Vorsicht ist die Mutter der Datenkiste

Es lohnt sich, ein wachsames Auge auf die Informatik-Infrastruktur zu haben. Illustration: Michael Schwarzenberger (Pixabay)

It-Sicherheit.  Mit zunehmender Digitalisierung und einer stetig wachsenden Datenmenge steigen auch die Anforderungen an eine sichere und leistungsfähige IT-Infrastruktur in KMU. Wer Software und Hardware à jour hält und wachsam bleibt, ist auf der sicheren Seite.

IT-Sicherheit schützt sensible Daten vor Diebstahl und Missbrauch. Ein erfolgreicher Cyberangriff könnte zu finanziellen Verlusten, Rufschädigung, rechtlichen Konsequenzen und zum Verlust von Kunden führen. Die Mitarbeitenden müssen sich ihrer Rolle in der IT-Sicherheit bewusst sein, betont Gökhan Engin, IT-Verantwortlicher am Zentralsitz des VSSM in Wallisellen.

Schreinerzeitung: Welches sind die grössten sicherheitsrelevanten Fehler der User beim Umgang mit der IT?
Gökhan Engin: Die Mitarbeitenden tragen entscheidend zur IT-Sicherheit im Betrieb bei. Das beginnt beispielweise schon dort, wo die «Kiste» nicht gesperrt wird bei Abwesenheiten etwa über Mittag. Schon das kann eine Sicherheitslücke sein. Sehr problematisch ist auch das Verwenden von immer gleichen und erst noch schwachen Passwörtern. Passwörter sollten keinen persönlichen Bezug weder zur eigenen Person haben noch zur Website oder zum Portal, auf dem man sich einloggen will. Dann besteht natürlich im E-Mail-Verkehr auch die Gefahr von Phishing oder dass Schadsoftware eingeschleppt wird. Hier ist es wichtig, dass die Absenderadresse genau angeschaut wird. Habe ich überhaupt Kontakt mit der Person? Wie sieht der Aufbau der Mail-Nachricht aus? Könnte es ein Fake-Mail sein? Bei Unsicherheit ist es empfehlenswert, erst einmal zum Telefon zu greifen und nachzufragen, ob das Mail tatsächlich von besagter Person oder Organisation stammt und für mich bestimmt ist. Schnell hat man irgendwo draufgeklickt, mit etwas Glück greift zwar dann die Firewall ein, aber darauf sollte und darf man sich nicht blind verlassen.
Wie wichtig sind Software-Updates?
Updates beheben Sicherheitslücken in Programmen. Ohne Updates könnten Hacker leicht auf unsere Systeme zugreifen. Es ist daher wichtig, Updates sofort zu installieren, sobald sie verfügbar sind. Das Aufkommen von Multifaktor-Authentifizierungen bei Logins oder bei der Verwendung gewisser Programme erhöht die Sicherheit zusätzlich. Es schadet auch nichts, wenn man den Computer abends und am Wochenende immer vollständig ausschaltet. Das erschwert Hackern den Zugriff.
Sie haben die Passwörter angesprochen. Diese sollten nicht zu einfach sein und möglichst keine Rückschlüsse auf Person oder Anwendung erlauben. Aber die Frage ist doch auch, wie merke ich mir die Passwörter überhaupt?
Immer häufiger schlägt der Webbrowser lange, zufällige Passwörter vor, die man sich aber nie im Leben merken kann. Das ist nicht ideal. Es gibt auch digitale Werkzeuge, sogenannte «Password Safes». Ich bin aber kein Fan davon. Es ist einfach das Sicherste, wenn die Passwörter bei uns im Köpfchen bleiben. Heutiger Standard sind zwölf Zeichen aus Gross- und Kleinbuchstaben, Zahlen und sicher auch Sonderzeichen. Da kann man sich gut ein eigenes Konzept überlegen, eventuell verbunden mit einem zusammenhangslosen Merksatz als Eselsbrücke.
Wie ist es denn damit, die Passwörter zu notieren und zu verstecken?
(lacht) So unter dem Mousepad oder in der Schublade? Das mag vielleicht im Privaten zu Hause noch gehen, aber als IT-Verantwortlicher in einer Firma ist der Fötzel mit den Passwörtern ein No-Go. Was ich allerdings zugegebenermassen mache: Passwörter, die ich weniger sicherheitsrelevant finde, habe auch ich im Webbrowser gespeichert. E-Banking ist da sicher sensibler als etwa Online-Shopping. Da sind wir jeder für sich selbst verantwortlich und dann unter Umständen auch selber schuld, wenn etwas passiert. Die immer häufigere Multifaktor-Authentifizierung kommt unserer Fahrlässigkeit zum Glück in die Quere.
«Es ist einfach das Sicherste, wenn die Passwörter bei uns im Köpfchen bleiben.»
Gökhan Engin, IT-Verantwortlicher VSSM

