top of page

Security Pilot Weekend Briefing Nr. 2

Aktualisiert: 6. Mai

Meine TOP 5 Security-Themen für KMU


Oft lese ich Artikel mit dem Thema "Dies und das sind die TOP X Themen in der Informations- und IT-Sicherheit".

Hier wird dann regelmäßig erklärt, WAS zu tun ist - aber nicht WIE es zu tun ist.


Aber wie mache ich das? Was ist wirklich wichtig für kleine, kleinste und mittelständische Unternehmen sowieo Selbstständige?


Einher geht dies mit:

  1. Womit soll ich anfangen?

  2. Okay, und wie genau mache ich das dann praktisch?

  3. Ähm, nochmal bitte!


Ich werde praktische Unterstützung anbieten.


Selbst Teil eines kleinen Unternehmens habe ich mir auch so meine Gedanken gemacht und für mich die folgenden TOP 5 Themen identifiziert.

Heute erkläre ich, warum die Themen wichtig sind, in den nächsten Wochen werde ich zu jedem Themenpunkt Praxis Tipps geben, um einen echten Mehrwert zu bieten.


Für mich sind diese 5 Themen entscheidend:
  1. Verantwortung übernehmen

  2. Asset-Management

  3. Datensicherung

  4. Patchmanagement

  5. Passwortmanagement und MFA


Im Einzelnen:


1. Verantwortung übernehmen

Was bedeutet das?

Zuerst muss die Geschäftsführung eines Unternehmens Verantwortung für Informationssicherheit übernehmen, dann muss diese Verantwortung auf alle Führungskräfte und Mitarbeiter ausgeweitet werden.

Verantwortung keine One-Man-Show, sondern ist die Aufgabe aller.


Warum ist das wichtig?

Eine Kette ist nur so stark wie das schwächste Glied.

Jeder der bei dem Thema Informationssicherheit die Verantwortung woanders sieht, schwächt das Unternehmen, denn es ist eine Gemeinschaftsaufgabe.

Die Geschäftsführung muss dies vorleben und das Thema immer wieder aufgreifen.

Ziel ist die Haltung aller im Unternehmen zu fokussieren - dies kann ein längerer Prozess sein.


Wie mache ich das?

Die Verantwortung muss klar kommuniziert werden, d.h. die Geschäftsführung muss einmalig dessen Verantwortung kommunizieren und dann alle im Unternehmen mitnehmen, die Verantwortung teilen.

Auch zum Beispiel Erfolge zu teilen, wie dass jemand eine Phishing-Mail erfolgreich erkannt hat - und wie, oder Infos zu abgewendeten Cyberangriffen.


2. Asset-Management

Was bedeutet das?

Beim Asset-Management geht es darum zu wissen, welche Assets ("Dinge von Wert") ich in meinem Unternehmen habe. Dies können sowohl digitale Assets (Daten und Informationen) als auch physische Assets (Laptops, Server, Gebäude, Fahrzeuge etc.) sein. Assets sind auch Dinge, die entweder das Ergebnis einer Wertschöpfung sind oder zur Wertschöpfung beitragen.


Warum ist das wichtig?

Wenn ich mich aktiv um Informationssicherheit bemühe, muss ich unweigerlich wissen, WAS ich überhaupt habe, WO es sich befindet und WIE ich es nutze bzw. WIE die Dinge zusammenhängen. Ich kann nur schützen, was ich kenne.

Der Laptop auf dem Schreibtisch mag offensichtlich sein, der alte Server im Keller aber schnell in Vergessenheit geraten, ebenso welches Betriebssystem darauf läuft oder welche Antivirenprodukt hatten wir noch gleich damals dafür gekauft?

Asset-Management ist der Schritt auf dem Weg zu mehr Sicherheit, den ich unbedingt erledigen muss, bevor ich mich ans Risikomanagement und damit an die tatsächlichen Schutzmaßnahmen mache.


Wie mache ich das?

In der einfachsten Variante erstelle ich mir eine Excel-Tabelle und Liste dort fein säuberlich alle meine Assets auf, möglichst sortiert mit der Information, wo das Asset ist, wem es zugeordnet ist und seit wann es im Unternehmen ist.

In einem Praxis-Tipp gehe ich in Kürze genauer darauf ein.


3. Datensicherung

Was bedeutet das?

Unter dem Thema Datensicherung (Backup) versteht man die regelmäßige Sicherung aller (unternehmenskritischen) Daten, damit im Bedarfsfall diese wieder zurückgespielt werden können.


Warum ist das wichtig?

