03.05.2021

IT-Sicherheit: Aktion Frühjahrsputz

Locken nach diesem langen Winter die ersten Sonnerstrahlen und aufblühende Pracht der Natur auch Sie von Ihrem PC-Arbeitsplatz weg und hinaus ins Grüne? Dafür hat sicher Jede und Jeder Verständnis - aber vergessen Sie darüber nicht, auch Ihren IT-Systemen eine "Frühjahrskur" zu gönnen: denn Schadsoftware und Cyberkriminalität sind leider ganzjährig aktiv. Zeit für eine "Aktion Frühjahrsputz"!

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

IT-Sicherheit

Microsofts Exchange-Serversysteme

Das Thema unseres aktuellen Beitrags für den Monat Mai hängt aber nicht nur mit diesem saisonalen Anlass zusammen, denn ein Fitness-Check Ihrer IT-Systeme bietet sich eigentlich, unabhängig von der Jahreszeit, immer an. Gerade fielen Microsofts Exchange-Serversysteme durch einige gravierende Sicherheitslücken unrühmlich auf – aber auch Angriffe auf Systeme von Apple und Linux und zunehmend auf Smartphones gehören trauriger Weise inzwischen zum Alltag.

Das Thema Sicherheit in der IT ist beinahe so alt wie die Computerwelt an sich, wird aber doch gerne verdrängt - Computer-Sicherheit ist teuer und unbequem. Eigentlich müsste dies aber gar nicht immer so sein - wir wollen Ihnen heute anhand einer kleinen Checkliste aufzeigen, wie Sie bereits mit wenigen Mitteln einen Grossteil der potentiellen Bedrohungen mindern können - und dies alles mit den so genannten "Bordmitteln", also Möglichkeiten, die Ihre Systeme ohnehin von Haus aus mitbringen oder die Sie anwenden können, ohne teure zusätzliche Software oder "Manpower" bezahlen zu müssen.

Sicherheit tut not

Und Warnungen davor, es mit der Sicherheit zu lax zu sehen, entspringen keinesfalls einer Hysterie oder aus Profitdenken geschürten Ängsten, mit denen die Anbieter von Sicherheitslösungen ihre Produkte an den Mann oder die Frau bringen wollen. Eher schon entsprechen die auch an dieser Stelle immer wieder zu lesenden Hinweise den berühmten Kassandrarufen: eigentlich könnte und sollte jeder Computerbenutzer über Gefährdungen der IT-Sicherheit Bescheid wissen und seinen Teil dazu beitragen, diese Bedrohungen und deren reale Auswirkungen zu verringern. Nicht nur Administratoren und sonstige IT-Verantwortliche sind dabei gefordert und gefragt – bereits im Kleinen kann jeder Nutzer, jede Nutzerin von IT-Systemen seinen und ihren Teil zu mehr Sicherheit beitragen.

Ein wichtiges Einfallstor für Angreifer liegt sicher in der unbedarften Nutzung der vielfältigen EDV-Systeme, die uns täglich auf Schritt und Tritt in Form von geschäftlich oder privat genutzten PCs, Laptops, Smartphones und Handys begegnen:

  • Nach aktuellen Aussagen von IT-Experten entstehen jeden Tag "weltweit rund 70.000 neue Software-Schädlinge, Trojaner, Computerwürmer oder speziell für besonders kritische Infrastrukturen entwickelte Schadsoftware." (Quelle: Deutschlandradio)
  • "In 15 Prozent aller Computer sind die Hacker bereits drin." - so schätzt es der Schweizer IT-Sicherheitsexperte Bernhard Tellenbach anhand aktueller Studien ein (Quelle: Information Security Society Switzerland).
  • Der sogenannte Münchner Kreis - eine übernationale Vereinigung für Kommunikationsforschung, die sich der Erforschung, Errichtung und dem Betrieb von Kommunikationssystemen sowie deren Nutzung widmet - hat auf seiner Ende März veranstalteten Tagung unlängst auf neue Gefahren für das Internet hingewiesen, die sich vor allem durch Cloud Computing und die zunehmende Vernetzung autark arbeitender IT-Systeme ergeben.

