Computerviren, -würmer & Co. können neben diesem „Bildschirmsalat“ auch erheblich ernsthaftere Schäden verursachen.
Handwerksbetriebe sind immer häufiger Ziel von Cyberattacken. Jedes zweite deutsche Unternehmen – darunter auch viele kleine und mittlere Betriebe – wurde Umfragen zufolge bereits Opfer von IT-Sabotage. Der dadurch jährlich verursachte Schaden wird auf über 200 Milliarden Euro geschätzt. Wie schützt man seine IT-Infrastruktur vor Computerviren, -würmern und digitaler Erpressung? Marian Behaneck hat Antworten.
10 Tipps gegen PC-Schädlinge
1. Virenschutzprogramm installieren und kontinuierlich auf aktuellem Stand halten (am besten automatische Aktualisierung aktivieren).
2. Software regelmäßig updaten und alle Sicherheitsoptionen von Betriebssystem, Browser, Anwendungsprogrammen etc. nutzen.
3. E-Mails unbekannter Absender und Anhänge niemals öffnen. E-Mails möglichst im Nur-Text-Format lesen, E-Mails verschlüsseln.
4. Mit Bedacht im Internet surfen, dabei die Sicherheitseinstellungen des Internet-Browsers möglichst hoch setzen.
5. Von wichtigen Daten regelmäßig Sicherungskopien anfertigen und schreibschützen. So hat man stets eine virusfreie Version parat.
6. Mit Hardware- und Software-Firewalls nicht nur das Netzwerk, sondern auch mobile Rechner schützen.
7. Bei mehreren PC-Nutzern unterschiedliche Kennwörter einrichten. Nur die Berechtigungen vergeben, die der Nutzer unbedingt braucht.
8. Sichere Passwörter verwenden, regelmäßig ändern und nicht in einer Datei notieren (siehe: www.bsi.bund.de/passwoerter).
9 WLAN und Bluetooth möglichst nur aktivieren, wenn sie gebraucht werden und aktuellen Verschlüsselungsstandard (WPA2) nutzen.
10. Sicherheitslücken (Mobilhardware, Mitarbeiter) durch Passwörter, Verschlüsselung, Zugangsbeschränkung etc. schließen.
Es ist ein verbreiteter Irrglaube, dass nur große Unternehmen von IT-Angriffen betroffen sind. Gerade kleine und mittlere Unternehmen (KMU) sind für Angreifer als Zielgruppe attraktiv, weil sie meist weniger in die IT-Sicherheit investieren können. Dadurch sind digitale Angriffe einfacher und erfolgversprechender. Die Frage ist nicht mehr, ob, sondern wann der eigene Betrieb angegriffen wird. Mangelnde IT-Sicherheit gefährdet die Existenz von KMUs, weil Geschäftsabläufe Tage und Wochen komplett lahmgelegt werden können, was bis zur Insolvenz führen kann.
Unternehmer tragen deshalb eine besondere Verantwortung für die Sicherung ihrer IT, vertraulicher Mitarbeiter-, Kunden- und Betriebsdaten. Verschiedene Gesetze verpflichten sie sogar dazu – etwa die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD). Danach sind Datenverarbeitungssysteme gegen Verlust oder gegen unberechtigte Veränderungen zu schützen.
Schadprogramme können Computer blockieren, Daten oder Festplatten zerstören.
Externe und interne Risikofaktoren
Die Bandbreite von Cyberangriffen ist groß: Schadprogramme können Computer blockieren, Daten oder Festplatten zerstören. Bot-Programme können PCs unbemerkt fernsteuern, Keylogger Tastatureingaben speichern und an Dritte weitergeben, „Denial of Service“-Attacken Netzwerke lahmlegen, Phishing-Auftritte Internetnutzern Passwörter entlocken. Die Angreifer haben es dabei nicht nur auf Daten abgesehen, sondern fordern – etwa nach einer Verschlüsselung des Systems mit sogenannter Ransomware – häufig auch Lösegeld.
