IT-Sabotage kann Unternehmen gefährlich werden – deshalb sind Sicherheitsmaßnahmen so wichtig – sowohl im (Home-)Office als auch in der Werkstatt. Foto: TÜV Rheinland
IT-Sabotage kann Unternehmen gefährlich werden – deshalb sind Sicherheitsmaßnahmen so wichtig – sowohl im (Home-)Office als auch in der Werkstatt. Foto: TÜV Rheinland

Branchen-News

20. December 2021 | Teilen auf:

IT-Sicherheit: Virenschutz im (Home-) Office und in der Werkstatt

(Januar 2022) Viren oder Hacker-Angriffe können die Büro-IT schädigen und Geschäftsabläufe lahm legen. Auch das Homeoffice oder die Werkstatt können zum Einfallstor für Sabotage, Spionage und digitale Erpressung werden. Wie schützt man sich davor?

Neben dem geschäftlichen Austausch von E-Mails und Daten, der Nutzung des Internet oder mobiler Hardware kann auch das Homeoffice oder die Werkstatt zu einem Einfallstor für Schadsoftware werden. Es häufen sich die Fälle, dass durch externe Homeoffice-Mitarbeiter oder über die USB-Schnittstelle von CNC-Fertigungsmaschinen Schadprogramme in die Unternehmen eingeschleust werden. Neben Hacker-Angriffen, Viren und Würmern werden zunehmend auch Cyber-Erpressungen zu einem Problem. Es ist ein verbreiteter Irrglaube, dass nur große Unternehmen von IT-Angriffen betroffen sind. Gerade kleine und mittlere Unternehmen sind für Angreifer als Zielgruppe attraktiv, weil IT-Sicherheitsstrukturen in der Regel weniger gut ausgebaut sind und weniger in die IT-Sicherheit investiert wird. Dadurch sind digitale Angriffe einfacher und Erfolg versprechender. 

Externe und interne Risikofaktoren

Nicht nur im Internet lauert eine Vielzahl potenzieller Gefahren, …Grafik: Enisa, Bitkom

Die Gefahren für die IT-Sicherheit von Unternehmen sind ebenso vielfältig wie die digitalen Infektionswege. Schadprogramme können Computer blockieren, Daten oder Festplatten zerstören. BOT-Programme können PCs unbemerkt fernsteuern, Keylogger Tastatureingaben speichern und an Dritte weitergeben, Denial of Service-Attacken Netzwerke lahmlegen, Phishing-Auftritte Internet-Nutzern Passwörter entlocken. So genannte Ransomware verschlüsselt Daten und erpresst die Geschädigten. Schon ein einziger falscher Klick auf einen E-Mail-Anhang wie eine gefälschte Rechnung, Mahnung oder Anfrage von bekannt scheinenden Absendern kann Schadsoftware einschleusen. Auch Mitarbeiter können die eigene IT-Infrastruktur gefährden, wenn sie privat Apps herunterladen oder Urlaubsfotos als Bildschirmhintergrund per USB-Stick mitbringen. Wird das private Smartphone auch geschäftlich genutzt oder umgekehrt, kann der sorglose Umgang mit SMS, E-Mails, Apps, Foren oder sozialen Netzwerken Schadprogrammen Tür und Tor öffnen. Das gilt erst recht im Hinblick auf die pandemiebedingt zunehmende Nutzung des Homeoffice: Viele Homeoffice-Arbeitsplätze verfügen über keinen ausreichenden Virenschutz oder eine Firewall. Erfolgt der Zugriff auf das Firmennetzwerk über unsichere Verbindungen, kann es schnell zu IT-Sicherheitsproblemen kommen (siehe auch Infokasten). 

… auch Spionage, Sabotage und der Datendiebstahl sind zunehmend ein Problem.Grafik: Bitkom

