Wie Unternehmen ihre IT-Sicherheit verbessern
7 min

Wie Unternehmen ihre IT-Sicherheit verbessern

Ein Security Assessment beim Zuger KMU Stadler Form hat nicht nur Sicherheitslücken aufgedeckt. Sondern vor allem dem IT-Verantwortlichen aufgezeigt, wie er IT-Sicherheit strategisch angehen und verbessern kann. Erfahrungen und Handlungsempfehlungen, von denen auch andere Unternehmen profitieren können.

Was passiert, wenn man professionelle «Hacker» auf ein Schweizer KMU loslässt? Sie werden Sicherheitslücken finden und sich Zugriff auf Daten und Anwendungen verschaffen können. Genau das ist dem Zuger Unternehmen Stadler Form passiert. Ein Glück, dass es sich bei den Hackern um professionelle IT-Security-Spezialisten gehandelt hat und nicht um Cyberkriminelle mit verbrecherischen Absichten.

Denn Stadler Form hat im Rahmen des Swisscom Wettbewerbs «Win a Hacker» ein professionelles Security Assessment gewonnen. Darin haben die Spezialisten die IT-Infrastruktur mit denselben Tools unter die Lupe genommen, wie sie auch Cyberkriminelle verwenden. Ziel eines solchen Assessments ist es gerade, Sicherheitslücken aufzudecken und zu beheben, bevor kriminelle Angreifer die Schwachstellen finden.

Dabei ist die Situation bei Stadler Form typisch für viele KMU: Die interne Betreuung der IT erfolgt im Nebenjob und ist nur eine von vielen Aufgaben in diesem Fall von Samuel Wyss. Der zudem sehr IT-affin ist, aber kein Informatiker. Ein unfaires Spiel: Auf der einen Seite das KMU mit begrenzten Ressourcen und beschränktem Know-how, auf der anderen Seite hauptberufliche Cyberkriminelle mit vertieftem Wissen. Immerhin, ganz allein ist Samuel Wyss nicht. «Bei Bedarf kann ich auf die Spezialisten unseres IT-Dienstleisters zurückgreifen», erklärt er seine Verstärkung

Kombination von Faktoren als typische Schwachstelle

Das Assessment hilft dabei Samuel Wyss und dem IT-Dienstleister, den Schutz des Unternehmens zu verbessern. «Die Schwachstellen, die wir gefunden haben, sind typisch für ein KMU», fasst einer der Sicherheitsexperten das Ergebnis zusammen. Schwachstellen, die oftmals nicht auf der technischen Ebene zu finden sind, sondern auf der menschlichen. Das grösste Risiko dabei: die Kombination von unsicheren Passwörtern mit weitreichenden Zugriffsrechten. Daniel Aegerter, Security-Spezialist bei Swisscom, erklärt es so: «Wir treffen häufig die Situation an, dass Benutzer mit Administratorenrechten arbeiten. Das erleichtert es einer Malware, sich auszubreiten.» Beispielsweise kann sich die Malware so im System einnisten und versuchen, weiterreichende Rechte zu erlangen, um am Schluss die gesamte IT-Infrastruktur zu kontrollieren.

Ein weiteres Beispiel für eine menschgemachte Schwachstelle: Die meisten Unternehmen haben zwar ein Backup. Aber ob die Sicherungsstrategie noch zeitgemäss ist und ob die Wiederherstellung beispielsweise nach einem Ransomware-Befall auch funktioniert, wird oftmals nicht geprüft.

Und genauso, wie eine Kombination von unsicheren Faktoren ein Sicherheitsrisiko darstellt, kann die Kombination mehrerer Schutzmassnahmen die IT-Sicherheit verbessern. So lautet etwa die Empfehlung der IT-Security-Spezialisten, für die Administration der Systeme nicht nur ein – einzigartiges – Administratoren-Passwort mit mindestens 16 Zeichen zu verwenden. Sondern auch einen Rechner, der nur für die Administration dient und nicht mit dem Internet verbunden ist.

