IT-Sicherheit im Mittelstand, Teil 1: Welche Sicherheitsrisiken in Unternehmen lauern

Wenn Datenschutz in Unternehmen ein Thema ist, dann geht es meist um Zugriffs­berechtigungen oder Firewalls. In der Praxis sind aber selten Hacker, Viren und Trojaner, sondern Diebe, Blitz und Wasser das Problem. Welche Risiken real sind, beschreibt Ralph Novak.

Dieser Beitrag ist mehr als 16 Jahre alt.
© Gina Sanders – Fotolia
Bild: © Gina Sanders – Fotolia

Vor Ort müssen handfeste Lösungen her

Von Ralph Novak im Auftrag von Oracle Deutschland

Willkürlicher Zeichensalat wie 2EXX0rzK! ist ein gutes Passwort. Nur brauchen viele Unternehmen im Grunde gar keines. Denn den kompletten Rechner mit allen Firmendaten könnte sich jeder, der vorbeikommt, einfach unter den Arm klemmen und davonspazieren. Überhaupt behandeln viele mittelständische Betriebe ihre Rechner in Sachen Sicherheit so sorglos wie gusseiserne Schreibmaschinen. Dabei steht und fällt heute praktisch jede Firma mit den Daten auf PCs oder Servern, vom Selbstständigen aufwärts über Handwerksbetriebe bis hin zur ausgewachsenen AG.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Wenn Datenschutz einmal Thema ist, dann dreht es sich zuerst um Zugriffsberechtigungen oder Firewalls – alles gut und schön, aber in der Praxis sind es meist nicht Hacker, Viren und Trojaner, sondern Diebe, Blitz und Feuer, Wasser oder pure Überlastung, die das System zu erliegen bringen. Dabei gibt es einige recht einfache und erprobte Lösungen, die Sicherheit gegen Stillstand, Datenklau und Elementarkatastrophen geben.

Wider den Totalausfall

Jede IT-Lösung kann ausfallen und Probleme machen. Dafür gibt es eine ganze Reihe von Gründen. Meist ist es gar kein Hardware-Fehler, sondern eine ganz triviale Ursache, die Schuld am Stillstand ist: Eine Festplatte ist voll, zu viele Anwender haben sich gleichzeitig angemeldet, so dass die Lizenz-Schranke herunterklappt, oder eine Datenbank lässt einfach keine zusätzlichen Einträge zu.

Serie: IT-Sicherheit im Mittelstand
Teil 1 erklärt, was zum Grundschutz gehört, welche Türen abgesperrt bleiben müssen und wie das Firmennetzwerk optimale Datenverfügbarkeit gewährleistet. Teil 2 nimmt die häufigste Ausfallursache unter die Lupe: den Anwender. Hier erfahren Sie, was eine gute Nutzerverwaltung leisten soll und warum ein Notfallplan parat liegen muss.

Skalierbarkeit

Gegen solche Probleme helfen skalierbare Lösungen, die mit den Anforderungen wachsen. Steigt der Bedarf, kommen weitere Softwaremodule oder zusätzliche Hardware hinzu. Am besten ist das Ganze so ausgelegt, dass die Erweiterungen direkt im laufenden Betrieb eingesetzt werden können oder zumindest sofort nach einem Systemneustart zur Verfügung stehen. Die Vorteile liegen auf der Hand: Skalierbarkeit hält die Ausfallzeiten bei Erweiterungen minimal und sorgt außerdem für niedrigere Kosten, da das Unternehmen Systeme nicht komplett neu anschaffen muss, sondern einfach ergänzen kann.

Clustering

Eine andere Sorte von Problem wäre der Totalausfall durch Software- und Hardwarefehler oder bei der Überlastung eines Servers. Dem lässt sich durch Clustering-Techniken zuverlässig vorbeugen, die durch einen vernetzten Rechnerverbund für Lastverteilung und Verfügbarkeit sorgen: Beim so genannten Hochverfügbarkeitscluster (High-Availability Cluster bzw. HA Cluster) übernimmt beim Ausfall einer Maschine die nächste die laufenden Prozesse. Im Idealfall bekommt der Anwender davon nichts mit; er greift wie gewohnt auf seine Daten zu, füllt Eingabemasken aus und bemerkt nicht, dass er gerade von einem anderen Rechner bedient wird. Bei der Lastverteilung (Load Balancing) geht es dagegen nicht um Hardware- oder Softwarefehler, sondern um Zugriffe. Eine Zentraleinheit steuert hier die Verteilung auf mehrere Maschinen und verhindert so, dass die Mitarbeiter durch unnötig lange Antwortzeiten aufgehalten werden. Für solche Cluster genügen übrigens oft sogar Standardkomponenten, so dass man eine erfreulich hohe Performance auch ohne teure Spezialcomputer erreicht. Allerdings: Sowohl das Betriebssystem als auch die Anwendung müssen Clustering unterstützen.