Die IT-Sicherheit hat viele Aspekte

Die IT-Sicherheit ist stets ein Zusammenspiel von mehreren aufeinander abgestimmten Maßnahmen. Dazu gehören der Viren- und Spam-Mail-Schutz, die Einrichtung von Firewalls, Software-Aktualisierungen, die Datensicherung und Datenverschlüsselung sowie der Datenschutz. Ganz oben in der Prioritätenliste steht die regelmäßige, nach Möglichkeit automatisierte Aktualisierung von Betriebssystemen, Anwendungsprogrammen, möglichst auch der „Firmware“ – etwa von WLAN-Routern, von CNC-Maschinen oder von Komponenten zur Gebäudeautomatisierung. Die von Herstellern offerierten Software-Updates enthalten nicht nur Verbesserungen und Erweiterungen, sie schließen auch Sicherheitslücken. Mit so genannten „Firewalls“ lassen sich Rechner und Netzwerke von äußeren, schädigenden Einflüssen abschirmen. Diese aus Hard- oder Softwarekomponenten bestehenden Sicherungssysteme kontrollieren den Datenfluss zwischen internem und externem Netzwerk. Netzwerk-Firewalls eignen sich für die Absicherung mehrerer Unternehmens-PCs. Direkt auf dem zu schützenden Rechner installierte Desktop-Firewalls dienen dazu, einzelne Arbeitsplatz-PCs und mobile Rechner vor äußeren Angriffen zu schützen. Auch WLAN-Funknetze müssen abgesichert werden, indem auf dem WLAN-Router die WPA2- oder WPA3-Verschlüsselung aktiviert und die Firmware regelmäßig aktualisiert wird. Schutz vor Computerviren bieten Anti-Virenprogramme (siehe auch Infokasten). Sie halten die meisten aktuellen Schadprogramme in Schach – vorausgesetzt die Virensoftware wird durch regelmäßige Online-Updates aktuell gehalten. Anti-Virenprogramme schützen nicht nur vor Virenbefall und schädlichen Apps – sie können auch verhindern, dass man selbst zur Virenschleuder wird und damit Geschäftsbeziehungen gefährdet. Einen Basisschutz gibt es bereits ab etwa 30 Euro pro Rechner und Jahr, für etwas mehr einen Rundum-Schutz, der zusätzlich zum Viren-, Web- und Phishing-Schutz auch einen erweiterten Netzwerkschutz etc. enthält. 

Mobilhardware als Risikofaktor

Da Mobilität im Zusammenhang mit der Digitalisierung und der medienbruchfreien Vor-Ort-Erfassung oder Anzeige von Daten immer wichtiger wird, können Smartphones, Tablets, SD-Karten oder USB-Sticks schnell zum Sicherheitsproblem werden. Sie sind klein, leicht, mobil und können dadurch schnell in falsche Hände geraten. USB-Sticks oder SD-Karten werden gerne für den Datentransport oder Datenaustausch auch sehr großer Datenmengen verwendet. Doch je kleiner sie sind, desto größer die Gefahr, dass sensible Kunden- oder Objektdaten verloren gehen oder gestohlen werden. Vorkehrungen kann man dadurch treffen, dass man spezielle Transport-Hüllen oder  Boxen verwendet. Schutz vor Hardwarediebstahl bieten Hardware-Schlösser. Geraten Smartphones, Tablets, Notebooks oder mobile Datenträger dennoch einmal in falsche Hände, so erschweren Benutzerkennworte und Datenverschlüsselungen, dass Daten von Unbefugten geöffnet werden können. Werden sensible Daten auf Dienstreisen oder in den Urlaub mitgenommen, ist die Datenverschlüsselung Pflicht. Der Softwaremarkt bietet dazu zahlreiche, auch kostenlose Open-Source-Verschlüsselungsprogramme. Für mobile Hardware gibt es spezielle Schutzprogramme (zum Beispiel AVG Antivirus free, Lookout etc.). Sie halten Schadprogramme in Schach, sichern Dateien und helfen, verlorene Mobilhardware per GPS-Ortung wiederzufinden. 

Mitarbeiter mitnehmen

Auch Mitarbeiter müssen in das IT-Sicherheitskonzept einbezogen und geschult werden, damit sie nicht zum Schwachpunkt im IT-Sicherheitskonzept werden. Dann erkennen sie nicht nur potenzielle Gefahren besser – sie sind auch eher bereit, als lästig empfundene Sicherheitsregeln zu akzeptieren und praktisch umzusetzen. Zusätzlich lassen sich durch gezielte technische Maßnahmen Risiken minimieren: So kann man über Zugriffsrechte definieren, welcher Mitarbeiter auf welche Server, Rechner und Daten Zugriff hat oder wer welche Anwendungen nutzen darf. Darüber hinaus lassen sich Laufwerke oder USB-Schnittstellen einzelner Arbeitsplätze sperren. Auch der Web-Server (für die Internet-Verbindung zuständiger Rechner) kann so konfiguriert werden, dass problematische Internetseiten Mitarbeitern nicht zugänglich sind. Schutz vor unberechtigtem Zugriff bieten Benutzerkennworte oder in Tastaturen, PC-Mäusen, Notebooks, Tablets oder Smartphones eingebaute Fingerabdruck-Scanner. IT-Sicherheitsregeln sollten im Unternehmen in Form von Richtlinien für die betriebliche und private Hardware-Nutzung, zu Passwörtern oder zur Datensicherung verbindlich festgeschrieben und alle Mitarbeiter darauf verpflichtet werden. 

