Seiten

Posts mit dem Label IT-Sicherheit werden angezeigt. Alle Posts anzeigen
Posts mit dem Label IT-Sicherheit werden angezeigt. Alle Posts anzeigen

Dienstag, 5. September 2023

Patchmanagement: Die unsichtbare Rüstung im digitalen Zeitalter

Patchmanagement: Die unsichtbare Rüstung im digitalen Zeitalter 

Stellen Sie sich vor, Sie besitzen ein Schloss. Es ist modern, technologisch fortgeschritten und bietet jeglichen erdenklichen Luxus. Doch eines Tages entdeckt jemand eine kleine, unauffällige Schwachstelle an Ihrer Tür. Eindringlinge könnten diese Schwachstelle nutzen, um sich Zugang zu verschaffen. 


Patchmanagement mit yourIT


Würden Sie nicht alles daransetzen, dieses Loch sofort zu schließen?


Freitag, 9. Oktober 2020

Videokonferenzen im Fokus von Cyberattacken

Die Zahl der beruflichen und privaten Videokonferenzen hat stark zugenommen. Das weckt das Interesse der Datendiebe. Ohne die erforderlichen Sicherheitsmaßnahmen ist die Vertraulichkeit der Gespräche und ausgetauschten Daten in Gefahr.  


      Videokonferenzen bergen viele Risiken

Dienstag, 20. März 2018

Gefahr für die Unternehmens-IT - Diese Risiken sollten Sie auf jeden Fall meiden

Heute ist "Tag der Passwortsicherheit 2018". Das Thema IT-Sicherheit gewinnt immer mehr an an Bedeutung: Laut einer Studie der Nationalen Initiative für Informations- und Internetsicherheit e.V. (NIFIS) sind deutsche Unternehmen alarmiert. Skandale um Datensicherheit und die gleichzeitig vermehrte Verwendung von Cloud-Diensten sorgen dafür, dass 79 Prozent der befragten Unternehmen sich verstärkt gegen äußere Angriffe schützen wollen. Die derzeitige Praxis zeigt, dass hier tatsächlich Handlungsbedarf besteht. Die folgenden 10 Fehler können dazu führen, dass sensible Firmendaten nicht mehr länger geheim bleiben. 


1. Kein Virenschutz 


Dass auf jedem Rechner eine Software installiert sein muss, die die Datenträger auf Malware absucht, sollte sich herumgesprochen haben. Das selbe gilt für die Server. Wer darauf verzichtet geht ein hohes Risiko ein, zumal der Angriff lange unbemerkt bleiben kann.

2. Keine Firewall


Kaum weniger wichtig als ein Virenschutz ist eine Firewall. Sie hält Hacker vor unberechtigtem Zugriff fern und warnt, wenn Programme sich ohne Erlaubnis des Nutzers installieren wollen.

3. Auf Sicherheitsupdates verzichten


Zugegebenermaßen: Die ständigen Updates des Betriebssystems können nerven, weil sich dadurch in den unpassendsten Momenten das Hochfahren des Rechners verzögern kann. Vor allem Sicherheitsupdates sind aber notwendig und sollten keinesfalls deaktiviert werden.

4. Zweifelhafte E-Mail-Anhänge öffnen


E-Mails von unbekanntem Absender sollten mit Vorsicht behandelt werden. Vom Öffnen der Anhänge kann nur abgeraten werden - insbesondere dann, wenn eine Datei mit der Endung ".exe" (eng. executable = ausführbar) geöffnet werden soll. Dabei handelt es sich um einen Dateityp, der die Installation von Programmen zulässt. So wird der Malware der Zugang zum Rechner maximal vereinfacht.

5. Links in unbekannten E-Mails anklicken


Kritische Anhänge sind zwar der Klassiker, immer häufiger setzen Spam-Mails aber auf die Verbreitung gefährlicher Links.

Lesen hierzu unbedingt unseren separaten Artikel zu Locky - dem bekanntesten Erpressungs-Trojaner.

Achtung Trojaner! Hier geht's zum Blogbeitrag.

Auch hier gilt: Dem zweifelhaften Vorwand keinen Glauben schenken und die betreffende E-Mail sofort löschen.

6. Filesharing nutzen


Prinzipiell ist Filesharing nicht illegal, die meisten geteilten Inhalte verstoßen aber durchaus gegen das Urheberrecht. Die wenigsten Nutzer laden aktuelle Games oder Kinofilme hoch, weil sie Filmfreunde sind; in der Regel soll nur Malware verbreitet werden.

7. Unverschlüsseltes WLAN


Cafés, Hotels oder öffentliche Einrichtungen - immer häufiger wird für Kunden oder Wartende ein kostenfreies WLAN-Netzwerk zur Verfügung gestellt. Diese eigentlich zuvorkommende Geste kann sich schnell in ein Risiko verwandeln, sofern es sich um ein offenes Netzwerk handelt. Selbstverständlich ist auch, dass das eigene Netzwerk verschlüsselt sein muss.

8. Sensible Daten unverschlüsselt abspeichern


Natürlich bedeutet es zusätzlichen Aufwand, die Festplatte mithilfe einer zusätzlichen Datenverschlüsselung zu sichern. Sofern die gespeicherten Informationen aber nur ansatzweise für Dritte interessant sein könnten, sollte dieser Aufwand betrieben werden. Selbst wenn das Betriebssystem ein Zugangspasswort verlangt, besteht ansonsten das Risiko, dass die Festplatte ausgebaut wird.

9. Offensichtliche Passwörter verwenden


Wer seine Daten mit dem Zugangscode "Passwort123" oder "qwertz" sichert, kann auch gleich auf die Verschlüsselung verzichten. Einige Passwörter sind so offensichtlich und beliebt, dass sie gerne ausprobiert werden. Es gibt große Passwort-Dateien, in denen alle nur erdenklichen Passwörter abgelegt sind. Nachnamen, den Namen der Kinder sowie Geburtsdaten lassen sich leicht merken, sollten aber nicht verwendet werden. Am besten ist eine nicht logische Abfolge von Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben.

10. Cloud-Anbieter im Ausland nutzen


Zunächst mögen viele Cloud-Anbieter mit günstigen Preisen locken. Doch eine Unternehmens- und Server-Standort im Ausland bedeutet auch, dass sich die Unternehmen an die dortigen Sicherheitsstandards halten müssen. Was das bedeuten kann, zeigten die den vergangenen Jahren offen gelegten Skandale zum Thema IT-Sicherheit. Wer seine Daten wirklich sicher gespeichert sehen möchte, sollte auf einen deutschen Dienstleister setzen.

Fazit


Einige der hier genannten Tipps lassen sich einfach umsetzen - eine vollständige IT-Sicherheit wird dadurch allerdings nicht gewährleistet. Warten Sie  nicht lange und lassen Sie Ihren IT-Dienstleister JETZT prüfen, ob Risiken / Sicherheitsschwachstellen in Ihrem Netzwerk bestehen und vorhandene Sicherheitslücken gegebenenfalls beheben.

