Was im Handwerk gilt, lässt sich auch auf die IT übertragen: Ohne richtiges Werkzeug können keine optimalen Arbeitsergebnisse erzielt werden. Im Heimnetzwerk können die gängigen Sicherheitsvorkehrungen noch manuell getroffen werden, allerdings schwindet der Überblick mit der Zunahme der Rechner und sonstigen IT-Systeme.  Zur Entlastung des Administrators und zur Durchsetzung einiger elementarer Schutzmaßnahmen, möchten wir ihnen einige Tools vorstellen, ohne die ein angemessenes Informationssicherheitsniveau nicht vorstellbar ist. Wir verzichten bewusst auf spezifische Nennung der Produkte, da die Geeignetheit hauptsächlich von den individuellen Gegebenheiten des Unternehmens abhängig ist.

 

Passwortmanager

Nationale und internationale Informationssicherheitsstandards fordern ein separates Passwort für jeden Account eines Mitarbeiters im Unternehmen. Der Deutsche hat durchschnittlich ca. 80 Online-Konten, daher wird schnell klar, dass die Umsetzung dieser Anforderung ohne Hilfsmittel nicht umsetzbar ist. Von einem Einheitspasswort ist dringend abzuraten, da der Angreifer im Fall des Diebstahls plötzlich nicht allein Zugriff auf ein, sondern auf alle Konten des Benutzers hat. Im schlimmsten Fall wurde das Passwort eines Administrators geknackt bzw. gestohlen. Ein Passwortmanager kann nicht nur per Zufallsgenerator sehr sichere Passwörter erzeugen, sondern dient auch als Ablagemöglichkeit für Kennwörter. Der Mitarbeiter muss sich nur noch ein Generalpasswort für die Software merken und kann dort für alle Zugänge die Kennwörter hinterlegen. Das Werkzeug ist daher sehr nützlich und steigert die Sicherheit der IT-Systeme enorm.

 

Mobile Device Management (MDM)

Von Smartphones über Tablets bis hin zu Notebooks sind im Unternehmen häufig eine Vielzahl von mobilen Endgeräten im Einsatz, die überwiegend außerhalb des Betriebes eingesetzt werden. Die sichere Konfiguration sowie Handhabung der Geräte ist eine Mammutaufgabe und kann vom Administrator ohne passendes Hilfsmittel nicht sichergestellt werden. Auf den Geräten sind in der Regel nicht weniger sensible Informationen gespeichert, wie auf lokalen Rechnern im Unternehmen, jedoch ist dort der Zugriff wesentlich schwieriger. Abhilfe schafft eine MDM-Lösung, mit der ein Administrator aus der Ferne alle Systeme verwalten und konfigurieren kann. Es können Zugriffsrechte geregelt, Fernlöschungen oder Ortungen bei Geräteverlust und sichere Zugänge auf interne Unternehmensdaten via VPN sichergestellt bzw. geregelt werden. Nahezu die komplette Administration kann zentral gesteuert werden und es sind keine manuellen Eingriffe am jeweiligen Endgerät mehr notwendig, sobald die Software aktiviert wurde. Der Schaden durch den Verlust von mobilen Endgeräten geht weit über deren Anschaffungswert hinaus, insbesondere wenn gesicherte vertrauliche Informationen an die Öffentlichkeit oder falsche Hände gelangen.

 

Verschlüsselte Datenträger

Ungesicherte Datenträger sind informationssicherheitstechnisch ein Alptraum, da jede Person auf die gespeicherten Informationen zugreifen kann, ohne ein Passwort eingeben zu müssen. Auf Grund ihrer geringen Größe sind Festplatten und USB-Sticks prädestiniert dafür verloren zu gehen, im schlimmsten Fall außerhalb des Betriebes. Der mögliche Schaden variiert von der Sensibilität der Informationen, auf jeden Fall besteht immer die Gefahr, dass personenbezogene Daten gespeichert sind und bei Verlust ein Datenschutzverstoß ausgelöst werden könnte. Bei der Anschaffung von Datenträgern sollte daher immer darauf geachtet werden, dass ein Öffnen erst nach Eingabe eines Passwortes möglich ist. Zudem muss ein Inventar gepflegt werden, um jederzeit den Besitzer und den Aufbewahrungsort des Datenträgers parat zu haben.

