IT-Sicherheit - SAM COMPUTER + TECHNIK

Transcription

IT-Sicherheit - SAM COMPUTER + TECHNIK
ersky Lab
pfehlung von Kasp
Em
it
m
,
en
m
eh
rn
Für kleine Unte
t
i
e
h
r
e
h
c
i
IT-S
Präsentiert von
Georgina Gilmore
Peter Beardmore
Über Kaspersky Lab
Kaspersky Lab ist der weltweit größte Anbieter von ITSicherheitslösungen für Endgeräte in privater Hand.
Das Unternehmen zählt weltweit zu den Top Vier unter
den Anbietern von Sicherheitslösungen für Nutzer von
Endgeräten.* In seiner mehr als 15-jährigen Geschichte war
Kaspersky Lab durchgehend ein Innovator in der IT-Sicherheit
und bietet effektive Lösungen zur digitalen Sicherheit für
Großunternehmen sowie für kleine und mittelständische
Unternehmen und Verbraucher. Kaspersky Lab ist derzeit
weltweit in fast 200 Ländern und Gebieten tätig und bietet mehr
als 300 Millionen Nutzern weltweit Schutz.
Erfahren Sie mehr auf www.kaspersky.ru/business
* Das Unternehmen hat in der Studie Worldwide Endpoint Security Revenue
by Vendor der International Data Corporation (IDC) im Jahr 2011 den vierten
Platz belegt. Die Bewertung wurde im IDC-Bericht ‘Worldwide Endpoint
Security 2012–2016 Forecast and 2011 Vendor Shares’ (IDC #235930, Juli 2012)
veröffentlicht. Im Bericht wurden Softwareverkäufer nach den Einnahmen
durch den Verkauf von Sicherheitslösungen für Endgeräte im Jahr 2011
bewertet.
IT-Sicherheit
Kaspersky Lab Limited Edition
IT-Sicherheit
Kaspersky Lab Limited Edition
Von Georgina Gilmore und
Peter Beardmore
IT-Sicherheit für Dummies®, Kaspersky Lab Limited Edition
Veröffentlicht von
John Wiley & Sons, Ltd
The Atrium
Southern Gate, Chichester
West Sussex, PO19 8SQ
England
Um genaue Informationen darüber zu erhalten, wie Sie ein maßgeschneidertes Für Dummies-Buch
für Ihr Unternehmen oder Ihre Organisation erstellen können, kontaktieren Sie
CorporateDevelopment@wiley.com. Zum Erhalt von Informationen über die Lizenzierung der Marke
Für Dummies für Produkte oder Dienstleistungen, kontaktieren Sie BrandedRights&Licenses@
Wiley.com.
Besuchen Sie uns auf www.customdummies.com
Copyright © 2014 by John Wiley & Sons Ltd, Chichester, West Sussex, England
Alle Rechte vorbehalten. Kein Teil dieser Veröffentlichung darf ohne die schriftliche Genehmigung
des Herausgebers vervielfältigt, in einem Datenabfragesystem gespeichert oder in jedweder Form
auf elektronischem oder mechanischem Weg, durch Fotokopie, Aufnahme, Scannen oder auf
anderem Weg übertragen werden, außer es gelten die Richtlinien des Copyright, Designs and
Patents Act 1988 oder die Richtlinien einer Lizenz, die von der Copyright Licensing Agency Ltd,
90 Tottenham Court Road, London, W1T 4LP, Vereinigtes Königreich, ausgestellt wurde. Anfragen
an den Herausgeber bezüglich der Genehmigung sind an das Permissions Department, John Wiley
& Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, England oder per
E-Mail an permreq@wiley.com zu richten oder an die Nummer (44) 1243 770620 zu faxen.
Markenzeichen: Wiley, die Bezeichnung „Für Dummies”, das Dummies-Mann-Logo, A Reference for
the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way, Dummies.com und
darauf bezogene Gestaltungen sind Markenzeichen oder eingetragene Markenzeichen von John
Wiley & Sons, Inc. und/oder der Tochtergesellschaften in den Vereinigten Staaten und in anderen
Ländern und dürfen ohne schriftliche Genehmigung nicht verwendet werden. Alle anderen
Markenzeichen gehören den jeweiligen Eigentümern. John Wiley & Sons, Inc. steht in keiner
Verbindung mit den in diesem Buch erwähnten Produkten oder Verkäufern.
HAFTUNGSBESCHRÄNKUNG/HAFTUNGSAUSSCHLUSS: DER VERLAG, DER AUTOR UND ALLE WEITEREN
PERSONEN, DIE AN DER ANFERTIGUNG DIESES WERKS BETEILIGT WAREN, MACHEN KEINE ZUSICHERUNGEN
UND GEBEN KEINE GARANTIEN IN HINBLICK AUF DIE GENAUIGKEIT ODER VOLLSTÄNDIGKEIT DES INHALTS IN
DIESEM WERK AB UND SCHLIESSEN BESONDERS JEDE HAFTUNG, EINSCHLIESSLICH DER GARANTIEN ZUR
TAUGLICHKEIT FÜR BESTIMMTE ZWECKE, AUS. DURCH DEN VERKAUF ODER DURCH WERBEMATERIAL
ENSTEHT KEINE GARANTIE BZW. KEINE GARANTIEVERLÄNGERUNG. DIE IN DIESEM BUCH ENTHALTENEN
RATSCHLÄGE UND STRATEGIEN SIND MÖGLICHERWEISE NICHT FÜR ALLE SITUATIONEN GEEIGNET. DIESES
WERK WIRD MIT DEM HINWEIS VERKAUFT, DASS DER VERLAG KEINE RECHTLICHEN, BUCHHALTERISCHEN
ODER ANDEREN FACHLICHEN DIENSTLEISTUNGEN ANBIETET. FALLS FACHLICHE UNTERSTÜTZUNG BENÖTIGT
WIRD, SOLLTEN DIE DIENSTLEISTUNGEN EINES SACHKUNDIGEN EXPERTEN IN ANSPRUCH GENOMMEN
WERDEN. WEDER DER VERLAG NOCH DER AUTOR IST HAFTBAR FÜR SCHÄDEN, DIE DURCH DIESES WERK
ENTSTEHEN. DIE TATSACHE, DASS IN DIESEM WERK EIN UNTERNEHMEN ODER EINE WEBSEITE ZITIERT WIRD
UND/ODER ALS POTENTIELLE QUELLE WEITERER INFORMATIONEN ANGEGEBEN WIRD, BEDEUTET NICHT,
DASS DER AUTOR ODER DER VERLAG MIT DEN INFORMATIONEN, DIE DAS UNTERNEHMEN ODER DIE
WEBSEITE MÖGLICHERWEISE ZUR VERFÜGUNG STELLEN ODER DEN MÖGLICHEN EMPFEHLUNGEN
EINVERSTANDEN IST. WEITER SOLLTEN SICH LESER DER TATSACHE BEWUSST SEIN, DASS INTERNETSEITEN, DIE
IN DIESEM WERK GENANNT WERDEN, SICH WÄHREND DES ZEITRAUMS, IN DEM DAS BUCH VERFASST WURDE
UND IN DEM ES GELESEN WIRD, MÖGLICHERWEISE GEÄNDERT HABEN ODER GELÖSCHT WURDEN.
Wiley veröffentlicht die Bücher auch in verschiedenen elektronischen Formaten. Einige Inhalte,
die in den Druckversionen verfügbar sind, sind für die E-Books möglicherweise nicht verfügbar.
ISBN: 978-1-118-84821-0 (Taschenbuch); 978-1-118-84820-3 (E-Book)
Gedruckt und gebunden in Großbritannien von Page Bros, Norwich
Einführung
W
illkommen bei IT-Sicherheit für Dummies – Ihrem
Leitfaden zu einigen der IT-Herausforderungen, mit
denen Unternehmen aller Größen in der heutigen mit dem
Internet verbundenen Welt konfrontiert werden. Dieses
Buch gibt wertvolle Tipps und Hinweise und hat zum Ziel,
Ihrem Unternehmen dabei zu helfen, dass sensible
Informationen auch sicher bleiben – damit die Wahrscheinlichkeit, dass behördliche oder rechtliche Sanktionen
verhängt werden oder dass der Ruf Ihres Unternehmens
Schaden erleidet, verringert wird.
Obwohl die Errungenschaften in der Welt der Computer im
letzten Jahrzehnt Unternehmensinhabern dabei geholfen
haben, Kosten zu senken, die Effizienz zu steigern und den
Kunden einen qualitativ besseren Service bieten zu können,
haben diese neuen Technologien für Hacker Möglichkeiten
geschaffen, Unternehmen anzugreifen. Unternehmen (auch
diejenigen, die denken, dass sie über keine vertraulichen
Informationen verfügen, die sie schützen müssen) sollten
sich heute mehr denn je der Risiken bewusst sein und
wissen, wie sie diese vermeiden können ... deshalb haben
wir dieses Buch geschrieben.
Über dieses Buch
Obwohl es klein ist, steckt dieses Buch voller Informationen, die Unternehmen dabei helfen, herauszufinden,
wie sie ihre vertraulichen Informationen – einschließlich
sensibler Kundendaten – am besten sichern und wie sie
ihre Computer und mobilen Geräte vor Viren, böswilligen
Angriffen und mehr schützen können.
2
Von den kleinsten Betrieben bis hin zu den größten Unternehmen: Alle sind dem Risiko ausgeklügelter Methoden
ausgesetzt, die Hacker verwenden, um auf vertrauliche
Informationen zugreifen und Geld von Unternehmensbankkonten oder sensible Daten stehlen zu können.
Während große multinationale Unternehmen es sich leisten
können, für die IT-Sicherheit zuständige Expertenteams
anzustellen, haben kleinere Betriebe eher keine interne
IT-Sicherheitsabteilung. IT-Sicherheit für Dummies hilft
Unternehmen dabei, sie für die folgenden Themen zu
sensibilisieren:
✓warum praktisch alle Unternehmen über sensible
Daten verfügen, die es zu schützen gilt,
✓Umfang und Art der heutigen IT-Sicherheitsrisiken,
✓einfache, kostenlose Maßnahmen, die Unternehmen
dabei helfen, vertrauliche Informationen zu schützen,
✓leicht einzusetzende Produkte, die die
Informationssicherheit stark verbessern können.
Törichte Annahmen
Damit wir garantieren können, dass dieses Buch die
Informationen bietet, die Sie benötigen, haben wir einige
Annahmen über Sie getroffen:
✓In Ihrem Unternehmen oder in dem Unternehmen,
das Sie leiten oder für das Sie arbeiten, werden Laptops, Desktops und / oder mobile Geräte eingesetzt.
✓Sie müssen sicherstellen, dass Ihr Unternehmen nicht
mit Vorschriften zur Informationssicherheit in
Konflikt gerät.
✓Sie möchten sicherstellen, dass die vertraulichen
Informationen Ihres Unternehmens auch vertraulich
bleiben.
3
✓Sie möchten gerne erfahren, wie Sie Angriffe von
Hackern, die den täglichen Betrieb Ihres
Unternehmens beeinträchtigen, verhindern können.
✓Möglicherweise überlegen Sie, einige Ihrer
Unternehmensinformationen in der „Cloud” zu
speichern.
✓Sie freuen sich über Hilfe bei der Wahl der
IT-Sicherheitssoftware, die zu Ihrem Unternehmen
passt.
Wie dieses Buch aufgebaut ist
IT-Sicherheit für Dummies ist in sechs prägnante,
informationsreiche Kapitel aufgeteilt:
✓Kapitel 1: Warum alle Unternehmen sensible
Informationen schützen müssen. Wir erläutern die
Risiken eines falschen Gefühls der Sicherheit.
✓Kapitel 2: Herausfinden, was Ihr Unternehmen
benötigt. Obwohl Sicherheit für alle Unternehmen
relevant ist, wird in diesem Kapitel darauf
eingegangen, wie unterschiedlich
Sicherheitsanforderungen sein können.
✓Kapitel 3: Die Wahrheit über Sicherheitsbedrohungen. Erfahren Sie, warum die heutige
Informationstechnik komplexer ist und die
Bedrohungen für Unternehmen gefährlicher sind.
✓Kapitel 4: Eine bessere Informationssicherheit
planen. Bewerten Sie die Risiken – und stellen Sie
dann sicher, dass Ihr Unternehmen weiß, wie diese
umgangen werden können. Wir nennen auch einige
Punkte, die Sie berücksichtigen sollten, wenn Sie
Informationen sicher in der „Cloud” speichern
möchten.
4
✓Kapitel 5: Eine Sicherheitssoftware wählen, die zu
Ihrem Unternehmen passt. Auf dem Markt stehen
viele Produkte zur Auswahl. Wir erklären, welche
Faktoren Ihnen dabei helfen können, die richtige Wahl
zu treffen.
✓Kapitel 6: Zehn Fragen, die Ihnen dabei helfen,
herauszufinden, wie Sie Ihr Unternehmen schützen
können. Verwenden Sie bei der Überlegung, was Sie
zum Schutz Ihres Unternehmens benötigen, diese
Fragen als nützliche Checkliste.
Symbole, die in diesem Buch
verwendet werden
Damit Sie die von Ihnen benötigten Informationen noch
einfacher finden können, verwenden wir diese Symbole
zum Hervorheben der wichtigsten Textstellen:
P
TIP
WI
TIG
CH
Dieses Symbol weist auf erstklassige Ratschläge hin.
Mit diesem Symbol werden wichtige Informationen
hervorgehoben, die Sie berücksichtigen sollten.
HI
EIS
NW
Vorsicht vor diesen möglichen Fallstricken!
Wie es weitergeht
Dieses Buch ist schnell und einfach zu lesen. Sie können in
beliebiger Reihenfolge darin schmökern oder es von vorne
bis hinten durchlesen. Egal, welche Methode Sie bevorzugen, wir sind uns sicher, dass Sie darin hervorragende
Tipps darüber erhalten, wie Sie die Daten Ihrer Kunden und
andere wertvolle Informationen, die Ihr Unternehmen
speichert und verarbeitet, schützen können.
Kapitel 1
Warum alle Unternehmen sensible
Informationen schützen müssen
In diesem Kapitel
▶ B
ewertung der zusätzlichen Belastungen für kleinere
Unternehmen.
▶ S
chützen wertvoller Unternehmensinformationen.
▶ V
ermeiden der Gefahren eines falschen Gefühls der
Sicherheit.
▶ Verstehen, warum Cyberkriminelle es auf
Unternehmen aller Größen abgesehen haben.
I
n diesem ersten Kapitel sehen wir uns einige der Gründe
an, warum Unternehmen Informationssicherheitsrisiken
ausgesetzt sind – und warum es nicht klug ist, zu versuchen,
diese Sicherheitsprobleme unter den Teppich zu kehren.
Unternehmen sind Zielscheibe von Angriffen
Im Informationszeitalter ist Wissen Macht. Die Informationen,
die Ihr Unternehmen z. B. über spezielles Fachwissen, seine
Produkte und seine Kunden aufbewahrt, sind entscheidend
für den weiteren Erfolg. Wenn Sie nicht mehr in der Lage
wären, auf einige dieser wertvollen Informationen
zuzugreifen, könnte dies dem täglichen Betrieb Ihres
Unternehmens schaden. Oder noch schlimmer: Welche
6
Konsequenzen hätte es, wenn diese Informationen in die
falschen Hände gerieten – in die Hände eines Kriminellen?