Dienstag, 3. Mai 2016

Neun Schritte für maßgeschneiderte IT-Sicherheit

Auch für kleine und mittelständische Unternehmen (KMU) ist das Thema Sicherheit von großer Bedeutung. Wenn Daten nicht sicher sind, kann jedem Betrieb großer Schaden zugefügt werden. Es braucht jedoch keine riesige Abteilung, um sich davor zu schützen. Mit einem gestärkten Risikobewusstsein, einigen grundlegenden Entscheidungen und der Unterstützung durch externe Profis von yourIT können auch kleine und mittelständische Unternehmen ihre Sicherheit massiv erhöhen.

Verletzungen der Compliance und der Datensicherheit schaden dem Geschäft. Beispiele hierfür gab es in den letzten Monaten zuhauf - nicht nur aufrund von Erpressungs-Trojanern wie Locky. Daher sind Unternehmen jeder Größe gut beraten, jetzt Sicherheits-Vorkehrungen zu treffen.

Weshalb betrifft das auch Ihr Unternehmen?


Digitale Daten sind auch für Ihr Unternehmen unverzichtbar. Diese helfen Ihnen, Ihre Produkte optimal herzustellen, für diese zu werben, Aufträge entgegen zu nehmen, Zahlungen zu vereinbaren und Bücher zu führen. Ein hohes Maß an Sicherheit gewährleistet einen effizienten, ordnungsgemäßen und ungestörten Geschäftsbetrieb. Investitionen in die Erhöhung der Sicherheit lohnen sich, denn sie helfen Ihnen:
  • Verluste durch Diebstahl (von Daten oder Geräten) zu vermeiden;
  • Zeit für die Behandlung von Sicherheitsvorfällen zu sparen;
  • Nach Geräteausfällen schneller zum regulären Betrieb zurückzukehren;
  • Kunden zu binden und neue Aufträge zu gewinnen;
  • Ihren gesetzlichen Verpflichtungen und sonstigen Vorschriften nachzukommen.

Früher war IT-Sicherheit teuer, weil die Sicherheits-Lösungen auf große Unternehmen mit nicht minder großen Budgets zugeschnitten waren. Doch das hat sich geändert. Neue - größtenteils internetbasierte Dienste wie etwa unser Schwachstellenanalyse-Tool lassen sich schnell bereitstellen und leicht und problemlos nutzen. Wichtig für kleine und mittelständische Unternehmen: Sie wurden auch im Preis auf kleine und mittelständische Unternehmen angepasst.

Da Kunden und Aufsichtsbehörden in zunehmendem Maß Sicherheit auch von Ihrem Unternehmen einfordern, sollten Sie jetzt in Sicherheitsmaßnahmen investieren. yourIT als Ihr beratendes und betreuendes Systemhaus bietet Ihnen Coole Tools für professionelle und zuverlässige IT-Sicherheit auch in Ihrem KMU.

Mit einer kleinen Zahl einfacher, durchdachter Maßnahmen können Sie Ihre Risiken im Bereich der IT erheblich reduzieren. Dabei müssen Sie allerdings darauf achten, dass Ihre Verteidigungslinien keine großen Lücken aufweisen. Firewalls und Virenschutz sind ein Muss, reichen allein aber noch nicht aus. Die heutigen Angriffe sind darauf angelegt, Schwächen in Ihren Systemen gezielt zu suchen und auszunutzen. Daher müssen Sie Ihre Systeme unbedingt häufig auf solche Schwachstellen scannen und die nötigen Maßnahmen einleiten, um sie zu beseitigen. Zum Glück ist dies nicht so schwierig, wie es klingt, wenn Sie die Hilfe eines vertrauenswürdigen IT-Dienstleisters wie z.B. yourIT in Anspruch nehmen.

Hier stellen wir Ihnen die neun Schritte vor, mit deren Bearbeitung Sie aus unserer Sicht IT-Sicherheit auch in Ihrem KMU implementieren können. Die Reihenfolge entspricht dabei der Priorität.

yourIT empfiehlt - Neun Schritte für maßgeschneiderte IT-Sicherheit

Die wichtigsten Schritte für maßgeschneiderte Sicherheit

  1. Verpflichtung zur Sicherheit: Wer schriftlich niederlegt, dass er sich zum Schutz aller Daten verpflichtet, brieft damit nicht nur seine Mitarbeiter. Er schafft auch Vertrauen bei Stakeholdern und Kunden und sorgt für das grundlegende Verständnis für die Relevanz dieses Themas.
  2. Anforderungen klar kommunizieren: Jeder Mitarbeiter, der mit sensiblen Daten umgeht, muss genau instruiert werden, wie diese zu schützen sind. Dabei müssen alle rechtlichen, behördlichen und branchenspezifischen Vorschriften zur Anwendung kommen.
  3. Konkrete Sicherheitsrisiken und Gegenmaßnahmen ermitteln: Häufige Risiken sind: - Der Diebstahl von Daten oder Geräten. - Spionage. Diesem Risiko sind nicht nur große Firmen ausgesetzt. - Höhere Gewalt wie Brände oder Überschwemmungen. - Der Ausfall von Geräten kann den Arbeitsprozess ins Stocken bringen. Termine können nicht eingehalten werden. - Computerviren, Malware und Spyware sind eine Bedrohung für jeden Computer. Die Folgeschäden für Unternehmen können jedoch immens sein. - Ob gezielt oder "zufällig", Hackerangriffe auf die Unternehmens- Computer sind eine große Gefahr.
  4. Festlegen von Regeln und Richtlinien: Strikte Regeln und Verhaltensweisen helfen Verantwortlichen und Mitarbeitern, sensible Daten und Geräte zu schützen. Dazu zählt die Vergabe von sicheren Passwörtern, die turnusmäßig aktualisiert werden müssen. Regelmäßige Backups schützen vor Datenverlust, Daten und Laptops müssen unter Verschluss gehalten werden, wenn das Büro nicht besetzt ist. Natürlich dürfen Kundendaten nicht weitergegeben werden, und mobile Geräte müssen, besonders an öffentlichen Plätzen, geschützt werden.
  5. Verantwortung übertragen: Je nach Größe des Unternehmens sollte es für jeden sicherheitsrelevanten Bereich einen oder mehrere Verantwortliche geben, die sich um Backups, Sicherheits-Software etc. kümmern. Hier muss auch an die Urlaubsvertretungen gedacht werden.
  6. Erforderliche Gegenmaßnahmen einleiten: Dies beinhaltet alle nötigen Gegenmaßnahmen, um den Schutz zu gewährleisten. Zugangskontrollen, Ablaufkontrollen, technische Maßnahmen und Sicherheitstechnologien müssen dem Unternehmen angepasst und ständig aktuell sein.
  7. Notfallplan: Für den worst case sollte ein genauer Plan entworfen werden, der Handlungsstrategien festlegt. Dies beinhaltet nicht nur Ausweichstandorte und Standby-Systeme, sondern auch aktuelle Backups und einen einfachen, aber konkreten Plan.
  8. Überwachung: Die Sicherheitsmaßnahmen und - Vorkehrungen müssen stets kontrolliert werden.
  9. Mitarbeiterschulungen: Mitarbeiter sollten regelmäßig geschult werden. Auch die Verantwortlichen sollten ihr Wissen stets aktuell halten. Fazit: Mit einfachen Mitteln ist es kein Problem, auch in kleinen Unternehmen die Datensicherheit zu gewährleisten.

Diese neun Schritte verhelfen Ihrem Unternehmen zur maßgeschneiderten IT-Sicherheit

Fazit - wie wir von yourIT Sie unterstützen können


Sicherheit ist heute wichtiger denn je - und das Bewusstsein dafür ist da! Die größten Probleme bei der Beseitigung von IT-Schwachstellen in den meisten mittelständischen Unternehmen sind derzeit die fehlenden Personalressourcen und das mangelnde Know-How. Unser Ansatz als Ihr Systemhaus ist es daher, Sie mit unseren Coolen Tools zu unterstützen, die "Standardtätigkeiten" übernehmen und Ihnen dadurch Zeit einsparen. Zeit, die Sie dann einsetzen können, um die Schwachstellen zu eliminieren und sichere Prozesse und Lösungen zu implementieren.

Mit modernsten Internet-basierten Lösungen (= Coole Tools) übernehmen wir z.B. kostengünstig das professionelle Monitoring Ihrer Systeme, messen die Risikoanfälligkeit und nehmen alle IT-Sicherheitslücken bei den Clients, im System und in den Webapplikationen auf. Sie erhalten unsere ausführlichen Reports und lösen die Probleme - gerne auch mit unserer Unterstützung.

Unser Angebot für Sie: Das yourIT-Sicherheitsaudit "IT-Infrastruktur" - Geringe Kosten durch staatliche Förderung

yourIT-Sicherheitsaudit "IT-Infrastruktur" - sponsored byESF

Möchten Sie für Ihr Unternehmen eine Übersicht über Ihre IT-Infrastruktur mit allen IT-Sicherheits-Schwachstellen haben? Wir bieten Ihnen die Durchführung eines Sicherheitsaudits zum Festpreis von 3.900 EUR netto zzgl. Nebenkosten an. Für mittelständische Unternehmen ist diese Beratung in der Regel förderfähig. Abzüglich der Ihnen zustehenden 1.500 EUR Fördermittel bleibt ein Eigenanteil von gerade mal 2.400 EUR. Sie erhalten also 4 Beratertage zum Preis von 2. Weitere Infos zu unseren ESF-geförderten Beratungspaketen haben wir Ihnen hier zusammengestellt: https://www.mitgroup.eu/Unsere-Beratungspakete/sicherheitsaudit-it-infrastruktur

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT




Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.


Ich freue mich auf Ihre Anfragen. Kontaktieren Sie uns!

Ihr Ralf Ströbele
Ralf Ströbele

Das könnte Sie auch interessieren:


Bildnachweise:
- oben: Fotolia (siehe Liste im Impressum)
- unten: https://static.pexels.com/photos/6805/fashion-men-vintage-colorful.jpg

Samstag, 26. Dezember 2015

IT-Sicherheit - So bleiben Sie auch 2016 geschützt!

IT-Sicherheit ist kein statischer Zustand. Es handelt sich um einen Prozess, der kontinuierlich in Bewegung ist - und das muss auch so sein. Denn nur so können die IT und die Daten eines Unternehmens vor unbefugten Zugriffen bestmöglich geschützt. Die Sicherheit der IT vor Datendiebstahl durch Hackerangriffe  aus dem Internet oder vor Datenverlust wird ausschließlich durch eine kontinuierliche Auseinandersetzung mit diesem Thema gewährleistet.


IT-Sicherheit - so bleiben Sie auch 2016 geschützt

IT-Sicherheit besteht aus mehreren Säulen


Die IT-Sicherheit wird von mehreren Seiten bedroht. Basierend auf diesem Wissen wurden im Rahmen der Sicherheit der gesamten IT und der einzelnen Komponenten drei Grundwerte festgelegt. Dabei handelt es sich um die Vertraulichkeit von Daten und dem Schutz vor unbefugten Zugriffen wie Internetangriffe. Der zweite Grundwert ist die Verfügbarkeit der benötigten Daten zum geforderten Zeitpunkt. Die Integrität mit dem Schwerpunkt auf vollständigen und unveränderten Daten, bilden den dritten Grundwert, der im Rahmen der IT-Sicherheit beachtet werden muss.

Die Sicherheit der IT wird von mehreren Seiten bedroht. Internetangriffe und die Infektion des Firmennetzwerkes mit Schadsoftware sind nur ein Teil davon. Jede einzelne Komponente einer IT birgt potenzielle Sicherheitsrisiken, die zu Datenverlusten oder Systemausfällen führen können. Zur Abwendung der Gefahren muss im ersten Schritt ein Bewusstsein für die häufigsten Bedrohungen der IT-Sicherheit geschaffen werden:
  • Datenverlust wird durch regelmäßige Datensicherungen verhindert
  • Der Diebstahl von Daten durch Zugriffe unbefugter Personen muss durch entsprechendes Passwortmanagement verhindert werden
  • Betriebssysteme sind immer auf dem aktuellsten Stand, um Internetangriffe abzuwehren
  • Schutz vor Viren und anderen Schadprogrammen bieten intelligente Antiviren-Programme, die kontinuierlich aktualisiert werden
  • Internetangriffe durch Hacker werden durch professionell konfigurierte Firewalls abgewehrt
  • Die Absicherung von Systemausfällen erfolgt durch regelmäßige Datensicherungen, Redundanzkonzepte und Notfallpläne


Diese Aufzählung der grundlegenden Maßnahmen sind die wichtigsten Komponenten zum Thema IT-Sicherheit. Nur die Erarbeitung eines individuellen und auf die vorhandenen Komponenten der IT abgestimmten Konzeptes, bietet einen umfassenden Schutz vor Datenverlusten. Denn jedes Sicherheitskonzept betrachtet ein IT-System von mehreren Seiten. Der Blick von außen verhindert Internetangriffe und die Einschleusung von Schadsoftware. Der Blick von innen richtet sich auf das Zusammenspiel der einzelnen IT-Komponenten.

yourIT bietet proaktiven Schutz - durch Penetrationstests - im Zollernalbkreis und ganz Deutschland


Nur wer die Lücken und Schwachstellen in seinem IT-Netzwerk und auf den Webapplikationen kennt, kann diese auch wirksam und effektiv beheben. Das Systemhaus yourIT ist im Zollernalbkreis und darüber hinaus bekannt für seine automatisierten Penetrationstests und weitere Beratungspakete. Gemeinsam mit den über 300 Systemhäusern aus comTeam, Novacur und Winwin-Office Network finden und beheben wir deutschlandweit Schwachstellen proaktiv. Warten Sie nicht, bis Ihre Systeme angegriffen werden, sondern finden und beheben auch Sie Ihre Schwachstellen. Wir sagen Ihnen wo, weshalb und wie. Dazu testen wir Ihre Systeme durch automatisierte simulierte Cyber-Angriffe. Interesse? Dann rufen Sie uns jetzt an unter +49 7433 30098-0 und lassen Sie sich ausführlich uns individuell zum Thema Penetrationstest beraten.

Vergessen Sie niemals, Ihre Mitarbeiter mitzunehmen


Nicht vergessen werden darf im Rahmen der Konzeptionierung vorbeugender Maßnahmen zur IT-Sicherheit das Nutzerverhalten der Mitarbeiter eines Unternehmens.

Hier hilft nur Schulung, Schulung und nochmal Schulung. Eine Anleitung für Ihre Mitarbeiter, wie diese ihren Arbeitsplatz erfolgreich gegen Viren und Erpressungs-Trojaner verteidigen können inkl. Leitfaden mit den wichtigsten Punkten und einem Notfallplan finden Sie hier:

Anleitung und Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Die zuverlässige Sicherheit einer IT kann nur mit hohem Fachwissen und Erfahrung in diesem Bereich gewährleistet werden und entsprechender Unterstützung bei den technischen UND den organisatorischen Maßnahmen. Informieren Sie sich bei den Spezialisten im IT-Systemhaus über die Details zum Thema IT-Sicherheit und erarbeiten Sie gemeinsam ein Konzept zum Schutz Ihrer Daten und Systemkomponenten.

Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Donnerstag, 17. September 2015

IT-Sicherheit - Gute Beratung spart Geld

Unternehmen verfügen über eine Fülle sensibler Daten, die geschützt werden müssen. Dies erfordert eine langfristige Sicherheitsstrategie. Viele Unternehmen widmen dem Thema IT-Sicherheit aufgrund möglicherweise zu erwartender hoher Kosten nicht die notwendige Aufmerksamkeit. Nicht zuletzt durch das neue IT-Sicherheitsgesetz ist hier das Thema ISO27001 in den Vordergrund gerückt. Dabei sorgt eine entsprechende Investition in externe Beratung nicht nur für eine stabilere Sicherheitslage, sondern ist langfristig gesehen auch wirtschaftlicher, als ein erhöhtes Risiko zu tragen.


IT-Sicherheit - Gute Beratung spart Geld

Warum ist IT-Sicherheit wichtig?


IT-Sicherheit ist, abgesehen vom Datenschutz, auch deshalb so wichtig, weil sie innerhalb eines Unternehmens über alle Abteilungen hinweg relevant ist. Auch, wenn für die IT-Sicherheit intern Sorge getragen wurde, erweist sich das Hinzuziehen externer Berater meist als rentabel. Diese können häufig besser Risiken analysieren und Sicherheitslücken schließen und verfügen zudem über ein erhöhtes Know-how in puncto IT-Sicherheit.



Sie sorgen dafür, dass eine maßgeschneiderte Sicherheitsstrategie entworfen wird, die sich nach den Anforderungen des Unternehmens richtet und festsetzt, welche Maßnahmen tatsächlich erforderlich sind und welche Investitionen getätigt werden müssen. Dies bewahrt auch davor, Fehlinvestitionen zu tätigen. Eine Methode für eine entsprechende Kalkulation lautet Return on Security Investment, kurz ROSI. Dabei werden Schadenssummen und Kosten für die IT-Sicherheit gegenübergestellt. Dies geschieht auf der Grundlage der Erfahrungswerte, wann welche Schäden eintreten. So lässt sich für ein Unternehmen festlegen, welche IT-Sicherheitsmaßnahmen tatsächlich lohnenswert sind.

Risikoanalyse


Die ausführliche Risikoanalyse steht an erster Stelle, um eine geeignete Sicherheitsstrategie zu entwickeln. Sie beinhaltet, Gefahren für den Geschäftsbetrieb aufzuspüren, das Gefahrenpotenzial festzusetzen und die möglichen Schäden und damit die Beeinträchtigung des Unternehmens zu kalkulieren. Innerhalb eines Unternehmens fehlt meist der Blick für solche Gefahrenquellen, was die externe Hilfe erforderlich macht. So kommt es bereits zu Datenmissbrauch und daraus resultierenden Schäden, bevor dies im Unternehmen überhaupt bemerkt wird.

Nutzen Sie jetzt unser Beratungspaket Basis-Check ISO27001

Ein Teil einer externen Sicherheitsprüfung kann auch die Zertifizierung nach ISO 27001 sein. Ein attraktiver Nebenaspekt dieser Sicherheitszertifizierung - ein Unternehmen kann mit dieser werben und seine Reputation stärken.

Investition


Mit der Investition in die IT-Sicherheit und externe Beratung sparen Sie mit Ihrem Unternehmen letztlich Geld, da Sie mit einer maßgeschneiderten Sicherheitsstrategie nicht nur für den notwendigen Schutz sorgen, sondern auch unnötige IT-Maßnahmen vermeiden.

Umgehen Sie also das Risiko und tragen Sie somit zum Erfolg Ihres Unternehmens bei. Starten Sie jetzt durch - mit unserem Beratungspaket Basis-Check ISO27001.

yourIT Basis-Check ISO27001 - sponsored by ESF

Übrigens: Für mittelständische Unternehmen gibt es unter bestimmten Bedingungen bis zu 1.500 EUR Fördermittel für unsere Beratung im Bereich Datenschutz & IT-Sicherheit. Aber nur noch bis zum 31.12.2016. Also: Keine Zeit verlieren!

Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Montag, 22. Juni 2015

Bitkom-Ranking - Die 10 größten Gefahren im Internet

Das Internet ist längst kein sicherer Ort mehr, überall lauern Gefahren. Die Bitkom hat jetzt die 10 größten Cyber-Bedrohungen in einem Ranking zusammengefasst.


yourIT warnt vor den Gefahren aus dem Internet

1. Malware: Trojaner und Würmer


Bei Malware handelt es sich um potentielle Schadsoftware, die in der Lage ist, ein PC-System zu zerstören oder Passwörter auszuspähen. Als "Klassiker" der Malware gelten auch heute noch Trojaner und Würmer.

2. Drive-by-Downloads beim Besuch manipulierter Websites


Auf gefälschten Websites passiert es meist ganz unbemerkt: Ohne, dass der Nutzer dies gewünscht hätte, wird von der Website ein Download mit Malware gestartet. Manchmal wird der Download auch durch das Starten eines eingebetteten Videos aktiviert.

3. Spionage durch infizierte Websites und Mobile Apps


Bei der sogenannten "SQL-Injection" erstellt ein Angreifer Kommandos oder verändert bereits vorhandene, um versteckte Daten, wie die Passwörter des Nutzers, auslesen zu können oder zu überschreiben. Auch besteht die Möglichkeit Teile des Systems zu zerstören.

4. Botnetze: Simultanattacke durch gekaperte Computersysteme


Ein Netzwerk aus mehreren hundert oder tausend Computersystemen ist Geld wert. Diese werden oft durch Malware zu "Zombies" gemacht und von einem Botmaster kontrolliert.

5. Lahmlegen ganzer Systeme durch DDoS


Botnetze können auf Befehl eines Botmasters einen DDoS-Angriff (Distributed Denial of Service) auf eine Website starten. Wenn gleichzeitig tausende PCs zugreifen, wird die Adresse in kürzester Zeit lahmgelegt. Das bedeutet oft einen hohen finanziellen Ausfall für den Seitenbetreiber.

yourIT warnt vor DDoS-Attacken - Schleichende Angriffe aus dem Netz


6. Spam ist nicht harmlos


In manch seriös erscheinender Nachricht verbergen sich Links oder Dateien, die einen PC infizieren können. Selbst durch Spamfilter rutschen gefährliche Nachrichten oft durch. Im Zeitalter von Social-Media wird immer mehr Spam auch über Facebook und Co versendet.

7. Pishing: Organisierter Datendiebstahl


Eine andere Variante der Cyber-Attacke durch gefälschte Websites ist Pishing. Die Website sieht original so aus wie die der eigenen Bank, Firma, o.a. Nichtsahnend gibt der Nutzer seine Daten in das Loginfeld ein, wo die Kriminellen sie freudig entgegennehmen.

8. Automatisierte Cyber-Attacken durch Virenbaukästen


Selbst Laien oder Jugendliche können mit den sogenannten "Exploit Kits" in wenigen Schritten gefährliche Trojaner bauen. Diese arbeiten meist automatisiert.

9. Physischer Diebstahl und Verlust sensibler Datenträger


Vernachlässigung der Mobile Security: Bei Verlust oder Diebstahl von Smartphone, Tablet und Co. kann der Finder, beziehungsweise Dieb die darauf befindlichen Daten ausspähen, sofern sie nicht ausreichend durch Passwörter und durch Nutzung von Verschlüsselung geschützt sind.

Mobile Security - yourIT warnt vor der Gefahr durch Vernachlässigung


10. Datenverlust als Folge von Cyber-Attacken


Beliebtestes Ziel von Cyber-Kriminellen ist das Ausspähen von sensiblen Daten, um zum Beispiel auf Konten zugreifen zu können.

yourIT - Wir unterstützen Sie!

Wie wir von yourIT Sie unterstützen können


Wo immer Sie sich im Internet aufhalten, seien Sie vorsichtig! Die Gefahren lauern an jeder Ecke. Wir von yourIT bieten Ihnen gerne Sicherheitsaudits an für Ihre IT-Infrastruktur sowie für Webapplikationen. Auch unsere Datenschutz-Beratung legt viele Schwachstellen offen. Wir unterstützen Sie dabei, die Schwachstellen zu beseitigen und schulen Ihre Mitarbeiter.

Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele

Ralf Ströbele

Montag, 23. März 2015

Schleichende Angriffe aus dem Netz: DDoS-Attacken als Risikofaktor

Cyberkriminalität ist innerhalb der letzten Jahre zu einer Bedrohung für kleine und große Unternehmen, aber auch die Politik erwachsen. DDoS-Attacken (Distributed Denial of Service) sind dabei oft Ablenkungsmanöver und Ausfallfaktor in einem.



Offline ohne Vorwarnung


Lizard Squad nennt sich eines der Schreckgespenster, das seit September letzten Jahres die Spieleindustrie auf Trab hielt. Mit gezielten DDoS-Attacken auf die Netwerke von Playstation und Xbox Live, verwehrte das Hackerkollektiv Millionen von Spielern über die Weihnachtszeit den Zugriff auf ihre Accounts. Es unterließ den Angriff mutmaßlich erst nachdem Kim Dotcom, bekannt durch die Affäre rund um den Upload-Service MEGA, ihnen zum Ausgleich 3.000 Accounts und tausende Terrabyte Speicherplatz auf seinen Servern anbot. Einen kritischeren Charakter hatten die Angriffe auf die Website von Malaysia Airlines im Januar 2015 und das gesamte Internet Nord Koreas, welches erst nach gut 24 Stunden seinen Betrieb fortsetzen konnte.

Was sind DDoS-Attacken?


Vereinfacht lässt sich sagen, dass von mehreren IPs so schnell und lange auf einen Server zugegriffen wird, dass dieser für reguläre Nutzer nicht mehr verfügbar ist. Der auf HTTP-Paketen basierte Angriff kann durch Sicherheitsvorkehrungen wie Firewalls oft nicht entdeckt werden. Zudem wird er gezielt auf Login-Seiten ("Login-Brute-Force"-Angriffe) oder Netzwerke ausgeführt und lässt sich - einmal in Gange - nur noch durch Abbrechen des Protokolls von Angreiferseite stoppen. DDoS-Attacken werden dabei oft von Dutzenden oder gar hunderten IPs gleichzeitig ausgeführt und über Chats und Boards koordiniert. Während die Systeme offline sind, kann außerdem oft eigene Information in die Websites eingeschleust werden, die auf den Grund der Attacke hinweist oder Forderungen stellt. Für den Seiten- oder Netzwerkbetreiber entstehen durch den Ausfall oft erhebliche Geschäftseinbußen bis hin zum Verlust von Kunden, die im Onlinegeschäft für gewöhnlich sofort kaufen und konsumieren wollen. Neben Shops werden auch Länder und Regierungen immer wieder Opfer von DDoS-Attacken. Im Januar diesen Jahres waren Seiten der Bundesregierung, der Bundeskanzlerin und auch der Nato unter Beschuss durch CyberBerkut, eine ukrainische Hackergruppe. Hier wurde der Angriff mit dem Einbinden politischer Botschaften zu prorussischen Zwecken verbunden.

Wehren oder Abwarten?


Kim "Dotcom" Schmitz geriet für seinen Umgang mit der Lizard Squad in die Kritik, mit den Angreifern verhandelt zu haben. Es ist jedoch in der Tat schwierig einen Lösungweg im Falle des Falles zu finden. Darum gilt zuerst einmal: Prävention. Firmen müssen sich der Bedrohung bewusst werden und ihre IT auf den Ernstfall briefen. Unternehmenskritische Daten können in ein separates Netzwerk ausgegliedert werden, regelmäßige Backups beugen dem Datenverlust vor.

Kontaktieren Sie uns!


Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Montag, 2. März 2015

IT-Sicherheit - So bleiben Sie auch 2015 geschützt!

Die IT-Sicherheit ist kein statischer Zustand. Vielmehr handelt es sich um einen Prozess, der kontinuierlich in Bewegung ist und dies auch sein muss. Denn nur in diesem Fall werden die IT und die Daten eines Unternehmens vor unbefugten Zugriffen bestmöglich geschützt. Die Sicherheit der IT vor Datendiebstahl durch Internetangriffe oder Datenverlust wird ausschließlich durch die kontinuierliche Auseinandersetzung mit diesem Thema gewährleistet.


IT-Sicherheit - so bleiben Sie auch 2015 geschützt

IT-Sicherheit besteht aus mehreren Säulen


Die IT-Sicherheit wird von mehreren Seiten bedroht. Basierend auf diesem Wissen wurden im Rahmen der Sicherheit der gesamten IT und der einzelnen Komponenten drei Grundwerte festgelegt. Dabei handelt es sich um die Vertraulichkeit von Daten und dem Schutz vor unbefugten Zugriffen wie Internetangriffe. Der zweite Grundwert ist die Verfügbarkeit der benötigten Daten zum geforderten Zeitpunkt. Die Integrität mit dem Schwerpunkt auf vollständigen und unveränderten Daten, bilden den dritten Grundwert, der im Rahmen der IT-Sicherheit beachtet werden muss.

Die Sicherheit der IT wird von mehreren Seiten bedroht. Internetangriffe und die Infektion des Firmennetzwerkes mit Schadsoftware sind nur ein Teil davon. Jede einzelne Komponente einer IT birgt potenzielle Sicherheitsrisiken, die zu Datenverlusten oder Systemausfällen führen können. Zur Abwendung der Gefahren muss im ersten Schritt ein Bewusstsein für die häufigsten Bedrohungen der IT-Sicherheit geschaffen werden:
  • Datenverlust wird durch regelmäßige Datensicherungen verhindert
  • Der Diebstahl von Daten durch Zugriffe unbefugter Personen muss durch entsprechendes Passwortmanagement verhindert werden
  • Betriebssysteme sind immer auf dem aktuellsten Stand, um Internetangriffe abzuwehren
  • Schutz vor Viren und anderen Schadprogrammen bieten intelligente Antiviren-Programme, die kontinuierlich aktualisiert werden
  • nternetangriffe durch Hacker werden durch professionell konfigurierte Firewalls abgewehrt
  • Die Absicherung von Systemausfällen erfolgt durch regelmäßige Datensicherungen, Redundanzkonzepte und Notfallpläne

Diese Aufzählung der grundlegenden Maßnahmen sind die wichtigsten Komponenten zum Thema IT-Sicherheit. Nur die Erarbeitung eines individuellen und auf die vorhandenen Komponenten der IT abgestimmten Konzeptes, bietet einen umfassenden Schutz vor Datenverlusten. Denn jedes Sicherheitskonzept betrachtet ein IT-System von mehreren Seiten. Der Blick von außen verhindert Internetangriffe und die Einschleusung von Schadsoftware. Der Blick von innen richtet sich auf das Zusammenspiel der einzelnen IT-Komponenten. Nicht vergessen werden darf im Rahmen der Konzeptionierung vorbeugender Maßnahmen zur IT-Sicherheit das Nutzerverhalten der Mitarbeiter eines Unternehmens.

Die zuverlässige Sicherheit einer IT kann nur mit hohem Fachwissen und Erfahrung in diesem Bereich gewährleistet werden. Informieren Sie sich bei den Spezialisten im IT-Systemhaus über die Details zum Thema IT-Sicherheit und erarbeiten Sie gemeinsam ein Konzept zum Schutz Ihrer Daten und Systemkomponenten.

Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Montag, 23. Februar 2015

Physical Security - Sicherheitstechnik erobert den IT-Markt

Besonders im IT-Sektor ist Sicherheit ein häufig genutztes Wort. Dabei wird jedoch vor allem die digitale Sicherheit von Webseiten, Servern und Zugangspunkten benannt, welche jedoch nur einen Teil eines umfassenden Sicherheitssystems darstellen können. Der Gedanke an die echte, physikalische Sicherheit der Daten wird dabei oftmals nicht in Betracht gezogen. Sofern der Server gegen Angriffe über das Internet abgesichert ist, scheint es kaum zu stören, dass Diebe mit einer Brechstange viel leichter an die sensiblen Daten kommen könnten. Mit der passenden und vor allem exakt abgestimmten Sicherheitstechnik ist dieses Problem schnell und einfach behoben.


Physical Security: Ein Markt mit Wachstumspotential


Selbst große Unternehmen sind oftmals erschreckend schlecht ausgestattet, wenn es um die Sicherheitstechnik im IT-Bereich geht. Schaut man jedoch auf kleinere und mittelständische Unternehmen, so sieht es noch düsterer aus. Hier scheint sich kaum jemand Gedanken darum zu machen, dass die Daten, aber auch die oftmals wertvollen Geräte viel zu leicht entwendet oder beschädigt werden könnten. Dabei kann mit wenigen Schritten die Sicherheit erhöht werden, ohne dass der laufende Betrieb darunter zu leiden hätte. Denn viele Argumente gegen solche Sicherheitsvorkehrungen drehen sich um die Frage, ob die Abläufe innerhalb des Unternehmens durch die Sicherheitstechnik verlangsamt oder gestört werden.

Analog gegen digital: Sicherheitstechnik in moderner Zeit


Während früher noch große Schlösser oder komplizierte Zugangswege gangbare Mittel waren um Unbefugte fernzuhalten, greift moderne Sicherheitstechnik da doch eher zu digitalen Mitteln. So helfen zum Beispiel IP-Kameras dabei bestimmte Bereiche zu überwachen, können dabei Bildausschnitte aussparen oder auf Bewegungen reagieren. Zugangskontrollen lassen sich hingegen über die verschiedensten Schnittstellen realisieren. Angefangen beim Tastenfeld, über NFC-Chips, welche die Türen öffnen und sogar diese Öffnungsvorgänge mitloggen können. So werden die Bewegungen innerhalb des Unternehmens transparenter und es kann verhindert werden, dass sich beispielsweise Unternehmensfremde an der Servertechnik zu schaffen machen. Darüber hinaus ist moderne Sicherheitstechnik auch in der Lage Mensch und Maschine gleichermaßen zu retten, da hier auch Feuerdetektoren und Alarmsysteme angeschlossen werden können. Somit kann ein umfassendes und vor allem auf den jeweiligen Betrieb zugeschnittenes Sicherheitssystem Zeit und Stress ersparen.

Vom Profi beraten und ausgestattet


Ein gutes System an Sicherheitstechnik muss immer auf das jeweilige Unternehmen und den Standort zugeschnitten werden. Wir bieten hierbei eine umfassende Beratung und eine gute und vor allem kundenorientierte Planung der verschiedenen Sicherheitstechnik. So entsteht in kürzester Zeit ein Sicherheitssystem, welches so kompliziert wie nötig und so zugänglich wie möglich ist.

Kontaktieren Sie uns!


Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Freitag, 6. Februar 2015

IT-Security - Keine Ausrede ist gut genug

IT-Sicherheit ist ein Aspekt, der vor allem von Privatleuten, aber auch von kleinen und mittelständischen Unternehmen oftmals ignoriert wird. Dabei steigt die Gefahr von Jahr zu Jahr weiter an. Mangelnde Sicherheit im Bereich der IT und IT-Infrastruktur kann schnell zu Problemen führen, die sogar die Insolvenz eines Unternehmens zur Folge haben können. Grund für die mangelnde Sicherheit ist oftmals Ignoranz, aber auch Unwissenheit und sogar Faulheit. Dabei kann mit nur wenig Aufwand Abhilfe geschaffen werden.


IT-Security - keine Ausrede ist gut genug

Immer neue Ausreden für fehlende Sicherheit


Befragt man Unternehmer und Privatleute zugleich, wird schnell klar, dass die Gründe für die fehlende Absicherung der eigenen IT-Landschaft oftmals dieselben sind. Schließlich sind viele Computersysteme und auch Webseiten viel einfacher zu nutzen, wenn keinerlei Sicherheitsmaßnahmen getroffen werden. Doch diese Einsparung an Zeit und der Zugewinn an vermeintlichem Komfort können sich sehr schnell rächen. Oftmals sind die immer gleichen Ausreden zu hören, wenn nach den aktiven Sicherheitsmaßnahmen gefragt wird. Der Klassiker darunter ist "Meine Daten sind nicht interessant genug für Fremde". Auch wenn dies in Teilen zutreffen mag, so darf man sich den durchschnittlichen Cyber-Kriminellen nicht als jemanden vorstellen, der es stets nur auf große Summen abgesehen hat. Denn oftmals ist es profitabler viele kleine Summen zu gewinnen ohne dabei großen Aufwand betreiben zu müssen, als sich mit der IT-Sicherheit eines Großkonzerns herumschlagen zu müssen. Und Käufer für Daten und Datensätze lassen sich zu genüge finden. Spam ist hier das beste Beispiel. Jeder Computer, der in ein spammendes Botnetz eingepflegt werden kann, macht vielleicht nicht viel Gewinn, doch bei Millionen infizierter Computer kommt eine ansehnliche Summe zusammen.



Geiz ist geil? Nicht in der Computerwirtschaft


Eine weitere beliebte Ausrede dreht sich um das Thema Kompatibilität. Schließlich wird der Computer mit der veralteten Software nur genutzt, weil dieser mit dem Drucker etc. noch kompatibel ist. Wenn es sich bei der kompatiblen Hardware jedoch nicht um ein besonders teures Gerät wie eine komplette CNC-Fräse oder ähnliches handelt, ist dieser Punkt leider obsolet. Die Gefahr mit einem offenen System mit bekannten Sicherheitslücken zu arbeiten ist so hoch, dass eine Neuanschaffung eines passenden Gerätes wie eines Druckers zu verschmerzen sein sollte. Ebenso sieht es bei der Ausrede aus, dass man ja nicht auf einem Windows-PC arbeitet, sondern einen Mac oder ein Linux-System nutzt. Fehlende Sicherheit bedeutet hier oftmals, dass die Daten auf dem Computer nicht verschlüsselt sind, diese also problemlos ausgelesen werden können, falls der Computer oder Laptop gestohlen wird.

Der richtige Weg: Maximale Sicherheit ohne großen Aufwand


Wenn Sie sich in diesen Aussagen selber wiedererkennen können, ist es definitiv an der Zeit etwas für Ihre IT-Sicherheit zu tun. Wir bieten bei den verschiedensten Sicherheitsproblemen Abhilfe und schaffen für Sie ein Sicherheitssystem, welches sowohl komfortabel zu bedienen ist, als auch den höchsten Sicherheitsansprüchen genügt.

Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Bildnachweis: 238H_©_Ryan_McGuire_gratisography_com

Montag, 2. Februar 2015

OpenVPN-Server - Sicherheitslücke entdeckt

Derzeit empfehlen sowohl Fachmedien als auch renommierte IT-Sicherheitsexperten OpenVPN-Server "umgehend" auf den neuesten Stand zu bringen. Eine dort entdeckte Schwachstelle können Angreifer nutzen und die Server-Erreichbarkeit enorm beeinträchtigen.



Schwachstelle wurde behoben


Nach Bekanntwerden der als "kritisch" eingestuften Schwachstelle haben die Entwickler von OpenVPN reagiert und diese sofort geschlossen. Böswillige Nutzer können die Lücke nutzen und ein sogenanntes TLS-Paket vom Typ P_CONTROL_V1 an einen OVPN-Server senden, wodurch dieser abstürzt. Die dafür erforderliche TLS-Authentifizierung stellt im Allgemeinen kein Problem dar, da nahezu alle VPN-Provider ihren Kunden die dafür relevanten Informationen bereitstellen.

Welche Maßnahmen sind zu ergreifen?


Um sich vor potentiellen Angriffen zu schützen, ist ein Update auf Version 2.3.6 ("Community Edition") zwingend notwendig. Der in den Versionszweig 2.2.x übernommene Patch beseitigt zudem weitere Bugs. Darüber hinaus empfehlen die Entwickler die Installation des Sicherheits-Updates 2.0.11 für kommerzielle Access-Server. Wer sich anlässlich der aktuellen Entwicklungen für eine Alternative zu OpenVPN entscheidet, kann sich beispielsweise mit AnchorFree Hotspot Shield (kostenlos erhältlich) oder mit CyberGhots VPN beschäftigen. Beide Produkte sind hinsichtlich ihres Funktions- und Leistungsumfangs eine gute Wahl für derzeit noch Unentschlossene.
Unabhängig davon, ob die Entscheidung für oder gegen OpenVPN ausfällt, ist es wichtig, schnell zu handeln. Noch genießt die von Dragana Damjanovic entdeckte Schwachstelle einen vergleichsweise niedrigen Bekanntheitsgrad. Sobald sich dieser Status ändert, können Betreiber von OpenVPN täglich mit einem Angriff konfrontiert werden. Weitere Details lassen sich problemlos im Quellcode der Anwendung nachvollziehen und entsprechend nutzen. Im Rahmen der Analyse wurde festgestellt, dass alle seit dem Jahr 2005 veröffentlichten Server-Versionen von der kritischen Sicherheitslücke in vollem Umfang betroffen sind.

Professionelle Hilfe bei yourIT


Kontaktieren Sie uns wenn Sie Fragen und Realisierungsvorhaben zu einem Wechsel oder zum Sicherheits-Update selbst haben.

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Dienstag, 21. Oktober 2014

10 Schritte zur Sicherheit - Das hilft Ihrem Unternehmen

Kein Unternehmen kommt heute mehr ohne Computer, Internet und Firmenwebseite aus, wenn es den Anschluss nicht verpassen möchte. Gleichzeitig rüsten auch die Datendiebe auf und interessieren sich nicht nur für die Großen der Branchen, sondern auch für den kleinen Mittelständler von nebenan. Aus diesem Grund ist es besonders wichtig, dass Ihr Unternehmen sicher ist. Besonders in kleineren und mittleren Unternehmen wird die Gefahr von Cyberattacken leicht unterschätzt. Dabei sind diese von besonders häufig betroffen, weil ihr Schutz oft geringer ist. Früher reichte es meistens, ein Antivirenprogramm einfach zu installieren, wohingegen heutzutage die Kriminellen im Internet immer raffinierter und geschickter vorgehen. 

Welche Bedrohungen gibt es?

Schäden durch Insider

Eine große Schwachstelle, durch die Schäden entstehen können, sind USB-Speicher. Häufig verwenden Angestellte USB-Sticks ohne Prüfung auf Firmenhardware. Inzwischen gibt es Geräte, die sich als Speicher tarnen und sich hervorragend Firmenspionage betreiben oder eine Schadsoftware starten lässt.

Lösung: Sämtliche USB-Anschlüsse lassen sich im Netzwerk sperren und können nur durch den Administrator einzeln freigegeben werden. Damit Mitarbeiter diese Sperren nicht umgehen können, bleibt dem Unternehmen eigentlich nur, Krypto-USB-Sticks für die Mitarbeiter zu finanzieren und nur diese im Firmennetz zu erlauben.

Schäden durch das Internet

Industriespione und Hacker sammeln systematisch Daten. Werden diese per Internet übertragen, lassen sie sich relativ einfach auslesen. Lagern die Daten irgendwo auf Speichern, können diese das Ziel von Hackerangriffen werden. Ob beim Online-Banking, Phishing oder Spam: Nicht immer sind die Angriffe leicht als solche zu enttarnen. Trotzdem gehen viele Firmen recht sorglos mit Passwörtern um, wählen nur einfache aus und verwenden diese mehrfach. Datendiebe recherchieren diese gezielt in sozialen Netzwerken und probieren den Namen des Nutzers mit Passwort auf allen Systemen aus. Ebenso sind ungesicherte Firmennetzwerke ein Einfallstor für Kriminelle. Ein kabelvernetztes Netzwerk ist sicherer, als ein Funknetzwerk. Dazu Portsperren für die LAN-Anschlüsse und eine gute Firewall.
Lösung: Ein sicheres Passwort hat mindestens 12 Zeichen, die möglichst scheinbar sinnlos aufeinander folgen und mindestens einen Großbuchstaben, ein Sonderzeichen und eine Zahl enthalten. Mit einem Satz, der sich geschickt abkürzen lässt, bleibt ein solches Passwort besser im Gedächtnis.

Spionage durch die Konkurrenz

Ob Kundendaten oder Geschäftsinterna: Die Konkurrenz kann damit das Meiste anfangen. Besonders leicht lassen sich die Daten stehlen, wenn sie auf mobilen Geräten leicht zugänglich sind.

Lösung: Hier ist auf der sicheren Seite, wer den Teil der Festplatte verschlüsselt, auf dem die sensiblen Daten liegen. Dafür gibt es vorinstallierte Programme für Unternehmen. Macht eine zusätzliche Software die Informationen gezielt unleserlich, sind diese noch sicherer.

In 10 Schritte zum sicheren Unternehmen:

  1. Schwachstellen regelmäßig scannen und Patches automatisch erneuern
  2. Richtlinien definieren – für mobile Mitarbeiter und den Umgang mit sozialen Medien
  3. Benutzung mehrstufiger Sicherheitslösungen (z. B. Zwei-Faktor-Authentifizierung)
  4. Sichern Sie auch die Daten, die sich außerhalb des Unternehmens befinden
  5. Halten Sie Ihre IT auf aktuellen Stand: Ältere Systeme sind gegen Angriffe schlechter Gewappnet
  6. Überwachen Sie Sicherheitsmeldungen
  7. Gespeicherte Datenmengen reduzieren – gemäß den in Ihrer Branche üblichen Richtlinien
  8. Stellen Sie sicher, dass auch Drittanbieter die nötige Sicherheit bieten
  9. Arbeiten Sie nur mit Partnern zusammen, denen Sie vertrauen
  10. Ändern Sie regelmäßig Ihre Kennwörter nach den oben genannten Merkmalen
Wenn Sie nicht nur im Verdachtsfall fragen, sondern bereits vorher Ihre Hard- und Software von uns checken lassen, können Sie unbesorgt online unterwegs sein.Wir sorgen für die nötige Sicherheit.


Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Montag, 16. Juni 2014

simplify yourIT empfiehlt den neuen Sicherheitsstandard ISA+ für KMU

Ihr Unternehmen benötigt ein Informationssicherheits-Managementsystem (ISMS). Dann müssen Sie sich entscheiden. Neben den bereits bekannten und am Markt angebotenen IT-Sicherheits-Standards ISO 27001, BSI IT-Grundschutz und ISIS12 gibt es seit letzter Woche einen neuen Standard: ISA+


Wozu noch ein Informationssicherheits-Management-System (ISMS)?

Angesichts der vielfältigen Gefährdungspotentiale nimmt die Informations-Sicherheit eine immer wichtigere Rolle ein. Wie sicher ist die verwendete IT-Infrastruktur? Welche technischen und organisatorischen Maßnahmen müssen konkret in der Organisation umgesetzt werden? Hierzu standen auch bisher schon eine Reihe von Sicherheitsstandards zur Verfügung:

  • ISO 27001
  • BSI IT-Grudschutz
  • ISIS12
Aus bisherigen Projekten wissen wir, dass die Einstiegshürden für diese ISMS für kleine und mittelständische Unternehmen (KMU) meist zu hoch sind. Vorbereitung, Durchführung und Zertifizierung überfordern diese schnell. Die erforderlichen Ressourcen und Spezialisten fehlen und müssen teuer zugekauft werden. Aus diesen und weiteren Gründen verzichten viele KMU daher auf die Einführung eines ISMS - auch wenn Ihnen die Risiken bewußt sind. Das führt dazu, dass KMU in der Regel bereits an den ISMS-Einstiegsfragen scheitern, weil z.B.  Datenschutzrichtline, Informationssicherheitsleitlinie, Notfallplan, etc. fehlen.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Aus diesem Grund halten wir ISA+ für das sinnvolle ISMS bei kleinen und mittelständischen Unternehmen - vor allem, wenn diese sich das erste Mal an solch ein Projekt heranwagen. Eine spätere Erweiterung auf die größeren Standards ISIS12, BSI IT-Grundschutz und sogar ISO 27001 ist später problemlos machbar. Der Grundgedanke ist derselbe - und passt zu unserem Konzept des "simplify yourIT".


Und das Beste: Sponsored by ESF


Die im Rahmen der Informations-Sicherheits-Analyse ISA+ erforderliche Beratungsleistung bei kleinen und mittelständischen  Unternehmen (KMU) bildet ab sofort und noch für das restliche Jahr 2014 unser nächstes ESF-gesponsortes Beratungspaket.

yourIT - ESF-gefördertes Beratungskonzept Informations-Sicherheits-Analyse ISA+

Weitere vom Europäischen Sozialfonds (ESF) geförderte yourIT-Beratungspakete finden Sie hier: http://www.mitgroup.eu/unsere-beratungspakete

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr

Thomas Ströbele