IT im Unternehmen: Ein bisschen sicher ist nicht sicher genug

Nicht erst seit den Enthüllungen über die Datensammelwut der amerikanischen NSA steht das Thema Datensicherheit im Fokus des öffentlichen Interesses. Dabei drohen insbesondere Unternehmen auch ohne spektakuläre Überwachungsmaßnahmen ausländischer Dienste in der ganz alltäglichen Nutzung ihrer IT mannigfache Sicherheitsgefahren von innen und außen, die häufig noch immer grob fahrlässig unterschätzt werden.

Viele Firmen arbeiten noch immer ohne ausgearbeitetes Sicherheitskonzept. Schlampiger Umgang mit Passwörtern und Emails, zu demokratisches Verfahren bei Admin-Rechten, ungeschützte Server und ähnliche Fahrlässig-keiten öffnen Wirtschaftsspionage von Mitarbeitern und bösartigen Interessenten an sensiblen Daten Tür und Tor. So manchem Unternehmen ist das bereits teuer zu stehen bekommen.

yourIT empfiehlt: Klären Sie jetzt Ihre Mitarbeiter zum Thema Passwortsicherheit auf!

Gefahren und Verluste drohen durch Hacker, Social Engineering, Online- Betrüger, aber auch durch Spammer, Würmer, Viren und andere Schadprogramme. Dabei sind Sicherheitsmaßnahmen in diesem Bereich nicht nur persönlicher Umsicht der Firmeninhaber geschuldet. Im Bereich der Kapitalgesellschaften sehen einzelne Gesetze wie etwa das GmbH-Gesetz, das Gesetz zur Kontrolle und Transparenz oder auch Kreditvergaberegelungen verschärfte Haftungen von Organen bei Vernachlässigung der IT- Sicherheit vor.

Passwörter - eine unendliche Geschichte

Obwohl die Anforderungen an ein sicheres Passwort bekannt sind (Mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern und anderen Zeichen), wird diesem wichtigen Thema zu wenig Aufmerksamkeit gewidmet. Immer noch vereinfacht der einzelne User das Passwort häufig so, dass es Hackern sehr leicht fällt, dass Passwort herauszufinden.

Bereits im Jahr 1987 veräppelt Mel Brooks im Film Spaceballs den zu laschen Umgang mit wichtigen Zugangs-Passwörtern. Lord Helmchen entführt Prinzessin Vespa und erpresst damit von deren Vater König Roland den Zugangscode zum Kraftfeld seines Planeten. Zögerlich nennt der König das wichtigste Passwort seiner Welt. Es lautet 1-2-3-4-5. Selbst Lord Helmchen ist baff und meint: "Also, so eine dämliche Kombination hab ich noch nie vernommen! Nur ein Idiot würde für seinen Koffer so"n Code verwenden!" Wenig später bestätigt sein eigener Präsident Skroob: ""Was der Code lautet 1-2-3-4-5? Das ist ja derselbe wie auf meinen Koffer. Ändern Sie den!" Mel Brook konnte damals ja nicht wissen, dass im Jahr 2012 - also 25 Jahre später - das Passwort des syrischen Präsident Assad von Hackern geknackt werden würde. Es lautete ebenfalls 1-2-3-4-5.

Nutzergenerierte Passwörter zeichnen sich heute leider immer noch sehr häufig dadurch aus, dass aus Gründen der besseren Merkbarkeit sinnvolle Begriffskombinationen, Geburtsdaten und ähnliches verwendet werden. Für mehrere Vorgänge wird häufig auch dasselbe Passwort hinterlegt - fatal, wenn z.B. das Facebook/Whatsapp-Passwort identisch ist mit dem Firmenzugangscode.

Dies erleichtert Hackern die Arbeit. Auch die Verwaltung von Passwörtern ist oft nicht zureichend gegen Zugriffe Dritter geschützt, wenn diese nicht verschlüsselt sind.

