IT Sicherheitskonzept für kleine Firmen

Große Firmen haben ja mehr Resourcen, und auch etwas mehr Budget.

Aber was ist mit kleineren Firmen, die nicht unbegrenzt Geld für „unproduktive“ IT-Sicherheit ausgeben wollen?

Was hier vorgestellt wird, soll nicht low-budget sein, sondern angepasst auf die aktuellen Anforderungen, und natürlich finanzierbar. Es ist kein Sicherheitskonzept laut Bundesdatenschutzgesetz, sondern eiin Konzept wie man vermeidet dass Malware Schaden in der Firma anrichtet…

  1. Backup

    Die wohl wichtigste Sicherheitsmaßnahme. Ein gutes Backup Konzept sorgt dafür daß alle wichtigen Daten regelmäßig gesichert werden. Also als absolutes Minimum 1x täglich. Die Sicherung sollte so erstellt werden, daß man verschiedene Versionen wieder herstellen kann. Wenn also Dateien verschlüßelt werden, hilft es ja nix, wenn man nur die verschlüßelten Daten aus dem Backup wieder herstellen kann. Es sollte auch darauf geachtet werden, dass nicht der Backup selbst Opfer der Verschlüßelung werden kann (z.B Backup auf USB Platten am Server). Eine weitere Regel sagt, daß der Backup möglichst auf verschiedenen Medien gesichert werden soll (z.B nicht nur auf einer NAS). Und zu guter Letzt, es sollte eine Backup Kopie außer Haus aufbewahrt werden, damit auch z.B nach einem Brand die Daten nicht verloren gehen.  Zu einem Backup Konzept gehört natürlich auch, daß man regelmäßig testet, ob das Ganze denn auch funktioniert, also ob die Daten auch zurückgesichert werden können, sonst hilft es im Notfall wenig.  Egal wie man die Datensicherung aufsetzt, es muß irgendwie täglich kontrolliert werden, ob das Ganze auch funktioniert. Eine fehlerhafte Datensicherung bemerkt man nicht im täglichen Betrieb, erst wenns zu spät ist…

  2. AntiVirus

    Einen Computer ohne AntiVirus Programm zu verwenden ist sicher spannend. Ein AntiVirus Programm gehört auf jeden Rechner. Darin eingeschoßen sind alle Server. Auch NAS Volumes sollten regelmäßig auf Schadsoftware überprüft werden. AntiVirus alleine reicht nicht, siehe Firewall. Die Erfahrung zeigt, daß der durchsnittsbenutzer schlicht mit irgendwelchen kryptischen Nachrichten des AntiVirus Programms überfordert ist. Daher ist ein zentales Log dieser Meldungen erforderlich. Es sollten dann natürlich auch irgendwelche Aktionen erfolgen, wenn da was geloggt wird..

  3. Firewall

    Eine Firewall hat jede Firma. Da gibt es ein paar Unterschiede welche Firewall man hat. Es sollte halt eine sein, die auch für den Unternehmenseinsatz tauglich ist. Aber neben der Internet-Firewall, sollte auch jeder Computer im Firmen-LAN eine Firewall haben, eine sogenannte personal Firewall. Das gilt für Server und für PC’s, für Laptops sowieso unverzichtbar. Diese Firewall sollte natürlich auch überwacht werden. Daher ist die Empfehlung nicht die Windows-Firewall, sondern die Firewall eines AntiVirus Produktes zu nutzen. Das hat dann auch den Vorteil dass Weitere Sicherheitsfunktionen wie ein IPS implementiert sind, das einen etwas besseren Schutz bietet als nur eine Firewall. In diesem Bereich gibt es noch viele andere Produkte, aber dieses Konzept soll ja ein guter Mindest-Standard sein.

  4. Standard Maßnahmen

    Nicht zu Vergessen. Es gibt einige Regeln die man halt grundsätzlich beachten sollte. z.B die verwendeten Passwörter sollten sicher sein. Aber ein ganz wichtiger Punkt ist auch, daß die Mitarbeiter sensibilisiert sind, und halt nicht jeden Anhang in jeder eMail öffnen. Die Mitarbeiter Schulung ist definitiv ein sehr sehr wichtiger Punkt, und ganz ohne irgendwelche Lizenzkosten.

  5. Weitere Maßnahmen

    Soweit so gut. Bis hier her unterscheidet sich dieses Konzept nicht von einem 10 Jahre altem Konzept. Aber die Anforderungen haben sich geändert. Als zusätzliche Maßnahmen empfehle ich die erweiterten Sicherheitsfunktionen, die Windows selber mitlierfert (SRP, NAP). Die sind kostenlos seit ca 2008 dabei, aber in fast keiner Firma aktiviert. Warum nicht ? Es erfordert schon eine gewiße Erfahrung vom Administrator diese Funktionen reibungslos zu implementieren, und dann macht man es halt nicht, bevor was nicht läuft. Diese Funktionen können einige Schwachpunkte von AntiViren Programmen beseitigen. Viele AntiViren Hersteller beschreiben auf Ihren Best-Practice-Manuals daß mann „so etwas“ machen sollte.

 

Ist das denn ein 100% Schutz? Sicher nicht. Es gibt einfach zu viele Möglichkeiten wie Schadsoftware – Schaden anrichten kann. Und morgen kommt sicher eine neue dazu. Aber, mit relativ geringem Mehraufwand kann man so eine relativ guten Schutz für seine Daten erreichn.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.