Sicherheitskonzepte schützen wirksam vor Viren und Würmern
Matthias Heiler
Keine Chance für Datendiebe
Haben auch Sie bisweilen ein ungutes Gefühl beim Durchsehen Ihrer Kontoauszüge? In den letzten Jahren häufen sich Meldungen über leergeräumte oder empfindlich geschmälerte Konten nichtsahnender Bürger, die Opfer von Internetbetrügern wurden.
Wer sensible Daten auf seinem Computer speichert oder über das Internet weitergibt, geht ein beachtliches Risiko ein. Laut einer Umfrage des Forsa-Institus für den Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) zur Internetkriminalität 2009 wurde jeder zweite Deutsche bereits einmal Opfer von Virenattacken. Neun Prozent wurden im Internet von Geschäftspartnern betrogen. Fünf Prozent der Befragten gaben an, Unbekannte hätten ihre persönlichen Zugangsdaten für Internetshops, Netzwerke oder Onlinebanking ausspioniert. Drei Prozent haben durch Schadprogramme und Datendiebstähle einen finanziellen Schaden erlitten.
Insbesondere das Geschäft mit gestohlenen Informationen wie Kreditkarten- und Bankkontodaten oder Anmeldedaten für Onlinedienste hat einen wahren Boom erlebt. Gefährdet sind aber nicht nur private Internetnutzer. Hacker und Betrüger greifen vor allem auch Firmennetzwerke an, um Viren einzuschleusen oder die IT-Infrastruktur zu sabotieren. Die Größe des anvisierten Unternehmens spielt dabei in aller Regel keine Rolle.
IT-Sicherheit Schritt 1: Wachsamer Nutzer
Egal ob am PC zu Hause oder im Büro: Schützen Sie Ihre IT-Infrastruktur bewusst vor Attacken von außen. „Die größte Schwachstelle in der Informationssicherheit ist immer noch der Nutzer selbst“, sagt Holger Schildt vom Referat IT-Sicherheitsmanagement und IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Im Gegensatz zu ihren Gewohnheiten in der realen Welt surfen viele Menschen im Netz unbedarft und geben selbst sensible Daten wie Passwörter, PIN-Nummern oder Kontoinformationen bereitwillig an. Diese Gutgläubigkeit nutzen Betrüger besonders häufig beim so genannten Phishing aus. Dabei senden die Täter meistens E-Mails mit weiterführenden Links auf gefälschte www-Adressen und einer Aufforderung zur Eingabe vertraulicher Daten an ihre Opfer. Häufig imitieren die Fälscher das Webseitenlayout von seriösen Quellen wie Banken, Internetauktionshäusern oder Kreditkartenfirmen. Folgen die Nutzer der Aufforderung, gelangen ihre Daten in die Hände der Betrüger und kurze Zeit später ist das Konto geplündert. Als neue Masche nutzen Phishingkriminelle Hilfsprogramme wie Trojaner und andere Schadsoftware, um sich in den Kommunikationsweg zwischen Kunde und Bank zwischenzuschalten und Daten abzugreifen. Internetnutzer sind diesen Attacken aber nicht hilflos ausgeliefert: Lassen Sie gesundes Misstrauen walten. Keine seriöse Bank oder andere Internetfirmen fordern ihre Kunden per E-Mail zur Eingabe sensibler Daten auf. Öffnen Sie auch niemals Anhänge von unbekannten oder zweifelhaften Absendern. In solchen Dateien verstecken Internetkriminelle gerne Viren oder Trojaner, die sich auf diese Art einen Weg auf Ihren Rechner bahnen und jedes Mal nach Hause funken, wenn Sie als Nutzer vertrauliche Daten über die Tastatur eingeben. Bei vielen Onlineservices müssen sich Nutzer per Passwort und Name registrieren. Sie sollten nicht das gleiche Passwort für mehrere Dienste verwenden. Mit beliebten Passwörtern wie dem Namen des Haustieres öffnen viele Nutzer Datendieben Tür und Tor. Sichern Sie Ihre Zugänge mit Passwörtern aus mindestens acht Zeichen und einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Was für privates Surfen gilt, sollten Handwerksunternehmer auch in ihrem Betrieb beherzigen. Schärfen Sie das Bewusstsein Ihrer Mitarbeiter für einen vorsichtigen Umgang mit dem Internet und der Firmen-IT: Keine Anhänge von dubiosen Absendern öffnen, den eigenen PC bei Abwesenheit sperren oder in den Ruhezustand versetzen und das Passwort für das persönliche PC-Benutzerkonto nicht in der Nähe des Schreibtischs aufbewahren. Gefahr droht aber nicht nur aus dem Netz. IT-Sicherheitsexperte Schildt weist auf ein besonderes Risiko hin: „Problematisch sind mobile Datenträger wie USB-Sticks oder SD-Karten. Wenn ein Mitarbeiter so ein Gerät auf der Straße findet und an den Firmencomputern benutzt, stellt das ein Risiko für die IT-Sicherheit dar. Man weiß nie, welche Schadsoftware darauf gespeichert ist. Manche Betrüger setzen diese raffinierte Masche gezielt ein.“ Als erste Regel für die IT-Sicherheit gilt deshalb: Ohne verantwortungsvolle und wachsame Nutzer schützt die beste Technik nicht. Im Umkehrschluss reicht aber auch der aufgeweckte Anwender nicht aus.