Oracle kurz vorgestellt

Oracle Deutschland.gif

Oracle weiß gut, was „mittelständisch“ heißt. Knapp 75 % der Kunden kommen aus diesem Segment. Schließlich stellt man hier bereits seit 1977 diejenigen in den Mittelpunkt, die der Motor ihrer Märkte sind: Unternehmen aus dem Mittelstand.

Oracle ist ein Softwareanbieter, der Unternehmen erfolgreich dabei unterstützt, ihre Kommunikation zu verbessern und Prozesse intelligent zu integrieren. Als Spezialist für standardisierte Lösungen kann Oracle auf jahrzehntelange Erfahrung und die Zusammenarbeit mit starken Partnern bauen. Ausbaufähige Module oder ganze Architekturen optimieren die gesamten Abläufe, so dass auch kleine und mittlere Unternehmen im globalen Wettbewerb erfolgreich bestehen können.

Bewährte Produkte und Lösungen

  • Oracle Database: Eines der bekanntesten Produkte ist nach wie vor Oracle Database. Das Datenbanksystem hält Informationen sicher parat, liefert die Reaktionszeiten, die Kunden heute fordern, und verringert kostspielige Ausfallzeiten. Real Application Clusters sorgt für hohe Verfügbarkeit und Skalierbarkeit bei niedrigen Kosten. Die aktuelle Version Oracle Database 11g ist die erste speziell für Grid Computing konzipierte Datenbank. Gegenüber seinen Vorgängern bietet 11g ungeahnte Performance für Windows, Linux und Unix-Server. Binärdaten werden nicht nur schnell geschrieben und gelesen, sondern durch ein neues Kompressionsverfahren gleichzeitig um die Hälfte bis auf ein Drittel der Größe reduziert. Und: Oracle Database 11g macht Unternehmen fit für weiteres Wachstum. Ohne eine einzelne Zeile Codeänderung lässt sich 11g vom Einzelserver zu Grid-Computing migrieren. Oracle Database ist für große, kleine und mittelständische Unternehmen gleichermaßen geeignet – schließlich sind Verfügbarkeit und Performance bei straffen Strukturen nicht weniger wichtig.
  • Informationsmanagement und Prozessteuerung: Die Produktlinien Oracle E-Business Suite und PeopleSoft Enterprise, JD Edwards EnterpriseOne und JD Edwards World, Siebel und Hyperion sind speziell für die Bereiche Corporate Performance Management, Customer Relationship Management, Financial Management, Human Capital Management, Procurement, Project Management und Supply Chain Management ausgelegt. Unternehmen aller Art gewinnen damit eine bessere Informationsgrundlage und können entscheidende Prozesse gezielt beeinflussen.

Wer sich über die speziell für den Mittelstand konzipierten IT-Lösungen von Oracle informieren will, stöbert entweder direkt auf der Mittelstandswebseite von Oracle Deutschland. Oder Sie nehmen auf dem Weg dorthin noch unser aktuelles Geschenk für Oracle-Interessenten mit.

ORACLE Deutschland B.V. & Co. KG, Riesstraße 25, D-80992 München, 0800-1824138, dir_ie@oracle.com, www.oracle.de

Redundanz

Eine andere Methode, einen Systemstillstand zu verhindern bzw. den Zeitverlust im Schadensfall gering zu halten, ist Redundanz. Das bedeutet nichts anderes, als dass Teile wichtiger Hardware doppelt oder mehrfach ausgelegt sind; mitunter findet man sogar ganze Systeme vervielfacht. Solange alles glatt läuft, sind diese Komponenten „überflüssig“ – die Doppelgänger springen erst im Ernstfall ein. In Rechenzentren sind beispielsweise Server mit redundanten Stromversorgungen ausgelegt oder Anbindungen ans Internet mehrfach vorhanden.

