Zehn Regeln für die Informationssicherheit im KMU

Wahl der Passwörter, Sicherheit der physischen Orte, System-Updates, Verschlüsselung sensibler Daten... Das eigene Verhalten ist entscheidend, wenn es um den Schutz vor Hackerangriffen in der IT-Infrastruktur der Firma geht. Mit diesen Tipps sind Sie vor bösen Überraschungen geschützt.

Personal sensibilisieren

Alexandre Karlov, Professor für Informationssicherheit am Institut für Informations- und Kommunikationstechnologien an der Hochschule für Wirtschaft und Ingenieurwissenschaften des Kantons Waadt (HEIG-VD), schlägt vor, das Personal in kurzen Online-Seminaren oder Workshops für die Cyberrisiken zu sensibilisieren. Zudem ist es sinnvoll regelmässig zu überprüfen, ob die Angestellten noch darauf achten. Man kann beispielsweise einen Angriff simulieren, indem man E-Mails mit bösartigen Links verschickt, um festzustellen, wie viele Personen in die Falle tappen.

Systeme aktualisieren

Man sollte sich häufig absichern, dass die Systeme – also die Arbeitsplätze, Server und Anwendungen – über die neusten Sicherheits-Updates verfügen. Ratsam ist zudem, je nach Ausrichtung des Unternehmens den Besuch bestimmter Websites einzuschränken.

Ein Monitoring-System installieren und sensible Daten verschlüsseln

Abhängig von Grösse und Budget des Unternehmens rät Alexandre Karlov dazu, ein System zum Netzmonitoring zu installieren, um Angriffe sowie Versuche von Datendiebstahl zu erkennen. Die Firma kann auch die Dienste eines externen SOC (Security Operation Center) in Anspruch nehmen. Der Experte empfiehlt darüber hinaus, sensible Daten zu den Servern und der Kundenverwaltung (Finanzdaten, HR usw.) zu verschlüsseln.

Starke Passwörter wählen

Ein gutes Passwort muss lang und komplex sein, zum Beispiel 10 Zeichen mit mindestens einem Klein- und einem Grossbuchstaben, einer Zahl und einem Sonderzeichen. Ausserdem darf das Passwort nicht auf einem richtigen Wort (Nomen, Vorname, Familienname, Ort) beruhen, da es sonst mit einem Angriff per Wörterbuch gefunden werden kann. Empfohlen werden sogenannte «Pass-Sätze». Dabei werden Wörter ohne Bezug zum geschützten Konto aneinander gereiht. Dass kann beispielsweise «Kuh, Gitarre, Klappe, riechen» sein oder «Blume, Hoffnung, Graffiti, Auto». Mit solchen Sätzen kann man die Voraussetzungen für Komplexität erfüllen und zugleich lassen sie sich leicht merken.

Passwörter nicht mehrfach verwenden

Wichtig ist, nicht für mehrere Konten dasselbe Passwort zu verwenden. Im Idealfall sollte jedes Konto mit einem einzigartigen Passwort geschützt sein, egal ob Nachrichtendienst, EBanking, Forum oder Buchungs-Website. Zudem muss man sicherstellen, dass die Passwörter auf den Routern und anderen Peripherie-Geräten regelmässig aktualisiert werden. Die Passwörter an den Geräten und Arbeitsplätzen der Mitarbeitenden sollten in regelmässigen Abständen aktualisiert werden.

Physische Sicherheit der Räume nicht vernachlässigen

Die Informationssicherheit eines Unternehmens wird auch über eine gute Absicherung der Hardware und des Zugangs zu den Firmenräumen gewährleistet. Alexandre Karlov rät dazu, eine Liste mit Regeln aufzustellen, die es zu befolgen gilt, zum Beispiel beim Verlassen des Arbeitsplatzes den Bildschirm zu sperren oder die Tür abzuschliessen, wenn keiner in den Räumen bleibt. Ausserdem muss das W-LAN-Netz mit einem Protokoll vom Typ WPA geschützt werden.

Nie mit dem Inhalt verdächtiger E-Mails interagieren

Kein Angestellter darf auf Links in unerwünschten (Spam) oder verdächtigen E-Mails klicken oder Anhänge öffnen.

Regelmässige Tests durchführen

Laut Philippe Oechslin, Lehrbeauftragter für Informatik und Kommunikationssysteme an der Eidgenössische Technische Hochschule Lausanne (EPFL), können einige einfache Massnahmen grosse Probleme im Bereich IT-Sicherheit verhindern, so wie eine gute Mundhygiene Karies verhindern kann. Eine dieser Massnahmen ein regelmässiger Test der Systemsicherheit, sagt er. Zum Beispiel schützt eine Überprüfung der Back-up-Vorgänge vor bösen Überraschungen, falls die Daten des Unternehmens eines Tages von einer Erpresser-Software verschlüsselt werden sollten. Sensible Anwendungen wie eine Anwendung zur Zahlungsabwicklung, können mit einem Test durch «ethische Hacker» auf die Probe gestellt werden, um mögliche Lücken ausfindig zu machen.

Abläufe für den Ernstfall festlegen

Eine wirksame Reaktion bei Problemen mit der Informationssicherheit zu definieren und zuständige Personen zu benennen, kann ebenfalls nützlich sein. Eine Firma mit mindestens 5 bis 7 Beschäftigten sollte einen Verantwortlichen für IT-Sicherheit benennen und eine Liste mit Aufgaben erstellen.

Risikomanagement etablieren

Je nach Grösse und Budget der Firma sollte man damit beginnen, eine Politik für das Management der Risiken im Bereich IT-Sicherheit gemäss bekannten Frameworks wie ISO 27001 oder Octave aufzubauen. Für Grossunternehmen ist es ratsam, eine Sicherheitspolitik zu definieren, bei der zwischen verschiedenen Sicherheitsklassen von Dokumenten und Daten unterschieden wird und auch festgehalten wird, wie diese verarbeitet werden.

(Quelle: SECO KMU Portal)