 

Monitoring

Die Notwendigkeit von Rauchmelder sollte allen bekannt sein – sie warnen den Eigentümer bevor ein Großbrand ausbrechen kann. Die gleiche Funktion hat ein Monitoringsystem, es meldet Probleme an ihren IT-Systemen, so dass Sofortmaßnahmen ergriffen werden können, um einen Totalausfall zu verhindern. Kommt es zu Störungen oder drohen Kapazitätsüberschreitungen, wird der Administrator frühzeitig informiert und kann Gegenmaßnahmen einleiten. Besonders wichtig ist ein umfassendes Monitoring an hoch kritischen IT-Systemen wie Servern oder großen Datenbanken, auf die das Unternehmen angewiesen ist und bereits kurze Ausfallzeiten einen hohen Schaden verursachen. Zudem kann anhand erstellter Statistiken geplant werden, inwieweit zukünftig Kapazitäten erforderlich sind oder Ressourcen abgebaut werden können.

 

Inventarisierungssoftware

Fehlende Sicherheitsupdates von Anwendungen und IT-Systemen sind der Hauptgrund, warum sich Hacker Zugang zu ihren Informationen verschaffen können. Auch ein motivierter und gewissenhafter Administrator ist außerstande die IT-Landschaft angemessen zu verwalten, wenn nicht bekannt ist, welche Objekte sich im Netzwerk befinden oder Softwareprodukte eingesetzt werden. Es muss immer wieder festgestellt werden, dass Mitarbeiter zur Vereinfachung ihrer Arbeit, Anwendungen installieren, die überhaupt nicht freigegeben wurden und nicht für gewerbliche Zwecke geeignet sind. Aber auch eine angemessene Lizenzierung kann nicht sichergestellt werden, wenn nicht bekannt ist, wie oft eine Anwendung installiert wurde und wieviel freie Lizenzen überhaupt noch vorhanden sind. Scheidet ein Mitarbeiter aus dem Unternehmen aus, wird oftmals vergessen die E-Mailadresse zu deaktivieren, so dass im Postfach weiterhin Nachrichten landen. Eine perfekte Lösung bietet eine Inventarisierungssoftware, die weitestgehend automatisch alle IT-Systeme und Softwareprodukte erfasst und eine Übersicht erstellt. Für Systeme außerhalb des Netzwerkes besteht durch ebenfalls die Möglichkeit einer regelmäßigen Inventarisierung per Agent oder Skript. Die angebotenen Tools bieten eine Vielzahl von Berichtsmöglichkeiten und erleichtern das Managen der IT erheblich.

 

Virtual Private Network (VPN)

Arbeiten Mitarbeiter außer Haus müssen sie oftmals auf betriebsinterne Informationen zugreifen, um die Aufgaben erledigen zu können. Problematisch ist, dass externe Internetverbindungen nicht im gleichen Maße geschützt sind wie interne und die Gefahr besteht, dass Daten abgefangen bzw. bei der Übertragung manipuliert werden. Zur Aufrechterhaltung des Schutzniveaus sollte eine Verbindung ins firmeneigene Netzwerk von außerhalb immer über eine VPN-Verbindung erfolgen. Durch ein VPN wird im Internet ein separater Tunnel geschaffen zwischen Absender und Empfänger geschaffen, in dem Daten sicher übertragen werden können. Insofern sollten alle mobilen Endgeräte mit Zugriffsmöglichkeit auf das interne Netz mit der VPN-Funktion ausgestattet sein.

 

Der Großteil der aufgezeigten Werkzeuge sind Softwareprodukte, die bereits nach der Installation kurzfristig in Betrieb genommen werden können. Der Umsetzungsaufwand sowie Betrieb ist budget- und ressourcenfreundlich, dementsprechend kann durch kostengünstige Maßnahmen das Sicherheitsniveau im Betrieb erheblich gesteigert werden. Unter „Best Practice“-Gesichtspunkten müssen die Produkte zwischenzeitlich als Pflicht bezeichnet werden.

Die Rechtfertigung, ein Produkt aus Kostengründen nicht zu verwenden, scheint unter Berücksichtigung der potentiellen Schäden, schwer vertretbar und muss als fahrlässig bezeichnet werden. Insbesondere da die komplette Verwaltung der Produkte durch Abschluss von Managed-Service-Verträge von IT-Dienstleistern kostengünstig übernommen werden kann.