Und was wäre, wenn ein Krimineller Zugriff auf Ihre
Computer hätte und die Daten des Online-Bankkontos Ihres
Unternehmens stehlen könnte? Hoppla!
Leider werden Unternehmen aller Größen von Cyberkriminellen angegriffen. Diese setzen eine Vielzahl von Methoden
ein, um den Unternehmensbetrieb zu stören, Zugriff auf
vertrauliche Informationen zu erhalten und Geld zu stehlen.
In vielen Fällen ist sich das zum Opfer fallende Unternehmen
des Angriffs gar nicht bewusst ... bis es zu spät ist.
Internetkriminalität und Cyberkriminelle
Kriminelle haben es schon immer gut verstanden, neue
Möglichkeiten zu entdecken, eine Schwäche auszunutzen und
dabei zu Lasten anderer an Geld zu kommen. Ob ein lockeres
Schloss an einem Bürofenster oder ein leicht zu umgehender
Einbruchalarm: Kriminelle nutzen jede Chance, sich eine Schwäche
zu Nutze zu machen. Im heutigen Zeitalter des Internets ist jedoch
eine neue Art des Kriminellen entstanden ... der Cyberkriminelle.
Die Internetkriminalität umfasst ein weites Spektrum an kriminellen
Handlungen, die über IT-Systeme und / oder das Internet
durchgeführt werden. Es ist zu einfach, die Bedrohung durch die
Internetkriminalität nicht ernst zu nehmen – und so machen es
Unternehmen den Cyberkriminellen noch leichter, Profit zu schlagen.
Cyberkriminelle sind sehr gut organisiert und geübt darin,
ausgeklügelte Pläne zu entwickeln, um Unternehmenscomputer
anzugreifen, Zugriff auf vertrauliche Informationen zu erhalten und
Geld zu stehlen. Oft ist die finanzielle Rentabilität enorm, die Kosten
für die Durchführung des Angriffs sind jedoch sehr niedrig. Dadurch
erzielen sie einen Ertrag, von dem andere Kriminelle nur träumen
können! Aus diesem Grund steigt die Internetkriminalität weiter an.
7
Kleinere Unternehmen – größerer Druck
In vielerlei Hinsicht werden auch kleinere Unternehmen mit
den allgemeinen, alltäglichen Problemen, mit denen sich
große Unternehmen auseinandersetzen müssen, konfrontiert ... und hinzu kommen noch viele zusätzliche Herausforderungen. Alle Unternehmen müssen Wege finden, sich
der aktuellen Marktsituation anzupassen, auf die Aktivitäten
der Konkurrenz zu reagieren und dabei gleichzeitig den sich
ändernden Bedürfnissen und Vorlieben der Kunden einen
Schritt voraus zu sein. Gleichzeitig müssen sich die meisten
wachsenden Unternehmen aber auch mit vielen anderen
Problemen, die sich durch die wachsende Unternehmensgröße ergeben, befassen.
Zu diesen zusätzlichen Herausforderungen gehören:
✓Wege finden, mit einer wachsenden Anzahl an Kunden
– und mit höheren Einnahmen – umzugehen,
✓zusätzliche Mitarbeiter regelmäßig aus- und weiterbilden, um die steigende Nachfrage zu bewältigen,
✓ein größeres Betriebsgelände finden und den Umzug
organisieren, ohne dabei den alltäglichen Betrieb zu
stören,
✓zusätzliche finanzielle Mittel sichern, damit das Unternehmen vergrößert werden kann,
✓neue Bürostandorte gründen,
✓Zeit finden, um über die Dinge nachzudenken, mit
denen große Unternehmen locker umgehen – zum
Beispiel darüber, wie man die Daten der Kunden
sichert.
All diese Aufgaben sind notwendig, um sicherzustellen, dass
das Unternehmen effizient bleibt und für den nächsten
Wachstumsschritt bereit ist.
8
Das ist nicht meine Aufgabe!
Dann gibt es da noch die verschiedenen Verantwortungen,
die Unternehmensgründer und Angestellte übernehmen
müssen. Hier gilt von vornherein, dass ein Ein-Mann-Betrieb
(oder ein Eine-Frau-Betrieb) oder eine kleine Gruppe hoch
motivierter Individuen in einem kleinen Unternehmen alle
Hände voll zu tun hat. Jeder muss sich um viel mehr Aufgaben kümmern als er es vielleicht an seinem vorherigen
Arbeitsplatz gewohnt war. In der Regel gibt es keine Personalabteilung, keine Rechtsabteilung und keine IT-Abteilung, auf
die man zurückgreifen kann.
Wenn Ihr Unternehmen erfolgreich sein soll, muss jeder
mehr erreichen als nur ein Hansdampf in allen Gassen zu
sein. Sie und Ihre Kollegen wissen, dass alles gemeistert
werden muss, was zur Unternehmensführung gehört.
Ja, Experten kann man auf Stundenbasis anstellen, aber das
kostet wertvolles Geld. Jeder Euro, der für Dinge ausgegeben
wird, die nicht zu den Haupttätigkeiten des Unternehmens
gehören, schränkt die Investitionsmöglichkeiten in anderen
wichtigen Bereichen ein und kann sogar das Unternehmenswachstum bremsen.
Warum ist das mit der IT so eine Sache?
Für die meisten Unternehmen ist es undenkbar, ganz ohne
IT (z. B. ohne Laptops) auszukommen. Auch wenn die IT nur
ein Mittel zum Zweck ist, ist sie ein Schlüsselwerkzeug, das
dabei hilft, die Unternehmenseffizienz zu steigern und die
Interaktion mit den Kunden, Mitarbeitern und Lieferanten zu
verbessern. IT muss jedoch dem Geschäft dienen – und das
bedeutet, dass sie leicht einzuführen und zu verwalten sein
muss. Genauso muss eine Sicherheitssoftware, die die
Computer und vertraulichen Informationen des Unternehmens schützt, leicht handzuhaben sein.
9
Das da draußen ist ein Dschungel ... also bewaffnen Sie sich!
Unternehmen, die Computer als notwendiges Übel ansehen,
haben sehr wahrscheinlich eine ähnliche Ansicht, wenn es
um die sichere Speicherung der Informationen auf diesen
Computern geht. Wenn IT nicht Ihre starke Seite ist, ist diese
Sichtweise absolut verständlich.
Es ist jedoch eine traurige Tatsache, dass die Sicherheit von
Unternehmensinformationen so wichtig wie noch nie ist –
und zwar für Unternehmen aller Größen. Bei dem heutigen
hohen Niveau der Bedrohungen – und Cyberkriminelle
nutzen regelmäßig Internetverbindungen, um Unternehmenscomputer zu hacken – kann es sich kein Unternehmen mehr
leisten, das Thema Sicherheit zu ignorieren. Auch wenn Ihr
Unternehmen nur ein paar einfache Schutzmaßnahmen
anwendet, könnte dies reichen, um Ihnen viel Kummer zu
ersparen und einen beachtlichen Geldbetrag zu retten.
Es ist absolut in Ordnung, IT-Sicherheit und
Datensicherheit als notwendige Übel anzusehen ...
vorausgesetzt, Sie legen viel Wert auf das Wort
„notwendig”! Dann ist das „Übel” nur eine Erinnerung an die Cyberkriminellen, die unschuldige
Unternehmen angreifen.
EIS
NW
Ein Einzelhändler würde im Traum nicht daran
denken, seine Kasse offen zu lassen und damit
einem vorbeigehenden Verbrecher die Gelegenheit
zu bieten, Geld daraus zu entwenden. Genauso
muss jedes Unternehmen, das Computer, mobile
Geräte oder das Internet einsetzt, sicherstellen,
dass seine IT keine Angriffsfläche bietet. Man wird
einfach zu leicht ein unwissentliches Opfer eines
Cyberkriminellen, der die versteckten Sicherheitsschwächen Ihrer Laptops, Tablet-PCs und Smartphones ausnutzt. Daher müssen Sie alles in Ihrer
Macht Stehende unternehmen, um sicherzustellen,
HI
WI
TIG
CH
10
dass ein Cyberkrimineller keine sensiblen Informationen stehlen oder Ihre Online-Bankkonten
abräumen kann.
Ein bisschen Sicherheit kann viel bewirken
Der Unterschied darin, gar nichts zu machen oder ein paar
einfache Maßnahmen zu ergreifen, kann enorm sein. Wenn Sie
anfangs nur ein paar grundlegende Sicherheitsmaßnahmen
einführen, könnte dies ausreichen, um sicherzustellen, dass der
durchschnittliche Cyberkriminelle es leichter findet, ein anderes
Unternehmen zu ärgern ... und Ihr Unternehmen in Ruhe zu lassen.
Der Graph zeigt, wie eine kleine Investition in Sicherheit die
Wahrscheinlichkeit, dass ein Schadprogramm einen erfolgreichen
Angriff ausübt, drastisch reduzieren kann.
Erfolgsrate des Schadprogramms
Investition zum Schutz
Mit zunehmender Investition in
die Unternehmenssicherheit ...
sinkt die Gefahr einer Infizierung mit einem Schadprogramm
exponentiell.
Investition in die Sicherheit
11
Sicherheit sollte Ihren Betrieb nicht bremsen
Zeit ist Geld! So, wir haben es gesagt. Natürlich ist es ein
Klischee, aber es stimmt. Jede Tätigkeit, die nicht zum
Hauptgeschäft gehört und Sie von den ertragreichsten
Aktivitäten Ihres Unternehmens ablenkt, kostet Zeit, Möglichkeiten und Geld. Geschickt und fokussiert zu sein hat Ihnen
in erster Linie die Gelegenheit gegeben, Ihr Unternehmen
aufzubauen. Das Letzte, was Sie also brauchen, ist eine
IT-Sicherheit, die Ihrem Unternehmergeist im Weg steht –
egal, wie wichtig IT-Sicherheit ist.
Alles, was Sie abbremst, kann zur Folge haben, dass Sie
weniger Zeit für die Hauptaktivitäten aufbringen, die Ihnen
einen Vorsprung vor Ihrer Konkurrenz verleihen und Ihnen
dabei helfen, Ihr Unternehmen voranzutreiben. Mit der
falschen Herangehensweise an die IT-Sicherheit und mit
ungeeigneten Schutztechnologien könnte Ihr Betrieb von
den Maßnahmen behindert werden, die eigentlich helfen
sollen, das Unternehmen zu verteidigen.
Ein einfaches Ziel für Cyberkriminelle
Bei Sorgen über Komplexität und Leistung ist es nicht
verwunderlich, dass so viele kleine Unternehmen die
IT-Sicherheit ignorieren. Obwohl neu gegründete Unternehmen und kleine Betriebe noch vor ein paar Jahren mit
dieser Denkweise davonkommen konnten, ist dies bei dem
heutigen Niveau der Internetkriminalität eine sehr unkluge
Strategie. Hinzu kommt die Tatsache, dass einige Cyberkriminelle kleine Unternehmen als einfaches Ziel ansehen,
das leichter anzugreifen ist als größere Unternehmen. Dies
macht deutlich, dass eine effektive IT-Sicherheit nicht mehr
fakultativ ist.
Die gute Nachricht ist die, dass Ihr Betrieb viele einfache
Dinge unternehmen kann, die dabei helfen, sensible
Informationen zu schützen. Außerdem wurden einige der
12
neuesten Sicherheitssoftwareprodukte speziell dafür
entwickelt, um kleineren Unternehmen mit wenig Zeit dabei
zu helfen, ihre Systeme und Informationen zu schützen.
Dank dieser Sicherheitsprodukte müssen Sie keine Kompromisse beim Schutz eingehen oder Zeit damit verschwenden,
eine komplexe Sicherheitssoftware einzusetzen, die
schwierig zu verwalten ist.
HI
EIS
NW
Sogar große Unternehmen haben manchmal nicht
die notwendigen Mittel und Ressourcen, um sich
von einer schädigenden Sicherheitsverletzung zu
erholen. Für kleinere Unternehmen ist es unter
Umständen unmöglich, ihre unternehmerische
Tätigkeit nach einem Sicherheitsvorfall
weiterzuführen.
Falsches Gefühl der Sicherheit?
Einige Unternehmen wiegen sich in einem falschen Gefühl
der Sicherheit und sind der irrtümlichen Ansicht, dass die
Cyberkriminellen nur hinter größeren Fischen her sind.
„Genau, das ist es”, sagt der Unternehmer. „Wer möchte
schon ein kleines Unternehmen wie meines angreifen, wenn
es doch größere, ertragreichere Ziele gibt? Die haben uns
einfach nicht auf ihrem Schirm.”
Es stimmt, dass ein Radarschirm einem Cyberkriminellen
nicht dabei hilft, das nächste Unternehmensopfer zu
bestimmen. Jedoch verwenden Cyberkriminelle alle Arten
von anderen Scannern, um herauszufinden, welche Unternehmen verletzlich sind – und das ist alles über das Internet
möglich. Mit diesen intelligenten Scannern können Cyberkriminelle herausfinden, welche Unternehmen in ihren
Computern Sicherheitslücken haben.
Innerhalb kürzester Zeit können die Scanner das nächste
Unternehmensopfer des Cyberkriminellen ausmachen – und
angeben, an welcher Stelle das Unternehmen verwundbar ist.
13
Das klingt vielleicht nach einer sorgfältig durchdachten
Science-Fiction-Handlung, ist aber Realität. Jeden Tag werden
diese und andere fortschrittliche Methoden verwendet, um
kleine Unternehmen anzugreifen. An einem durchschnittlichen Tag spürt Kaspersky Lab etwa 12.000 Angriffe von
Schadprogrammen auf – und diese Zahl steigt weiter an.
Kleinere Unternehmen können leichtere
Ziele für Verbrechen sein
Im Allgemeinen suchen die Cyberkriminellen nach Wegen,
den finanziellen Ertrag ihrer illegalen Aktivitäten zu
maximieren und dafür möglichst wenig Arbeit und Zeit
aufzuwenden. Obwohl es also sehr lukrativ sein könnte, die
Finanzen eines multinationalen Unternehmens anzuzapfen,
ist dabei ziemlich sicher, dass der Cyberkriminelle große
Hürden überwinden müsste, um die fortschrittlichen
Sicherheitsvorkehrungen zu umgehen, die solch ein
Unternehmen wahrscheinlich getroffen hat.
Als Alternative könnte der Cyberkriminelle sich dafür entscheiden, mehrere kleine Unternehmen anzugreifen. Ja, die
Erlöse aus jedem einzelnen Angriff sind viel geringer, aber
wenn die kleineren Unternehmen schlecht oder nicht
geschützt sind, könnte dies für den Cyberkriminellen
leichtes Geld sein. Ein Angriff auf zehn oder zwanzig kleine
Unternehmen könnte genauso viel Geld einbringen wie ein
einziger Angriff auf ein größeres Unternehmen – und viel
einfacher durchzuführen sein.
P
TIP
Weil es für kleinere Unternehmen schwierig sein
kann, Zeit für die Sicherheit aufzuwenden, machen
einige Cyberkriminelle bewusst leichte Beute mit
diesen kleineren Unternehmen. Lassen Sie nicht
zu, dass Ihr Unternehmen zu den nächsten
Opfern gehört.
14
Cyberkriminelle können kleinere
Unternehmen als Sprungbrett benutzen
Cyberkriminelle erkennen, dass kleinere Unternehmen oft
größere Unternehmen beliefern – und dies ist ein weiterer
Grund für Angriffe gegen kleinere Unternehmen. Ein Angriff
auf ein solches Unternehmen kann dem Cyberkriminellen
dabei helfen, Informationen zu stehlen, die sich möglicherweise bei einem späteren Angriff auf ein großes Unternehmen als nützlich erweisen.
