Mit diesen Tipps verbessern Sie nicht nur die Sicherheit der IT-Umgebung im Unternehmen. Sie sorgen auch für einen sicheren Umgang der Benutzer mit der Informatik am Arbeitsplatz.
Ein guter Schutz für die Informatik in Unternehmen ist so wichtig wie schwierig umzusetzen. Die notwendigen Sicherheitsmassnahmen umfassen einerseits technische Vorkehrungen. Andererseits ist es genauso entscheidend, die Mitarbeitenden zu sensibilisieren und zu einem sicheren Umgang anzuleiten. Viele Cyberangriffe sind nur erfolgreich, weil zuerst ein Mensch einen gefährlichen Link in einem Phishing-Mail angeklickt hat.
Diese Tipps von Sicherheitsexperten stellen quasi ein «Best-of» dar: Es sind Massnahmen, deren Nutzen den Aufwand rechtfertigt. Und sie helfen Ihnen und den Mitarbeitenden, IT-Sicherheitsmassnahmen gezielt anzugehen.
Die ersten fünf Tipps beschäftigen sich mit technischen Massnahmen, die für einen besseren Schutz von Servern und Arbeitsplatzrechnern sorgen. Die Umsetzung können Sie gut zusammen mit Ihrem IT-Partner angehen.
1. Inventar der Hard- und Software erstellen
Es ist eine Sisyphus-Aufgabe, aber trotzdem nötig. Als IT-Verantwortlicher erstellen Sie ein Inventar der eingesetzten Hard- und Software. Dazu gehören Arbeitsplatzgeräte mitsamt Anwendungen, Server, Geschäfts-Smartphones, aber auch Drucker und andere Netzwerkgeräte. Ein solches Inventar dient als Entscheidungsgrundlage, wenn eine neue schwere Sicherheitslücke bekannt wird. Aufgrund der eingesetzten Software-Versionen lässt sich schnell entscheiden, ob das Unternehmen betroffen ist und reagieren muss, beispielsweise mit einem sofortigen Update. Bedingung ist, dass das Inventar aktuell ist.
2. Installation von Software auf dem Arbeitsplatzrechner unterbinden
Mitarbeitende haben unterschiedliche Aufgaben und benötigen dazu unterschiedliche Software. Die Installation spezieller Software sollte nur unter der Kontrolle des IT-Verantwortlichen geschehen. So lässt sich verhindern, dass Mitarbeitende Programme aus dubiosen Quellen installieren und unter Umständen Malware einschleppen. Siehe dazu auch den Tipp «Keine lokalen Admin-Rechte für Benutzer».
3. Anschluss fremder und privater Geräte im Netz kontrollieren
Private Notebooks und Smartphones sowie Geräte von Gästen stellen insofern ein Sicherheitsrisiko dar, als deren Zustand unbekannt ist. Sind alle aktuellen Updates installiert, oder ist der Rechner vielleicht bereits virenverseucht?
Wenn private Geräte überhaupt im Büro eingesetzt werden, sollten sie in einem separaten Netzwerk untergebracht sein ohne Zugriff auf kritische Unternehmensanwendungen und Daten, beispielsweise in einem WLAN für Gäste.
Bei Arbeitsplatzrechnern sollte der Umgang mit USB-Sticks geregelt sein: Entweder ist der Anschluss ganz blockiert, oder der Stick wird zumindest beim Anschliessen auf Viren überprüft.
4. Server und Arbeitsstationen sicher konfigurieren («härten»)
Die meisten Betriebssysteme, sowohl für den Arbeitsplatz als auch für Server, sind in der Grundkonfiguration zu wenig auf Sicherheit getrimmt. Nach der Grundinstallation sollten die Systeme deshalb besser abgesichert werden, in der Fachsprache «härten» genannt. Dabei werden beispielsweise nicht benötigte Dienste abgeschaltet, Anforderungen an die Passwortlänge definiert und die Zugriffsrechte beschränkt.
Das CIS (Center for Internet Security) bietet mit den CIS Benchmarks eine Reihe englischsprachiger Anleitungen dafür, die dem gängigen Vorgehen («best practices») entsprechen. Auch die Betriebssystemhersteller selbst bieten hierzu Unterstützung, wie etwa Microsoft in dieser englischsprachigen Einführung zum Absichern von Windows 10.
5. Periodisch das Firmennetz auf Schwachstellen prüfen
Wie sicher sind Firmennetz und die verbundenen Geräte? Ein Vulnerability-Scanner prüft die IT-Infrastruktur auf allfällige Schwachstellen und hilft damit, Sicherheitsmassnahmen zu definieren. Regelmässige Scans helfen, das Unternehmen auf aktuelle Gefährdungen zu prüfen und den Stand der Sicherheit zu ermitteln.