 

Wie wichtig ist die Hardware für die IT-Sicherheit der Unternehmung?
Da ist man schon auch an den Anbieter gebunden, der regelmässig Firmware und Betriebssystem erneuert. Wenn Updates nicht mehr gehen und man nicht mehr auf dem neuesten Betriebssystem arbeitet, wird es kritisch. Vieles wird dann auch nicht mehr supportet, im IT-Jargon spricht man vom «end of lifecycle». Was dazukommt: Nicht nur das Alter der Computer am Arbeitsplatz ist relevant für die Sicherheit, sondern auch dasjenige der mobilen Geräte, die immer häufiger verwendet werden. Wenn ich ein benötigtes App nicht mehr installieren kann wegen eines veralteten Betriebssystems, muss ich eben nach wenigen Jahren schon ein neues Gerät anschaffen.
Also, die Geräte nach vier bis fünf Jahren erneuern und nicht erst nach zehn?
Definitiv, eventuell mit Ausnahme von Industriegeräten, die offline arbeiten.
Angenommen, ich klicke im Mail auf einen kontaminierten Link, und ich bemerke «Hoppla, da stimmt was nicht». Was mache ich dann?
Also wenn da plötzlich der Bildschirm weg ist oder eine Matrix darüber läuft? Sofort der zuständigen Person melden. Das Gerät so rasch wie möglich offline nehmen, also vom Netz nehmen. Wifi ausschalten nicht vergessen! Und dann das Gerät herunterfahren. Die Gefahr ist, dass die Schadsoftware sich über das Netzwerk auf andere Geräte weiterverbreitet. Also: abwürgen, ausschalten und ausgeschaltet lassen. Unternehmen sollten einen klaren Notfallplan haben, der bei einem Sicherheitsvorfall aktiviert wird. Dazu gehören die Isolierung des betroffenen Systems, die Information der zuständigen IT-Sicherheitsabteilung (interner oder externer IT-Dienstleister), die Analyse des Vorfalls, die Kommunikation mit betroffenen Parteien sowie die Wiederherstellung der Systeme. Nach dem Vorfall sollten Massnahmen ergriffen werden, um zukünftige Angriffe zu verhindern.
Wer ist verantwortlich, wenn es zu einem IT-Sicherheitsvorfall kommt?
Die Verantwortung wird geteilt: Mitarbeiter müssen die Sicherheitsrichtlinien befolgen und aufmerksam sein, während der IT-Dienstleister für die technische Überwachung, Prävention und Behebung von Sicherheitslücken zuständig ist. Der IT-Dienstleister richtet dazu die technischen Sicherheitsmassnahmen wie Firewalls, Backups oder Virenschutzprogramme ein und wartet diese regelmässig. Unternehmen sollten ausserdem regelmässige Sicherheits-Audits durchführen, um Schwachstellen zu identifizieren. Zudem ist es wichtig, auf dem Laufenden zu bleiben, was neue Bedrohungen und Sicherheitsanforderungen betrifft, und entsprechende Anpassungen vorzunehmen.
Wenn ich das richtig verstehe, müssen sich hier die meisten KMU also auf externe Unterstützung verlassen?
Ja, das ist so, ausser der Betrieb hat intern ein kompetentes IT-Team. Das ist aber bei Betrieben im Umfang von bis zur 50 Angestellten kaum der Fall. Als Beispiel sei hier der VSSM selbst erwähnt, der auch auf externe Fachleute zurückgreift. Sie halten ein Auge auf unsere Netzwerke und Daten und reagieren auch dann, wenn ich oder mein Kollege auf dem Bürgenstock etwas übersehen sollten.
Es gab schon Fälle, in denen auch KMU von Hackern erpresst worden sind. Wie soll eine Firma in diesem Fall reagieren?
Aus der Affäre herauskaufen kann man sich in aller Regel nicht mehr. Es ist leider naiv, zu glauben, dass die Hacker die Files für irgendeinen Batzen wieder lesbar machen. Da müssen wir daher auf das Thema Back-up zu sprechen kommen. Die Strategie hier lautet «3-2-1». Wir sprechen von dreifacher Datensicherung: Erstens auf dem Primärgerät, der eigenen «Kiste». Dazu kommt die zweifache, externe und regelmässige Sicherung auf zwei verschiedenen Medien, also nicht einfach auf zwei USB-Sticks, die leicht kaputtgehen können. Da gibt es bessere Optionen, wie beispielsweise ein externes Sicherheitslaufwerk, ein NAS oder auch ein Back-up in der Cloud. Hier gibt es durchaus sichere Anbieter.
Sind externe Festplatten wirklich sicher?
Auch bei den Festplatten muss das Alter im Auge behalten werden, weil diese nach einiger Zeit den Geist aufgeben können. Derart verlorene Daten zu retten, kann dann wirklich teuer werden. Wichtig ist auch, dass die beiden Back-ups räumlich getrennt sind, wobei die Cloud ja auch ein separater und gut zugänglicher Ort ist. Für Unternehmer ist zu prüfen, ob sie eine Sicherungskopie auf einem physischen Träger in regelmässigen Abständen extern einlagern wollen, etwa in einem Banksafe. Der VSSM macht das einmal im Jahr. Klar, ein Back-up ist je nachdem, wo man es macht, nicht wirklich günstig. Aber ich denke, es lohnt sich, wenn man an Adressen, Buchhaltungsdaten oder gar an Planungsunterlagen denkt.