Der Cyberkriminelle wählt das Unternehmen vielleicht
bewusst aufgrund seiner Beziehungen zu größeren Unternehmen aus. Eventuell erkennt ein opportunistischer Cyberkrimineller auch einfach das Potential, wenn er von
kleineren Unternehmen Kundendaten stiehlt.
Es muss nicht extra erwähnt werden, dass das kleine Unternehmen in ernsthafte Schwierigkeiten geraten kann, wenn
der darauffolgende Angriff auf das große Unternehmen
erfolgreich ist und die Rolle des kleinen Unternehmens
dabei ersichtlich wird.
Obwohl das kleinere Unternehmen unschuldig war und
nicht direkt etwas falsch gemacht hat, konnten seine
eigenen Systeme aufgrund der mangelnden Sicherheit
infiltriert werden – und dies hat dabei geholfen, einen Angriff
auf das große Unternehmen zu ermöglichen. Wenn die Rolle,
die das kleine Unternehmen dabei gespielt hat, bekannt
wird, hat dies sehr wahrscheinlich Nachwirkungen zur Folge
– zum Beispiel rechtliche Schritte, Entschädigungszahlungen, Bußgelder, den Verlust von Kunden und eine
Schädigung des Rufs des kleineren Unternehmens.
15
Verluste ... an beiden Enden des Unternehmens
Stellen Sie sich ein kleines Unternehmen vor, das von einem
Lieferanten Rohstoffe bezieht und dann seine Fertiggüter an ein
multinationales Unternehmen verkauft. Im Sinne der Effizienz
erwartet der Lieferant von seinen Kunden, einschließlich des
kleinen Unternehmens, für die Auftragserteilung und
Kommunikation ihre eigenen Onlinesysteme zu verwenden.
Ähnlich erwartet der multinationale Kunde vom kleinen
Unternehmen, dass dieses elektronische Rechnungen direkt in
seinen eigenen internen Rechnungsführungssystemen hinterlegt.
Das bedeutet, dass das kleine Unternehmen direkte elektronische
Verbindungen zu den Computersystemen des Lieferanten und des
multinationalen Kunden hat.
Wenn ein Cyberkrimineller die Computer des kleinen
Unternehmens unterwandert, könnte er Informationen erhalten,
die ihm dabei helfen, sowohl den Lieferanten als auch den
multinationalen Kunden anzugreifen. Auch wenn diese Angriffe
nicht erfolgreich sind, könnte das kleine Unternehmen viel zu
erklären haben ... und kann möglicherweise nicht mehr
elektronisch mit seinen Lieferanten und Kunden interagieren. Dies
könnte negative Auswirkungen auf die Effizienz und die
Gewinnspanne des kleinen Unternehmens haben – vor allem,
wenn die Konkurrenz von der engeren Zusammenarbeit mit
denselben Lieferanten und Kunden profitiert.
16
Kapitel 2
Herausfinden, was Ihr
Unternehmen benötigt
In diesem Kapitel
▶ Die rechtlichen und behördlichen Verpflichtungen
kennen.
▶ Die Erwartungen in Ihrer Branche bewerten.
▶ Erkennen, dass die heutigen Bedrohungen gefährlicher
sind als je zuvor.
▶ Berücksichtigen, dass die Sicherheitserfordernisse sich
unterscheiden können.
I
n diesem Kapitel schauen wir uns näher an, welche
ähnlichen Sicherheitsanforderungen verschiedene
Unternehmen haben können ... und wie sie sich
unterscheiden können.
Einige Sicherheitsanforderungen
gelten für Unternehmen aller Größen
Viele Unternehmen sind der irrtümlichen Ansicht, dass sie
nicht über Informationen verfügen, die für einen Cyberkriminellen von Wert sein könnten. Außerdem könnte der
18
Unternehmensgründer glauben, dass ein Informationsverlust keinen großen Schaden für das Unternehmen
darstellt. Leider trifft das auf Unternehmen aller Größen
nur in den seltensten Fällen zu.
Auch eine einfache Datenbank mit den Kontaktdaten der
Kunden ist für viele verschiedene Leute von Wert – von
Cyberkriminellen, die diese Daten für einen Identitätsbetrug verwenden, bis hin zur Konkurrenz, die Ihre Kunden
abwerben möchte.
Rechtliche Verpflichtungen zur Sicherung
von Informationen
In vielen Ländern unterliegen Unternehmen strengen
Vorschriften in Bezug auf die Handhabung von persönlichen Daten. Ein Nichteinhalten kann für das Unternehmen
hohe Geldbußen zur Folge haben. In einigen Fällen werden
die Geschäftsführer oder Unternehmenseigentümer rechtlich verfolgt, wobei einige Delikte sogar zu Gefängnisstrafen
führen können.
In einigen Ländern haben die rechtlichen Anforderungen
und Compliance-Vorschriften zur Verarbeitung und
Speicherung persönlicher Daten möglicherweise strengere
Verpflichtungen für größere Unternehmen zur Folge. Wenn
jedoch die betreffenden Behörden auch fordern, dass
große Unternehmen fortschrittlichere Sicherheitsvorkehrungen treffen, verlangt das Gesetz von kleineren
Unternehmen immer noch, verantwortungsvoll zu handeln
und vernünftige Schritte zu ergreifen, um alle relevanten
Informationen zu sichern.
HI
EIS
NW
Falls ein Unternehmen keine Maßnahmen ergreift,
die aufgrund seiner Größe und Art von ihm
erwartet werden können, könnte das Unternehmen in ernsthafte Schwierigkeiten geraten.
19
Noch höhere Anforderungen an die Sicherheit
In vielen Rechtssystemen sind alle Unternehmen verpflichtet, beim Umgang mit sehr sensiblen Daten oder
anderen Informationen, die bei einer unerlaubten Weitergabe einer Drittpartei einen schweren Schaden zufügen
könnten, ein höheres Maß an Vorsicht walten zu lassen.
Außerdem können bestimmte Branchen und Marktsektoren viel strengeren Sicherheitsanforderungen als
andere Branchen unterliegen. Unternehmen, die im Bereich
der Gesundheitspflege und der Justiz tätig sind, müssen
wahrscheinlich vorsichtiger mit den Informationen, die sie
verwenden, speichern und verarbeiten, umgehen.
Auch wenn diese „erhöhten Erwartungen” nicht auf Ihr
Unternehmen zutreffen, kann der Verlust vertraulicher
Daten schwere Folgen haben.
Eine Vertraulichkeitskat(z)astrophe?
Kann es ein Unternehmen geben, das weniger mit IT zu tun hat
als eine Katzenpension oder ein Katzenheim? Ist hier
IT-Sicherheit wirklich notwendig? Die Antwort ist ja! Das
Unternehmen hat die Namen und Adressen seiner Klienten
gespeichert – und dem elektrischen Kalender kann entnommen
werden, wie lange die Katzen in der Einrichtung bleiben.
Was wäre, wenn diese Informationen in die falschen Hände
geraten würden? Es ist ziemlich eindeutig, dass niemand
zuhause ist, um sich um die kleinen Tiger zu kümmern – für
Einbrecher wertvolle Informationen. Mit dem Insiderwissen
darüber, wann der Hauseigentümer nicht anwesend ist – und
wie lange er weg sein wird – können Einbrecher in aller Ruhe
Wertsachen aus dem Zuhause des Katzenbesitzers entwenden.
20
Ein unterschiedliches Maß an
Verständnis und Ressourcen
Trotz der Ähnlichkeiten einiger Sicherheitsanforderungen,
die Unternehmen aller Größen erfüllen müssen, gibt es
einige deutliche Unterschiede darin, wie Unternehmen
unterschiedlicher Größen Sicherheitsprobleme betrachten
und angehen.
Die Zeiten haben sich geändert
Die Erfahrenheit und die schonungslose Art moderner
Angriffe auf die IT-Sicherheit bedeuten, dass die heutigen
Bedrohungen sehr viel gefährlicher als die Bedrohungen
sind, die es vor ein paar Jahren gab. Wenn man dies nicht
erkennt, können Unternehmen verwundbar bleiben.
Wenn es um Informationssicherheit geht, können es sich
große Unternehmen leisten, IT-Sicherheitsexperten in
Vollzeit anzustellen. Dieser Luxus ist für Eigentümer
kleinerer Unternehmen nicht drin.
Ist die Größe wichtig?
Die Verfügbarkeit von Ressourcen ist eindeutig ein Faktor,
der kleinere von größeren Unternehmen unterscheidet.
Große Unternehmen haben interne Experten, die sachkundige Entscheidungen darüber treffen, in welche
Verteidigungstechnologien investiert werden soll. Sie
verfügen auch über die notwendigen finanziellen Mittel und
Unterstützungsressourcen, um die gewählte Lösung
einzuführen. Außerdem hat das interne Team Erfahrung in
der Entwicklung und der ständigen Verbesserung der
Sicherheitspläne und Sicherheitsvorschriften des Unternehmens, so dass das Unternehmen den Cyberkriminellen
einen Schritt voraus bleibt und die Verteidigungsstrategie
des Unternehmens keine Lücken aufweist.
21
Kleinere Unternehmen hingegen haben möglicherweise
überhaupt keine interne Sicherheitserfahrung. Bei einem
wachsenden Unternehmen frisst der Wettbewerb das
gesamte Geld, das übrig ist (hmm ... überschüssiges Geld
ist ein interessantes Konzept, aber keiner der Autoren kann
sich daran erinnern, dass er es jemals damit zu tun hatte).
Die Computersicherheit muss sich also in der Schlange
hinten anstellen und die notwendigen Ausgaben müssen
vollständig gerechtfertigt werden.
Verschiedene Sicherheitsanforderungen verstehen
Obwohl es viele Gemeinsamkeiten gibt, unterscheiden sich
die IT-Sicherheitsanforderungen unterschiedlicher Unternehmensarten. Außerdem kann es verschiedene Ansichten
darüber geben, welches Maß an Sicherheit notwendig ist
und die Informationssicherheitsanforderungen eines
wachsenden Unternehmens können sich ändern.
Kommen Ihnen einige der folgenden Unternehmensprofile
und deren Ansichten über IT-Sicherheit bekannt vor?
Das neugegründete Unternehmen
Im Alter von 36 Jahren verlässt Unternehmensgründer
Serge ein großes, zentral gelegenes Unternehmen und
gründet mit zwei seiner Kollegen eine neue Anwaltskanzlei.
Wie das Unternehmen den Einsatz von IT plant:
✓Serge und seine Kollegen sind in starkem Maße auf die
Laptops, Tablet-Computer und Smartphones
angewiesen, die ihnen ermöglichen, von fast überall
aus zu arbeiten.
✓Das Team wird einen regen Gebrauch von der
Kommunikation per E-Mail machen, um mit den
22
Klienten zu kommunizieren und wird seine Computer
zum Verfassen von Schreiben, Angeboten und
Mitteilungen verwenden.
Die Einstellung des Unternehmens zur Sicherheit:
✓Aufgrund des streng vertraulichen Charakters der
Daten der Klienten – einschließlich Informationen zu
den Finanzen – ist der Schutz sensibler Informationen
von entscheidender Bedeutung.
✓Ein Informationsleck oder -verlust wäre überaus
blamabel und könnte schwerwiegende Folgen für den
persönlichen Ruf von Serge und der Kanzlei haben.
Serge könnte sogar verklagt werden.
✓Die Sicherheit des Unternehmens ist außerordentlich
wichtig und Serge ist sich bewusst, dass eine normale
Antivirus-Software keinen ausreichenden Schutz bietet.
Serge sagt: „Wir müssen eine neue IT-Ausstattung kaufen
und installieren. Gleichzeitig müssen wir so schnell wie
möglich Einnahmen erzielen – daher muss unsere
Sicherheitssoftware das richtige Maß an Schutz bieten und
auch leicht zu installieren, zu verwalten und zu warten
sein. Außerdem muss der Anbieter der Sicherheitssoftware
jederzeit die Unterstützung bieten können, die wir
brauchen, damit wir uns darauf konzentrieren können, für
unsere Klienten da zu sein. Wenn unser Unternehmen
wächst, muss sich unsere Sicherheitslösung an die neuen
Anforderungen anpassen können.”
Das wachsende Unternehmen
Der ehrgeizige Ahmed hat mit seinen 48 Jahren viel
erreicht. Er ist der Eigentümer einer Herrenschneiderkette
mit 18 Angestellten – und das Unternehmen wächst weiter.
Wie das Unternehmen den Einsatz von IT plant:
23
✓Zusätzlich zur Eröffnung eines neuen Geschäfts wagt
sich das Unternehmen an den Online-Einzelhandel und
verkauft auf seiner Website Anzüge.
✓Durch die Expansion muss das Unternehmen neue
Technologien anschaffen – zusätzliche Kassen, PCs,
Wi-Fi-Netzwerkrouter und einen neuen Server.
✓Obwohl Ahmed den Schwerpunkt nicht auf IT setzt,
empfindet er sein neues Smartphone als nützlich für
den Zugriff auf seine E-Mails.
Die Einstellung des Unternehmens zur Sicherheit:
✓Das Unternehmen verwendet eine Antivirus-Software,
die der „technisch versierte” Neffe von Ahmed in einem
PC-Geschäft in der Fußgängerzone gekauft hat. Ahmed
weiß aber, dass dieses Produkt nicht ausreicht, um die
Unternehmensinformationen zu sichern – vor allem, da
das Unternehmen so schnell wächst. Ahmed würde
ungern erleben, dass die örtliche Konkurrenz Zugriff
auf die Stammkundenliste und auf das Preissystem hat.
✓Durch die Compliance-Anforderungen des Payment
Card Industry Data Security Standards weiß Ahmed,
dass das Unternehmen Sicherheitssoftware einsetzen
und diese stets auf dem aktuellen Stand halten muss,
damit Schwachstellen bewältigt werden können.
Ahmed sagt: „Meine Leidenschaft ist das Schneidern, und
nicht die IT. Jedoch ist jetzt der richtige Zeitpunkt, um in
eine etwas professionellere IT-Sicherheitssoftware zu
investieren – und wenn auch nur, damit ich selbst ruhiger
schlafen kann. Wir brauchen eine IT-Sicherheit, die uns den
Schutz bietet, den wir benötigen, aber einfach zu
installieren und zu verwalten ist. Ich suche nach einem
Paket, das Aufgaben selbstständig erfüllt und mir die
Möglichkeit gibt, meinen Job zu erledigen. Da ich das
Geschäft von meinem Vater übernommen habe, haben wir
24
eine beachtliche Größe erreicht. Wir werden in Kürze unser
fünftes Geschäft eröffnen und bauen unseren OnlineVerkauf auf – daher benötigen wir eine IT-Sicherheitslösung,
die mit uns wachsen kann.”
Das Unternehmen, das seine Sicherheitssoftware wechselt
Die genervte Dr. Ivana, 40, ist Seniorpartnerin einer
örtlichen Arztpraxis, zu der zwei weitere Ärzte, ein
Physiotherapeut und drei halbtags angestellte
Arzthelferinnen gehören.
Wie das Unternehmen den Einsatz von IT plant:
✓Jeder Arzt verfügt über einen Desktop-PC und ein PC
befindet sich in dem Zimmer, das der Physiotherapeut
nutzt. Zwei weitere PCs stehen an der Rezeption und
ein weiterer befindet sich im Verwaltungsbüro.