So schützt man sich vor IT-Sabotage

Im Bereich der technischen IT-Sicherheit verfügen zwar die meisten Unternehmen über Virenscanner, Firewalls und einen Passwort-Schutz für Rechner und Geräte. Angesichts der vielfältigen und immer komplexeren Bedrohungen reicht dieser Basisschutz allerdings nicht mehr aus. Mit der zunehmenden Vernetzung von Geräten über das Internet (Internet der Dinge) und dem Trend zur Digitalisierung kommen neue sicherheitstechnische Herausforderungen hinzu. Deshalb sind zusätzliche Sicherheitsmaßnahmen notwendig, wie die Verschlüsselung von Netzwerkverbindungen, von Daten auf Datenträgern oder der elektronischen Kommunikation per E-Mail. Ebenso wichtig ist die Absicherung des internen Netzwerks gegen einen Datenabfluss von Innen. Spezielle Abwehrsysteme analysieren Datenströme und melden verdächtige Aktivitäten. Zu den weiteren Sicherheitsvorkehrungen zählen erweiterte Verfahren zur Benutzeridentifikation, zum Beispiel eine Zwei- oder Multi-Faktor-Authentifizierung. Dabei wird mittels einer Kombination zweier oder mehrerer unterschiedlicher und unabhängiger Komponenten eine Benutzer-Authentifizierung durchgeführt, etwa per Chip-Karte, PIN und zusätzlich der Prüfung biometrischer Merkmale. Regelungen, wer im internen Netzwerk auf welche Daten zugreifen darf und wer Zutritt zu sensiblen Bereichen eines Unternehmens bekommt, steigern die organisatorische Sicherheit. Zudem sollte es einen Sicherheitsbeauftragten geben, der diese Maßnahmen initiiert und überwacht. Ein mit einem IT-Sicherheitsexperten ausgearbeitetes Notfallkonzept ermöglicht eine schnelle Reaktion im Krisenfall. 

Keine absolute Sicherheit

IT-Sicherheit ist wichtig, auch im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). Danach sind Unternehmen verpflichtet, „technische und organisatorische Maßnahmen“ zu ergreifen, um IT- und insbesondere Personendaten zu schützen – beispielsweise durch Passwörter, Datenverschlüsselungen, Löschfristen oder Maßnahmen zum Viren-, Diebstahl- oder Einbruchschutz. Mangelnde IT-Sicherheit kann sogar die Existenz eines Unternehmens gefährden, denn große, aber auch kleine Unternehmen sind heute praktisch vollständig von IT-Systemen abhängig. IT-Sicherheit ist jedoch kein Produkt, sondern ein kontinuierlicher Prozess, der gestaltet und gelebt werden muss, aber häufig mit anderen Interessen kollidiert. Deshalb kommt es in der Praxis immer wieder zu gravierenden Sicherheitsmängeln – etwa wenn wichtige Software-Updates nicht aufgespielt werden, weil man Inkompatibilitäten mit vorhandenen Systemkomponenten fürchtet oder den Zeitaufwand scheut. Hundertprozentigen Schutz vor Schadsoftware, Datenspionage, Datenklau, Erpressung und Sabotage gibt es zwar nicht, dennoch lassen sich Gefahren eingrenzen, wenn man sie kennt, Regeln befolgt und mit Hardware, Software, Daten, E-Mails und anderen Internetdiensten sicherheitsbewusst umgeht.

Infos

Beachten Sie die Regeln

Homeoffice und Videokonferenzen gehören inzwischen zum geschäftlichen Alltag, gefährden aber die IT-Sicherheit von Unternehmen, wenn die Homeoffice-Arbeitsplätze über keinen ausreichenden Virenschutz oder eine Firewall und keine konsequente Trennung zwischen geschäftlichen und privaten Anwendungen verfügen. Vom Homeoffice-Arbeitsplatz aus sollte auf Unternehmensdaten nur mit vom Unternehmen bereitgestellter Hardware und nur über sichere VPN-Verbindungen (Virtual Private Network) zugegriffen werden. Eine gemischte Hardware-Nutzung und Datenhaltung sollte konsequent vermieden werden. Für die Kommunikation sollten nur vom Arbeitgeber autorisierte Messenger- oder Videokonferenz-Werkzeuge verwendet werden. Alle Homeoffice-Mitarbeiter sollten eine Sicherheitseinweisung erhalten und wichtige Sicherheitsregeln beachten, etwa bei der Nutzung von WLAN-Routern oder Internetdiensten etc. (siehe auch „Checkliste für Mitarbeiter – IT-Sicherheit im Home-Office“: www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/checkliste-home-office_mitarbeiter.html). 

