IT-Sicherheit im Mittelstand, Teil 2

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Gegen Hacker und Haftungsrisiken

© konzeptm – Fotolia

Von Sabine Philipp

Der neueste Trend in Sachen Social Engineering ist der USB-Stick, der ganz zufällig gefunden wird. „Manche Diebe bespielen die noch relativ teuren 64-Bit-USB-Sticks mit einem Trojaner und lassen sie auf dem Firmenparkplatz fallen“, sagt Fachmann Andreas Pohl. „Da findet sich immer ein Dummer, der sich freut und das Ding tatsächlich am Firmen-PC einsteckt.“ USB-Sticks sind ein generelles Sicherheitsproblem, eben weil der handliche Datentransport nicht immer gewollt ist. Der EDV-Sachverständige rät daher dazu, die USB-Ports zentral zu deaktivieren oder nur Geräte wie den Netzwerkdrucker zuzulassen.

Aber selbst, wenn die Mitarbeiter nichts Böses im Schilde führen, können sie durch Unwissenheit großen Schaden anrichten. Pohl empfiehlt deshalb grundsätzlich, die Mitarbeiter zu schulen. Dann sind sie auch gegen andere Techniken der Spione gewappnet, die oft mit den ältesten Maschen Erfolg haben. Vor allem aber kommen die Mitarbeiter nicht auf dumme Gedanken, die die gesamte Unternehmenssicherheit aushebeln können.

Gefährliche Abkürzung

Mit einfachen Lösungen aus dem Elektromarkt lässt sich immenser Schaden anrichten, wie ein Beispiel aus dem Leben zeigt: Ein Kunde von Pohl hatte 25.000 Euro in die IT-Sicherheit investiert und war insgesamt sehr gut aufgestellt. Doch ein halbes Jahr später war der gesamte Betrieb virenverseucht. Des Rätsels Lösung: Im Rahmen der IT-Sicherheit wurde auch der Zugriff auf die Buchhaltung über ein zentral gesichertes System eingerichtet, was zur Folge hatte, dass die Buchhalterin durch das mehrmalige Anmelden pro Tag eine Minute mehr Arbeit hatte.

AndreasPohl.jpg

Andreas Pohl von der Pohl Con­sulting Team GmbH ist ge­lern­ter Kom­munikations­elektroniker für In­for­ma­tions­technik und seit über 20 Jahren in der Branche tätig. Der Spezia­list für IT-bedingte Unter­nehmens­risiken, IT-Security und Daten­schutz ist zerti­fi­zierter IT-Security Senior Con­sultant, ge­prüf­ter EDV-Sach­ver­ständiger, ge­prüf­ter Daten­schutz­beauftragter und zerti­fi­zierter IT-Com­pliance-Manager.


Pohl Consulting Team GmbH, Mengeringhäuser Str. 15, 34454 Bad Arolsen, Tel.: 05691-8900501, info@pct.eu, www.pct.eu

Daher bat sie den technischen Leiter, mit dem sie liiert war, um eine einfachere Lösung. Der kaufte eine Fritz!-Karte für 69 Euro, baute sie in den PC ein – und sie konnte ohne Anmeldung das Online-Banking erledigen.

Allerdings ging sie jetzt nicht mehr über das zentral gesicherte System, sondern mit einem ungeschützten Rechner ins Internet. Die 25.000 Euro Sicherheitsmaßnahmen trat sie damit in den Mülleimer.

Es bleibt daher nichts übrig, als Schutzsysteme auch regelmäßig zu kontrollieren, betont Pohl. Das gilt auch in Hinblick auf die Programme, bei denen sich ständig etwas Neues tut.

Kommunikation-und-netze-2015-02.jpg
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Unüberschaubare Updates

Heutzutage gibt es eine noch nie da gewesene Vielfalt an Programmen und Hardware. Eine Software ist schnell installiert – und noch schneller vergessen, wenn sie nicht sauber dokumentiert wurde. „Häufig versichern mir die Kunden, dass sie die Programme und Updates selbst überwachen“, seufzt Pohl, „aber genauso häufig wissen sie gar nicht, welche Software sie überhaupt aufgesetzt haben.“

Der simple Adresstrick
Übrigens: Die Mail-Adresse des Chefs kann durch die Adress-Syntax oft leicht heraus­gefunden werden. Wenn der Mit­arbeiter Armin Meier heißt und die E-Mail-Adresse a.meier@firma.de hat, so lautet die Adresse des Chefs Hugo Müller aller Wahr­schein­lich­keit nach h.mueller@firma.de. Pohl rät des­halb dazu, für den Geschäfts­führer eine andere Mails­yntax einzuführen.

Ein anderes Problem ist, dass nicht jede Soft- und Hardware miteinander kompatibel ist. Bei Pohl möchten Kunden oft einen bestimmten Server bestellen, den sie sich in den Kopf gesetzt haben. Wenn er dann aber nachfragt, was sie damit konkret machen wollen, stellt sich am Ende allzu häufig heraus, dass diese Geräte dafür ungeeignet sind. Auf Nummer Sicher kann man im Grunde nur dann gehen, wenn ein Server für bestimmte Produkte zertifiziert ist. Bei Open-Source-Lösungen gibt es leider nur in ganz seltenen Fällen Zertifizierungen. Hier können unter Umständen Kompatibilitätslisten im Internet für Klarheit sorgen.

Haftung und Compliance

Die am meisten unterschätzte Gefahr sieht Pohl jedoch in den erhöhten Haftungsrisiken, die dadurch entstehen, dass bestimmte Gesetze nicht eingehalten wurden. So kann im Prinzip schon das Nutzen eines Spamfilters nach § 206 Strafgesetzbuch zu einer Straftat werden, weil Post unzulässig unterdrückt wird. Wie das? – „Wenn der Postbeamte einen an Sie adressierten Briefumschlag vor Ihren Augen aufreißt, hineinsieht, sagt ,Das ist nichts für Sie‘ und ihn wieder mitnimmt, dann begeht er eine Straftat“, erklärt Pohl. „Ein Spamfilter macht rechtlich gesehen nichts anderes.“

Serie: IT-Sicherheit im Mittelstand
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risiko­katalog bis hin zu den Haftungs­fragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Com­pliance-Vor­schriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.

Wenn ein Unternehmer nämlich die private E-Mail-Nutzung nicht ausdrücklich verboten hat, wird er zum Provider; und damit unterliegt damit dem Post- und Fernmeldegeheimnis. Die private Nutzung muss also untersagt – und das Verbot muss überwacht werden. Sonst wird es durch die Hintertür zu einer so genannten betrieblichen Übung, also zur geduldeten Regel.

Das hat noch weitere Folgen, wie Pohl erklärt: „In diesem Fall darf der Unternehmer noch nicht einmal ohne Erlaubnis des Mitarbeiters den PC untersuchen, weil er z.B. Kinderpornografie auf dem Rechner vermutet. Das wäre eine Straftat, und alle Beweise, die durch eine Straftat erlangt werden, unterliegen dem Beweisverwertungsverbot und sind dadurch ungültig.“

Mehr zu diesem Sicherheitsaspekt und seinen Haftungs- bzw. Schadensersatzrisiken erfahren Sie in Teil 3 dieser Serie.

Nützliche Links