Seite wählen

IT-Sicherheit wird in vielen Unternehmen leider noch nicht als relevant genug eingestuft. Doch unsere Zukunft wird in hohem Masse digital sein und es ist Zeit, den Fokus auf Datensicherheit und Datenhoheit zu setzen und somit die Weichen für die Zukunft zu stellen!

Wir haben für Sie eine Übersicht der Themen zusammengestellt, die für eine möglichst sichere IT-Umgebung relevant sind. Von einer zu 100% sicheren Umgebung zu sprechen, wäre vermessen und schlicht unwahr – denn keinem Unternehmen oder Softwareanbieter wird es gelingen, ein System absolut sicher zu gestalten. Es gibt aber viele Punkte, die noch immer vernachlässigt werden, für die jedoch schnell Lösungen gefunden werden sollten.

Server
Der Ort der Installation ist die erste Stellschraube der möglichst sicheren IT-Umgebung. Viele Unternehmen setzen derzeit auf bekannte Anwendungen auf öffentlichen Servern der Softwarehersteller wie z.B. Google, Amazon oder Microsoft. So bequem diese Lösung auch scheinen mag, gibt es hier eklatante Sicherheitsprobleme, allen voran der sogenannte „Cloud Act“, der es US-amerikanischen Behörden ermöglicht, Daten einzusehen, die auf den Servern US-amerikanischer Firmen abgelegt sind. Dabei spielt es keine Rolle, in welchem Land der Erde die Firma sitzt, die die Server nutzt oder in welchem Land die Server stehen.

Abgesehen von diesen gesetzlich legitimierten Zugriffen Dritter weiss der Nutzer auch nie, wer sonst noch Zugriff auf die Daten hat. Mit der Frage nach dem Zugriff scheiden gemäss der DSGVO nahezu alle Anbieter von Public Clouds für Unternehmen aus. Des weiteren hat jedes Unternehmen, das seine Daten selbst hostet oder hosten lässt, auch vollen Zugriff auf die Sicherungsmechanismen der eigenen Server und kann diese individuell anpassen.

Nutzungsbedingungen von Public Clouds oder Softwareanwendungen
Das bekannteste Beispiel für heftig kritisierte Nutzungsbedingungen dürfte der Messenger ICQ sein. Bei den vom Betreiber ICQ Inc. am 7. Juni 2000 festgelegten Nutzungsregeln verzichtet der Benutzer auf alle seine geistigen Eigentumsrechte an den über den ICQ-Service zugänglich gemachten Daten, was z. B. beim Senden von Informationen und Dateien durch Instant Messaging der Fall ist.

Auszug aus den ICQ Nutzungsbedingungen:

“You agree that by posting any material or information anywhere on the ICQ Services and Information you surrender your copyright and any other proprietary right in the posted material or information. You further agree that ICQ Inc. is entitled to use at its own discretion any of the posted material or information in any manner it deems fit, including, but not limited to, publishing the material or distributing it.[18]”

„Sie stimmen zu, dass Sie Ihr Urheberrecht sowie jegliche andere Eigentumsrechte an gesendetem Material durch das Senden aufgeben. Des Weiteren stimmen Sie zu, dass ICQ Inc. befugt ist, nach eigenem Ermessen jegliches gesendete Material oder gesendete Informationen in jeder Art und Weise zu benutzen, beispielsweise, aber nicht ausschließlich, indem es das Material veröffentlicht oder verbreitet.“ (Quelle: Wikipedia)

Wie viele Informationen die Anbieter solcher Kommunikationslösungen tatsächlich abgreifen, ist kaum bekannt.

„Blackbox Software“
Software, deren Quellcode für niemanden ausser den Entwickler einsehbar ist, ist für alle Anwender eine Black Box. Das bedeutet, dass niemand wirklich sehen kann, was im Code genau passiert, ob Daten abgezweigt werden oder überhaupt sinnvoll geschützt sind. Gibt meine Software Daten an den Hersteller weiter? Informiert mich der Hersteller rechtzeitig über Sicherheitslücken und Updates? Diese Fragen werden zwar häufig in den AGB beantwortet, aber zumindest bei Privatanwendern werden diese kaum gelesen, die Formulierungen sind (teilweise absichtlich) unnötig kompliziert gehalten und lang. Bequemlichkeit und Gewohnheit haben hier zu einer gefährlichen Schieflage geführt, in der kaum noch jemand die vorangestellten AGB liest. Anders ist kaum zu erklären, weshalb so viel private und auch geschäftliche Kommunikation über diese unsicheren Anwendungen geführt wird.

Schatten-IT
Die sogenannte Schatten-IT bezeichnet Systeme, die in Unternehmen angewendet werden, ohne dass die IT-Abteilung des Unternehmens davon „weiss“. Dazu zählen neben nicht erlaubter Software auf Dienstgeräten auch Privatgeräte am Arbeitsplatz, insofern über diese arbeitsrelevante Themen behandelt werden. Das wohl bekannteste Beispiel hier dürfte die Verwendung von WhatsApp für Firmenchats sein. Das ist nicht nur bedenklich, weil wohl die wenigsten eine kommerzielle Lizenz dafür erworben haben, sondern auch, weil diese Praxis die Datensicherheit in Unternehmen gefährdet. WhatsApp ist einer der meistgenutzten Messenger der Welt, entsprechend hoch ist das Aufkommen an Schadsoftware für entsprechend beliebte Produkte. Werden diese privaten Geräte in das Firmennetzwerk eingebunden oder gar auf Dienstgeräten benutzt, kann ein erheblicher materieller Schaden entstehen. Und als Facebook-Tochter finden wir hier auch zwei andere Punkte der Problematik wieder: den Serverstandort und Sitz des Anbieters (Cloud Act) und auch hierbei handelt es sich um eine Blackbox. Besonders erschreckend war für uns die Meldung aus dem EU-Parlament. Die linke Fraktion im Parlament wollte den Messenger „Signal“ benutzen, dies wurde vom Parlament aufgrund von Sicherheitsbedenken abgelehnt und stattdessen WhatsApp empfohlen. Nach einer Welle der Empörung empfahl man schliesslich Jabber und wollte Signal prüfen.

Physischer Verlust und Verlust durch technische Defekte
Ebenfalls betrachtenswert ist die Schadensbegrenzung im Verlustfall, ob durch Diebstahl, Verlust oder einen technischen Ausfall. Im Falle eines Diebstahls oder anderweitigen Verlusts von Geräten, sollte die umgehende Sperrung eingeleitet werden. Auch die Verwendung von z.B. Passwortmanagern birgt bestimmte Risiken, so zum Beispiel, wenn ein Notebook entwendet wird, der Passwortmanager sich aber nicht abmeldet, sobald das Notebook heruntergefahren oder zugeklappt wird, auch hierfür sollten alle Mitarbeiter geschult sein. Gegen technische Defekte kann man sich nur bedingt schützen, sollte aber in jedem Fall darauf vorbereitet sein. Regelmässige Backups gehören ebenfalls zu einem verantwortungsvollen Umgang mit sensiblen Daten, wie ein sinnvolles Monitoring der Hardware, wie z.B. Server- und andere Festplatten. Im Fall einer z.B. defekten Festplatte ist die vollständige Wiederherstellung nahezu unmöglich, weshalb bestenfalls Backups und/oder redundante Systeme zur Verfügung stehen sollten.

Lösungsstrategien:

Selbsthosting / On-Premise Hosting
Die sicherste Möglichkeit, nicht über Fallstricke von Public Clouds zu stolpern: Selbst hosten. Die Verwendung eigener Server in einem selbst gewählten Rechenzentrum ist ein essenzieller Schritt auf dem Weg, die Datenhoheit zurückzuerlangen. Der Nutzer hat hier die Möglichkeit, sich selbst ein Bild vom Rechenzentrum zu machen und vor allem die Werkzeuge in der Hand, seine Server nach eigenen Massstäben gegen Fremdzugriffe zu sichern.

Open Source statt Blackbox
Die Verwendung von Open Source bietet neben den viel erwähnten Kosteneinsparungen vor allem auch die Lesbarkeit des Quellcodes. Wer Open Source Software im Unternehmen verwendet, kann den Code jederzeit selbst prüfen oder Experten mit der Prüfung beauftragen. Damit ist der Quellcode jederzeit nachvollziehbar und bietet nebenbei noch viel mehr Spielraum für individuelle Anpassungen. Open Source ist schon lange nicht mehr, was ihr Ruf einmal aussagte. Früher von nicht Kundigen als hakelige und komplizierte Spielerei von Nerds verschrien, ist Open Source heute eine der besten Chancen, die die Software-Welt bietet und bezüglich der DSGVO auch eine der sichersten Lösungen.