✓Das Internet und die PCs haben die Arbeitsweise in der
Praxis verändert – und es viel leichter gemacht, den
Überblick über die Patientenakten zu behalten, mehr
über neue Medikamente und Behandlungsmethoden
zu erfahren und allgemein auf dem neuesten Stand
zu bleiben.
Die Einstellung des Unternehmens zur Sicherheit:
✓Aufgrund des Vertrauens der Praxis in die IT und den
sensiblen Charakter der verwalteten Daten und
Informationen hat Dr. Ivana nie gezögert, IT-Sicherheitssoftware zu kaufen.
✓Jedoch ist die gesamte Belegschaft von der aktuell
verwendeten Sicherheitssoftware genervt. Es dauert
ewig, bis die PCs hochgefahren sind und wenn die
Sicherheitssoftware nach Schadprogrammen sucht,
kommen die PCs zum völligen Stillstand.
Dr. Ivana sagt: „Das Vertrauen der Patienten ist von
entscheidender Wichtigkeit. Darum haben wir nie gezögert,
25
Sicherheitssoftware zu installieren. Unsere aktuell genutzte
Software hat jedoch beachtliche und sehr negative
Auswirkungen auf die Leistung unserer PCs. Da jetzt die
Lizenz erneuert werden muss, ist dies der perfekte Zeitpunkt für den Wechsel zu einem Sicherheitssoftwareprodukt, das die Leistung unserer Computer nicht
beeinträchtigt, damit wir effizienter im Umgang mit den
Patienten sein können. Wir möchten einfach ein Produkt,
das hochsensible Daten schützt und uns dabei bei unseren
Bemühungen, die beste Patientenbetreuung zu bieten,
nicht im Wege steht.”
Das Unternehmen, das sich die Finger verbrannt hat
Die leidende Suzie ist die 32-jährige Inhaberin einer
erfolgreichen Marketingagentur mit 22 Angestellten. Das
Unternehmen von Suzie ist schnell gewachsen. Durch ihre
Verkaufs- und Marketingfähigkeiten hat sie schnell neue
Kunden gewonnen.
Wie das Unternehmen den Einsatz von IT plant:
✓Das Kernteam von Suzie arbeitet im Büro. Viele ihrer
Kundenbetreuer machen jedoch Kundenbesuche.
✓Obwohl das Designteam mit Apple Macs arbeitet,
verwenden die übrigen Angestellten Desktop-PCs und
Laptops sowie Smartphones.
✓Viele nutzen auch Tablet-PCs. Da die Tablets den
Mitarbeitern selbst gehören, sind sie nicht offizieller
Bestandteil der Arbeitsausstattung. Suzie jedoch
erlaubt es den Mitarbeitern gerne, die Geräte zu
benutzen – vor allem da sie denkt, dass die Agentur
damit ein Vorreiter ist.
Die Einstellung des Unternehmens zur Sicherheit:
✓Leider hat sich in der Agentur vor kurzem ein schwerer
Sicherheitsvorfall ereignet. Nach einem Meeting mit
26
einem Kunden hat einer der Kundenbetreuer seinen
Laptop mit in eine Bar genommen und der Laptop
wurde gestohlen. Darauf befanden sich einige sehr
sensible Daten – einschließlich vertraulicher Pläne
über die Markteinführung eines neuen Produkts, das
dem Kunden einen echten Marktvorsprung gewähren
würde.
✓Suzie musste den Kunden über den Vorfall informieren.
Dieser reagierte sehr verärgert darauf. Der Vorfall
wurde an die Rechtsabteilung des Kunden weitergeleitet. Es sieht auch danach aus, als ob der Kunde die
Zusammenarbeit mit der Agentur beenden wird. Die
Agentur wird also einen wichtigen Auftrag verlieren ...
und es könnten auch rechtliche Konsequenzen auf sie
zukommen.
Suzie sagt: „Wir addieren immer noch die Kosten, die durch
diesen Vorfall verursacht wurden. Jetzt ist es meine
oberste Priorität, sicherzustellen, dass so etwas auf keinen
Fall mehr passieren kann. Wir müssen uns so schnell wie
möglich einen umfassenden Schutz anschaffen. Wir
müssen aber auch sicherstellen, dass dieser Schutz leicht
zu verwalten ist, damit einer unserer Designer, der technisch unglaublich begabt ist, sich darum kümmern kann.”
Das Unternehmen, das die Daumen gedrückt hält
Der risikofreudige Raul ist 53 Jahre alt und Inhaber einer
fünfköpfigen Wirtschaftsprüfungsgesellschaft. Das
Unternehmen ist gut etabliert und hat
Sicherheitsbedrohungen nie ernst genommen. Raul hat
immer gehofft, dass ihm „so etwas nie passieren würde.”
Wie das Unternehmen den Einsatz von IT plant:
✓Raul und zwei weitere Berater verbringen viel Zeit mit
Kunden. Dank dem Einsatz von Laptops haben sie die
Möglichkeit, außerhalb des Unternehmens zu arbeiten.
27
✓Die zwei Verwaltungsangestellten des Unternehmens
verwenden Desktop-PCs.
✓Das Unternehmen verfügt auch über einen Datenserver
mit CRM-Software.
Die Einstellung des Unternehmens zur Sicherheit:
✓Raul hat vor kurzem in einem Handelsmagazin einen
Artikel über ein Konkurrenzunternehmen gelesen, das
eine sehr schwere IT-Sicherheitsverletzung erlitten hat.
Ein Sachbearbeiter hatte einen Datenanhang
heruntergeladen, der ein Schadprogramm enthielt, das
Zugriff auf vertrauliche Kundendateien nahm. Die
Sicherheitsverletzung wurde erst entdeckt, als ein
Kunde herausfand, dass seine eigenen vertraulichen
Daten im Internet verkauft werden.
✓Der Artikel machte Raul in Bezug auf die IT-Sicherheit
seines eigenen Unternehmens extrem nervös. Raul hat
jetzt erkannt, dass die kostenlose Sicherheitssoftware,
die das Unternehmen bis jetzt verwendet hat,
wahrscheinlich nicht ausreicht.
Raul sagt: „Die Branche hat sich in den letzten Jahren sehr
verändert. Jetzt wird viel mehr reguliert. Gleichzeitig müssen wir aufgrund der Art der sich in Lauerstellung befindenden Sicherheitsbedrohungen eine viel widerstandsfähigere
IT-Sicherheit einführen.”
Unterschiedliche Bedürfnisse erfordern
unterschiedliche Lösungen
Obwohl alle Unternehmen, auf die wir in diesem Kapitel
Bezug nehmen, in unterschiedlichen Branchen tätig sind
und alle unterschiedliche Erwartungen an die IT haben,
haben sie eins gemeinsam: Alle müssen wertvolle Informationen schützen. Da jedoch jedes Unternehmen verschiedene Computersysteme verwendet und unterschiedliche
28
Erfahrungen mit IT hat, unterscheiden sich ihre Sicherheitsbedürfnisse voneinander.
Natürlich basieren die oben genannten Beispiele auf
Verallgemeinerungen darüber, wie ein paar unterschiedliche Unternehmensarten verschiedene IT-Sicherheitsbedürfnisse haben können. Aber es gibt so viele
verschiedene IT-Anforderungen wie es verschiedene
Geschäftsmodelle und Unternehmensgrößen gibt.
Es ist sehr gut möglich, dass ein kleines Unternehmen mit
drei bis fünf Mitarbeitern sehr viel mit Computern arbeitet.
In solchen Fällen hat das Unternehmen wahrscheinlich ein
umfassenderes und vielfältigeres IT-Netzwerk als andere
Unternehmen einer ähnlichen Größe. Diese Art von
Unternehmen benötigt daher eine Sicherheitslösung, die
alle Komplexitäten seiner IT-Umgebung abdecken kann –
auch Internet-Gateways, Proxyserver und virtuelle
Systeme.
Kapitel 3
Die Wahrheit über
Sicherheitsbedrohungen
In diesem Kapitel
▶ Verstehen, wie die IT-Komplexität neue Belastungen
mit sich bringt.
▶ Wissen, warum Antivirus-Schutz nicht ausreicht.
▶ Informationen über Online-Bedrohungen.
▶ Online-Banküberweisungen schützen.
I
n diesem Kapitel betrachten wir, wie die steigende
Komplexität typischer Computerlösungen für Unternehmen und die verbesserten Computerviren, Schadprogramme und Internetangriffe allen Unternehmen das
Leben schwerer machen.
Es ist alles komplexer geworden
Noch vor ein paar Jahren konnte ein Unternehmensinhaber
jedes IT-Gerät, das innerhalb seines Unternehmens geschützt
werden musste, ganz einfach benennen. Genauso leicht war
es, sich vorzustellen, einen imaginären Kreis um das Computernetzwerk des Unternehmens zu ziehen. Mit einer Firewall um
alle Geräte innerhalb dieses Kreises – und der Sicherstellung,
dass auf allen Computern eine Sicherheitssoftware installiert
ist – waren Sie unangreifbar.
30
Dies galt aber nur für die Zeiten der eingeschränkten Mobilität, als es noch nicht möglich war, außerhalb des Büros auf
Unternehmensinformationen zuzugreifen und als Unternehmen noch nicht so sehr auf die IT angewiesen waren.
Ohne IT geht es nicht
Könnten Sie sich heute überhaupt vorstellen, ein Unternehmen ohne diese notwendigen Unternehmensanwendungen und ohne mobilen Zugriff auf wichtige Unternehmensinformationen „von überall aus” zu leiten? Wahrscheinlich
nicht ... da Ihre Konkurrenz dabei den großen Reibach
machen würde.
Diese technologischen Vorteile brachten jedoch auch Konsequenzen mit sich. Durch den bequemen Zugriff von überall
aus hat sich die IT-Komplexität sehr erhöht. Wenn Sie und
Ihre Kollegen über Laptops, Smartphones und Tablet-PCs auf
Informationen zugreifen, wo ist dann dieser imaginäre Kreis,
innerhalb dessen Sie Sicherheitsmaßnahmen anwenden
müssen?
BYOD (Bring Your Own Device) erhöht die
Komplexität zusätzlich
Damit das Ganze noch komplexer wird, gibt es noch die BYODInitiativen – hierbei können Mitarbeiter ihre eigenen Geräte
verwenden, um auf Unternehmensinformationen und
-systeme zuzugreifen. Damit muss bei Ihren Sicherheitsmaßnahmen nun der Zugriff von überall und von jedem Gerät aus
berücksichtigt werden.
Unternehmen haben die potentiellen Kostenersparnisse und
betrieblichen Vorteile einer BYOD-Initiative schnell erkannt.
BYOD bedeutet jedoch auch, dass sie für eine fast endlose
Reihe von mobilen Geräten Sicherheitsvorkehrungen treffen
müssen – einschließlich einer riesigen Anzahl an iPhones,
BlackBerrys, Windows Phones und Geräten mit Android,
31
Symbian oder Windows Mobile, die dem Unternehmen
vielleicht gar nicht gehören.
Glücklicherweise haben einige Sicherheitsanbieter erkannt,
dass die zunehmend komplexe IT mehr Sicherheitsalbträume
mit sich bringt. Daher haben sie netterweise innovative neue
Sicherheitslösungen entwickelt, die den Schutz der
komplexen IT – einschließlich mobiler Geräte und BYOD –
stark vereinfachen.
P
TIP
Weitere Informationen zu Fragen und Lösungen
zur mobilen Sicherheit erhalten Sie in Mobile
Sicherheit & BYOD für Dummies, erhältlich bei
allen guten Buchhändlern. Ok, es ist nicht im
Handel erhältlich, aber Sie können unter
http://www.kaspersky.com/de/byod
eine kostenlose Ausgabe herunterladen.
Antivirus oder Anti-Schadprogramm?
Einige Unternehmen denken fälschlicherweise, dass Viren und
Schadprogramme dasselbe sind – und das verleitet sie zur
Annahme, dass es keinen Unterschied zwischen Antivirus- und AntiSchadprogramm-Produkten gibt. Das ist jedoch nicht richtig und
könnte ein kostspieliger Fehler sein.
Die meisten Menschen kennen die Arten von Computerviren, die
sich von einem Computer auf den nächsten ausbreiten.
Schadprogramme, auch Malware (vom Englischen malicious =
bösartig) genannt, bezeichnen ein viel breiteres Spektrum an
bösartiger Software. Zur Malware zählen Computerviren, Würmer,
Trojanische Pferde, Ransomware, Keylogger, Spyware und viele
andere Bedrohungen.
Ein Softwareprodukt, das Schutz vor Malware bietet, schützt Ihren
Computer und Ihre Informationen also vor viel mehr als nur vor Viren.
32
Die heutigen Bedrohungen werden
immer gefährlicher
Praktisch jeder versteht ein bisschen was von Computerviren. Die meisten Menschen sind entweder Opfer einer
lästigen Virusinfektion (auf dem PC – wir werden hier nicht
persönlich) geworden oder kennen jemanden, dessen Computer bereits von einem Virus befallen wurde. Die meisten
dieser Erfahrungen – und der Anekdoten, an die sich Freunde
und Familienmitglieder erinnern – gehören jedoch zur Ära
des Cybervandalismus, als Schadprogramme, die einfach nur
zum Spaß entwickelt wurden. Heute nutzen Cyberkriminelle
Schadprogramme, um damit an Geld zu kommen.
Die risikoarmen Jahre sind vorbei
Vor Jahren waren Cybervandalen oft Studenten und Schüler,
die mit ihren Computer- und Hackingfähigkeiten angeben
wollten. Sie entwickelten und verbreiteten Viren, die auf den
Geräten, die sie infizierten, für Störungen sorgten. Vielleicht
hat der Virus ein paar Dateien gelöscht oder dafür gesorgt,
dass sich der Computer des Opfers „aufgehängt” hat.
Obwohl es den Entwicklern der Viren größtenteils einfach
darum ging, Blödsinn zu machen, konnten ihre Programme
für einige Unannehmlichkeiten sorgen.
Diese Viren bereiteten Unternehmen aber nur selten größere
und anhaltende Probleme und es wurde nicht versucht,
damit die Konten von Privatpersonen oder Unternehmen
abzuräumen. Außerdem hat oft schon eine einfache
Antivirus-Software ausgereicht, um die meisten dieser
Angriffe abzuwehren.
33
Der einfache Vandalismus schafft Platz
für schwerwiegende Internetkriminalität
In den letzten Jahren haben junge Computerfreaks ihre Aufmerksamkeit auf Online-Spiele gerichtet, mit denen sie ihre Fähigkeiten zeigen können. Gleichzeitig – und das ist viel wichtiger
– sind wir durch den stetigen Anstieg der Verwendung von
internetbasierten Geschäftsprozessen und Online-FinanzTransaktionen viel abhängiger vom Internet und vom
E-Commerce geworden. Darauf sind Kriminelle aufmerksam
geworden. Das Zeitalter des relativ unschuldigen Cybervandalismus ist vorbei und hat einer viel größeren
Bedrohung im Internet Platz gemacht.
HI
EIS
NW
Cyberkriminelle haben schnell erkannt, welche
Möglichkeiten es gibt, um Schadprogramme zu
entwickeln und internetbasierte betrügerische
Tätigkeiten durchzuführen, die viel mehr Schaden
anrichten als altmodische Viren. Stattdessen
konzentrieren sich diese neuen Angriffe auf das
Stehlen von Informationen, Geld und andere für
den Cyberkriminellen wertvolle Dinge. Machen Sie
keinen Fehler, denn dies sind keine Amateure.
