ServerBase Blog
Das Einmaleins der IT-Sicherheit für KMU

« Zurück zum Blog

Norwin Metzger
Von Norwin Metzger
Freitag, 25. Oktober 2019

Sind die Informationen in meinem Unternehmen genügend geschützt gegen Diebstahl, Manipulation und Verlust? Welche Massnahmen machen für mich als kleines Unternehmen Sinn, um eine gute IT-Sicherheit zu gewährleisten? Wir unterscheiden hier zwischen technischen und nicht-technischen Massnahmen, welche die IT-Sicherheit erhöhen.

Technische Massnahmen

Mit technischen Massnahmen soll in erster Linie verhindert werden, dass Gefahren überhaupt in Berührung mit Ihren Daten kommen. Die Schutzwirkung hängt stark vom Produkt ab und bietet nie hundertprozentige Sicherheit. Deshalb sind in jedem Fall auch nicht-technische Massnahmen erforderlich, um das Restrisiko der technischen Massnahmen weiter zu minimieren.

Firewall: Schützen Sie Ihr Netzwerk mit einer Firewall. Diese muss nicht nur vorhanden sein, sondern auch korrekt konfiguriert und regelmässig mit Sicherheitsupdates versorgt werden. Die Firewall gewährleistet, dass Ihr Netzwerk gegenüber dem Internet abgeschirmt ist und nur der Datenverkehr zugelassen wird, welcher auch gewünscht ist. Einige moderne Firewalls sind mit künstlicher Intelligenz ausgestattet und erkennen automatisch, wenn beispielsweise ein infizierter PC mit dem Internet kommunizieren möchte und blockieren diesen automatisch.

Anti-Virus: Gelangt trotz Firewall ein Virus auf Ihren PC, blockiert eine Anti-Virus-Software deren Ausführung oder ist in der Lage, ein bereits infiziertes System zu reinigen. Windows enthält mit dem Defender bereits von Werk aus einen Basisvirenschutz mit sehr guter Bewertung von AV-TEST. Produkte von Drittherstellern haben einen grösseren Funktionsumfang und nutzen immer öfters künstliche Intelligenz zur Erkennung und Bekämpfung von Malware, unter anderem auch von erpresserischer Ransomware.

Web-Filter: Ein Web-Filter blockiert schädliche Websites und verhindert, dass Ihre Mitarbeiter über Links in E-Mails oder Werbebanner überhaupt auf solche Webseiten gelangen. Sie sind entweder als Software für den PC, Plugin für den Browser oder zentral in die Firewall integriert erhältlich.

Spam-/Viren-Filter für E-Mail: Verhindert, dass schädliche E-Mails überhaupt den Weg in Ihr Postfach finden. Gute E-Mail-Provider haben einen solchen Filter bereits standardmässig in ihrem Produkt integriert, sodass sie sich nicht darum kümmern müssen.

Backup kontrollieren: Stellen Sie sicher, dass Sie immer ein funktionierendes Backup zur Verfügung haben, um bei einem Datenverlust den Schaden zu begrenzen. Testen Sie regelmässig, dass die Wiederherstellung der Daten auch funktioniert. Das beste Backup nützt nichts, wenn es sich am Ende nicht wiederherstellen lässt.

Nicht-technische Massnahmen

Starke Passwörter verwenden: Halten Sie Ihre Mitarbeiter an, starke und schwierig zu erratende Passwörter zu benutzen. Nutzen Sie mindestens 8 Zeichen, gemischt mit Grossbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Sie dürfen keine Worte und keine Geburtsdaten oder ähnliches enthalten. Nutzen Sie für jedes Login ein anderes Passwort. Mit dem Passwortcheck des Datenschutzbeauftragten des Kantons Zürich können Sie die Sicherheit Ihrer Passwörter ohne Gefahr testen.

Blockieren aller Zugriffe ehemaliger Mitarbeitenden: Stellen Sie sicher, dass ehemalige Mitarbeitende keinen Zugriff mehr auf Ihre Daten haben. Blockieren Sie alle persönlichen Accounts der Mitarbeitenden und wechseln Sie die Passwörter von zentral genutzten Accounts. Denken Sie dabei auch an Social Media und Cloud-Software.

Berechtigungsmanagement: Definieren Sie klar, welche Mitarbeiter auf welche Daten zugreifen können und stellen Sie sicher, dass dies auch so ist. Das schützt vor böswilligen Aktivitäten seitens der Mitarbeiter und reduziert unabsichtliche Schäden, beispielsweise durch Ransomware.

Schulung: Sensibilisieren Sie Ihre Mitarbeitenden im Umgang mit Ihren IT-Systemen und möglichen Gefahren. Dies beinhaltet den Umgang mit E-Mail und Webbrowser, aber auch die Herausgabe von sensitiven Informationen über Telefon oder an externe Personen in Ihren Geschäftsräumen. Das untenstehende Video sensibilisiert Sie und Ihre Mitarbeitenden in wenigen Minuten für ein besseres Bewusstsein für mehr Informationssicherheit.

Fazit

Absolute Sicherheit gibt es nie. Doch die genannten Massnahmen helfen, Gefahren mit wenig Aufwand und geringen Kosten bestmöglich zu reduzieren. Angreifer suchen sich meist die leichtesten Opfer aus und so hilft es bereits viel, die Schutzmassnahmen über dem Durchschnitt zu halten. Jeder Geschäftsführer sollte sich zumindest grob mit IT-Sicherheit und geeigneten Massnahmen auskennen.