Die Krux mit den Updates

Zu den Aufgaben eines Systemadministrators gehört auch die regelmässige Aktualisierung von Betriebssystemen und Anwendungen, auch Patch-Management genannt. Die Empfehlung von Sicherheitsspezialisten ist dabei eindeutig: Updates sollten installiert werden, sobald sie der Software-Hersteller veröffentlicht. Denn Cyberkriminelle nutzen meist bekannte Lücken, die durch einen aktuellen Patch geschlossen werden.

Das Problem dabei: In KMU betreut oftmals ein IT-Dienstleister die Systeme und sorgt auch für das Einspielen der Updates auf den Servern. Und weil bei Windows-Updates immer wieder Probleme und Inkompatibilitäten bekannt werden, werden manche Updates zuerst getestet. Oder es wird gewartet, bis bekannt ist, dass die Aktualisierung fehlerfrei läuft. Das verzögert auf der einen Seite die Installation von Updates und ergibt ein Zeitfenster, in dem Cyberkriminelle bekannte Lücken ausnutzen können.

Auf der anderen Seite verursachen kürzere Zeitintervalle für Updates Mehraufwand beim IT-Dienstleister, weil die Systeme anschliessend auf reibungsloses Funktionieren überprüft werden müssen. Das schlägt sich in einem teureren SLA (Service Level Agreement) nieder. Stadler Form hat sich entschieden, in diesen sauren Apfel zu beissen, wie Samuel Wyss sagt: «Aufgrund der Ergebnisse des Assessments haben wir die Update-Intervalle verkürzt, auch wenn das teurer ist.»

Strategische Investitionen in die Sicherheit

Die Kosten sind überhaupt bei IT-Sicherheit immer ein Thema. Denn Sicherheitsmassnahmen bringen direkt keinen Mehrwert. Sie können aber Anforderungen aus dem Geschäftsalltag unterstützen. Wenn beispielsweise Aussendienstmitarbeitende von unterwegs auf Unternehmensanwendungen zugreifen müssen, kann eine verschlüsselte VPN-Verbindung für den Schutz vor Attacken sorgen. Auch Samuel Wyss muss Security-Investitionen bei der Geschäftsleitung begründen. «Nur wenn ich den Nutzen fürs Unternehmen darlegen kann», sagt er, «werden die Ausgaben gutgeheissen.»

Samuel Wyss, Stadler Form: «Das Security Assessment hat mir geholfen, die Prioritäten richtig zu setzen.» (Foto: Daniel Brühlmann)

Das Security Assessment kam für ihn genau zum richtigen Zeitpunkt. «Ich wusste, dass wir mehr in die Sicherheit investieren müssen», sagt Samuel Wyss. «Aber mir war nicht klar, wie wir die Prioritäten setzen sollen.» Die Ergebnisse des Sicherheits-Checks haben ihm da weitergeholfen. «Ich kenne jetzt die nächsten Schritte und kann begründen, welche Massnahmen notwendig sind», sagt er.

IT-Security, ein Kreislauf

Das Assessment hat Samuel Wyss auch weitergebracht auf dem Weg zu einem strategischen Ansatz für die IT-Sicherheit mit einem systematischen Vorgehen. «Wir müssen die Ursachen angehen», sagt Samuel Wyss. «Beispielsweise, indem wir die Handlungsempfehlungen für sichere Passwörter festlegen und bei den Mitarbeitenden das Bewusstsein für die Bedeutung sicherer Passwörter vorleben

Und auch weitere Security Assessments sind für ihn ein Thema. «Der Nutzen überwiegt die Kosten», sagt er. «Nichts zu machen ist wie gamblen mit der Sicherheit des Unternehmens.»

Geben Sie Hackern keine Chance!