Um letzteren Punkt zu verdeutlichen, verwies Martin Schallbruch, IT-Direktor im bundesdeutschen Innenministerium, auf folgendes:

"Ich sehe die größten Schwierigkeiten darin, dass wir mittlerweile zu einer Kommunikation kommen zwischen Geräten, bei denen Menschen kaum noch mitwirken - die sogenannte Maschine-zu-Maschine-Kommunikation. Wir statten Gegenstände, Fahrzeuge, Haushaltsgeräte, mittlerweile Stromzähler und Ähnliches, mit Internet-Netzverbindungen aus (…) das ist natürlich Kommunikation, die auch sicher ausgestaltet werden muss - und das ist für mich einer der Schwerpunkte der nächsten Jahre." (Quelle: Deutschlandradio)

Kopf in den Sand?

Was sich hier wie das Horrorszenario eines billigen SciFi-Movies liest, darf nun keinesfalls dazu verleiten, den Kopf in den Sand zu stecken und aufgrund eines Fatalismus´ oder Ohnmachtsgefühls angesichts solch vielfältiger und gleichsam übermächtiger Bedrohungen die Sicherheit der eigenen Systeme zu vernachlässigen. Die meisten IT-Sicherheitsexperten sind sich nämlich ebenso einig, dass das Gros der Bedrohungen bereits durch recht einfache Massnahmen, die jeder Nutzer und Administrator selbst durchführen kann, drastisch reduzieren lässt - nur muss man diese eben auch durchführen. Zeit also für unsere "Aktion Frühjahrsputz"; fangen wir doch am besten gleich damit an!

Dem Analogismus zum Frühjahrsputz entspricht der erste Schritt unserer "Aufräumaktion", die vor allem Serversysteme, aber natürlich auch privat und / oder beruflich genutzte IT-Systeme betrifft:

  • Löschen Sie überflüssige Software und längst nicht mehr genutzte Benutzeraccounts! Was auf Ihren Systemen nicht vorhanden ist, kann auch keine Bedrohung mehr darstellen - zumindest nicht mehr ohne weiteres. Vor allem die Accountpflege wird von so manchem Administrator gerne vernachlässigt. Da tummeln sich noch Jahre nach deren realem Ausscheiden virtuelle Nutzer auf dem Server, am besten auch noch mit einem nie geänderten Passwort … und die Steuersoftware aus dem Jahre 2007 ist womöglich auch nicht mehr notwendig. Und wenn Sie im Zweifel sind, ob solcherlei Informationen noch benötigt werden: Sie verfügen doch sicher über ein Backup dieser Daten …?! :-)

Während Sie also in Ruhe Ihren virtuellen Accountfriedhof inspizieren und *nachdem* Sie auf dem Softwareschrottplatz entrümpelt haben, kommt der nächste wichtige Schritt:

  • Sind die Betriebssysteme der in Ihrem Unternehmen genutzten PCs, Macs, Server, Router, Smartphones auf einem aktuellen Stand? Ständig kommen neue Sicherheitslücken, Bedrohungen durch Schadsoftware und mehr oder weniger direkte Angriffe aus dem Netz hinzu - siehe oben. Ebenso schnell reagieren glücklicherweise aber inzwischen auch die Entwickler von Software und Betriebssystemen sowie der einschlägigen Antivirensoftware. Neben dem Herunterladen der aktuellen Antiviren-Signaturen vergessen Sie bitte auch nicht, die Antivirensoftware selbst auf einem aktuellen Stand zu halten. In Unternehmen sollten ohnehin Lösungen zum Einsatz kommen, die zentral verwaltet und aktualisiert werden können und den Administrator selbsttätig über Sicherheitslücken auf den beteiligten Systemen informieren. Und wenn Sie sich scheuen, das Geld für eine professionelle Sicherheitssoftware auszugeben, rechnen Sie gerne einmal nach, wie teuer Sie im hoffentlich nie eintretenden Ernstfall ein stunden- oder gar tagelanger Ausfall Ihrer Systeme Sie zu stehen kommen würde.
  • Beschränken Sie sich beim "Frühjahrsputz" nicht nur auf die Betriebssysteme, sondern auch auf die Software, die Sie auf lokalen und mobilen Geräten und Ihren Servern, Routern und Firewalls nutzen! Hier liegt eine der Stolperfallen bei der Einstellung automatischer Updates, wie sie einige Systeme - beispielhaft seien die Windows-Systeme und Ubuntu genannt - anbieten. Die Gefahr ist gross, dass der Nutzer sich blindlings auf diesen Updateautomatismus verlässt und dabei übersieht, dass hierdurch in der Regel nur das Betriebssystem mit Updates und Patches aus dem Hause des OS-Entwicklers versehen wird, die auf dem System betriebene Software aber nicht!
  • Deaktivieren Sie alle nicht benötigten Dienste und Anwendungen - ein Sicherheitscheck von Aussen hilft Ihnen dabei, die Angreifbarkeit Ihrer Systeme zu überprüfen. Für solche Penetrations-Tests gibt es eine ganze Reihe an Tools und Programmen, sowohl als selbst installierte Software (bekannte Beispiele sind die OpenSource-Lösungen Nmap und Nessus) wie auch per Online-Check. Aber Vorsicht! Informieren Sie, sofern Sie nicht Ihr eigenen Laptop im abgeschlossenen LAN testen, die Betroffenen beziehungsweise sprechen Sie ein solches Vorgehen mit der Geschäftsleitung oder dem entsprechenden IT-Sicherheitsbeauftragten oder -Verantwortlichen ab! Der Grat zwischen gut gemeintem Sicherheitsdenken und als böswillig verstandenem Angriff ist schmal, und ein gut gemeinter Sicherheits-Check kann ebenso gut als Angriff interpretiert werden.
  • Zu guter Letzt: Die grösste Bedrohung für die Sicherheit Ihrer Systeme kommt nach wie vor von Innen! Steuern Sie mit vertraulich gehaltenen, ausreichend komplexen und regelmässig geänderten Passwörtern sowie einer entsprechenden Rechtevergabe dagegen! Gerade letzter Punkt wird oft vernachlässigt: entweder aufgrund falscher Planung einer Sicherheitsstruktur oder durch mangelhafte Umsetzung oder Unachtsamkeit können Unberechtigte Zugang zu vertraulichen Inhalten erlangen. Hier hilft es ungemein, die eigenen Strukturen immer wieder zu überprüfen und zu testen. Als praktisch hat es sich dabei erwiesen, eine Checkliste anzulegen, anhand derer Sie vielleicht nicht nur die Umsetzung Ihrer Sicherheitsrichtlinien, sondern auch gleich noch die Wirksamkeit Ihrer Backups überprüfen … 

Fazit

Absolute Sicherheit kann und wird es für IT-Systeme nach menschlichem Ermessen wohl niemals geben. Aber bereits mit wenigen und recht einfachen "Bordmitteln" können Sie einen erheblichen Sicherheitsgewinn erzielen.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Security – Sicherheitslücken analysieren, entschärfen und vermeiden

Systeme absichern und der zunehmenden Cyber-Bedrohung entgegenwirken

Nächster Termin: 02. Dezember 2021

mehr Infos

Produkt-Empfehlungen

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    ab CHF 198.00

  • Newsletter Datenschutz

    Newsletter Datenschutz

    Für Schweizer Unternehmen und Institutionen.

    Mehr Infos

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 09. Juni 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Auskunfts- und Löschungsbegehren sowie Datenschutzverletzung korrekt abwickeln

    Professionelles und rechtssicheres Vorgehen

    Nächster Termin: 24. Juni 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutzaudit für Unternehmen

    Planung, Ablauf und Reporting

    Nächster Termin: 29. Juni 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos