Seiten

Montag, 30. Juni 2014

IT im Unternehmen: Ein bisschen sicher ist nicht sicher genug

Nicht erst seit den Enthüllungen über die Datensammelwut der amerikanischen NSA steht das Thema Datensicherheit im Fokus des öffentlichen Interesses. Dabei drohen insbesondere Unternehmen auch ohne spektakuläre Überwachungsmaßnahmen ausländischer Dienste in der ganz alltäglichen Nutzung ihrer IT mannigfache Sicherheitsgefahren von innen und außen, die häufig noch immer grob fahrlässig unterschätzt werden.


Viele Firmen arbeiten noch immer ohne ausgearbeitetes Sicherheitskonzept. Schlampiger Umgang mit Passwörtern und Emails, zu demokratisches Verfahren bei Admin-Rechten, ungeschützte Server und ähnliche Fahrlässig-keiten öffnen Wirtschaftsspionage von Mitarbeitern und bösartigen Interessenten an sensiblen Daten Tür und Tor. So manchem Unternehmen ist das bereits teuer zu stehen bekommen.

yourIT empfiehlt: Klären Sie jetzt Ihre Mitarbeiter zum Thema Passwortsicherheit auf!

Gefahren und Verluste drohen durch Hacker, Social Engineering, Online- Betrüger, aber auch durch Spammer, Würmer, Viren und andere Schadprogramme. Dabei sind Sicherheitsmaßnahmen in diesem Bereich nicht nur persönlicher Umsicht der Firmeninhaber geschuldet. Im Bereich der Kapitalgesellschaften sehen einzelne Gesetze wie etwa das GmbH-Gesetz, das Gesetz zur Kontrolle und Transparenz oder auch Kreditvergaberegelungen verschärfte Haftungen von Organen bei Vernachlässigung der IT- Sicherheit vor.

Passwörter - eine unendliche Geschichte


Obwohl die Anforderungen an ein sicheres Passwort bekannt sind (Mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern und anderen Zeichen), wird diesem wichtigen Thema zu wenig Aufmerksamkeit gewidmet. Immer noch vereinfacht der einzelne User das Passwort häufig so, dass es Hackern sehr leicht fällt, dass Passwort herauszufinden.

Bereits im Jahr 1987 veräppelt Mel Brooks im Film Spaceballs den zu laschen Umgang mit wichtigen Zugangs-Passwörtern. Lord Helmchen entführt Prinzessin Vespa und erpresst damit von deren Vater König Roland den Zugangscode zum Kraftfeld seines Planeten. Zögerlich nennt der König das wichtigste Passwort seiner Welt. Es lautet 1-2-3-4-5. Selbst Lord Helmchen ist baff und meint: "Also, so eine dämliche Kombination hab ich noch nie vernommen! Nur ein Idiot würde für seinen Koffer so"n Code verwenden!" Wenig später bestätigt sein eigener Präsident Skroob: ""Was der Code lautet 1-2-3-4-5? Das ist ja derselbe wie auf meinen Koffer. Ändern Sie den!" Mel Brook konnte damals ja nicht wissen, dass im Jahr 2012 - also 25 Jahre später - das Passwort des syrischen Präsident Assad von Hackern geknackt werden würde. Es lautete ebenfalls 1-2-3-4-5.

Nutzergenerierte Passwörter zeichnen sich heute leider immer noch sehr häufig dadurch aus, dass aus Gründen der besseren Merkbarkeit sinnvolle Begriffskombinationen, Geburtsdaten und ähnliches verwendet werden. Für mehrere Vorgänge wird häufig auch dasselbe Passwort hinterlegt - fatal, wenn z.B. das Facebook/Whatsapp-Passwort identisch ist mit dem Firmenzugangscode.

Dies erleichtert Hackern die Arbeit. Auch die Verwaltung von Passwörtern ist oft nicht zureichend gegen Zugriffe Dritter geschützt, wenn diese nicht verschlüsselt sind.

Ein ausgefeiltes Sicherheitskonzept wird daher zukünftig dem Schutz durch Passwörter noch weitere Instrumentarien wie Fingerabdruck, Iris-Scan oder zusätzliche persönliche Fragen beiordnen.

Daneben muss im Unternehmen immer wieder auf die Wichtigkeit der Passwörter hingewiesen und auf deren möglichst sichere Ausgestaltung eingewirkt werden.

Admin-Rechte für alle - Demokratie an der falschen Stelle


Administratoren Rechte ermöglichen dem Anwender den Zugriff auf Daten, Programme, erlauben Downloads aller möglichen Daten und Manipulationen an Daten. Deshalb ist es grob fahrlässig, wenn die Admin-Rechte im Unternehmen nicht besonderen IT-Mitarbeitern vorbehalten sind, sondern quasi jeder Mitarbeiter über diese Rechte verfügt. Hier wird eine Einladung ausgesprochen, nach Bedarf sensible Daten zu ziehen.

Maßgeschneidertes Konzept


Bereits diese kurzen Ausführungen lassen erkennen, dass jedes Unternehmen ein auf seine Bedürfnisse zugeschnittenes, professionelles Konzept im Bereich der IT- Sicherheit mit Daten- und Virenschutz benötigt. Wenden Sie sich hierzu vertrauensvoll an uns von yourIT.

Achtung Mittelständler: Nutzen Sie jetzt unser ESF-gefördertes Beratungspaket

Schaffen Sie Klarheit in Ihrem Unternehmen: Mit unserem Beratungspaket Sicherheitsaudit IT-Infrastruktur erstellen wir Ihnen unter anderem auch eine Liste der schwachen Passwörter in Ihrem Unternehmen. Wir bieten Ihnen persönliche Beratung zum Fixpreis - sponsored by ESF.

yourIT Sicherheitsaudit IT-Infrastruktur


Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele

Montag, 16. Juni 2014

Dringende Warnung: Erhöhtes Aufkommen von Cryptolocker

Unser Partner Norman meldet soeben, dass aktuell in deren Datenzentren von Norman SecureSurf und SecureMail eine erhöhte Menge bösartiger E-Mails wahrgenommen wird, die Cryptolocker Malware enthalten. Diese kann die Daten Ihres Unternehmens verschlüsseln.


Der Großteil dieses Traffics erreicht die Benutzer durch vertrauenswürdige Filesharing-Programme, die als Voicemail-Nachrichten oder Faxe verkleidet kommen. Norman SecureMail blockiert alle bekannten Varianten solcher E-Mails, allerdings können Spammer derartige Mails schnell verändern.

Informieren Sie jetzt Ihre Mitarbeiter


Daher ist es unglaublich wichtig, dass Sie Ihre Benutzer jetzt darauf hinweisen, absolut keine unbekannten E-Mails zu öffnen und keine Dateien herunterzuladen, ohne deren Quelle zu kennen. Außerdem ist es unumgänglich, häufiger ein Backup Ihrer Dateien durchzuführen. Wenn Sie ein Drittanbieter-Backup-System verwenden, stellen Sie sicher, dass Ihr Backup nicht mit den verschlüsselten Dateien überschrieben wird.



Dringende Warnung aus der yourIT-securITy-Abteilung zu E-Mails mit Cryptolocker


Zur Erinnerung: Cryptolocker ist ein besonders zerstörerischer Virus, der es schafft, alle Ihre Daten zu verschlüsseln. Cyber-Kriminelle zwingen Sie dann zur Zahlung, um die Daten wieder zu bekommen. Solchen Zahlungsaufforderungen sollten Sie keinesfalls nachkommen. Sie können sich nicht sicher sein, ob Sie Ihre Dateien tatsächlich wieder bekommen.

Unsere Empfehlung: Stellen Sie sicher, dass Ihre Kunden mit Norman SecureMail und SecureSurf geschützt sind.


Was macht Cryptolocker genau?

1. Ein Autostart-Objekt wird hinzugefügt und die Malware automatisch ausgeführt.

2. Die Malware ändert Registrierungseinträge, damit sie sich beim Systemneustart ausführen kann. Des Weiteren deaktiviert die Malware den abgesicherten Modus von Windows und kopiert ausführbare Dateien in das Anwendungsdatenverzeichnis des Windows Benutzers.

3. Cryptolocker erstellt eine sich selbst zerstörende Batch-Datei, welche das Skript enthält, damit die Malware ausgeführt werden kann.
    
Da diese Malware Dokumente mit dem komplexen RSA 1024-Bit Schlüssel verschlüsselt , sind wir nicht in der Lage, die Dateien wieder zu entschlüsseln. Aber wir werden dieser Malware auf der Spur bleiben und versuchen, alle seine Varianten zu erkennen.

Aktuelle Varianten des Cryptolockers werden von Norman als Cribit.A erkannt

Fragen? Wir sind für Sie da. Schreiben Sie einfach eine E-Mail an support@yourit.de

simplify yourIT empfiehlt den neuen Sicherheitsstandard ISA+ für KMU

Ihr Unternehmen benötigt ein Informationssicherheits-Managementsystem (ISMS). Dann müssen Sie sich entscheiden. Neben den bereits bekannten und am Markt angebotenen IT-Sicherheits-Standards ISO 27001, BSI IT-Grundschutz und ISIS12 gibt es seit letzter Woche einen neuen Standard: ISA+


Wozu noch ein Informationssicherheits-Management-System (ISMS)?

Angesichts der vielfältigen Gefährdungspotentiale nimmt die Informations-Sicherheit eine immer wichtigere Rolle ein. Wie sicher ist die verwendete IT-Infrastruktur? Welche technischen und organisatorischen Maßnahmen müssen konkret in der Organisation umgesetzt werden? Hierzu standen auch bisher schon eine Reihe von Sicherheitsstandards zur Verfügung:

  • ISO 27001
  • BSI IT-Grudschutz
  • ISIS12
Aus bisherigen Projekten wissen wir, dass die Einstiegshürden für diese ISMS für kleine und mittelständische Unternehmen (KMU) meist zu hoch sind. Vorbereitung, Durchführung und Zertifizierung überfordern diese schnell. Die erforderlichen Ressourcen und Spezialisten fehlen und müssen teuer zugekauft werden. Aus diesen und weiteren Gründen verzichten viele KMU daher auf die Einführung eines ISMS - auch wenn Ihnen die Risiken bewußt sind. Das führt dazu, dass KMU in der Regel bereits an den ISMS-Einstiegsfragen scheitern, weil z.B.  Datenschutzrichtline, Informationssicherheitsleitlinie, Notfallplan, etc. fehlen.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Aus diesem Grund halten wir ISA+ für das sinnvolle ISMS bei kleinen und mittelständischen Unternehmen - vor allem, wenn diese sich das erste Mal an solch ein Projekt heranwagen. Eine spätere Erweiterung auf die größeren Standards ISIS12, BSI IT-Grundschutz und sogar ISO 27001 ist später problemlos machbar. Der Grundgedanke ist derselbe - und passt zu unserem Konzept des "simplify yourIT".


Und das Beste: Sponsored by ESF


Die im Rahmen der Informations-Sicherheits-Analyse ISA+ erforderliche Beratungsleistung bei kleinen und mittelständischen  Unternehmen (KMU) bildet ab sofort und noch für das restliche Jahr 2014 unser nächstes ESF-gesponsortes Beratungspaket.

yourIT - ESF-gefördertes Beratungskonzept Informations-Sicherheits-Analyse ISA+

Weitere vom Europäischen Sozialfonds (ESF) geförderte yourIT-Beratungspakete finden Sie hier: http://www.mitgroup.eu/unsere-beratungspakete

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr

Thomas Ströbele