IT-Sicherheit im Mittelstand, Teil 1: Warum IT-Sicherheit ein brisantes Thema ist

Wo die Krise gespart hat, klafft nun eine Lücke. Viele Unternehmen sehen akuten Handlungsbedarf – gerade noch rechtzeitig. Denn neben den bekannten Gefahren von Viren, Würmern und Trojanern haben sich in jüngster Zeit neue Minenfelder aufgetan, durch die Mittelständler oft ahnungslos stapfen.

Wirksamer Schutz muss umfassend sein

Von Sabine Philipp

Andreas Pohl von der Pohl Consulting Team GmbH in Bad Arolsen bringt das Problem gleich auf den Punkt: „Wenn ich in Ihr Büro komme und Ihr Portemonnaie klaue – woran merken Sie das? Daran, dass es weg ist. Wenn ich in Ihr Büro komme und Ihre Daten klaue, warum merken Sie das nicht? Weil sie noch da sind.“ Mittelständlern rät der Fachmann daher stets zu Lösungen, die die Zugriffe auf sensible Ordner genau protokollieren. „Spionage im Mittelstand“, so die Erfahrung des geprüften EDV-Sachverständigen und Datenschutzbeauftragten, „ist ein absolut unterschätztes Thema.“

Vor allem unternehmergeführte Firmen vertreten häufig die irrige Meinung, dass ihr Wissen doch ohnehin niemand interessiere. „Sie übersehen dabei aber, dass es chinesische Firmen gibt, die schlichtweg alles klauen“, warnt Pohl. „Die setzen sogar Praktikanten als Spione ein.“ Wenn der Schaden da sei, sei das Geschrei groß – und der Handlungsbedarf. Einfallstore für die Spione gibt es indes viele.

Scan to matahari@freemailer.de

Mit Multifunktionsgeräten z.B. kann man nicht nur kopieren, sondern mitunter auch die gescannten Daten an ein kostenloses E-Mail-Konto schicken, das keine Authentifizierung erfordert – und damit kurzerhand die ganze übrige IT-Sicherheit aushebeln.

AndreasPohl.jpg

Andreas Pohl von der Pohl Con­sulting Team GmbH ist ge­lern­ter Kom­munikations­elektroniker für In­for­ma­tions­technik und seit über 20 Jahren in der Branche tätig. Der Spezia­list für IT-bedingte Unter­nehmens­risiken, IT-Security und Daten­schutz ist zerti­fi­zierter IT-Security Senior Con­sultant, ge­prüf­ter EDV-Sach­ver­ständiger, ge­prüf­ter Daten­schutz­beauftragter und zerti­fi­zierter IT-Com­pliance-Manager.


Pohl Consulting Team GmbH, Mengeringhäuser Str. 15, 34454 Bad Arolsen, Tel.: 05691-8900501, info@pct.eu, www.pct.eu

Andreas Pohl hat die Erfahrung gemacht, dass sich die Mitarbeiter in den seltensten Fällen im System anmelden müssen, um einen Scan oder eine Datei an eine private E-Mail-Adresse anzuhängen und wegzuschicken. „Eine einfachere Art der Spionage ist kaum möglich“, warnt der Profi. Er rät dazu, eine Authentifizierung am Gerät mit Karte oder Fingerprint einzuführen bzw. festzulegen, dass Scans nur in bestimmte Ordner oder Firmenadressen kopiert werden dürfen.

WikiLeaks im Unternehmen

Oft haben viele Mitarbeiter Zugriff auf Daten, die sie gar nichts angehen. Genau dieses Problem hatte die amerikanische Regierung, die nach dem 11. September 2001 viele Netze zusammengeschaltete, um den Mitarbeitern bessere Recherchemöglichkeiten zu geben. „Das Ergebnis können Sie bei WikiLeaks sehen“, spottet der Experte. Wer sich nicht mutwillig selbst solche Lecks schlagen will, dem rät Pohl, den Zugang über eine Berechtigungsstruktur zu regeln, die zentral und sauber eingerichtet ist und jedem Mitarbeiter nur so viel Einblick gewährt wie notwendig.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Angezapft und mitgeschnitten

Um ein normales Festnetztelefonat mitzuschneiden, ist ein nicht unerheblicher technischer Aufwand erforderlich, mit anderen Worten: ein Profi vom Geheimdienst. „Ein IP-Telefonat können Sie aber ganz einfach mitsniffen“, erklärt Andreas Pohl. Dazu müsse man oft nur in die Kabel der Netzwerkschränke, die sich überall im Büro und teilweise auch in der Produktionshalle befinden, einen Stecker einführen.

Serie: IT-Sicherheit im Mittelstand
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risiko­katalog bis hin zu den Haftungs­fragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Com­pliance-Vor­schriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.

Dagegen hilft es in einem ersten Schritt oft schon, die Schränke abzuschließen, was, nebenbei bemerkt, sehr selten getan wird. In einem zweiten Schritt muss der Datenstrom unbedingt verschlüsselt werden, damit er nicht mitgelesen werden kann.

Unter falschen Freunden

In sozialen Netzwerken wie auf den Facebook- oder Xing-Seiten geben Menschen sehr viel über sich, ihre Hobbys, ihre Bekannten und ihre Firma preis. Dadurch werden sie oft leichte Beute – und ihr Unternehmen.

Ein Realbeispiel: Ein Mitarbeiter tritt in seinem Netzwerk einem Forum für Wellensittichfreunde bei, wo er etliche Gleichgesinnte trifft. Nun bekommt er eine Mail, die von einem der Netzwerkfreunde zu stammen scheint, mit der Betreffzeile „Wellensittich-Messi hortet 800 Tiere in Zweizimmerwohnung“. Mit dem Mausklick auf die Mail öffnet tritt zugleich ein Trojaner in Aktion. Was der Mitarbeiter nicht wusste, war, dass die Absenderadresse im Header relativ einfach gefälscht werden kann.

Noch mehr aktuelle Gefahrenquellen, üble Tricks und wirksame Gegenmittel legt Teil 2 dieser Serie auf den Tisch.

Nützliche Links