KI-gestützte Cyberattacken steigern die Bedrohungssituation zusätzlich. Schon ein einziger Klick auf einen Anhang einer per KI individuell und täuschend echt formulierten Bestellbestätigung, Rechnung, Mahnung oder Anfrage von bekannt scheinenden Absendern kann Schadsoftware, sogenannte Malware, einschleusen. Auch Mitarbeiter können die eigene IT-Infrastruktur gefährden, wenn sie privat Apps und Programme herunterladen oder Urlaubsfotos als Bildschirmhintergrund per USB-Stick hochladen. Wird das private Smartphone auch geschäftlich genutzt oder umgekehrt, kann der sorglose Umgang mit Messenger-Nachrichten, E-Mails, Apps, Foren oder sozialen Netzwerken Schadprogrammen Tür und Tor öffnen. Das gilt erst recht im Hinblick auf das Homeoffice, weil viele häusliche Arbeitsplätze weder über ausreichenden Virenschutz noch eine Firewall verfügen.
Bild: Bitkom
Schäden entstehen häufig durch Phishing, Passwortklau und Malware, wobei Ransomware-Angriffe deutlich zugenommen haben.
Ist der Ernstfall eingetreten und hat sich ein Virus in den Systemdateien der Unternehmens-Hardware einmal festgesetzt, sind die Folgen erheblich. Meist müssen betroffene Server heruntergefahren, Datenträger formatiert, Betriebssysteme und Anwendungsprogramme neu installiert und konfiguriert sowie alle Arbeitsdaten neu aufgespielt werden – sofern virenfreie Sicherungskopien (Back-ups) vorhanden sind. Daher ist auch die regelmäßige Sicherung wichtiger Firmen-, Mitarbeiter- und Kundendaten ein elementarer Baustein der IT-Sicherheit.
IT-Notfallplan: Was tun im Notfall?
Oberstes Ziel bei einem IT-Sicherheitsvorfall ist es, den IT-Betrieb mit allen Komponenten, Anwendungen und Prozessen schnell wiederherzustellen. In einem Notfallhandbuch sollten dazu Kontaktdaten von Ansprechpartnern, Verantwortlichkeiten, organisatorische und technische Maßnahmen, Handlungsabfolgen zur Wiederherstellung ausgefallener Funktionen sowie die aktuelle IT-Infrastruktur dokumentiert werden. Um weitere Schäden zu verhindern, sollten betroffene Computer und Server vom Netzwerk und vom Internet getrennt, aber nicht ausgeschaltet sowie ggf. laufende Back-ups gestoppt werden. Anschließend sollten Beweise gesichert (Bildschirme fotografieren, Logfiles sichern) und ein Ereignisprotokoll mit Datum und Uhrzeit geführt werden. Danach sollten zusammen mit Experten Fragen geklärt werden: Was ist passiert? Wem ist es wie aufgefallen? Welche Auswirkungen kann es auf das Unternehmen, seine Dienstleistungen und Kunden haben? Welcher Handlungsbedarf ergibt sich daraus? Personenbezogene Daten verarbeitende Unternehmen müssen bei Datenlecks außerdem zuständige Datenschutzbeauftragte und Kunden informieren. Weitere Infos: https://handwerkdigital.de/Cybersicherheit, www.bsi.bund.de/DE/IT-Sicherheitsvorfall/it-sicherheitsvorfall_node.html
IT-Basisschutz für Unternehmen und Daten
Ganz oben in der Prioritätenliste steht die regelmäßige, nach Möglichkeit automatisierte Aktualisierung von Betriebssystemen, Anwendungsprogrammen, möglichst auch der „Firmware“, etwa von WLAN-Routern. Von Herstellern offerierte Software-Updates enthalten nicht nur Verbesserungen und Erweiterungen, sie schließen auch Sicherheitslücken. Mit sogenannten Firewalls lassen sich Rechner und Netzwerke gegen äußere, schädigende Einflüsse abschirmen. Diese aus Hard- und/oder Softwarekomponenten bestehenden Sicherungssysteme kontrollieren den Datenfluss zwischen internem und externem Netzwerk.