Cyberkriminelle mit umfangreichen technischen
Fähigkeiten entwickeln ständig neue Methoden, um
Unternehmen anzugreifen. In den meisten Fällen
motiviert sie der finanzielle Gewinn – entweder
wird das Geld direkt von einem Unternehmensbankkonto gestohlen, es werden sensible Unternehmensdaten für den Verkauf auf dem Schwarzmarkt
geklaut oder das Unternehmen wird anderweitig zu
Zahlungen gezwungen.
Indem sie persönliche Informationen von den Laptops,
Servern und mobilen Geräten eines Unternehmens „ernten”,
können Cyberkriminelle auch durch Identitätsdiebstahl
34
betrügen und Geld von Einzelpersonen, die einen Bezug zu
dem Unternehmen haben, stehlen.
Unsere Abhängigkeit von Computern kann es Angreifern
auch leichter machen, Unternehmenssysteme als Form
des sozialen oder politischen Protests (sogenannter
„Hacktivismus”) zu stören.
Kenne den Feind und seine Methoden
Schadprogramme und IT-Sicherheitsbedrohungen können
den Saldo eines jeden Unternehmens negativ beeinflussen.
Bei kleineren Unternehmen kann dies zur Schließung führen.
Nachfolgend werden zwar nicht alle existierenden Arten von
Bedrohungen aufgelistet, aber der Abschnitt gibt Informationen zu einigen der Sicherheitsrisiken, die Unternehmen
bewältigen müssen...
Viren, Würmer und Trojaner
Computerviren und Würmer sind Schadprogramme, die sich
auf Computern selbst vervielfältigen können, ohne dass sich
das Opfer bewusst ist, dass sein Gerät infiziert wurde.
Trojaner führen böswillige Handlungen durch, die der Nutzer
nicht genehmigt hat. Trojaner können sich nicht selbst
vervielfältigen, aber durch die Konnektivität des Internets ist
es für Cyberkriminelle einfach, Trojaner zu verbreiten.
Wenn diese Schadprogramme Ihr Netzwerk angreifen,
können sie Daten löschen, abändern oder den Zugang zu
Daten verhindern, die Leistung Ihres Computers
beeinträchtigen und vertrauliche Informationen stehlen.
Backdoor-Trojaner
Backdoors werden von Cyberkriminellen genutzt, um Geräte,
die sie infiziert haben, per Fernzugriff zu kontrollieren.
Normalerweise werden die befallenen Rechner zu einem Teil
35
eines bösartigen Netzwerks (eines so genannten Botnets),
das für viele kriminelle Handlungen im Internet eingesetzt
werden kann.
Keylogger
Keylogger sind Schadprogramme, die die Tastatureingaben
des Nutzers protokollieren. Cyberkriminelle verwenden Keylogger, um vertrauliche Daten – einschließlich Passwörter,
Bankkontonummern und -zugangscodes, Informationen zu
Kreditkarten und vielem mehr – zu erfassen. Keylogger
werden oft zusammen mit Backdoor-Trojanern eingesetzt.
Spam
Bestenfalls ist Spam einfach nur eine elektronische Version
von Reklamesendungen. Spam kann jedoch sehr gefährlich
sein, wenn er als Teil einer Phishing-Kampagne verwendet
wird oder wenn er Links zu infizierten Websites enthält, die
Viren, Würmer oder Trojaner auf den Computer des Opfers
laden.
Phishing
Phishing ist eine fortgeschrittene Form des bösartigen
Angriffs, bei dem Cyberkriminelle eine gefälschte Version
einer echten Website (wie z. B. von einem Online-Bankingdienst oder einem sozialen Netzwerk) erstellen. Wenn das
Opfer die gefälschte Seite aufruft, setzt diese Methoden des
Social Engineerings ein, um vom Opfer wertvolle Informationen zu erhalten. Phishing wird oft für Betrug mit gestohlenen Identitäten und zum Stehlen von Geld von Bankkonten
und Kreditkarten verwendet.
Ransomware
Ransomware-Trojaner werden entwickelt, um Geld zu
erpressen. Normalerweiser verschlüsselt der Trojaner
36
entweder Daten auf der Festplatte des Computers des Opfers
– so dass das Opfer nicht auf seine Daten zugreifen kann –
oder er blockiert den gesamten Zugriff auf den Computer.
Der Ransomware-Trojaner verlangt dann Geld, damit diese
Veränderungen rückgängig gemacht werden.
Infektionen mit Ransomware-Trojanern können sich über
Phishing-Mails verbreiten oder auftreten, wenn ein Nutzer
einfach nur eine Website besucht, die ein Schadprogramm
enthält. Da zu den infizierten Websites seriöse Seiten
gehören können, die von Cyberkriminellen infiltriert wurden,
beschränkt sich das Risiko einer Ransomware-Infektion
keinesfalls auf das Besuchen verdächtiger Websites.
Distributed Denial of Service-Angriffe (DDoS)
Cyberkriminelle verwenden Distributed Denial of ServiceAngriffe, um einen Computer oder ein Netzwerk für den
beabsichtigten Zweck unbrauchbar zu machen. Die Ziele
dieser Angriffe sind unterschiedlich. Jedoch ist oft die
Website eines Unternehmens das Hauptziel eines Angriffs.
Da die meisten Unternehmen von ihren Websites abhängig
sind, weil sie damit Kunden anziehen und mit Kunden
kommunizieren, kann alles, was dazu führt, dass die Seite
schlecht funktioniert, langsam läuft oder nicht zugänglich ist,
für das Unternehmen sehr schädigend sein.
Es gibt viele verschiedene Arten von DDoS-Angriffen. Zum
Beispiel können Cyberkriminelle eine Vielzahl von
Computern unschuldiger Nutzer infizieren und diese dann
verwenden, um die Website des Unternehmens mit einem
massiven Volumen an sinnlosem Verkehr zu bombardieren.
Dies kann die Computer, die die Unternehmenswebsite des
Opfers verwalten, überfordern und dazu führen, dass die
Seite langsam arbeitet oder überhaupt nicht mehr
funktioniert.
37
P
TIP
Was stört das Geschäft?
Nahezu jede Softwareanwendung und jedes Betriebssystem,
die oder das Ihr Unternehmen verwendet, enthält sehr
wahrscheinlich „Bugs”. Oft verursachen diese Fehler im
Computercode keinen direkten Schaden. Einige lassen jedoch
Schwachstellen entstehen, die Cyberkriminelle ausnutzen
können, um unerlaubten Zugriff auf Ihre Computer zu erhalten.
Diese Schwachstellen kann man mit einer offenen Bürotür
vergleichen – mit dem Unterschied, dass Cyberkriminelle
nicht einfach nur Ihren Empfangsbereich betreten, sondern
direkt das Herz Ihres Computers angreifen. Heute ist es weitverbreitet, solche Schwachstellen zu nutzen, um Schadprogramme zu installieren. Daher ist es wichtig, Anwendungen
stets zu aktualisieren oder zu patchen (ignorieren Sie die
Erinnerungen an eine Softwareaktualisierung nicht und
betrachten Sie sie nicht als Belästigung).
Einige Sicherheitssoftwarelösungen beinhalten Funktionen
zum „Scannen von Schwachstellen” – zur Identifizierung von
Anwendungs- oder Betriebssystemschwachstellen im
IT-Netzwerk Ihres Unternehmens – und können Ihnen bei der
Anwendung von „Patches”, die die Schwachstellen beheben,
helfen, damit Cyberkriminelle sie nicht ausnutzen können.
Andere Sicherheitsrisiken erkennen
Zusätzlich zu den speziellen Arten von Angriffen, die wir im
vorherigen Abschnitt erläutert haben, muss sich Ihr Unternehmen auch vor anderen Gefahren schützen.
38
Durch die Nutzung eines öffentlichen Wi-Fi
verursachte Risiken
Da Hotels, Flughäfen und Restaurants ihren Kunden einen
freien Zugang zur öffentlichen Wi-Fi-Verbindung gewähren,
ist es für Sie einfach, unterwegs E-Mails zu checken und auf
Unternehmensinformationen zuzugreifen. Jedoch ist es auch
sehr einfach für Cyberkriminelle, öffentliche Wi-Fi-Netzwerke
auszuspionieren und Informationen, die Sie senden oder auf
die Sie zugreifen, zu erfassen. Dies könnte bedeuten, dass
Cyberkriminelle direkten Zugang zu Ihren Unternehmens-EMail-Konten, Ihrem Unternehmens-IT-Netzwerk und Ihren
Passwörtern für Finanztransaktionen erhalten.
HI
EIS
NW
Online-Banking und das Erfordernis
zusätzlicher Sicherheit
Online-Banking ist für eine Vielzahl von Unternehmen außerordentlich wichtig geworden. Es ist bequem und zeitsparend. Beim
Durchführen von Online-Finanztransaktionen können Sie jedoch
besonders verwundbar sein.
Cyberkriminelle wollen die Computer und mobilen Geräte ihrer
Opfer beobachten, um herauszufinden, wann das Opfer eine BankWebsite oder einen Online-Zahlungsdienst aufruft. Spezielle Keylogger-Programme können dann erfassen, welche Informationen
Sie eingeben. Das bedeutet, dass der Cyberkriminelle heimlich Ihr
Passwort stehlen kann – und damit auf Ihr Konto zugreifen und
dieses leerräumen kann, ohne dass Sie davon wissen.
Gott sei Dank beinhalten einige Sicherheitssoftwareprodukte
Technologien, die beim Durchführen von Online-Finanztransaktionen einen zusätzlichen Schutz bieten.
39
Spear-Phishing
Spear-Phishing ist eine weitere fortschrittliche Angriffsform.
Der Cyberkriminelle möchte persönliche Informationen
erfassen – vielleicht, indem er eine öffentliche Wi-FiVerbindung ausspioniert. Später verwendet der Cyberkriminelle diese persönlichen Informationen, um einer
Phishing-E-Mail, mit der er es auf ein Unternehmen
abgesehen hat, mehr Glaubwürdigkeit zu verleihen.
Falls es dem Cyberkriminellen zum Beispiel gelingt, auf die
Einträge eines Ihrer Mitarbeiter auf einem sozialen Netzwerk
zuzugreifen und dabei etwas über den Urlaub dieses
Mitarbeiters erfährt, kann der Cyberkriminelle diese
Informationen später in einer Phishing-E-Mail verwenden.
Wenn der Mitarbeiter eine E-Mail von jemandem erhält, der
vorgibt, ein Kollege zu sein – und diese E-Mail Informationen
über den Urlaub des Mitarbeiters enthält – sieht sie eher
nach einer echten E-Mail aus. Und falls der Mitarbeiter in der
E-Mail gebeten wird, durch Klicken den Zugang zum Unternehmensnetzwerk zu bestätigen, kann der Cyberkriminelle
die notwendigen Zugangspasswörter erfassen.
Verlorene Laptops
Wir haben alle schon von Menschen gehört, die ihre Laptops
in Taxis, Zügen oder Restaurants vergessen haben. Die
Möglichkeit, dass hochsensible Unternehmensdaten in die
falschen Hände geraten, ist alarmierend. Wenn so etwas
passiert, kann der Ruf eines Unternehmens schwer
geschädigt werden und zu hohen Geldbußen führen.
Eine Abhilfe ist, eine Sicherheitslösung zu wählen, die Ihre
Unternehmensinformationen verschlüsselt, sodass es auch
bei einem Verlust oder Diebstahl eines Laptops für Cyberkriminelle quasi unmöglich ist, Zugang zu den Informationen
auf der Festplatte des Laptops zu erhalten.
40
Verschlüsselung verstehen
Verschlüsselung ist eine besonders geschickte Möglichkeit,
Cyberkriminelle mit ihren eigenen Waffen zu schlagen. Genau
wie Spione im neuesten Kinofilm Nachrichten verschlüsseln,
so dass nur die gewünschten Empfänger sie verstehen
können, ermöglicht die Verschlüsselung Ihnen, die vertraulichen Informationen Ihres Unternehmens zu codieren – damit
Ihre Informationen ohne den notwendigen Dekodierschlüssel
nicht entziffert werden können.
Das bedeutet, dass ein Cyberkrimineller, der auf vertrauliche
Unternehmensinformationen zugreift, diese in nicht lesbarer
Form erhält – es sei denn, er verfügt über Ihren geheimen
Dekodierschlüssel.
Falls einer Ihrer Mitarbeiter seinen Laptop verliert oder einen
USB-Stick voll vertraulicher Informationen verlegt, die Daten
auf dem Laptop oder dem USB-Stick aber verschlüsselt sind,
können Sie die Peinlichkeit eines Informationslecks umgehen.
Mobile Bedrohungen
Sowohl Einzelpersonen als auch Unternehmen können
fälschlicherweise annehmen, dass ihre Smartphones und
iPhones einfach nur Handys sind. Das sind sie aber nicht: Sie
sind leistungsstarke Computer, die eine große Menge an
vertraulichen Unternehmensinformationen speichern
können – der Verlust oder Diebstahl eines mobilen Gerätes
kann daher schwerwiegende Sicherheitsverletzungen zur
Folge haben. Falls ein verlorenes oder gestohlenes Smartphone nicht durch eine PIN (oder besser durch ein längeres
Passwort) geschützt ist, kann jeder Beliebige sich in alle
Online-Konten auf dem Gerät einloggen.
41
Einige Sicherheitslösungen beinhalten jedoch ferngesteuerte
Sicherheitsmerkmale – zum Beispiel die Möglichkeit, dass Sie
Ihr vermisstes Handy kontaktieren und alle Daten darauf
löschen können.
P
TIP
Falls die von Ihnen gewählte Sicherheitslösung
auch die Fähigkeit der Datenverschlüsselung
beinhaltet, kann dies eine weitere Schutzschicht
darstellen. Auch wenn ein Krimineller das Handy
findet, bevor Sie seine Abwesenheit bemerkt
haben, garantiert die Tatsache, dass die
Informationen auf dem Handy verschlüsselt sind,
dass der Kriminelle die Daten nicht lesen kann.
Da die heutigen Smartphones und Tablet-PCs echte
Computer sind, sind sie für ein wachsendes Volumen
an Schadprogrammen und Angriffe, die auf Desktops
und Laptops bereits ganz normal sind, anfällig. Dazu
gehören Viren, Würmer, Trojaner, Spam und Phishing.
Daher ist es von entscheidender Bedeutung, zum Schutz
von mobilen Geräten eine Sicherheitssoftware zu
verwenden (weitere Informationen erhalten Sie im unter
http://www.kaspersky.com/de/byod erhältlichen
kostenlosen Ratgeber Mobile Sicherheit & BYOD für
Dummies).
42
Kapitel 4
Eine bessere
Informationssicherheit planen
In diesem Kapitel
▶ Von einer einfachen Bewertung Ihrer Geschäftsrisiken
profitieren.
▶ Das Bewusstsein Ihrer Mitarbeiter für
Sicherheitsprobleme schärfen.
▶ Verstehen, wie Cloud Computing die Sicherheit
beeinflussen kann.
▶ Anbieter von Cloud Computing bewerten.
