Im Namen der Sicherheit: Hilfe zur Selbsthilfe

Christoph Hardy

Besonders in Zeiten knapper Kassen fahren Firmen den IT-Aufwand meist auf ein Minimum herunter. Die Unternehmenssicherheit leidet dabei oft mit, obwohl die Gefahren durch Schadprogramme und Internetkriminalität steigen.

Aktuelle Umfragen von PricewaterhouseCoopers und Deloitte&Touche zeigen, dass sich besonders kleine und mittelständische Unternehmen dem Gefahrenpotenzial kaum bewusst sind. Wer mehr als nur ein Mindestmaß an Sicherheitsvorkehrungen trifft, ist daher gut beraten. Was sind jedoch die Stolperfallen und welche Schutzmaßnahmen sind unverzichtbar?

Augen auf beim Betriebssystem

Grundsätzlich sollten kleine und mittelständische Unternehmen, die ein Microsoft-Produkt als Betriebssystem nutzen, erhöhte Vorsicht walten lassen. Da Microsoft am häufigsten im Einsatz ist, versprechen sich Virenautoren auf diesem Wege auch künftig den größten Verbreitungserfolg. Mit der steigenden Popularität von Linux auf Desktops wächst jedoch die Wahrscheinlichkeit, dass auch für dieses Betriebssystem zunehmend mehr Viren in Umlauf kommen.

Schotten dicht für Fremde(s)

In seiner Studie "How Much Security Is Enough?" vom August 2003 nennt das Analystenhaus Forrester Research weit mehr Bedrohungen, als sich Unternehmer gewöhnlich vor Augen halten: Denial of Service, Schadprogramme, eingeschränkter Zugang zu Daten, Diebstahl von Daten, Finanzbetrug und Gerätediebstahl. Die Auswirkungen der einzelnen Gefahren reichen von kaum merklichen Verlusten bis hin zu massiv kostspieligen Schäden.

Bedenkt man schon allein Probleme wie drohender Daten- und Imageverlust, können Komplettpakete eine gute Gesamtlösung sein. Diese sind jedoch meist überdimensioniert, denn viele Features bleiben bei kleinen Unternehmen ungenutzt oder verwirren Administratoren mit mäßigen Kenntnissen. Unternehmen sollten deshalb genau abwägen, welche Anforderungen die IT-Infrastruktur und das Nutzungsverhalten der Mitarbeiter wirklich stellen. Professionelle Hilfe durch einen "IT-Consultant des Vertrauens" kann sich dabei schnell auszahlen. Seriöse Anbieter versuchen nicht, kleine oder mittelständische Unternehmen von ungeeigneten Systemen zu überzeugen, dazu steht der Wunsch nach langfristiger Zusammenarbeit zu sehr im Vordergrund. Vielmehr stimmen sie mit dem IT-Verantwortlichen eine individuelle, bedarfsgerechte Lösung ab. Eine gute Planung sollte immer die Grundlage für das Sicherheitskonzept sein.

Der Schutzwall

Vor Schadsoftware oder Eindringlingen schützen Sicherheitstools und eigens festgelegte Sicherheits-Richtlinien: Für kleine und mittelständische Unternehmen genügt eine kleine Firewall à la SMC Barricade oder D-Link D614+ für etwa 80 bis 120 Euro. Diese Firewalls benötigen jedoch alle noch Fine-Tuning in ihrer Konfiguration, da sie werksmäßig sehr unsicher eingestellt sind.

Ist in Unternehmen die Internet-Nutzung zum Beispiel wegen Recherchezwecken sehr hoch, empfiehlt sich auch eine Hardwarelösung einer Appliance, die den Webverkehr nach Schadprogrammen filtert.

Virenscanner

Bei den mehr als durchschnittlich 800 neu auftretenden Viren, Würmern und Trojanern pro Monat ist eine Antiviren-Software absolut unverzichtbar. Im Idealfall können Scanner nicht immer alle Schadprogramme aufspüren, sie blockieren jedoch das Gros der Viren. Um den Administrationsaufwand so gering wie möglich zu halten, ist ein Virenschutz am sinnvollsten, der sich selbst mehrmals täglich im Hintergrund aktualisiert und alle Rechner des Netzwerks automatisch versorgt.

Ob automatisch oder nicht, Sicherheitsupdates sollten unter allen Umständen regelmäßig vorgenommen werden, damit Sicherheitslücken schnell gestopft und der Virenschutz immer auf dem aktuellen Stand ist. Auch die Laptops der Außendienstmitarbeiter, Heimarbeiter und vielreisenden Entscheider müssen in die regelmäßigen Antiviren-Updates einbegriffen sein. Eine Antiviren-Software, die sich nur einmal pro Woche aktualisiert und Remote-Worker außen vorlässt, ist kein Viren-SCHUTZ.

Werbemail-Blockade

Spam lässt sich bereits stark verhindern, indem man einfache Regeln des ‚Safe Computing' berücksichtigt. Dazu gehört zum Beispiel, dass man keine schützenswerten E-Mail-Adressen im Internet preisgibt und nicht auf die Werbe-Mails reagiert - weder etwas klickt oder gar kauft noch die unerwünschte Mail abbestellt. Denn jede Art von Antwort ist für Spammer ein Beweis, dass die E-Mail-Adresse funktionstüchtig ist.