Für den Mittelstand bewährt haben sich bereits einfache RAID-Systeme, die die Daten einer wichtigen Festplatte auf eine andere Festplatte spiegeln. Fällt dann die eine Platte aus – und das passiert garantiert irgendwann –, kann das System trotzdem ohne Datenverlust weiterarbeiten. Ideal ist, wenn die Speichermedien sogar Hot-Swap-fähig sind, so dass sich die defekte Harddisk im laufenden Betrieb gegen eine neue tauschen lässt. Der RAID-Controller sorgt danach wieder dafür, dass die vorhandenen Daten automatisch gespiegelt werden.

Es gibt auch die Möglichkeit, ein komplettes identisches System im Standby-Betrieb bereit zu halten. Hier sorgen dann Prozesse im Hintergrund dafür, dass der Datenbestand auf beiden gleich ist. Fällt das Hauptsystem aus, springt das Duplikat in die Bresche.

Stromversorgung

Viele Gefahren, die ganze Netzwerke lahm legen, kommen schlicht und einfach aus der Steckdose. Klassisches Beispiel: Stromausfall. Ohne eine so genannte unterbrechungsfreie Stromversorgung (USV) fallen da sämtliche Geräte aus und Ihre Mitarbeiter sitzen untätig im Dunklen. Noch schlimmer ist aber die Gefahr, dass Daten beschädigt werden, wenn die gesamte Anlage unvermutet k.o. geht. Deshalb gibt es USV-Geräte, die mit dem PC oder Server kommunizieren: Dem Betriebsystem wird stets der aktuelle Status mitgeteilt, und sobald der Ladezustand der internen Batterien kritisch wird, ergeht ein entsprechendes Signal. Daraufhin werden offene Anwendungen geschlossen und das System fährt sicher herunter. Dem Datenbestand kann auf diese Weise nichts passieren.

Eine unterbrechungsfreie Stromversorgung ist aber noch für mehr gut. Oft sind Stromschwankungen oder, wenn der Blitz einschlägt, Überspannungen die Ursachen für einen Serverausfall. Hier dient eine USV als Filter: Schwankungen werden stabil überbrückt und Überspannungen herausgefiltert.

Alternativen für Archive

Jeder hat schon einmal versehentlich Delete gedrückt und gedankenverloren die Löschabfrage mit „Ja“ bestätigt. Manchmal geht nur eine Mail verloren, manchmal sind es aber auch die Auftragseingänge seit Monatsanfang. Daher sollte ein gut durchdachtes Backup-System schon aus purem Eigeninteresse zur Grundausstattung jeder Firmen-IT-Landschaft gehören – ganz abgesehen davon, dass das Finanzamt Unternehmen gesetzlich zur Vorhaltung und Archivierung von Daten (GDPdU) verpflichtet. Wichtig ist vor allem, dass das Backup zuverlässig und regelmäßig erfolgt.

Für große Datenmengen gilt die Sicherung auf Magnetbändern noch immer als die verlässlichste Methode zur Langzeitarchivierung. Dabei werden eine oder mehrere zentral im Server oder Rack untergebrachte Bandlaufwerke von Hand (bei riesigen Datenmengen per Roboter) mit Bändern bestückt. Geht es dagegen um einzelne Arbeitstationen oder kleinere Informationsmengen sind wiederbeschreibbare DVD-Rohlinge sehr beliebt. Sie sind preiswert, einfach zu handhaben und nehmen deutlich weniger Platz weg als Bänder. Außerdem hat mittlerweile fast jeder PC einen DVD-Brenner eingebaut. Eine weitere Variante stellen externe Festplatten dar. Man steckt sie meist via USB oder FireWire an den PC oder Server; manche Ausführungen lassen sich auch per Ethernet-Schnittstelle direkt ins Netzwerk hängen, so dass sie für alle zur Verfügung stehen.

Damit Gesichertes aber wirklich sicher ist, gilt es, die Medien – egal welches sie wählen – auch sicher aufzubewahren. Wer nicht mehr benötigte Daten in Sicherungsarchive auslagert, muss die Informationsträger so unterbringen, dass er in kürzester Zeit wieder darauf zugreifen kann, falls die Finanzbehörden innerhalb der Aufbewahrungsfristen zur Prüfung vorbeischauen. Abgesehen davon: Ein nicht auffindbares oder kaputtes Backup ist nicht besser als gar kein Backup. Die Speichermedien müssen daher diebstahlsicher, feuer- und wasserfest gelagert werden. Denn wenn der Server in Flammen steht, nützt die aktuellste Sicherung nichts, wenn sie im Nebenzimmer gleich mit verbrennt. Nehmen Sie dieses Problem lieber zu ernst als auf die leichte Schulter. Eine praktikable Lösung ist z.B. ein Bankschließfach. (Denken Sie aber daran, dass Sie dann nur zu den Öffnungszeiten an Ihre Datenträger herankommen.)