IT-Sicherheit Schritt 2: Unverzichtbare Basistechnik
Jede IT-Umgebung muss mit Basistechnologien gesichert werden. Der wichtigste Grundsatz klingt simpel, wird aber laut BSI-Experte Schildt immer noch unterschätzt: Aktualisieren Sie Ihr PC-Betriebssystem regelmäßig mit Updates vom Hersteller, beispielsweise über das Internet. Bei den meisten Systemen ist die Option für automatische Updates aktiviert. Das Gleiche gilt für die Personal Firewall und die unverzichtbare Virenschutzsoftware. Weil im Internet stündlich neue Viren auftauchen können, lohnt sich für den Virenschutz sogar eine mehrmalige Updatesuche jeden Tag. Diese so genannten Signaturen sagen dem Virenschutzprogramm, welche Dateien auf dem Computer Schaden anrichten. Gerade Unternehmer sollten in einen professionellen Virenschutz investieren. Solche Lösungen bieten die Möglichkeit, die Festplatten des eigenen Computers oder eines Servers auf Viren, Trojaner und andere Schadsoftware zu prüfen und gefährliche Dateien zu löschen.
Testen Sie verschiedene Virenschutzlösungen mit kostenlosen Probeversionen. Gerade kleine Unternehmen ohne eigene IT-Abteilung profitieren von einem kostenlosen Onlineangebot des BSI. Einen Überblick gibt der „Leitfaden Informationssicherheit“, der dort heruntergeladen werden kann. Interessierte finden auch vertiefende Informationen in den BSI-Standards und in den IT-Grundschutz-Katalogen mit Empfehlungen zu Methoden und Konzepten für Informationssicherheit. Zu den Schwerpunkten der BSI-Standards zählen Managementsysteme für Informationssicherheit, IT-Grundschutz-Vorgehensweise, Risikoanalyse und Notfallmanagement. Als praktischen Einstieg bietet das BSI einen Webkurs IT-Grundschutz-Schulung online als pdf-Datei oder im html-Format an. In einem zirka vierstündigen Selbststudium lernt der Anwender anhand von Beispielen, eigene IT-Sicherheitskonzepte nach den Standards des IT-Grundschutzes zu erstellen. Zusätzlich gibt der Leitfaden Informationssicherheit einen verständlichen Überblick über die wichtigsten Sicherheitsmaßnahmen anhand von Praxisbeispielen zu häufigen Gefahren. Anwender können die Empfehlungen als Grundlage eines eigenen Sicherheitskonzeptes nutzen oder externen IT-Dienstleistern als Richtlinien an die Hand geben. Holger Schildt nennt die wichtigste Empfehlung für die Informationssicherheit: „Unverzichtbare Grundlage ist ein ganzheitliches Konzept, das unter anderem den Nutzer und die Technik in Einklang bringt. Neben diesen technischen und personellen Aspekten müssen aber auch organisatorische und infrastrukturelle Maßnahmen ergriffen werden. Wer eine dieser Seiten vernachlässigt, bekommt Probleme.“
Hilfe für den Aufbau eines IT-Sicherheitskonzepts bietet das BSI unter www.bsi.bund.de, Menüpunkt „IT-Grundschutz“ an. Fünf Schritte zur IT-Sicherheit können Sie unter www.deutsche-handwerks-zeitung.de, DHZ-Code 1417807 nachlesen