Das kurze E-Learning gibt drei grundlegende Verhaltenstipps für Mitarbeitende, etwa, wie sie sich vor Phishing schützen und sichere Passwörter erstellen. Und damit die Sicherheit im Unternehmen verbessern helfen.


IT-Security-Tipps für KMU

Diese Massnahmen sorgen für einen besseren Schutz auf der technischen Ebene, also bei Betriebssystemen und Anwendungen. Die Umsetzung erfordert allenfalls die Unterstützung durch den IT-Dienstleister.

Server und Arbeitsstationen sicher konfigurieren («härten»)

Die meisten Betriebssysteme, sowohl für den Arbeitsplatz als auch für Server, sind in der Grundkonfiguration zu wenig auf Sicherheit getrimmt. Nach der Grundinstallation sollten die Systeme deshalb besser abgesichert werden, in der Fachsprache «härten» genannt. Dabei werden beispielsweise nicht benötigte Dienste abgeschaltet, Anforderungen an die Passwortlänge definiert und die Zugriffsrechte beschränkt.

Das CIS (Center for Internet Security) bietet eine Reihe englischsprachiger Anleitungen dafür, die dem gängigen Vorgehen («best practices») entsprechen. Auch die Betriebssystemhersteller selbst bieten hierzu Unterstützung, wie etwa Microsoft in dieser englischsprachigen Einführung zum Härten von Windows 10.

Installation von Software unterbinden

Mitarbeitende haben unterschiedliche Aufgaben und benötigen dazu unterschiedliche Software. Die Installation spezieller Software sollte nur unter der Kontrolle des IT-Verantwortlichen geschehen. So lässt sich verhindern, dass Mitarbeitende Programme aus dubiosen Quellen installieren und unter Umständen Malware einschleppen.

Inventar von Hard- und Software erstellen

Es ist eine Sisyphus-Aufgabe, aber trotzdem nötig. Als IT-Verantwortlicher erstellen Sie ein Inventar der eingesetzten Hard- und Software. Dazu gehören Arbeitsplatzgeräte mitsamt Anwendungen, Server, Geschäfts-Smartphones, aber auch Drucker und andere Netzwerkgeräte. Ein solches Inventar dient als Entscheidungsgrundlage, wenn eine neue schwere Lücke bekannt wird. Aufgrund der verwendeten Software-Versionen lässt sich schnell entscheiden, ob das Unternehmen betroffen ist und reagieren muss. Bedingung ist, dass das Inventar aktuell ist.

Anschluss fremder und privater Geräte im Netz verhindern

Private Notebooks und Smartphones stellen insofern ein Sicherheitsrisiko dar, als deren Zustand unbekannt ist. Sind alle aktuellen Updates installiert oder ist der Rechner vielleicht virenverseucht?

Wenn private Geräte überhaupt im Büro eingesetzt werden, sollten sie in einem separaten Netzwerk untergebracht sein ohne Zugriff auf kritische Unternehmensanwendungen und Daten, beispielsweise in einem WLAN für Gäste.

Bei Arbeitsplatzrechnern sollte der Umgang mit USB-Sticks geregelt sein: Entweder ist der Anschluss ganz blockiert, oder der Stick wird zumindest beim Anschliessen auf Viren überprüft.

Periodisch das Firmennetz auf Schwachstellen prüfen

Wie sicher sind Firmennetz und die verbundenen Geräte? Ein Vulnerability-Scanner prüft die IT-Infrastruktur auf allfällige Schwachstellen und hilft damit, Sicherheitsmassnahmen zu definieren. Regelmässige Scans helfen, das Unternehmen auf aktuelle Gefährdungen zu prüfen. Es gibt verschiedene kommerzielle und kostenfreie Scanner-Software. Weit verbreitet ist etwa Greenbone Community Edition, früher OpenVAS. Für Web-Anwendungen wie Website oder Online-Shop ist das Open Web Application Security Project eine gute Anlaufstelle

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Jetzt lesen