IT-Security für KKUs in a nutshell

Updated on

Neues Jahr, neues Glück - happy new year!

Ein ereignisreiches Jahr liegt hinter uns. Und wieder richtig viel Cyberkriminalität, teils politisch, teils wirtschaftlich motiviert. Statista hat die Schäden für das vergangene Jahr in Deutschland auf gut 250 Milliarden beziffert. Ich weiß, nicht alles was hinkt, ist auch ein Vergleich, aber: das ist

  • über den Daumen dreimal so viel Geld, wie wir für den Import von fossilen Energien bezahlen,
  • gut viermal so viel wie wir jährlich zusätzlich in unsere Infrastruktur stecken müssten um sie wieder auf Vordermann zu bringen und
  • locker fünfmal so viel Geld, wie wir an Investitionen in Erneuerbare Energien tätigen (hier hatte ich nur für 2023 eine Zahl gefunden, ~38 Milliarden €).

Der Umsatz der IT-Branche in Deutschland hat letztes Jahr rund 150 Milliarden Euro betragen. Bestimmt noch etwas mehr "schwarz" on top, plus den IT-interessierten Werkstudenten usw.. Das wird die Gesamtsumme jetzt aber nicht völlig in andere Level katapultieren. Wir sehen: es gibt viel zu tun und das wäre alles nur wirtschaftlich. Und ich habe oft gesehen, dass zu wenig bis gar nichts getan wird.

Jetzt ist mir völlig klar: kleine Firmen haben das Geld für "große Lösungen" nicht. Und selbst wenn das Geld da wäre, ist es unter dem Strich doch unwirtschaftlich, wirklich das komplette Sortiment einzukaufen und alles für die Sicherheit zu tun. Für KKUs und auch viele KMUs empfehle ich grundsätzlich pragmatische Ansätze. Frei nach dem Paretoprinzip: 20% des Aufwands erreichen meist schon 80% der möglichen Ergebnisse. Als Grundlage habe ich mittlerweile die noch relativ neue DIN SPEC 27076 im Auge. Ich möchte hier zusammenfassen, welche Maßnahmen ich selbst für Kleinstunternehmen für wichtig halte und orientiere mich dabei an genannter DIN, besser bekannt als dem CyberRisikoCheck.

Organisation & Sensibilisierung

Kurz: jemand muss für IT und Informationssicherheit "den Hut aufhaben" und auch genug Kapazität haben, um diesen Aufgaben nachzukommen. Jeder in der Firma muss wissen, wer Ansprechpartner ist - sei es der Chef selbst (plus Vertretung!) oder ein Dienstleister. Dienstleister wird wohl die Regel sein. Hierbei rate ich von One-man-show-IT ab. Das sind oft wirklich kompetente Menschen und dabei meist auch günstig, aber ich habe das schon zu oft durch völlige Überlastung kaputtgehen sehen. Ich kann nicht zählen, wie oft ich aufräumen musste, wenn der Einzelkämpfer plötzlich "weg war". Ja, teilweise einfach vom Erdboden verschwunden.

Es muss einen Notfallplan geben. Für KKUs reicht es völlig, wenn an zentraler Stelle ein A4-Zettel hängt mit den wichtigsten Ansprechpartnern und einer handvoll Anweisungen für den Schadensfall (PCs runterfahren o.ä.), auch mit physischen Vorkommnissen wie Wasserschaden und Brand.

Mitarbeitende sollten unbedingt geschult und informiert sein. Der Faktor Mensch ist das größte Einfallstor. Sprecht Euren IT-Dienstleister an, ob er Schulungen anbietet. Und wenn es nur eine Schulung von 15-30 Minuten ist, einmal im Jahr. Lieber kurz und knackig als gar nicht. Zu lang ist vielleicht sogar schlecht, es ist nicht ganz einfach eine volle Stunde lang eine trockene Schulung zu machen.

Und auch das Thema "Reaktionszeit" sollte hier Beachtung finden, damit auch der Wartungsvertrag beim IT-Dienstleister. Viele Firmen meiden Wartungsverträge, natürlich aus Kostengründen. Knallt so gut wie immer, meiner Erfahrung nach. Sehr oft bei der Reaktionszeit. Ich möchte es so sagen, wie es ist: gute Arbeitskräfte in der IT bekommen schon ordentliche Gehälter. Wartungsverträge zahlen diese Gehälter. Eine Firma, die am Wartungsvertrag spart kann nicht erwarten, dass sie sofort Hilfe bekommen. Andere Firmen haben für ihren Wartungsvertrag und entsprechende SLAs bezahlt. Da zählt auch nicht das Argument "ich hab den PC doch bei euch gekauft" (was dann oft auch so 10 Jahre her ist).