Klare Trennung von privaten und geschäftlichen Anwendungen
Im Idealfall werden private Geräte nicht für geschäftliche Belange verwendet. Sollte dies jedoch unmöglich sein, gilt es, die Mitarbeiter im Umgang mit sensiblen Daten zu schulen. So sollten z.B. bei jeder Anwendung auf Tablet und Smartphone die Zugriffsrechte geprüft werden. Braucht das Bluetooth-Grillthermometer unbedingt Zugriff auf mein Telefonbuch? Muss diese oder jene Anwendung unbedingt auf mein Mikrofon zugreifen? In Sicherheitsschulungen sollte daher umfangreich behandelt werden, wie man Apps und anderen Anwendungen Berechtigungen entzieht, die nicht für den Betrieb notwendig sind oder auch, wo man diese Informationen über Zugriffsrechte findet, bevor man die App überhaupt herunterlädt. Statt einer Software, die eigentlich für den privaten Gebrauch gedacht ist, sollten Unternehmen über eigene Softwarelösungen nachdenken, die ihre Sicherheitsanforderungen erfüllen.

Software Updates und Einspielen aktueller Patches
Halten Sie alle Anwendungen auf PCs, Notebooks, mobilen Geräten und Servern aktuell und achten Sie darauf, bereitgestellte Updates und Patches zeitnah einzuspielen. Leider sind Updates aufgrund des Zeitaufwandes nicht unbedingt beliebt. Werden diese jedoch vernachlässigt, beeinträchtigt das die Nutzung (neue oder verbesserte Funkionen können nicht genutzt werden) und entstandene Sicherheitslücken bieten möglicherweise eine unnötige Angriffsfläche für Hacker oder Viren. Informieren Sie auch Mitarbeiter regelmässig über notwendige Updates oder zentral durchgeführte oder geplante Anpassungen. Perfekt eignet sich dafür eine Broadcast Nachricht über den internen Messenger (wie z.B. VNCtalk). Vermeiden Sie Schatten IT im Unternehmen!

Massgeschneiderte Lösungen für die eigenen Kommunikationsbedürfnisse
Um nicht auf Blackbox-Anwendungen angewiesen zu sein, besteht die Möglichkeit, sich eine individuelle Lösung auf Basis von Open Source zu lizenzieren. Open Source ist nicht automatisch Freeware, auch hier können Kosten anfallen, die jedoch in den meisten Fällen deutlich unter denen von Closed Source Anwendungen liegen. Weitere Vorteile von Open Source sind die Skalierbarkeit und zahlreiche Individualisierungsmöglichkeiten. Statt eines vorgefertigten Systems mit fehlenden oder unerwünschten Funktionen lassen sich z.B. mit VNClagoon völlig neue Anwendungspakete ganz nach Kundenwunsch erstellen. Solche individuellen Lösungen können nicht nur die Sicherheit im Unternehmen stärken, sondern z.B. auch das Corporate Design eines Unternehmens umsetzen, indem die Lösung auch optisch individuell angepasst wird und damit nicht nur eine sichere, sondern auch intuitive und optisch ansprechende Umgebung schafft.

Zusammenfassung

Neben der regelmässigen Sicherungen der Hardware in Form von Backups bieten vor allem selbst gehostete Open-Source-Angebote grosse Flexibilität und Sicherheit. Schatten-IT und Public Clouds, die von unzähligen weiteren Unternehmen genutzt werden, deren Quellcodes aber nicht einsehbar sind, stellen für Unternehmen aber auch öffentliche Stellen ein erhebliches Sicherheitsrisiko dar. Die regelmässige Überprüfung der eigenen Hard- und Software sowie Schulung der Mitarbeiter im Umgang mit sensiblen Daten und Privatanwendungen im Firmenumfeld können dazu beitragen, die Sicherheit der eigenen IT-Infrastruktur zu erhöhen.

Sie haben Fragen oder weitere IT sicherheitsrelevante Punkte, die diskutiert werden sollten? Kontaktieren Sie uns: info@vnc.biz

Shares
Share This