Für kleinere Unternehmen, deren Archive sich nicht zu hunderten von Gigabyte aufblähen, bietet sich die Alternative Online-Backup. Denn fast jeder Webspace-Vertrag eröffnet viel mehr Speichervolumen als die reine Webpräsenz braucht. Den ungenutzten Platz kann man genauso gut auch zur Archivierung nutzen. Um die Sicherheit steht es hier gut: Die Rechenzentren von Providern gleichen meist einem Hochsicherheitstrakt; dort liegen Ihre digitalen Unterlagen vor Feuer, Wasser und anderen üblen Einflüssen geschützt und sind vor dem Zugriff Fremder sicher. Darüber hinaus werden die Daten dort noch einmal gegengesichert.

Zugriff verboten

Einen eigenen, rund um die Uhr bewachten Serverraum, in dem die kostbaren Maschinen im 19-Zoll-Serverschrank sicher verschraubt sind, haben kleinere Unternehmen wohl in den seltensten Fällen. Das wissen leider auch Langfinger und ungerufene Neugierige. Ein PC, der als Server dient und beim Chef oder der Sekretärin unter dem Schreibtisch steht, ist schnell unter den Arm geklemmt. Und dass Hochtechnologie immer kleiner und mobiler wird, macht die Sache nicht leichter. Offene USB-Ports dürfte es gar nicht geben. Denn auf einem winzigen USB-Stick lassen sich bei den heutigen Speichergrößen leicht komplette Geschäftsbereiche unbemerkt außer Haus schmuggeln. Festplatten im Wechselrahmen sind nicht nur im Fehlerfall schnell ausgetauscht – auch wer auf Datenklau aus ist, hat die Harddisk ruckzuck in der Tasche verstaut. Es hilft also nichts: Auch in einem kleinen Unternehmen gehört ein Server, auf dem sich wichtige Geschäftsdaten befinden, hinter Schloss und Riegel.

Elementargefahr gebannt

Wo es um Computer geht, denkt man an automatisch kompliziert, aber nicht an die Kerzen der Weihnachtsfeier oder den verkaterten Fensterputzer, der seinen Wassereimer aufs Fensterbrett stellt. Dabei gehören Feuer und Wasserschäden zu den Horrorszenarien, gegen die sich jeder Unternehmer mit passenden Policen wappnet. Nur: Wenn Ihre Kundendaten als geschmolzener Klumpen in der Asche liegen, erweckt sie auch eine Elektronikversicherung nicht wieder zum Leben.

Die einzige Lösung ist hier ein speziell gesicherter Serverraum, der allerdings nicht gerade billig kommt. Kleinere Firmen, die wenig Raum haben, bringen ihre zentralen Rechner oder Server gerne in Abstellkammern oder dergleichen unter. Die kann man immerhin absperren, so dass sie einen gewissen Diebstahlschutz bieten. Sie haben aber auch einen gravierenden Nachteil: Gerade solche kleinen Kämmerlein geben der Hardware in den seltensten Fällen ausreichend Luft – und die ist bei der heutigen Leistungsaufnahme von PCs und Servern absolut notwendig.

Das heißt zwar nicht, dass der Rechner schon nach ein paar Stunden Betrieb wegen Überhitzung den Geist aufgibt, aber unzureichende Wärmeabfuhr kann Prozessoren oder Festplatten auf lange Sicht schädigen, so dass das System am Ende nur unzuverlässig läuft. Sehen Sie also zu, ob Sie nicht zusätzliche Lüftung schaffen können oder sich eine kleine Klimaanlage leisten, die den Server vor dem langsamen Hitzetod bewahrt. Und vergessen Sie die USV nicht, die auch hier hinein gehört.

Fazit: Am Grundschutz hängt alles

Denken Sie praktisch. Die Frage ist oft weniger, was Böswillige mit Ihren Daten anfangen könnten, sondern schlicht: Was passiert, wenn Sie selbst nicht an Ihre Daten kommen? Hier zahlt sich ein Grundschutz für schlanke IT-Systeme, kleine Netzwerke und einzelne Firmen-PCs früher oder später in jedem Fall aus. Und wenn doch einmal etwas schiefgeht, helfen durchdachte und funktionierende Lösungen, damit der Betrieb möglichst schnell wieder läuft.

Nützliche Links