Netzwerk-Firewalls eignen sich für die Absicherung mehrerer Unternehmens-PCs. Direkt auf dem zu schützenden Rechner installierte Desktop-Firewalls dienen dazu, einzelne Arbeitsplatz-PCs und mobile Rechner vor äußeren Angriffen zu schützen. Auch WLAN-Funknetze müssen abgesichert werden, indem auf dem WLAN-Router die WPA2- oder WPA3-Verschlüsselung (Wi-Fi Protected Access) aktiviert und die Firmware regelmäßig aktualisiert wird. Schutz vor Computerviren bieten Anti-Viren-Programme. Sie halten die meisten aktuellen Schadprogramme in Schach – vorausgesetzt, die Virensoftware wird durch regelmäßige Online-Updates aktuell gehalten. Anti-Viren-Programme schützen nicht nur vor Virenbefall und schädlichen Apps, sie verhindern auch, dass man selbst zur Virenschleuder wird und damit Geschäftsbeziehungen gefährdet. Einen Basisschutz gibt es bereits ab etwa 50 Euro pro Rechner und Jahr – für etwas mehr auch einen Rundum-Schutz, der zusätzlich zum Viren-, Web- und Phishing-Schutz auch einen erweiterten Netzwerkschutz etc. enthält.
Bild: contrastwerkstatt - stock.adobe.com
Noch hat er gut lachen: Aber Computerviren, Phishing- oder Hackerangriffe legen immer häufiger auch Geschäftsabläufe von Handwerksunternehmen lahm.
Mitarbeiter einbinden
Alle Mitarbeiter müssen in das IT-Sicherheitskonzept einbezogen und geschult werden, denn sie sind häufig der größte Schwachpunkt im IT-Sicherheitskonzept. Dann erkennen sie nicht nur potenzielle Gefahren besser, sie sind auch eher bereit, als lästig empfundene Sicherheitsmaßnahmen zu akzeptieren. Zusätzlich lassen sich durch gezielte technische Maßnahmen „menschliche“ Risiken minimieren: So können IT-Verantwortliche im Unternehmen über Zugriffsrechte definieren, wer auf welche Server, Rechner und Daten Zugriff hat oder wer welche Anwendungen nutzen darf. Auch einzelne Anwendungsprogramme verfügen häufig über eine Zugriffsrechte-Verwaltung.
Darüber hinaus lassen sich Laufwerke oder USB-Schnittstellen einzelner Arbeitsplätze sperren. Auch für die Internetverbindung zuständige Rechner (Web-Server) oder der WLAN-Router können so konfiguriert werden, dass problematische Internetseiten Mitarbeitern nicht zugänglich sind. Schutz vor unberechtigtem Zugriff bieten Benutzerkennwörter oder in Tastaturen, PC-Mäusen, Notebooks, Tablets oder Smartphones eingebaute Fingerabdruck-Scanner. IT-Sicherheitsregeln sollten im Unternehmen in Form von Richtlinien für die betriebliche und private Hardwarenutzung, zu Passwörtern oder zur Datensicherung verbindlich festgeschrieben und alle Mitarbeiter darauf verpflichtet werden.
Auch WLAN-Funknetze müssen abgesichert werden.
Bild: Bitkom
Cybercrime-Schäden sind vielfältig (Produktionsausfälle, Umsatzeinbußen, Imageschäden etc.) und beliefen sich 2023 auf über 200 Milliarden Euro.
Mobilhardware als Risikofaktor
Da Mobilität im Zusammenhang mit der Digitalisierung und der medienbruchfreien Vor-Ort-Erfassung oder Anzeige von Daten immer wichtiger wird, können Smartphones, Laptops oder Tablets, SD-Karten oder USB-Sticks schnell zum Sicherheitsproblem werden. Sie sind klein, leicht, mobil und können dadurch schnell in falsche Hände geraten. USB-Sticks oder SD-Karten werden gerne für den Datentransport oder Datenaustausch auch sehr großer Datenmengen verwendet. Doch je kleiner sie sind, desto größer die Gefahr, dass sensible Kunden- oder Objektdaten verloren gehen oder gestohlen werden. Vorkehrungen kann man dadurch treffen, dass man spezielle Anhänger, Transporthüllen oder Boxen verwendet. Schutz vor Hardwarediebstahl bieten Hardwareschlösser.