Es gibt verschiedene kommerzielle und kostenfreie Scanner-Software. Weit verbreitet ist etwa Greenbone Security Manager (Trial-Version), früher OpenVAS. Für Web-Anwendungen wie Website oder Online-Shop ist das Open Web Application Security Project eine gute Anlaufstelle. Diese Tools bedingen allerdings entsprechendes Fachwissen. Sie können Ihre IT aber auch von einem spezialisierten Anbieter auf Sicherheitslücken testen lassen, beispielsweise mit dem Security-Assessment von Swisscom.
Wie Benutzer für einen sicheren Umgang mit IT schulen?
Die IT-Sicherheit im Unternehmen steht und fällt mit dem Umgang der Mitarbeitenden. Mit den technischen Massnahmen werden Sie zwar viele Cyberangriffe abblocken. Aber Sie werden nicht verhindern, dass ein Phishing-Mail durch die Maschen geht oder ein Mitarbeiter auf ein gefälschtes Mail «vom Chef» mit einer dringenden Zahlung reagiert und eine Überweisung auslöst. Dagegen hilft nur, wenn Sie als IT-Verantwortlicher die Mitarbeitenden schulen und ihnen die Wichtigkeit der Massnahmen erklären können. Die folgenden fünf Tipps unterstützen Sie dabei.
6. Sichere Passwörter verwenden
Passwörter sind das Sicherheitsproblem Nummer eins. Aus Bequemlichkeitsgründen arbeiten viele Menschen mit einem leicht merkbaren Standard-Passwort für alle Konten. Das ist genauso verständlich wie gefährlich, weil es Angreifern den Zugriff auf verschiedene Konten erleichtert. Erstellen Sie Regeln für Passwörter:
- Benutzerpasswörter sollten mindestens 12 Zeichen lang sein, Administratorenpasswörter für die Systemverwaltung 16 Zeichen.
- Passwörter sollten mindestens Gross- und Kleinbuchstaben und Zahlen enthalten.
- Jedes Konto – Anmeldung am Computer, am Cloud-Speicher, am ERP, CRM etc. – benötigt ein eigenes Passwort.
- Allenfalls können Sie unter Windows 10 Gesichtserkennung und Fingerabdruckscanner von Windows Hello einsetzen, damit sich die Mitarbeitenden am Rechner anmelden können.
Nutzen Sie einen Passwort-Manager im Unternehmen. Dort können die Mitarbeitenden alle Passwörter speichern, nicht nur für webbasierte Konten. Und können sich sichere, zufällige Passwörter generieren lassen. Dadurch müssen sich die Mitarbeitenden nur noch zwei Passwörter merken: dasjenige für die Anmeldung am Computer und natürlich dasjenige für den Passwort-Manager.
7. Sensibilisieren und schulen Sie die Mitarbeitenden in IT-Sicherheit
Gerade die Passwortregeln werden scheitern, wenn Sie sie «von oben herab» vorschreiben. Sensibilisieren Sie die Mitarbeitenden darauf, dass diese Massnahme aus Gründen der IT-Sicherheit erforderlich und für die Betriebssicherheit nötig ist. Erklären und unterstützen Sie, insbesondere diejenigen Mitarbeitenden, die sich damit schwertun. Und bieten Sie ihnen an, sich im Zweifelsfall bei Ihnen melden zu können – ohne negative Konsequenzen. Diese Sensibilisierung ist zeitintensiv, aber nötig.
8. Mitarbeitende für die Gefahren von Phishing-Mails sensibilisieren
Phishing-Mails, die Zugangsdaten ergaunern oder Malware installieren wollen, gehören leider zum Alltag. Sensibilisieren Sie die Mitarbeitenden darauf, kritisch zu sein – lieber einmal zu viel als zu wenig nachfragen. Schulen Sie die Mitarbeitenden darin, Phishing-Mails zu erkennen, indem Sie die typischen Merkmale aufzeigen.
9. Keine lokalen Admin-Rechte für Benutzer
In der täglichen Arbeit sollten alle Mitarbeitenden mit einem Standard-Benutzerkonto arbeiten und nicht mit Administrator-Rechten. Damit sorgen Sie für eine zusätzliche Schutzstufe, falls ein Rechner ein Virus einfängt: Damit sich eine Malware im System einnisten kann, muss sie zuerst Administratoren-Rechte erlangen.
10. Minimale Zugriffsrechte auf Dateiablagen im lokalen Netz und in der Cloud
Regeln Sie die Zugriffsrechte auf Dateien in gemeinsamen Ablagen so, dass Mitarbeitende nur auf Daten zugreifen können, die im Arbeitsalltag benötigt werden. Arbeiten Sie mit Gruppen und legen Sie Verzeichnisse für Produktion, Verkauf, Administration, Buchhaltung etc. an. Beschränken Sie den Zugriff der Gruppen auf die jeweiligen Ordner und legen Sie Backup- und Archivdaten an einem separaten Ort ab. Im Idealfall verhindern Sie damit auch, dass nach einem Cyberangriff Ransomware sämtliche Daten verschlüsseln kann.
Überarbeiteter und ergänzter Artikel vom Oktober 2019.