W
enn es um die IT-Sicherheit geht, denken einige
Leute: „Das ist alles zu viel. Ich drücke die Daumen
und erhoffe das Beste.” Wir wünschen ihnen viel Glück mit
diesem Ansatz. Wenn jedoch ihre Kunden und Geschäftspartner anfangen, das Unternehmen aufgrund eines Datenverlustvorfalls zu verklagen, hat der Verteidiger nicht viel,
mit dem er arbeiten kann. In diesem Kapitel betrachten wir
daher einige einfache Sicherheitsmaßnahmen, die Sie
einführen können, ohne dabei Geld für Software oder
Hardware ausgeben zu müssen – und wir schauen uns an,
wie Cloud Computing die Sicherheitsstrategie eines
Unternehmens beeinflussen kann.
44
Risikoreiches Geschäft?
Das Durchführen einer Risikobewertung klingt vielleicht
nach einer lästigen Aufgabe, die am besten von einem
Team voller Nerds mit weißen Mänteln und Klemmbrettern
durchgeführt wird. Wenn Sie die Informationssicherheit
aber verbessern möchten, stellen wir in diesem Abschnitt
ein paar einfache Konzepte vor, die die Grundlage einer
lohnenswerten Bewertung der Risiken, mit denen Ihr
Unternehmen konfrontiert wird, bilden.
Stellen Sie sich zuerst ein paar grundlegende Fragen:
✓Wo werden die Informationen meines Unternehmens
gespeichert?
✓Wie wertvoll sind diese Informationen – für mein
Unternehmen und für einen potentiellen Angreifer?
•Was wären die Konsequenzen für mein Unternehmen, wenn vertrauliche Informationen in die
falschen Hände geraten würden?
•Welche Auswirkungen hätte ein Informationsleck
auf die Beziehungen meines Unternehmens zu den
Kunden, Mitarbeitern und Geschäftspartnern?
•Welche Kosten würden in etwa auf mich
zukommen – wie hoch wären der finanzielle
Verlust / die Bußgelder und welche finanziellen
Auswirkungen hätte der geschädigte Ruf des
Unternehmens?
✓Was unternimmt mein Unternehmen, um vertrauliche
Informationen zu schützen?
✓Sind die Informationssicherheitsvorkehrungen
meines Unternehmens angemessen?
•Wie fällt der Vergleich dieser Sicherheitsvorkehrungen mit der erwarteten Norm innerhalb
45
meines Marktsektors und für meine Unternehmensgröße aus? (Vergessen Sie nicht, dass Sie
wahrscheinlich für einen höheren Standard an
Informationssicherheit sorgen müssen, wenn Ihr
Unternehmen wächst).
•Wäre ein Gericht der Ansicht, dass die Sicherheitsvorkehrungen meines Unternehmens ausreichend
sind? (Eine ehrliche Antwort auf diese Frage kann
jedes Unternehmen aufscheuchen, wenn es
versucht, das Thema unter den Teppich zu
kehren, indem es sich selbst vormacht, dass
unzureichende Sicherheitsvorkehrungen in
Ordnung sind!).
✓Wie wahrscheinlich ist es, dass in meinem Unternehmen vertrauliche Informationen durchsickern
können? (Denken Sie daran, dass schon ein einfacher
Vorfall wie der Verlust eines Laptops oder Smartphones genügt. Egal, wie vorsichtig Sie sind, wie
vorsichtig sind Ihre Mitarbeiter?).
Ihre Antworten helfen Ihnen bei der Entscheidung, wie Sie
die Informationssicherheit verbessern können.
Mitarbeiter in die Kunst der
Sicherheit einführen
Wenn es um den Schutz wertvoller Informationen geht, gilt
das Sprichwort „Gefahr erkannt – Gefahr gebannt”. Stellen
Sie also sicher, dass Sie und Ihre Mitarbeiter sich der Vielzahl an Sicherheitsrisiken bewusst sind – und wissen, wie
man sie vermeiden kann.
Es ist erstaunlich, wie viele Unternehmen ihre Mitarbeiter
nicht ausreichend über die neuen optimalen Vorgehen in
Bezug auf Sicherheit informieren – obwohl die Belehrung
46
der Mitarbeiter über Sicherheitsrisiken und wie man diese
vermeiden kann einer der kosteneffizientesten Wege sein
kann, den Cyberkriminellen das Leben schwer zu machen.
Die Mitarbeiter im Kampf um die bessere Sicherheit auf
seine Seite zu bekommen, muss nicht schwierig sein:
✓Ziehen Sie alle potentiellen Risiken durch
Schadprogramme und Internetkriminalität, die
Auswirkungen auf Ihr Unternehmen haben könnten,
in Betracht und überlegen Sie, wie Ihre Mitarbeiter
dabei helfen können, diese Risiken zu vermeiden.
Trotz des fortschrittlichen Charakters der heutigen
Bedrohungen fängt es oft damit an, dass jemand dazu
gebracht werden soll, etwas zu tun, das die Sicherheit
des Unternehmens gefährdet, wie zum Beispiel auf
einen Link in einer Spear-Phishing-Mail zu klicken.
✓Entwerfen und verteilen Sie eine Sicherheitspolitik, in
der klar festgelegt ist, wie sich Ihre Mitarbeiter in
Hinblick auf die Aufrechterhaltung der Sicherheit und
das Umgehen unnötiger Risiken verhalten sollen.
✓Halten Sie regelmäßig Sitzungen zum Thema
Mitarbeiterbewusstsein ab. Versuchen Sie, das
Bewusstsein für die wichtigsten Themen zu schärfen,
zum Beispiel:
•die Notwendigkeit, für jede Anwendung und für
jedes Konto unterschiedliche Passwörter zu
verwenden,
•die Gefahren des öffentlichen Wi-Fi und wie man
sie umgehen kann,
•wie man Spear-Phishing-Versuche erkennt,
•die Sicherheitskonsequenzen beim Verlust eines
mobilen Gerätes.
47
✓Setzen Sie die Sicherheitspolitik Ihres Unternehmens
durch – stellen Sie zum Beispiel sicher, dass jeder
sichere Passwörter verwendet, um den Zugang zu
Unternehmensinformationen, Bankkonten und mehr
(Tipps dazu in der Seitenleiste „Wie wird ein Passwort
sicherer?”) zu schützen.
✓Überarbeiten Sie Ihre Sicherheitspolitik, wenn neue
Risiken auftreten und Sie neue Arbeitsschritte
einführen.
✓Halten Sie Auffrischungskurse ab, damit Ihre
Mitarbeiter stets an die Sicherheitsrisiken denken.
✓Stellen Sie sicher, dass das Sicherheitsbewusstsein
neuer Mitarbeiter als Teil ihrer Einweisung
geschult wird.
P
TIP
Wie wird ein Passwort sicherer?
Falls einer Ihrer Mitarbeiter sich ein Passwort ausdenkt, das auf
einem leicht zu merkendem Wort oder einer einfachen Zahlenfolge basiert, kann ein Cyberkrimineller das Passwort leicht
knacken. Sichere Passwörter bestehen aus einer Kombination
aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und
sollten mindestens acht Zeichen lang sein.
Stellen Sie sicher, dass keiner Ihrer Mitarbeiter dasselbe Passwort für verschiedene Anwendungen und / oder Webkonten
verwendet. Falls ein Cyberkrimineller das Facebook-Passwort
eines Mitarbeiters knacken kann, sollte er mit diesem Passwort
nicht auf das E-Mail-System des Unternehmens zugreifen können.
48
Hoch in den Wolken
In den letzten Jahren ist Cloud Computing immer beliebter
geworden. Unternehmen jeder Form und Größe haben das
Potential der Cloud bewertet, um das Speichern von
Informationen zu vereinfachen und die Betriebskosten zu
senken. In vielen Fällen sind kleine und mittelständische
Unternehmen beim Nutzen der Cloud vorne dabei.
Manchmal übernehmen kleinere Unternehmen neue
Geschäftsstrategien schneller als größere Unternehmen.
Gleichzeitig sind sich kleinere Unternehmen oft eher der
Tatsache bewusst, dass sie sich auf ihre Hauptgeschäftstätigkeiten konzentrieren müssen. Daher kann alles, was
dem Unternehmen ermöglicht, IT-Aktivitäten, die nicht zum
Kerngeschäft gehören, auf eine Drittpartei zu übertragen,
als nützlich angesehen werden.
Cloud oder keine Cloud: Für Ihre
Informationen sind Sie verantwortlich
Falls Sie eventuell Cloud Computing einsetzen möchten,
seien Sie sich bewusst, dass die Übertragung der
Speicherung Ihrer Unternehmensinformationen – und die
Aushändigung einiger oder aller Ihrer Anwendungen – Ihr
Unternehmen nicht von seinen Sicherheitsverpflichtungen
befreit. Auch wird der vollkommene Schutz Ihrer vertraulichen Unternehmensinformationen nicht automatisch
sichergestellt. Es sind immer noch die Informationen Ihres
Unternehmens, egal, wo sie gespeichert werden. Daher
sind auch Sie weiterhin für den Schutz dieser Informationen verantwortlich – und genauso sieht das auch
das Gesetz.
Überlegen Sie auch, wie Sie täglich auf diese Informationen
zugreifen wollen. Auch wenn die Zugangsdaten Ihres CloudAnbieters tadellos sind und gründliche
49
Sicherheitsvorkehrungen getroffen wurden, müssen Sie
immer noch sicherstellen, dass jedes Gerät, das in Ihrem
Unternehmen verwendet wird, um auf die Informationen
zuzugreifen, ausreichend gesichert ist. Sie müssen eine
lokale Sicherheitslösung einsetzen, die jeden Desktop,
Laptop, Server und jedes mobile Gerät in Ihrem
Unternehmen schützt.
Die ständige Notwendigkeit des
Sicherheitsbewusstseins
Mit einer Cloud-Lösung müssen Sie immer noch sicherstellen, dass Sie und Ihre Mitarbeiter die optimale Vorgehensweise, die Sie in Ihrer Sicherheitspolitik festgelegt haben,
beachten. Zum Beispiel sind immer noch sichere Passwörter notwendig, um den unerlaubten Zugriff auf Ihre
Informationen zu vermeiden und Ihre Mitarbeiter müssen
weiterhin darauf achten, dass ihre mobilen Geräte nicht
verloren gehen.
Sie müssen auch sämtliche potentiellen Informationssicherheitsrisiken bewerten und sicherstellen, dass Ihre
Mitarbeiter über einfache Sicherheitsvorkehrungen
Bescheid wissen. Die einzige Veränderung, die die Cloud
tatsächlich mit sich bringt, ist die Tatsache, dass Ihre
Informationen außerhalb des Unternehmens bei einem
Drittanbieter gespeichert werden.
Vorsicht vor Vertragsfallen bei der Cloud
Auf dem Cloud Computing-Markt sind einige sehr fähige
Anbieter unterwegs. Jedoch sind viele Cloud-Speicherlösungen für Privatverbraucher entwickelt worden. In
einigen Fällen war die Sicherheit möglicherweise nur etwas
mehr als ein nachträglicher Einfall und könnte für Unternehmen nicht ausreichen.
50
Stellen Sie sich bei der Wahl Ihres Anbieters die folgenden
Fragen:
✓Wer ist im Besitz meiner Unternehmensinformationen, wenn diese in der Cloud gespeichert sind?
✓Was passiert, wenn der Cloud-Anbieter seinen Dienst
einstellt?
•Habe ich immer noch Zugriff auf meine
Informationen?
•Gibt es eine Stillstandsphase, während meine
Informationen zur Speicherung auf einen anderen
Dienstleister übertragen werden?
•Ist der ursprüngliche Anbieter immer noch im
Besitz von Kopien meiner Informationen – und
kann man sicherstellen, dass diese Kopien
gelöscht werden?
✓Wie kündige ich meinen Vertrag?
•Wie übertrage ich meine Unternehmensinformationen bei einer Vertragskündigung?
•Gibt es einen einfachen und schnellen Weg, meine
gespeicherten Informationen auf einen neuen
Anbieter zu übertragen?
✓Wie stabil sind die Computer, die der Anbieter
verwendet, um meine Informationen zu speichern
und die Kommunikationssysteme, die er einsetzt,
damit bei Bedarf auf meine Informationen zugegriffen
werden kann?
•Garantiert der Anbieter einen ununterbrochenen
Zugriff auf meine Informationen (damit ich auf
wichtige Informationen zugreifen kann, wenn ich
sie benötige und mir nicht dauernd vom Anbieter
anhören muss, dass das System ausgefallen ist)?
51
•Verfügt der Anbieter über eine angemessene
Technologie, um sicherzustellen, dass seine
Computersysteme nach einem größeren Störfall
oder nach einem Angriff schnell wiederhergestellt
werden können – ohne dass dabei die Sicherheit
und die Zugänglichkeit meiner Informationen
gefährdet sind?
•Welches Maß an Sicherheit bietet der Anbieter, um
meine Informationen vor Verlust und unberechtigtem Zugriff zu schützen? (Denken Sie daran, dass
Sie trotzdem auf allen Computern und mobilen
Geräten, die Sie verwenden, um auf diese Informationen zuzugreifen, eine Sicherheitssoftware
installieren müssen.)
✓Wo werden meine Informationen gespeichert?
•Führt die Speicherung im Ausland für mein
Unternehmen zu rechtlichen Folgen oder
Compliance-Problemen?
P
TIP
Sie würden Ihr Kind nie in die Obhut einer Person
geben, die sie nicht überprüft haben und der sie
nicht vollkommen vertrauen. Ähnliches gilt für Ihr
Unternehmen: Sie müssen etwas Zeit dafür investieren, potentielle Cloud-Anbieter auszuwerten,
um sicherzustellen, dass die vertraulichen und
sensiblen Informationen Ihres Unternehmens in
guten Händen sind.
Es gibt sehr überzeugende Argumente für die Auslagerung
der Informationsspeicherung – und einiger
Softwareanwendungen – in die Cloud. Jedoch müssen Sie
die Sache mit offenen Augen angehen. Auch wenn das
Cloud-Computing dabei helfen kann, einige EDV-Aspekte zu
vereinfachen, kann sich auch der Aufwand erhöhen, wenn
52
es darum geht, den Anbieter auszuwählen und mit ihm
zurechtzukommen.
HI
EIS
NW
Das Cloud Computing verringert nicht Ihre
Verpflichtung, sensible Informationen zu
schützen. Sie sind dafür verantwortlich, vertrauliche Informationen zu schützen – und Sie müssen
sich verantworten, wenn Sie einen Anbieter
wählen, der Sie aufgrund unzureichender
Sicherheit hängen lässt.
Kapitel 5
Eine Sicherheitssoftware wählen,
die zu Ihrem Unternehmen passt
In diesem Kapitel
▶ Wahl des richtigen Anbieters für Sicherheitssoftware.
▶ Sicherstellen, dass Sie die notwendige Unterstützung
erhalten.
▶ Überlegen, wie sich Ihre Informationssicherheits-
bedürfnisse möglicherweise ändern können.
▶ Sich für die ideale Sicherheitssoftware entscheiden.
I
nzwischen haben Sie die Sicherheitsrisiken für Ihr
Unternehmen ausgewertet und Ihre Mitarbeiter über die
Wichtigkeit der Informationssicherheit unterrichtet (wenn
die Belegschaft nur aus Ihnen selbst besteht, war dies
natürlich eine sehr kurze Schulung). Jetzt ist es an der Zeit,
sich für die Sicherheitssoftwarelösung zu entscheiden, die
am besten dafür geeignet ist, Ihr Unternehmen zu schützen.