Gerät mobile Hardware dennoch einmal in falsche Hände, so erschweren oder verhindern Benutzerkennwörter und Datenverschlüsselungen, dass Daten von Unbefugten geöffnet werden können. Werden sensible Daten auf Dienstreisen oder in den Urlaub mitgenommen, ist die Datenverschlüsselung ein Muss. Der Softwaremarkt bietet dazu diverse, auch kostenlose Open-Source-Verschlüsselungsprogramme. Spezielle Schutzprogramme für Mobilgeräte halten Schadprogramme in Schach, sichern Dateien und helfen, verlorene Mobilhardware per GPS-Ortung wiederzufinden.
Schutz vor Hardwarediebstahl bieten Hardwareschlösser.
Bild: Kapersky
Potenzielle IT-Sicherheitslücken sind neben mobilen Geräten, Online-Aktivitäten oder Cloud-Diensten auch die Mitarbeiter.
Erweiterter Schutz vor multiplen Angriffen
Zwar verfügen die meisten Unternehmen über Virenscanner, Firewalls und einen Passwortschutz für Rechner und Geräte. Angesichts der vielfältigen und komplexen Bedrohungen reicht dieser gängige Basisschutz allerdings nicht immer aus. Zudem kommen mit der zunehmenden Vernetzung von Geräten über das Internet der Dinge (IoT) und mit dem Trend zur Digitalisierung neue sicherheitstechnische Herausforderungen hinzu. Durch die datentechnische Verknüpfung und mobile Verbindung von Geräten und Objekten mit dem Internet potenzieren sich die sicherheitstechnischen Schwachstellen im Unternehmen. Deshalb sind zusätzliche Sicherheitsmaßnahmen notwendig, wie die Verschlüsselung von Netzwerkverbindungen, von Daten auf Datenträgern oder der elektronischen Kommunikation per E-Mail. Doch das machen nur wenige.
Noch weniger verbreitet sind spezielle Angriffserkennungssysteme. Diese analysieren interne und externe Datenströme und melden verdächtige Aktivitäten. Zu den weiteren Sicherheitsvorkehrungen zählen erweiterte Verfahren zur Benutzeridentifikation, zum Beispiel eine Zwei- oder Multi-Faktor-Authentifizierung. Dabei wird mittels einer Kombination zweier oder mehrerer unterschiedlicher und unabhängiger Komponenten eine Benutzer-Authentifizierung durchgeführt, etwa per Chipkarte, PIN und zusätzlich der Prüfung biometrischer Merkmale.
Alle Homeoffice-Mitarbeiter sollten eine Sicherheitseinweisung erhalten.
Beratung und Schulung: Wie vorsorgen?
Zur Vorbeugung von IT-Sicherheitsvorfällen gibt es inzwischen zahlreiche, speziell auch für Handwerksbetriebe zugeschnittene Beratungs- und Schulungsangebote, beispielsweise von den Bitkom-, IHK-, TÜV- oder Würth-Akademien oder dem Mittelstand-Digital Zentrum Handwerk – teilweise mit der Möglichkeit, auch IT-Angriffe zu simulieren, um so Schwachstellen im Unternehmen ausfindig zu machen und im Anschluss Risiken zu minimieren. Für eine Bestandsaufnahme der IT-Sicherheit nehmen Experten auch technische Stichproben, Betriebsbegehungen, Befragungen der Verantwortlichen sowie umfangreiche Dokumentationen und Auswertungen vor. Im Rahmen eines Penetrationstests wird anschließend das IT-System des Betriebs geprüft und dabei aufgedeckte Risiken werden bewertet. Damit kann der Betrieb anschließend gezielt, ggf. mit der Unterstützung externer IT-Spezialisten, die IT-Sicherheit im Unternehmen optimieren.
Bild: ZDH
Mit einem unter www.handwerkdigital.de downloadbaren Aushang kann man Mitarbeitern wichtige Notfall-Verhaltensregeln vermitteln.
Bild: Kenstington
Auch das ist Datensicherheit und Datenschutz: Mobile Hardware sollte mit einem Schloss vor Diebstahl gesichert werden.
