Fragen Sie Cybär


Was passiert eigentlich, wenn ein Mobilgerät (Notebook, Smartphone) mit Firmendaten verloren geht?

Entscheidet sich ein Unternehmen, seinen Mitarbeitern Mobilgeräte (Notebooks, Smartphones) zur Nutzung im und außerhalb des Unternehmens zur Verfügung zu stellen, so kann dies ein Beitrag zur Erhöhung der Effizienz und Flexibilität im Arbeitsalltag sein.

Als Kehrseite dieser Medaille geht jedoch von Mobilgeräten eine erhöhte Gefährdung aus, wenn sie außerhalb des Unternehmens betrieben werden.

Bei Verlust oder Diebstahl eines Mobilgerätes kann ein Dieb oder Finder im schlimmsten Fall Zugriff auf die dort gespeicherten Informationen erhalten oder sich sogar über das Gerät in das Firmennetzwerk einwählen. In diesem Fall sind die Vertraulichkeit und Integrität der Firmendaten gefährdet. Auch der kurzfristige Verlust des Mobilgerätes (z.B. kurzes unbeaufsichtigtes Zurücklassen in einer Hotel-Lobby) kann gefährliche Folgen haben, wenn ein Angreifer diese Zeit gezielt nützt um unbemerkt Schadsoftware (z.B. Viren, Keylogger etc.) auf dem Gerät zu installieren.

Als Gegenmaßnahme ist entscheidend, dass sich Mitarbeiter der zusätzlichen Gefährdungen durch die Nutzung von mobilen Geräten bewusst sind und darauf sensibilisiert sind, diese in der Öffentlichkeit nicht unbeaufsichtigt und ungesichert in Fahrzeugen oder Hotelzimmern zurückzulassen. Nach Möglichkeit sollten Daten serverseitig gespeichert werden. Ist die lokale Speicherung von Daten notwendig, sollte diese in jedem Fall verschlüsselt erfolgen. Der Verlust oder Diebstahl des Mobilgerätes stellt einen Sicherheitsvorfall dar, der als solcher von Mitarbeitern unverzüglich dem Unternehmen (z.B. Security Management) gemeldet werden muss, damit rasche entsprechende Maßnahmen ergriffen werden können.

Was muss man beim Betrieb der eigenen Unternehmens-Website beachten?

Die Website eines Unternehmens ist eines seiner primären Aushängeschilder zur Wahrnehmung des Unternehmens in der Öffentlichkeit und zur ersten Kontaktaufnahme mit potentiellen Kunden und Partnern. Als Teil des professionellen Auftrittes eines Unternehmens sollte der sichere Betrieb der Website und ihrer Infrastruktur selbstverständlich sein.

Dennoch zeigen Medienberichte über gehackte Websites – auch von renommierten Unternehmen – laufend Nachholbedarf beim Thema Website-Absicherung auf. Eine wichtige Maßnahme zur Erhöhung der Sicherheit der eigenen Unternehmens-Website ist der durchgängige Einsatz von Verschlüsselung mit einem SSL-Zertifikat. Dies stellt die Vertraulichkeit der Kommunikation über die Website sicher und ermöglicht die Authentifizierung Ihrer Website gegenüber Ihrer Kunden, die durch das SSL-Zertifikat verifizieren können, dass sie sich tatsächlich auf Ihrer Website befinden. Eine Website und ihre Infrastruktur müssen zur Erhaltung der Sicherheit regelmäßig gewartet werden. Dazu gehört die Installation von Updates und Patches für alle Komponenten der Infrastruktur, um eine Ausnutzung von Sicherheitslücken in veralteten Software-Versionen zu verhindern. Für den sicheren Betrieb von Websites gibt es aufgrund ihrer Komplexität kein allgemeingültiges Rezept. Entscheidend ist es für ein Unternehmen, das Sicherheitsniveau der eigenen Infrastruktur realistisch einzuschätzen, um darauf aufbauend adäquate Sicherheitsmaßnahmen ergreifen zu können. Systeme sollten bei Sicherheitstests mit einem neutralen Blick von außen regelmäßig und sachgerecht überprüft werden.

Welche IT-Security Fehler werden am häufigsten gemacht?

Der häufigste Fehler in Bezug auf Informationssicherheit ist, sich der Gefahr nicht bewusst zu sein. Gerade kleine und mittlere Unternehmen glauben vielfach, ohnehin kein interessantes Angriffsziel darzustellen. Doch der Schein trügt.

Einerseits ist jede IT-Ressource, die als Teil eines Bot-Netzes genutzt werden kann, ein interessantes Angriffs-Ziel, genauso, wie auch viele KMU´s über sensible und wertvolle Daten verfügen, die nicht unbedingt in falsche Hände gelangen sollten. Die Nichtverfügbarkeit gehackter Systeme für zB Produktionsabläufe oder datenschutzrechtliche Anforderungen sind dabei genauso relevant und stellen ein Unternehmensrisiko dar. Ein weiterer häufiger Fehler wird begangen, wenn Unternehmen das Thema Informationssicherheit aus rein technischer Sicht betrachten und viel Geld in ein einzelnes Sicherheitssystem investieren, ohne vorher zu prüfen, ob damit die größte Sicherheitslücke im Unternehmen geschlossen wird. Nicht immer sind teure technische Sicherheits-Lösungen die wirkungsvollsten.

Entscheidend ist, dass sich Unternehmen einen Gesamtüberblick darüber verschaffen, wo Schwachstellen existieren und welche Assets und Daten für das Unternehmen wichtig sind. Darauf aufbauend können gemeinsam mit einem Experten Konzepte und Maßnahmenpläne entwickelt werden, welche Sicherheits-Lösungen am sinnvollsten sind um das Unternehmens-Netzwerk abzusichern und sicher zu halten.

Wie können sich Unternehmen vor Datenklau via USB-Schnittstelle schützen?

Tragbare Speichermedien wie USB-Sticks oder externen Festplatten können leicht verloren gehen oder vergessen werden. Unternehmenskritische oder sensible Daten, die unverschlüsselt auf solchen Speichermedien abgelegt sind, bergen ein großes Risiko für das Unternehmen, wenn der Datenträger in die Hände eines Angreifers kommt.

Unerlässlich für den Schutz von Daten auf USB-Medien sind daher unternehmensweit gültige Richtlinien, die eine Klassifikation der Daten vorschreiben (z.B. “öffentlich”, “intern”, “vertraulich”, “streng vertraulich”) und regeln, wie mit Daten der jeweiligen Klasse bei der Speicherung umzugehen ist. Sinnvoll ist beispielsweise die Speicherung auf tragbaren Medien von Daten der Klassen “vertraulich” und “streng vertraulich” nur in verschlüsselter Form zu erlauben und die sichere Verwahrung der Datenträger in versperrten Kästen vorzuschreiben. Ein weiterer Schutz vor Datenklau über tragbare USB-Speichermedien ist es, den Mitarbeitern Möglichkeiten zur Verfügung zu stellen, die den Transport von Daten über solche Medien nicht notwendig machen. Dies kann beispielsweise realisiert werden, wenn Mitarbeiter auch von unterwegs über einen VPN-Tunnel auf die sicher abgelegten Daten am Unternehmens-Share zugreifen können. Weiters ist es wichtig, dass Besucher und unternehmensfremde Personen sich nur in Begleitung eines Mitarbeiters in den internen Räumlichkeiten des Unternehmens aufhalten und bewegen dürfen. So kann die Gefahr des gezielten Datenklaus via USB-Schnittstelle durch externe Personen reduziert werden.