Nicht nur durch Ransomware sind die Unternehmensdaten gefährdet, auch ein falscher Klick kann eine Datei oder einen ganzen Ordner für immer aus dem Unternehmen entfernen. Für den Fall der Fälle, kann ein Backup hier die Rettung sein.


Wie mache ich das?

Die einfachste Methode ist, die Daten (automatisiert) an einen zusätzlichen Speicherort zu kopieren, welcher nicht von jedem erreichbar ist. Hierfür ist eine entsprechende Backup-Software prädestiniert.

Von dieser Kopie erstelle ich dann eine weitere Kopie, welche ich auf einen Datenspeicher kopiere, welcher nicht direkt erreichbar ist, so ist sichergestellt, dass ich auch noch ein Backup habe, wenn das Online-Backup durch einen Trojaner verschlüsselt wurde.


4. Patchmanagement

Was bedeutet das?

Patchmanagement meint das regelmäßige Einspielen von (Sicherheits-) Updates für Software und Geräte. Sicherheitslücken werden täglich entdeckt und von den Herstellern (mehr oder weniger schnell) wieder geschlossen. Dazu ist es notwendig, die entsprechend bereitgestellten Softwarepakete (Patches = Pflaster) auf den Computern zu installieren.


Warum ist das wichtig?

Veraltete Software und Software mit Sicherheitslücken sind Einfallstore für Cyberkriminelle. Durch diese Lücken können Sie sich Zugang zu Daten, Computern oder dem ganzen Firmennetzwerk verschaffen, ohne dass sie entdeckt werden und dort dann Daten löschen, manipulieren oder andere störende Tätigkeiten vollziehen.


Wie mache ich das?

Entweder über die Update-Funktionen der Software, über spezielle Update-Software, die eine Vielzahl an Programmen unterstützt oder über die unternehmensweite Softwareverteilung können die entsprechenden Patches zur Verfügung gestellt werden.


5. Passwortmanagement und Multifaktor-Authentifizierung (MFA)

Was bedeutet das?

Passwörter müssen ausreichend lang und komplex sein und sollten nicht geteilt werden. Neben dem Benutzernamen ist das dazugehörige Passwort der Zugang zu allen Informationen des Unternehmens.

Phishing birgt allerdings die Gefahr, dass ich z.B. auf täuschend echt aussehenden Webseiten in gutem Glauben meine Zugangsdaten eingebe und sie dabei den Cyberkriminellen auf dem Tablet serviere.

Hier kommt Multi-Faktor-Authentifizierung ins Spiel. Durch einen zusätzlichen Faktor (eine SMS, ein Code per Mail oder eine entsprechende Authentifizierungs-App), der sich üblicherweise auf einem anderen Endgerät befindet, wird eine weitere Information abgefragt.

Dies macht es den Cyberkriminellen schwerer.


Warum ist das wichtig?

Durch die Verteilung der Zugangsdaten auf mehrere Endgeräte ist der einfache "Diebstahl" eines Passworts weniger gravierend. Nur wenn der Täter z.B. auch das Mobiltelefon hat und hierfür auch den Zugang, kann er Nutzername und Passwort missbrauchen.

Multi-Faktor-Authentifizierung ist also ein weiterer wichtiger Schutzmechanismus und wird in vielen Variationen oft kostenlos angeboten.


Wie mache ich das?

Eine Vielzahl an Applikationen bietet die Möglichkeit von MFA (auch 2FA) an. Aktiviert man diese Funktion, muss üblicherweise mittels einer Handy-App ein QR-Code eingelesen werden, wodurch ein sogenannten One-Time-Passwort erzeugt wird, welches sich ständig ändert. Beim Anmelden wird dann dieses One-Time-Passwort zusätzlich abgefragt, ohne wird die Anmeldung verweigert, der Schutz greift also.



Und mein All-time-favorit und (gar nicht so geheimes) Thema 6 ist Malwareschutz. Der ist eine Mindestvoraussetzung und auf allen(!) Geräten Pflicht.



Fazit

Die Auswahl meiner 5 TOP Themen beruht auf meiner persönlichen Erfahrung, der Arbeit mit Kunden und Best Practice.

Keine Frage, von Unternehmen zu Unternehmen können die Prioritäten anders aussehen, aber alle von mir genannten Themen müssen so oder so irgendwann angepackt werden.


In meinem nächsten Security Pilot Praxis Tipp werde ich das Thema Asset Management näher beleuchten.


Ihr habt Fragen, Anregungen oder benötigt konkrete Unterstützung?

Meldet Euch über das Kontaktformular, bucht einen Termin oder ruft mich an.


5 Ansichten0 Kommentare

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page