Erst wenn Spam im Unternehmen so stark zum Problem wird, das die Mitarbeiter von der Arbeit abgehalten werden, muss ein wirksamer Spamschutz her. Für KMUs reicht eine Small Business-Software, die sowohl Viren als auch Spam wirksam abwehrt. Spam-Filter auf Desktopebenen sind jedoch für Unternehmen nicht geeignet, da sie oft erst ab einer hohen Anzahl lokaler E-Mails - sprich ab einem großen Fundus - lernfähig sind. Spam-Filter, die allgemeine Fingerprints für Spam verwenden, sind auch unpraktikabel, da die Fingerprints öffentlich zugänglich und somit auch den Spammern bekannt sind.

Notwehr gegen faule Tricks

Vor Spoofing, sprich dem Fälschen von IP-Adressen, kann sich ein Klein-Unternehmen nicht wirklich schützen, da dies bestenfalls von sehr aufwendigen Großkundenlösungen erkannt wird. Grundsätzlich kann jedes Unternehmen Opfer eines solchen Missbrauchs von Absenderadressen werden. Denn ein Virus, der fähig ist, zufällig ausgewählte E-Mail Adressen als Absender zu nehmen, macht keine Unterschiede. Es ist deshalb sinnvoll, Kunden und Geschäftspartner beispielsweise durch die bestehende Firmenwebsite über die Missbrauch-Risiken zu informieren.

In Sachen Intrusion Detection (IDS/IPS) gibt es bei Kleinunternehmen keinen Handlungsbedarf, da derartige Systeme die interne Sicherheit von unüberschaubaren Netzen garantieren sollen. Wichtig ist jedoch in jedem Fall, dass man die Kontrolle darüber hat, ob Mitarbeiter eigenmächtig Hardware ins Unternehmen tragen und anschließen. Die populären USB-Sticks sind hier ein Beispiel.

Risikofaktor Mitarbeiter

Um als Kleinunternehmen rundum geschützt zu sein, bedarf es auch einer guten Informationspolitik und aufgeklärter Mitarbeiter. Dabei sollte es nicht jedem Mitarbeiter selbst überlassen werden, sich Grundwissen zum sicheren Umgang mit Computern anzueignen, sondern proaktiv in Trainingsseminare vor Ort investiert werden. Bereits eigene, regelmäßig veranstaltete Schulungsnachmittage helfen, dass Mitarbeiter zu "mündigen PC-Usern" werden, die wissentlich lauernde Sicherheitsfallen umgehen.

Materialien für Haustrainings gibt es beispielsweise auf der Sophos-Website, von der leicht referierbare Info-Papiere kostenlos herunterladen werden können. Ganz nach dem Leitspruch "Nur ein gut informierter Mitarbeiter ist ein effektiver Mitarbeiter" empfiehlt es sich für KMUs einen geeigneten Mitarbeiter zum "Super-User" ernennen, der als Ansprechpartner für die Kollegen gilt und ihnen nicht kontrollierend, sondern unterstützend zur Seite steht.

Die Qual der Wahl

Bei der Auswahl der Sicherheitssoftware spart derjenige viel Zeit, der auf ein netzwerk-taugliches Produkt zurückgreift. Denn über eine zentrale Konsole kann die korrekte Funktion der Updates im ganzen Netzwerk schnell abgelesen werden. Wer sich stattdessen für eine bestimmte Anzahl an billigeren Einzelplatz-Lösungen entscheidet, muss die korrekte Funktion der Updates auf jedem einzelnen Rechner händisch überprüfen.

Generell sollte bei Investitionen nicht "am falschen Ende" gespart werden. Der Ärger und die Folgekosten, die falsch ausgewählte oder leistungsschwache Systeme verursachen, sind oft groß. Ein unangenehmes Reizwort ist dabei: "versteckte" Kosten. Diese können schon allein beim Support anfallen. Es stellt sich die Frage: Gibt es überhaupt einen Support bei der Sicherheitslösung? Und wenn ja: Fallen dabei weitere Kosten an? Augenmerk sollte bei der Anschaffung auch auf die dazu notwendige Hardware gelegt werden. Für die Implementierung oder Verwaltung mancher Software müssen zusätzliche Server mit entsprechenden Folgelizenzen für teures Geld angeschafft werden. Auch zusätzliches Wartungspersonal für die Security-Lösungen könnte erforderlich werden.

Bei allen Sicherheitsvorkehrungen sollten KMUs eines nicht vergessen: Ein funktionierendes Backup-System für die Datensicherheit. Denn Betriebssysteme lassen sich wieder herstellen, Daten nicht.

„Auch die Laptops der Außendienstmitarbeiter, Heimarbeiter und vielreisenden Entscheider müssen in die regelmäßigen Antiviren-Updates einbegriffen sein.“ - Christoph Hardy, Security Consultant bei Sophos, http://www.sophos.de