und E-Mails empfangen.
Wird der Mitarbeiter vom Täter benutzt, um dessen kriminelle Absicht zu verwirklichen, so spricht man von Social Engineering. Hierbei werden menschliche Eigenschaften wie Vertrauen, Angst, Hilfsbereitschaft oder der Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Das Opfer wird verleitet, vertrauliche Daten preiszugeben, Überweisungen zu tätigen oder Schadsoftware zu installieren.
Sie können Ihre Mitarbeiter und somit Ihr Unternehmen schützen, indem Sie Ihre Mitarbeiter regelmäßig
- aufklären über die Gefahren von Social Engineering
- sensibilisieren zum Umgang mit sensiblen Kunden- und Betriebsdaten
- informieren, was bei einem IT-Sicherheits-Vorfall zu tun ist
Was tun, wenn's passiert ist?
Sie sind Opfer eines Hackerangriffs geworden oder Sie vermuten, dass Sie gehackt wurden? Internetkriminalität ist kein Kavaliersdelikt! Wenden Sie sich daher an die Polizei!
Zentrale Ansprechstelle Cybercrime - ZAC
Bayerisches Landeskriminalamt München
Tel.: 089 1212-3300
E-Mail: zac@polizei.bayern.de
Die Beratungsstelle für Innovation und Technologie ist gefördert:
Hinweis: Diese Stelle gehört zum Technologie-Transfer-Netzwerk des Handwerks und wird als „Beratungsstelle für Innovation und Technologie“ vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) und dem Bayerischen Staatsministerium für Wirtschaft, Landesentwicklung und Energie gefördert. Weitere Informationen finden Sie auf der zentralen Webseite www.bisnet-handwerk.de. Weitere Informationen zur zentralen Leitstelle für Technologie-Transfer im Handwerk finden Sie hier.