IT-Sicherheit in der Werkstatt

Ziel von Cyberangriffen werden zunehmend auch CNC-Werkzeugmaschinen von kleinen und mittleren Unternehmen. Sicherheitsschwachstellen sind im Produktionsalltag in die Maschine eingespielte Daten und NC-Steuerprogramme, der tägliche Datenaustausch, zum Beispiel über USB-Schnittstellen, über die Fehlerprotokolle ausgelesen und Updates eingespielt werden oder der Internet-Anschluss der Geräte. Zu den Abhilfemaßnahmen gehören die Sperrung von USB-Schnittstellen, Firewalls und sichere Passwörter. Der Verein Deutscher Werkzeugmaschinenfabriken (VDW) hat kürzlich eine Broschüre für Maschinenbetreiber herausgegeben, die typische Angriffspunkte von Werkzeugmaschinen benennt und Gegenmaßnahmen vorschlägt. (Download: https://vdw.de/wp-content/uploads/2021/03/pub_IT-Sicherheit-an-Werkzeugmaschinen_VDW.pdf). 

Basics IT-Sicherheit

  • Virenschutzprogramm installieren und kontinuierlich auf aktuellem Stand halten (am besten automatische Aktualisierung aktivieren).
  • Software regelmäßig updaten und alle Sicherheitsoptionen von Betriebssystem, Browser, Anwendungsprogrammen etc. nutzen.
  • E-Mails unbekannter Absender und Anhänge niemals öffnen, möglichst im Nur-Text-Format lesen und verschlüsseln.
  • Mit Bedacht im Internet surfen, dabei die Sicherheitseinstellungen des Internet-Browsers möglichst hoch setzen.
  • Von wichtigen Daten regelmäßig Sicherungskopien anfertigen und schreibschützen. So hat man stets eine virusfreie Version parat.
  • Mit Hardware- und Software-Firewalls nicht nur das Netzwerk, sondern auch mobile Rechner schützen.
  • Bei mehreren PC-Nutzern unterschiedliche Kennwörter einrichten. Nur die Berechtigungen vergeben, die der Nutzer unbedingt braucht.
  • Sichere Passwörter verwenden, regelmäßig ändern und nicht in einer Datei notieren (siehe: www.bsi.bund.de/passwoerter).
  • WLAN und Bluetooth möglichst nur aktivieren, wenn sie gebraucht werden und aktuellen Verschlüsselungsstandard (WPA2) nutzen.
  • Sicherheitslücken (Mobilhardware, Mitarbeiter) durch Passwörter, Verschlüsselung, Zugangsbeschränkung etc. schließen.

Mehr Sicherheit durch Backups 

Ist der Ernstfall einmal eingetreten und hat sich ein Virus in den Systemdateien der Unternehmens-Hardware festgesetzt, kann das Tagesgeschäft erheblich beeinträchtigt werden. Meist müssen betroffene Festplatten formatiert, Betriebssysteme und Anwendungsprogramme neu installiert und konfiguriert sowie alle Arbeitsdaten neu aufgespielt werden – sofern entsprechende virenfreie Sicherungskopien vorhanden sind. Daher ist auch die regelmäßige Sicherung (Backup) wichtiger Firmen-, Mitarbeiter-, Auftrags- und Projektdaten ein elementarer Baustein der IT-Sicherheit – und gehören übrigens auch zu den elementaren Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD). 

Link- und Literaturhinweise*

www.avira.com/de/threats: Aktuelle Virenübersicht

www.bitkom-datenschutz.de: Datenschutz-Infos der BITKOM

www.bsi.bund.de: Bundesamt BSI

www.mittelstand-digital.de: Wissenspool, IT-Sicherheit für KMU

www.heise.de/security: Security-Portal Heise-Verlag

www.virenschutz.info: Virenschutz-Info-Portal

www.wikipedia.de: Suche: Internetkriminalität etc.

Mittelstand 4.0-Agentur Prozesse (Hrsg.): Leitfaden IT-Sicherheitsmanagement in kleinen und mittleren Unternehmen, Eigenverlag Magdeburg, 2017, Download: www.mittelstand-digital.de, Wissenspool, IT-Sicherheit für KMU

Anbieter IT-Security-Programme *

www.avg.com, www.avira.com/de, www.eset.com/dewww.f-secure.com, www.gdata.de, www.gfisoftware.dewww.kaspersky.com/de, www.mcafee.com/de, www.norton.com, www.pandasecurity.com, www.percomp.de, www.sophos.de, www.steganos.com/de, www.symantec.de, www.webroot.com/de* Ohne Anspruch auf Vollständigkeit

zuletzt editiert am 20.12.2021