 

Weitere Tipps

Phishing und andere Schwachstellen

Veraltete Software, unsichere Passwörter, ungesicherte Netzwerke, mangelnde Verschlüsselung und unzureichend geschulte Mitarbeitende sind die grössten Schwachstellen der IT-Infrastruktur (siehe Interview). Doch es gibt auch noch weitere Stolperfallen, welche die IT-Sicherheit gefährden können:

Phishing ist der Versuch, über gefälschte E-Mails oder Websites an vertrauliche Informationen zu gelangen. Daher sollten User im E-Mail-Verkehr besonders vorsichtig sein und Absenderadresse und Inhalt sorgfältig prüfen. Keinesfalls auf verdächtige Links klicken!

Öffentliche/ungesicherte WLAN-Netzwerke sind anfällig für Hackerangriffe. Wer in ungesicherten Netzwerken arbeitet, ermöglicht es Kriminellen, Daten mitzulesen, daher gerade unterwegs immer sichere Netzwerke verwenden.

Drittanbieter-Software kann Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden können. Unternehmen sollten nur vertrauenswürdige Software von etablierten Anbietern verwenden.

Vertrauliche Daten sollten immer verschlüsselt gespeichert und nur mit den Personen geteilt werden, die sie wirklich benötigen. User sollten sichere Verbindungen verwenden, zum Beispiel VPN-Netzwerkverbindungen. Zudem müssen alle Geräte, die auf vertrauliche Daten zugreifen können, besonders geschützt sein.

Nützliche Anlaufstellen

Das Nationale Zentrum für Cybersicherheit (NCSC) respektive das Bundesamt für Cybersicherheit bietet Ratschläge zu Cybersicherheitsvorfällen in der Schweiz. Dort gibt es auch das Merk- blatt «Informationssicherheit für KMUs» als PDF zum Downloaden. Beim Bundesamt für Cybersicherheit können allfällige Vorfälle online gemeldet werden. Mögliche kriminelle Attacken sollten auch der Strafverfolgungsbehörde gemeldet und allenfalls zur Anzeige gebracht werden.

www.ncsc.admin.ch

Digitalswitzerland: Auf der Plattform dieser Organisation gibt es ebenfalls viele Informationen und Tipps zum Thema, darunter auch einen Online-Schnellcheck für KMU, um ihre eigene Cybersicherheit zu prüfen.

www.digitalswitzerland.ch

Die Höhere Fachschule Bürgenstock bietet im Mai 2025 einen zweitägigen Kurs zum Thema Datensicherheit an (Infos dazu auf Seite 24).

Stefan Hilzinger, GEN/HIl

Veröffentlichung: 10. Oktober 2024 / Ausgabe 41/2024

Bildstrecken

   

Artikel zum Thema

10. Oktober 2024

Effizient und durchgängig

CAD-Tabelle.  Die CAD-Tabelle der Schreinerzeitung vergleicht die zentralen Spezifikationen der CAD-Programme für die Schreinerbranche. Durch die zentrale Stellung der Software im gesamten Produktionsprozess ist es wichtig, dass diese genau auf den Nutzer abgestimmt ist.

mehr
29. August 2024

Warum zwei, wenn eins genügt?

Bankarbeitsplatz.  «Das Genie beherrscht das Chaos.» Nach diesem Prinzip funktioniert die Killer Interior AG in Lupfig AG nicht. Denn Schreiner sollen schreinern und nicht Sachen suchen. Mit der neuen Werkbank ist die Firma dem idealen Arbeitsplatz einen Schritt nähergekommen.

mehr

weitere Artikel zum Thema:

Digitalisierung