Und die Überwachung der Systeme ist hier auch relevant. Läuft eine Festplatte eines Servers voll, zeigt sie Alterungserscheinungen? Hat sich ein Administrator außerhalb der Arbeitszeit angemeldet und ein neues Administratorkonto angelegt und war dieser Administrator vielleicht gar nicht der Admin, sondern ein Angreifer? Läuft die Datensicherung?

Ob man als Firma große Richtlinien für Vertraulichkeit, Homeoffice und ähnliches formuliert - ja, weiß ich nicht. In Kleinstfirmen wird das eh im Wesentlichen auf gesunden Menschenverstand vs. Papiertiger hinauslaufen. Macht euch Gedanken, aber nicht mit Top-Prio.

Identitäts- und Berechtigungsmanagement

Auch hier: gesunder Menschenverstand. Vernünftige Passwörter, diese nicht aufschreiben, Passwortmanager verwenden. Keine Administratorrechte für normale Mitarbeiter bzw. nicht mit einem Administratorkonto arbeiten. Wenn möglich Mehr-Faktor-Authentifizierung benutzen.

Datensicherung

Absolute Top-Prio. Eine Firma ohne Datensicherungskonzept kann auch gleich zumachen, ohne Übertreibung. Faustregel: Daten, ohne die man nicht mehr arbeiten kann müssen auch gesichert werden. Königsweg wären hier natürlich mehrere Datensicherungen an relativ weit verstreuten Standorten (Stichwort: Georedundanz). Ein pragmatischer Ansatz wäre, lokal auf ein NAS (Netzwerkspeicher) zu sichern und diese Datensicherung an einen anderen Standort zu replizieren, sprich eine Kopie aktuell zu halten. Möglich wäre auch hier eine NAS, zum Beispiel beim Geschäftsführer zuhause, wenn er ein paar Kilometer weit weg wohnt. Es bietet sich an, wenn dieses NAS sich mit dem Speicher in der Firma verbindet und die Daten abholt. Kein Gerät in der Firma sollte Zugangsdaten für dieses NAS kennen. Ransomware darf nicht die Möglichkeit bekommen, beide Datensicherungen zu kompromittieren! Auch hier wichtig, die Datensicherung muss auf Funktion überwacht werden, auch sollten Wiederherstellungstests durchgeführt werden.

Patch- und Änderungsmanagement

Ebenfalls Top-Prio. Jemand muss sich regelmäßig darum kümmern, dass Updates zeitnah eingespielt werden. Hier kommt in der Regel wieder ein Dienstleister ins Spiel. Ein preisgünstiger Kompromiss: die Software Lywand kann hier echt interessant sein. Eigentlich ein Schwachstellenscanner, kann aber auch für automatisches Patchmanagement eingesetzt werden, zumindest für Windows. Monatlich gibt es Berichte über den Sicherheitszustand. Man schlägt hier zwei Fliegen mit einer Klappe und das sogar echt günstig.

Schutz vor Schadprogrammen

Auf gut Deutsch: ein Virenscanner. Sollte heutzutage kein Problem mehr darstellen. Der Microsoft Defender ist mittlerweile richtig gut geworden. Bei kleinem Budget würde ich das so belassen und das Geld lieber in andere Posten stecken.

Außerdem sollten Macros in Office deaktiviert sein - wenn es keinen Sachgrund gibt, diese zu benutzen. Ansonsten überschneidet sich dieses Gebiet etwas mit dem Berechtigungsmanagement: wer kann Software installieren, woher wird Software bezogen. Software sollte aus einer vertrauenswürdigen Quelle stammen.

IT-Systeme und Netzwerke

Firewall

Ob es wirklich eine Firewall braucht, muss im KKU genau betrachtet werden. Meine Faustregel: wenn es einen Server gibt, dann sollte auch eine Firewall angeschafft werden. Falls man damit umgehen kann, reicht im Zweifel auch eine OpenSource-Firewall. Wichtig finde ich hier, den Server in ein separates Netzwerk zu stecken und nur notwendige Ports für das Client-Netzwerk erreichbar zu machen, um Angriffsfläche zu reduzieren.

WLAN

Vernünftig mit Passwort absichern, aktuelle Verschlüsselung, separates Gastnetzwerk (auch für Privatgeräte der Angestellten) - reicht. Nicht komplizierter machen als notwendig.

VPN

Es geht hier um VPN in die Firma hinein für Homeoffice und Außendienst. Kann Sinn ergeben, muss man von Fall zu Fall betrachten.

Fernwartung

Egal ob externe Dienstleister oder interne Kräfte, Fernwartung muss in der einen oder anderen Weise gesichert sein. VPN ist eine Möglichkeit, die meisten Fernwartungstools haben auch Schutzmechanismen. Fernwartungstools können aber auch Opfer von Supply-Chain-Angriffen sein. Sprecht mit euren Dienstleistern, ob MFA genutzt wird und ob die Zugriffe überwacht werden.

Related posts