Wahl des richtigen Anbieters
Wenn Sie unter den vielen im Handel verfügbaren IT-Sicherheitssoftwareprodukten eines auswählen möchten, dann
versuchen Sie doch, sich für eines zu entscheiden, das sich
an die sich ändernden Bedürfnisse anpassen kann, wenn das
Unternehmen wächst.
54
P
TIP
Unterstützung ist wichtig!
Fragen Sie die Anbieter, welches Maß an Unterstützung Sie
bekommen, falls beim Einsatz der Software Probleme auftreten
oder falls Ihr Unternehmen angegriffen wird oder eine Sicherheitsverletzung erleidet. Die Möglichkeit, den Hörer in die Hand zu
nehmen und jemanden zu haben, der Ihnen bei komplizierten
Problemen Anweisungen gibt, ist nicht nur angenehm und
beruhigend – Sie könnten dadurch auch eine Menge Zeit sparen
und es könnte Ihnen dabei helfen, Ihre Computer und Geschäftsprozesse wieder so schnell wie möglich in Gang zu bringen.
Wenn aber ein Anbieter von Ihnen erwartet, dass Sie sich durch
seine Online-Anleitungen kämpfen, um selbst eine Lösung zu
finden, dann könnten Sie dadurch für eine beträchtliche Zeit von
Ihren wichtigen Geschäftstätigkeiten abgehalten werden. Und ist
es nicht erstaunlich, wie diese Art von Vorfällen immer erst dann
auftritt, wenn Sie gerade jede Menge zu tun haben – und eine
knappe Frist für die Fertigstellung des ausführlichen Angebots zum
Geschäft Ihres Lebens einhalten müssen?
Versuchen Sie, einen Anbieter zu wählen, der eine lokale
Unterstützung anbietet ... in Ihrer Sprache ... in Ihrer Zeitzone.
Die Wahl eines unterstützenden Anbieters macht einen
Großteil des Entscheidungsprozesses aus. Obwohl auf dem
Markt einige hervorragende verpackte Sicherheitssoftwareprodukte erhältlich sind, die eine Menge an AntiSchadprogrammTechnologien und Internetsicherheitslösungen anbieten,
sollten Sie überlegen, was passieren könnte, wenn Ihr Unternehmen dem Paket, das Sie erworben haben, entwächst:
✓Kann der von Ihnen gewählte Anbieter andere, umfassendere Pakete anbieten, auf die Sie übergehen können?
55
✓Ermöglicht das Produkt Ihnen, Zusatzfunktionen
hinzuzufügen, damit Sie Neuanschaffungen wie
virtualisierte Server schützen können, ohne dass Sie
Ihr Sicherheitsprodukt wechseln müssen oder
Experten hinzuziehen müssen, damit diese
zeitintensive Integrierungsfragen lösen?
Möglicherweise sehen Sie diese Fragen jetzt nicht als entscheidend an. Aber wenn Ihr Unternehmen wächst, könnten
sie Ihnen dabei helfen, die Störungen und Kosten zu vermeiden, die mit einem Wechsel des Anbieters verbunden sind.
Mehr erreichen – in weniger Zeit
Es ist für jedes Unternehmen wichtig, Softwarelösungen
festzulegen, die einfach anzuwenden sind. Wer möchte schon
viel Zeit mit der Installation und Verwaltung von Sicherheitssoftware verbringen, wenn mit einer besseren Lösung viele
Sicherheitsprozesse automatisiert werden können und Sie
dadurch mehr Zeit für andere Geschäftstätigkeiten haben?
Eine einfache Anwendung ist von entscheidender Bedeutung
– vor allem wenn Sie keine internen IT-Sicherheitsexperten
haben. Aber auch wenn Ihr Unternehmen wächst und Sie
möglicherweise spezielle Mitarbeiter für die IT und die
Sicherheit einstellen, hilft eine leicht anzuwendende Software
dabei, Ihre Produktivität zu steigern.
Vereinfachung des Sicherheitsmanagements
Die Bedienoberfläche von Sicherheitssoftware wird oft als
Managementkonsole bezeichnet. Ähnlich wie die verschiedenen Einstellmöglichkeiten, Leuchten und Schalter auf dem
Armaturenbrett eines Autos sollte die Konsole Ihnen einen
sofortigen Überblick über die Funktion des Produktes bieten,
anzeigen, welcher Probleme Sie sich bewusst sein sollten
und Ihnen ermöglichen, Anpassungen vorzunehmen. Klingt
einfach – aber einige Softwareanbieter verkomplizieren die
Dinge unnötig.
56
Einige Sicherheitssoftwareanbieter erwarten von
ihren Kunden, dass diese zur Steuerung der
verschiedenen Schutztechnologien im Produktpaket des Anbieters mehrere verschiedene
Managementkonsolen verwenden. Das liegt
manchmal daran, dass der Sicherheitsanbieter bei
der Übernahme anderer Sicherheitsunternehmen
unterschiedliche Technologien erworben hat. Aber
egal aus welchem Grund: Die Erfordernis,
verschiedene Konsolen nutzen zu müssen, kann für
den Betreiber zeitintensiv und auch sehr
verwirrend sein.
Im Gegensatz dazu ermöglichen Ihnen einige Sicherheitslösungen, Richtlinien für alle Sicherheitslösungen im Paket
anzusehen, zu steuern und festzulegen – über eine einzige,
vereinheitlichte Managementkonsole. Das kann bedeuten,
dass Sie sich nur einmal mit einer intuitiv zu bedienenden
Oberfläche vertraut machen müssen, die Ihnen eine
eindeutige Übersicht über alle auf Ihrem Computernetzwerk
laufenden Schutztechnologien des Anbieters bietet.
Wenn Sie persönlich für die Verwaltung Ihrer Sicherheitssoftware verantwortlich sind, bedeutet dieses Maß an
Bedienbarkeit und Handhabbarkeit, dass Sie mehr Zeit für
alle anderen viel wichtigeren Aspekte Ihres Unternehmens
haben. Aber auch wenn Sie einen externen oder internen
IT-Experten einsetzen, der dafür verantwortlich ist, dass die
Sicherheitssoftware so funktioniert, wie sie sollte, kann eine
einfach zu bedienende Managementkonsole dabei helfen,
Kosten zu kontrollieren und die Effizienz zu steigern.
EIS
NW
HI
Berichterstattung
Jedes Sicherheitsprodukt, das Ihnen die Flexibilität bietet, ein
breites Spektrum an Berichten über den Sicherheitsstatus
und die Sicherheitsschwächen Ihrer IT zu erstellen –
einschließlich mobiler Geräte und BYOD – kann Ihnen dabei
helfen, Probleme viel eher zu erkennen.
57
Senkrechtstarter oder Lifestyle-Unternehmen:
Ihre Sicherheitsbedürfnisse festlegen
Es lohnt sich wirklich, eine kleine Auszeit zu nehmen und
einen ehrlichen Blick auf Ihr Unternehmen und sein
Bestreben zu werfen. Es kann verlockend sein, übereifrig und
verwegen zu werden und von der Vorstellung mitgerissen zu
werden, dass Ihr Unternehmen eines Tages eine
multinationale Gesellschaft sein wird, die es mit den größten
Konzernen aufnehmen kann. Allerdings wünscht sich das
nicht jeder Inhaber für sein Unternehmen.
Natürlich haben sich viele Unternehmen seit den bescheidenen Anfängen am Küchentisch oder in der Garage weiterentwickelt und sind zu Weltrekordbrechern geworden.
Falls Sie aber ein „Lifestyle-Unternehmen” leiten und es Ihr
Hauptziel ist, das Einkommen so zu steigern, dass Sie Ihnen
und Ihrer Familie ein angenehmes Leben ermöglichen
können, ist daran nichts verkehrt. Zu wissen, was Sie wollen,
kann Ihnen dabei helfen, die optimalen Entscheidungen zu
treffen, wenn es um Investitionen in die IT und die Sicherheit
geht.
Dafür müssen Sie herausfinden:
✓welche Art von Unternehmen Sie jetzt leiten,
✓wie Ihr Unternehmen in etwa einem Jahr (und noch
später) aussehen könnte.
Mit diesen Informationen können Sie viel besser entscheiden,
wie sich Ihre Sicherheitserfordernisse möglicherweise
ändern können. Dann können Sie sich darauf konzentrieren,
ein Sicherheitssoftwareprodukt zu wählen, das jetzt zu Ihrem
Unternehmen passt und flexibel und anpassbar genug ist, um
sich Ihren sich ändernden Unternehmensbedürfnissen
anpassen zu können.
58
HI
EIS
NW
Es ist vielleicht keine Katastrophe, eine falsche
Sicherheitslösung zu wählen – aber es könnte Sie
entweder jetzt oder in Zukunft Zeit und Geld
kosten.
Vom Schutz für den Privatanwender
bis zum Unternehmensschutz
Sicherheitssoftwareprodukte sind für Unternehmen aller
Größen erhältlich. Welche Lösung für Sie richtig ist, hängt
von verschiedenen Dingen ab.
Sicherheitsprodukte für den Privatanwender
Falls die IT Ihres Unternehmens anfangs nur aus Ihrem
eigenen Laptop bestand, ist es gut möglich, dass Sie bereits
eine der vielen Sicherheitslösungen für Privatanwender
eingesetzt haben. Einige hervorragende verbraucherorientierte Pakete kombinieren Anti-SchadprogrammTechnologien mit innovativen Internet-Sicherheitslösungen.
Einige bieten sogar zusätzlichen Schutz für Online-Banking
und andere webbasierte Finanztransaktionen an.
Für Unternehmen mit nur wenigen Mitarbeitern könnte ein
Produkt für Privatanwender die ideale Lösung sein. Da es
aber eine Vielzahl an Verbraucherprodukten auf dem Markt
gibt, müssen Sie ein bisschen Zeit dafür aufwenden, die
Eigenschaften und Funktionen eines jeden Produkts
auszuwerten. Eine Lösung, die nur einen Antivirusschutz
bietet, ist in der heutigen Welt mit ihrer Vielzahl an
Bedrohungen nicht wirklich nützlich.
Normalerweise eignet sich eine Sicherheitssoftware, die für
Privatanwender gedacht ist, gut für ein- bis vierköpfige
Unternehmen – vorausgesetzt, dass die Softwarelizenz
kommerziellen Betrieben gestattet, die Software zu
verwenden. Jedoch können die meisten Pakete für
59
Privatanwender schwierig zu verwalten sein, wenn fünf oder
mehr Personen sie innerhalb des Unternehmens verwenden.
Bei dieser Art von Paketen ist es oft nicht einfach und recht
zeitintensiv, auf allen Laptops, Desktops und mobilen
Geräten, die das Unternehmen einsetzt, dieselben
Installationen und Optionen anzuwenden.
EIS
NW
HI
Falls Sie Ihr Unternehmen stark vergrößern
möchten, könnte dies schnell eine umfassende und
komplexe IT-Infrastruktur zur Folge haben. Die
Wahl eines Sicherheitsprodukts für den Privatanwender – das nicht mit dem Unternehmen
wachsen kann – könnte zu einem entscheidenden
Zeitpunkt für das Wachstum Ihres Unternehmens
zu einem kostspieligen und störenden Wechsel zu
einer neuen Lösung führen.
Kostenlose Antivirus-Software
Falls Sie eine kostenlose Antivirus-Software verwenden,
möchten Sie diese Software vielleicht auch behalten, wenn
Ihr Unternehmen wächst. Obwohl dies eine vernünftige
Lösung sein kann, lohnt es sich, sich genau anzusehen, was
die kostenlose Software bietet – und was nicht.
Bietet sie die notwendigen Technologien zur Abwehr der
neuesten Sicherheitsbedrohungen und der fortschrittlichen
neuen Methoden, mit denen Cyberkriminelle versuchen,
wertvolle Informationen zu stehlen? Falls sie nur einen
Schutz vor Viren und ein paar Sicherheitserweiterungen für
das Internet bietet, ist sie eventuell nicht geeignet, um vor
allen Bedrohungen zu schützen.
Viele kostenlose Softwarepakete sind nicht für den Geschäftsgebrauch gedacht. In den allgemeinen Bedingungen der
kostenlosen Lizenz wird der Gebrauch durch ein kommerzielles Unternehmen oft ausgeschlossen. Daher kann es illegal
sein, eine kostenlose Software zu verwenden. In anderen
60
Fällen erhebt der Anbieter der kostenlosen Software eine
Gebühr, wenn diese Software von einem Unternehmen
verwendet wird.
P
TIP
Welpe kostenlos in gute Hände abzugeben
Was für ein großartiges Geschäft! Sie wollten schon immer einen
treuen Hund an Ihrer Seite haben – und so haben Sie die Kosten
umgangen, die Hundezüchter verlangen. Ok, es ist ein Mischling,
aber es ist Ihr Mischling und das Beste ist, dass er vollkommen
umsonst war.
Umsonst ... abgesehen von der Arbeit, dem Dreck (es tut uns leid,
das erwähnen zu müssen, aber es ist Ihr Hund – also müssen Sie
den Dreck auch wegmachen!) und all diesen Ausgaben. Ja, die
Kosten für die Impfungen und die Routineuntersuchungen beim
Tierarzt haben Sie miteinkalkuliert, aber hätten Sie gedacht, dass
er sich durch so viele Ihrer wertvollen Möbel kaut?
In der Realität ist fast nichts wirklich kostenlos. Ähnlich wie Ihr
kostenloser Hund kann eine kostenlose Sicherheitssoftware
versteckte Kosten mit sich bringen. Möglicherweise zeigt die
kostenlose Version der Software ständig Anzeigen für Produkte
von Drittanbietern an oder versucht, Ihnen die Vorteile der
kostenpflichtigen Premium-Version zu verkaufen. Egal, ob es sich
um Anzeigen oder um die Versuche, Ihnen das Upgrade der
Version anzudrehen handelt, diese Ablenkungen könnten die
Produktivität Ihrer Mitarbeiter beeinflussen. Auch wenn keines
dieser Beispiele auf Ihre Software zutrifft, könnte die Unterstützung,
die Sie möglicherweise vom Softwareanbieter benötigen, teuer
werden.
61
Sicherheitslösungen für große Unternehmen
Wenn Sie ein Verständnis über die Bedrohungen, die es da
draußen gibt, entwickelt haben, haben Sie sich möglicherweise dafür entschieden, gleich zur Sache zu kommen und
die umfassendste Sicherheitslösung am Markt zu kaufen. Für
ein kleines Unternehmen kann das aber richtig nach hinten
losgehen.
Viele Unternehmen erkennen nicht, dass bei den meisten
Softwareprodukten eine inverse Beziehung zwischen
Funktionalität und einfachem Gebrauch besteht. Produkte,
die Funktionen beinhalten, die nur größere Unternehmen
benötigen, sind eventuell viel schwieriger zu konfigurieren
und zu verwalten als Produkte, die speziell für kleinere
Unternehmen entwickelt wurden.
Das kleinere Unternehmen, das sich dafür entscheidet, den
Auswahlprozess zu vereinfachen, indem es einfach das
umfassendste Softwareprodukt wählt, macht sich das Leben
bis zu einem fernen Zeitpunkt in der Zukunft, wenn es
schließlich in die ausgewählte Sicherheitssoftware hineinwächst, schwer! Andererseits müssen Sie auch wissen, ob
der Anbieter, für den Sie sich entschieden haben, Ihnen dabei
helfen kann, Ihre neuen Sicherheitsanforderungen zu erfüllen,
wenn Ihr Unternehmen wächst – ohne dass Sie sich vom
aktuell verwendeten Produkt verabschieden und noch
einmal von vorne anfangen müssen.