IT-Sicherheit bei Mitarbeitern und Kunden
Die IT-Sicherheit von Unternehmen hat auch einen externen Aspekt. Viele an das Unternehmen angeschlossene Homeoffice-Arbeitsplätze etwa verfügen in der Regel über keinen ausreichenden Virenschutz, keine Firewall und keine konsequente Trennung zwischen geschäftlichen und privaten Anwendungen. Vom Homeoffice-Arbeitsplatz aus sollte auf Unternehmensdaten grundsätzlich nur mit vom Unternehmen bereitgestellter Hardware und nur über sichere VPN-Verbindungen (Virtual Private Network) zugegriffen werden. Ein Mix aus privater und geschäftlicher Hardwarenutzung und Datenhaltung sollte strikt vermieden werden. Für die Kommunikation sollten nur vom Arbeitgeber autorisierte Messenger- oder Videokonferenz-Werkzeuge verwendet werden.
Alle Homeoffice-Mitarbeiter sollten ferner eine Sicherheitseinweisung erhalten und Sicherheitsregeln beachten, etwa bei der Nutzung von WLAN-Routern oder Internetdiensten etc. (siehe auch „Checkliste für Mitarbeiter – IT-Sicherheit im Home-Office“: www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/che…). Einer zunehmenden digitalen Bedrohung ausgesetzt sind auch bei Kunden installierte Geräte und Systeme. Das können per Internetmodul an das Web angeschlossene Heizkessel, smarte Heizkörperthermostate, Heizungs- oder Klimaanlagensteuerungen sein. Zu den typischen Sicherheitsschwachstellen zählen unsichere Zugangs-Passwörter oder veraltete Firmware, die nach Möglichkeit immer durch automatische Updates aktuell gehalten werden sollte. Eine Firewall im Router sollte ferner das Heimnetzwerk des Kunden zusätzlich vor Angriffen schützen.
Bild: akarawit - stock.adobe.com
Die Einfallstore für Malware sind vielfältig. Gerade bei unbekannten Mailanhängen ist Vorsicht geboten.
Hundertprozentigen Schutz gibt es nicht, aber Risiken lassen sich minimieren.
Einen hundertprozentigen Schutz gibt es nicht
IT-Sicherheit kann man nicht kaufen. Sie ist stets ein Zusammenspiel von aufeinander abgestimmten Maßnahmen zum Viren- und Spam-Mail-Schutz, zur Einrichtung von Firewalls, zur Software-Aktualisierung, Datensicherung und Datenverschlüsselung sowie zum Datenschutz. Es ist ein kontinuierlicher Prozess, der gestaltet, gelebt und ständig angepasst werden muss – in der Praxis aber häufig mit anderen Interessen kollidiert. Deshalb kommt es immer wieder zu gravierenden Sicherheitsmängeln – etwa, wenn wichtige Software-Updates nicht aufgespielt werden, weil man Inkompatibilitäten mit anderen Systemkomponenten fürchtet oder den Zeitaufwand scheut. Einen hundertprozentigen Schutz gibt es zwar nicht, aber die Risiken lassen sich minimieren, wenn man sie kennt, Regeln befolgt und mit Hardware, Software, Daten, E-Mails und Internetdiensten sicherheitsbewusst umgeht. Zahlreiche, auch speziell für das Handwerk zugeschnittene Schriften, Beratungs- und Schulungsangebote vermitteln entsprechendes Know-how.
Mittelstand 4.0-Agentur Prozesse (Hrsg.): IT-Sicherheitsmanagement in kleinen und mittleren Unternehmen, Eigenverlag, Magdeburg, 2018, Download: www.mittelstand-digital.de, Wissenspool, IT-Sicherheit für KMU
Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Cyber-Sicherheit für KMU, Eigenverlag, Bonn, 2023, Download: www.bsi.bund.de, Suche: „Cyber-Sicherheit für KMU“
Autor
Marian Behaneck
ist Fachautor zahlreicher Publikationen zu Hardware, Software und IT sowie zu Elektrowerkzeugen im Baubereich.
Jetzt weiterlesen und profitieren.
+ SBZ E-Paper-Ausgabe – jeden Monat neu + Kostenfreien Zugang zu unserem Online-Archiv + Fokus SBZ: Sonderhefte (PDF) + Webinare und Veranstaltungen mit Rabatten uvm.