HI
EIS
NW
Sicherheitslösungen für große Unternehmen
beinhalten eventuell fortschrittliche Technologien,
die komplexe Umgebungen schützen. Falls Ihr
IT-Netzwerk aber relativ simpel ist – und
wahrscheinlich auch so bleiben wird – zahlen
Sie möglicherweise für Funktionen, die Sie nie
verwenden werden. Außerdem kann eine
übermäßig komplexe Sicherheitslösung viel
62
schwieriger zu verwalten sein ... in allen Phasen.
Von der Erstkonfiguration bis zur laufenden
Verwaltung kann eine Unternehmenslösung Zeit
und Fähigkeiten abverlangen, die ein kleineres
Unternehmen möglicherweise nicht aufbringen
kann. Einfach gesagt setzen Unternehmenslösungen oft voraus, dass Unternehmensressourcen
und IT-Erfahrung sofort zur Verfügung stehen.
Sicherheit auf Prosumer-Niveau
Prosumer-Sicherheit? Ja, das ist einer dieser Ausdrücke, der
von Marketingtypen in exakt sitzenden Anzügen erfunden
wurde – aber was bedeutet er eigentlich? (Übrigens, falls Sie
eine Marketingagentur leiten ... wir wollten nur mal
erwähnen, wie gut Sie in diesem Anzug aussehen!).
Das Sinnvollste und Effektivste an Prosumer-Sicherheitslösungen ist, dass sie die Lücke zwischen benutzerfreundlichen Produkten, die für Privatanwender entwickelt
wurden und Unternehmensprodukten, die zusätzliche
Funktionen bieten, aber komplexer zu installieren und zu
verwalten sein können, überbrücken.
Prosumer-Produkte haben also zum Ziel, die für Unternehmen erforderlichen erweiterten Funktionen und die
Benutzerfreundlichkeit, die notwendig ist, wenn kein internes
IT-Sicherheitsteam vorhanden ist, miteinander zu
kombinieren. Wenn die Anbieter von Sicherheitslösungen
hier ein angemessenes Gleichgewicht schaffen können,
bieten Prosumer-Produkte für viele Unternehmen eine
unwiderstehliche Kombination.
HI
EIS
NW
Es gibt einen Marktunterschied zwischen einem
Sicherheitsprodukt, das „von Grund auf” entwickelt
wurde, um die Bedürfnisse kleinerer Unternehmen
zu befriedigen und einem Unternehmensprodukt,
das für den Markt für kleinere Unternehmen
63
einfach eine neue Verpackung erhalten hat. Falls
ein Anbieter sein Unternehmensprodukt lediglich
„verkleidet” und als Prosumer-Produkt verkaufen
möchte, könnte es sein, dass Sie damit eine
Sicherheit erwerben, die für Ihr Unternehmen zu
komplex und zu zeitintensiv ist.
Egal, was für eine Größe Ihr Unternehmen hat: Stellen Sie
sicher, dass Sie einen Anbieter wählen, der etwas Zeit in die
Berücksichtigung der einzigartigen Herausforderungen, mit
denen sich Ihre Art von Unternehmen konfrontiert sieht,
investiert und eine Softwarelösung entwickelt hat, die für
Unternehmen wie Ihres optimiert wurde.
Wenn Unternehmen auf Prosumer trifft
Damit das Ganze noch verwirrender wird, sind nicht alle für
große Unternehmen entwickelten Sicherheitsprodukte für
kleinere Unternehmen ungeeignet. Es stimmt, dass Produkte,
die entwickelt wurden, ohne dass die besonderen Herausforderungen, mit denen sich kleinere Unternehmen konfrontiert sehen, berücksichtigt wurden, wahrscheinlich nicht zu
Unternehmen passen, die über keine internen IT-Sicherheitsressourcen verfügen. Aber es gibt auch eine Art von Unternehmenssicherheitsprodukten, die auf einer einfachen,
modularen Architektur basieren.
In diesem Fall kann der Anbieter verschiedene Stufen von
Softwarepaketen anbieten, wobei jede Stufe eine andere
Kombination der Schutztechnologien bietet. Die niedrigste
Stufe wartet vielleicht mit einem Basisschutz auf, der für
einfache IT-Netzwerke von kleineren Unternehmen gut
geeignet ist. Bei höheren Stufen kommen dann weitere
Schutztechnologien hinzu und die letzte Stufe bietet einen
Schutz für die komplexesten IT-Umgebungen – einschließlich
der Unterstützung mehrerer Betriebssysteme und mehrerer
Plattformen von mobilen Geräten, zugeschnittener Sicherheit
64
für virtualisierte Umgebungen und spezieller Technologien
zum Schutz von Internet-Gateways, Mailservern und mehr.
Mit diesen modularen Produkten können Unternehmen von
einer Sicherheitslösung profitieren, die sich dem
wachsenden Unternehmen anpasst – ohne dass der
Unternehmensbetrieb durch einen Wechsel von einer relativ
kleinen Sicherheitslösung zu einer Unternehmenslösung
gestört wird.
WI
TIG
CH
Wenn Sie das Gefühl haben, dass die Auswahl
zu groß ist, denken Sie daran, dass es eine fast
unzählige Vielfalt an Unternehmen gibt – und diese
Unternehmen alle unterschiedliche Anforderungen
an die Sicherheit haben. Auswahl ist also eine gute
Sache. Auch wenn es etwas Zeit in Anspruch
nimmt, sich mit den Pros und Kontras der unterschiedlichen Optionen auseinanderzusetzen, ist es
dadurch wahrscheinlicher, dass Sie die Sicherheitslösung wählen, die Ihre Anforderungen erfüllt.
Kapitel 6
Zehn Fragen, die Ihnen dabei
helfen, herauszufinden, wie Sie
Ihr Unternehmen schützen können
In diesem Kapitel
▶ Festlegen, was Ihr Unternehmen benötigt.
▶ Ihre rechtlichen Verpflichtungen auswerten.
▶ Ihre Sicherheitspolitik bestimmen.
H
ier sind zehn einfache Fragen, die Ihnen dabei helfen,
herauszufinden, was notwendig ist, um Ihr Unternehmen vor Internetkriminalität, Schadprogrammen und
anderen Sicherheitsrisiken zu schützen:
✓Haben Sie die potentiellen Sicherheitsrisiken für Ihr
Unternehmen bewertet und herausgefunden, welche
Informationen und Computer geschützt werden
müssen?
✓Müssen Sie zusätzlich zu den Computern auch mobile
Geräte und ein BYOD-Programm schützen?
✓ Sind Sie sich der rechtlichen und behördlichen Verpflichtungen bewusst, die in Bezug auf die Sicherheit vertraulicher Informationen für Ihr Unternehmen gelten?
66
✓Haben Sie einige grundlegende Sicherheitsregeln
festgelegt, die Ihr Unternehmen verwenden kann, um
Informationen, Computer und andere Geräte zu
schützen?
✓Haben Sie ein einfaches Schulungsprogramm
entwickelt, das dabei hilft, das Bewusstsein für
Sicherheitsprobleme zu erhöhen und Mitarbeiter dazu
motiviert, Sicherheitsverletzungen zu vermeiden?
✓ Haben Sie die im Handel verfügbaren Sicherheitssoftwareprodukte bewertet – basierend auf dem einfachen
Gebrauch, dem gebotenen Schutzniveau und der Fähigkeit, sich an sich ändernde Bedürfnisse anzupassen?
✓Bietet der von Ihnen gewählte Anbieter der Sicherheitssoftware das Maß an Unterstützung, das Sie benötigen
– in Ihrer Sprache und Zeitzone?
✓Würden Sie von zusätzlichen Sicherheitsfunktionen, die
einen weiteren Schutz für Online-Banking und Finanztransaktionen bieten, profitieren?
✓Falls Sie Cloud Computing anwenden: Haben Sie überprüft, ob die Sicherheits- und Vertragsbedingungen des
von Ihnen gewählten Anbieters zu Ihrem Unternehmen
passen?
✓Haben Sie ein Sicherheitssoftwareprodukt gewählt, das
alle Computer und mobilen Geräte schützen kann, die
in Ihrem Unternehmen verwendet werden, um auf die
in der Cloud gespeicherten Informationen zuzugreifen?
Die Folgen einer Verletzung der Informationssicherheit und
eines Angriffs von Cyberkriminellen können verheerend sein
– stellen Sie also sicher, dass die IT-Systeme Ihres Unternehmens durch ein starkes Sicherheitssoftwareprodukt
geschützt sind. Auf der nächsten Seite erhalten Sie nähere
Informationen dazu...
Sicherheit, auf die sich Ihr Unternehmen
verlassen kann
Die vielfach ausgezeichneten Sicherheitstechnologien von
Kaspersky Lab, die Ihre Computer, Unternehmensinformationen
und mobilen Geräte schützen, ermöglichen Ihnen, mehr Zeit in
Ihre unternehmerische Haupttätigkeit zu investieren ... und
weniger Zeit damit zu verbringen, sich über Schadprogramme
und Cyberkriminelle Gedanken zu machen.
Sicherheitslösungen für wachsende
Unternehmen
Kaspersky Endpoint Security for Business ist ein maßgeschneidertes Produkt, das die einzigartigen Anforderungen
Ihres Unternehmens erfüllt. Wenn Ihr Unternehmen wächst und
Ihr IT-Netzwerk komplexer wird, können Sie zur nächsten Stufe
übergehen ... bis zur ultimativen Sicherheitslösung Kaspersky
Total Security for Business.
Kaspersky Total Security for Business kombiniert eine umfassende Sicherheit mit essentiellen Systemmanagementfunktionen,
um Ihnen dabei zu helfen, all Ihre Endpoints zu verwalten und zu
schützen:
✓ Windows PCs, Macs und Computer mit Linux
✓ Physische und virtuelle Maschinen
✓ Mobile Geräte – Android, iOS, Windows Phone,
Windows Mobile, BlackBerry und Symbian
✓ Daten-, Mail-, Internet- und Collaboration-Server
Mehr über Kaspersky Endpoint Security for Business und
Kaspersky Total Security for Business erfahren Sie unter
http://www.kaspersky.com/de/business-security
Sicherheitslösungen für kleinere Unternehmen
Kaspersky Small Office Security 3 wurde speziell für Unternehmen
entwickelt, die einen erstklassigen Schutz benötigen ... ohne
die Schwierigkeiten oder die Notwendigkeit, ein eigenes Team
für die IT-Sicherheit auszubilden. Es schützt Ihre Windows PCs,
Laptops und die Datenserver und mobilen Android-Geräte vor den
komplexen Bedrohungen der heutigen Zeit.
Mit Kaspersky Small Office Security können Sie Ihre IT-Systeme,
Ihr Online-Banking und vertrauliche Unternehmensinformationen
schnell und einfach schützen – einschließlich der sensiblen Daten,
die Ihnen Ihre Kunden anvertrauen:
• Branchenführender Echtzeitschutz für Windows PCs und
Datenserver
• Safe Money- und Virtual Keyboard-Technologien –
Extraschutz für Online-Banking
• Passwortmanagement – hilft Ihnen dabei, sicherere
Passwörter zu verwenden ... und dafür zu sorgen, dass sie
auch sicher bleiben
• Verschlüsselung – so bleiben Ihre vertraulichen
Informationen tatsächlich vertraulich
• Web Control – steigert die Produktivität, indem Webseiten
gesperrt werden und schadhafter Inhalt blockiert wird
• Mobile Sicherheit – schützt Android-Smartphones und
Tablets vor Schadprogrammen
Um herauszufinden, wie Kaspersky Small Office Security Ihr
Unternehmen schützen kann, besuchen Sie
www.kaspersky.com/de/it-sicherheit-fuer kleine-unternehmen
Essentielle Tipps für die
Essential
tips
onUnternehmens
defending
Verteidigung
Ihres
gegen
Schadprogramme
und
your business against
Internetkriminalität
malware and cybercrime
Von neugegründeten Unternehmen bis hin zu
From
start-upsKonzernen:
to multinationals,
all
multinationalen
Alle Unternehmen
sind immer mehr
auf Computer und
mobile
businesses
are increasingly
reliant
on
Geräte angewiesen
– und devices
das bedeutet,
sie
computers
and mobile
– anddass
that
immer anfälliger für bösartige Angriffe werden.
means
they’re
increasingly
vulnerable
to
Dieses angenehm zu lesende Buch gibt Ihnen
malicious
attacks.
This easy-to-read book
Tipps, wie Sie
Ihre Unternehmensinformationen
sichernyou
können
einschließlich
sensibler
brings
tips– on
how to protect
your
Informationen
über Ihre–Kunden
– und
wie Sie
business
information
including
sensitive
Ihre Computer und mobilen Geräte vor Viren und
information
about your customers – and
anderen Schadprogrammen schützen, damit Sie
how
to secure
computers
and mobile
weniger
Zeit füryour
die Sicherheit
aufbringen
müssen against
und mehrviruses
Zeit fürand
die Leitung
Ihres
devices
other malware,
Unternehmens
haben.
so
you spend less
time on security and
more
time running
business.
• Die Risiken
verstehenyour
– wissen,
was für Ihr
Unternehmen auf dem Spiel steht
• Understand the risks – know
• Die Bedrohungen kennenlernen – wie Kriminelle
what’s atins
stake
your business
Unternehmen
Visierfor
nehmen
Learn
about
theSie
threats
–
• S•chutz
planen
– indem
die üblichen
Sicherheitsfallen
umgehen
how criminals
target businesses
• I•hrePlan
Daten
mitavoiding
einfach
toverteidigen
protect –– by
anzuwendender Sicherheitssoftware
Schlagen
das
Open
theSie
book
Buch auf und
and find:
entdecken Sie:
•• An
of
Eineoverview
Übersicht über
typical
typische cybercrime
Angriffsmethoden
der Internetkriminalität
attack
methods
• Einfache Methoden, um
• Simple
ways to boost
Ihre Informationssicherheit
zu verbessern
your
information
• security
Wie Sie die richtige
Sicherheitssoftware für Ihr
• How
to choose
Unternehmen
wählen
security software
that’s right for
your business
the common security pitfalls
• Defend
your data
– with
Georgina
Gilmore
hat mehr
als 20 Jahre
easy-to-use
security software
Erfahrung
in der IT-Branche.
Sie ist Senior
Director of Global B2B Customer & Partner
Marketing bei Kaspersky Lab.
Georgina Gilmore has over 20 years’ experience
Peter Beardmore ist seit 2008 bei Kaspersky
inLab
theund
IT industry.
Georgina
is Senior Director
verfügt über
hervorragende
of
Global B2B Customer
& Partner Marketing
IT-Marketingund Produktmanagementatfähigkeiten.
Kaspersky Lab.
Beardmore
Er istPeter
Senior
Director ofjoined
Product
Kaspersky
Lab in 2008 with extensive IT
Marketing.
marketing and product management skills.
He is Senior Director of Product Marketing.
™
Making
Everything Easier!
Making Everything
Easier!™
Dummies.com®®
GoAuf
to Dummies.com
stehen Ihnen Videos, ausführliche
for videos, step-by-step examples,
Beispiele, Anleitungen und ein
how-to articles, or to shop!
Onlineshop zur Verfügung!
Papier aus
verantwortungsvollen
Quellen
ISBN: 978-1-118-84821-0
ISBN: 978-1-118-84041-2
Nicht zum Weiterverkauf bestimmt
Not for resale