Ein ausgefeiltes Sicherheitskonzept wird daher zukünftig dem Schutz durch Passwörter noch weitere Instrumentarien wie Fingerabdruck, Iris-Scan oder zusätzliche persönliche Fragen beiordnen.

Daneben muss im Unternehmen immer wieder auf die Wichtigkeit der Passwörter hingewiesen und auf deren möglichst sichere Ausgestaltung eingewirkt werden.

Admin-Rechte für alle - Demokratie an der falschen Stelle

Administratoren Rechte ermöglichen dem Anwender den Zugriff auf Daten, Programme, erlauben Downloads aller möglichen Daten und Manipulationen an Daten. Deshalb ist es grob fahrlässig, wenn die Admin-Rechte im Unternehmen nicht besonderen IT-Mitarbeitern vorbehalten sind, sondern quasi jeder Mitarbeiter über diese Rechte verfügt. Hier wird eine Einladung ausgesprochen, nach Bedarf sensible Daten zu ziehen.

Maßgeschneidertes Konzept

Bereits diese kurzen Ausführungen lassen erkennen, dass jedes Unternehmen ein auf seine Bedürfnisse zugeschnittenes, professionelles Konzept im Bereich der IT- Sicherheit mit Daten- und Virenschutz benötigt. Wenden Sie sich hierzu vertrauensvoll an uns von yourIT.

Achtung Mittelständler: Nutzen Sie jetzt unser ESF-gefördertes Beratungspaket

Schaffen Sie Klarheit in Ihrem Unternehmen: Mit unserem Beratungspaket Sicherheitsaudit IT-Infrastruktur erstellen wir Ihnen unter anderem auch eine Liste der schwachen Passwörter in Ihrem Unternehmen. Wir bieten Ihnen persönliche Beratung zum Fixpreis - sponsored by ESF.

yourIT Sicherheitsaudit IT-Infrastruktur

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

“Heartbleed Bug” - prüfen Sie, ob Ihre Hosts gefährdet sind

Das letzte Woche veröffentlichte Update von OpenSSL hat schlechte Botschaft für alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen: Durch einen Programmierfehler kann jeder böswillige Kommunikationspartner sensible Daten auslesen, wie z. B. den Speicher der Gegenstelle. Angreifer können also Schlüssel, Passwörter und geheime Daten klauen.

Der Fehler wurde in der "Heartbeat-Funktion" gefunden, daher sprechen die Entdecker auch vom Heartbleed Bug.

yourIT hilft Ihnen beim Umgang mit Heartbleed und anderen Schwachstellen

Betroffen sind alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen, wie z.B.:

• Web-Server
• E-Mail Server
• VPN Server
• Server für andere Dienste.

Diese Sofortmaßnahmen sollten Sie jetzt durchführen:

Fahren Sie jetzt schnellstmöglich Updates auf Ihre Systeme. Allo ordentlichen Hersteller sollten mittlerweile entsprechende Updates bereitgestellt haben.

Spielen Sie das Update ein und erneuern Sie die verwendeten Zertifikate und privaten Schlüssel in diesem Zuge.

Da Sie nicht kontrollieren können, ob bereits ein Zugriff auf Ihre Daten erfolgt ist, ändern Sie bitte alle Passworte ab. Wenn Sie schon dabei sind, erstellen Sie komplexe sichere Passworte und

Prüfen Sie genau, ob Ihre Hosts diese und weitere Schwachstellen aufweisen oder nicht:

Ob Ihre IT-Systeme und Webapplikationen aktuell von kritischen Schwachstellen wie Heartbleed betroffen sind, können wir erst nach eingehender Untersuchung der bei Ihnen verwendeten Technologien mit Sicherheit sagen.

Um solche Unsicherheit zukünftig zu vermeiden, können wir über einen Servicevertrag mit Technologieüberwachung solche Risiken proaktiv identifizieren und angemessen reagieren - bevor es zu Schäden kommt.

Dadurch bieten wir unseren Kunden ein Stück mehr Sicherheit zum monatlichen Festpreis.

Sprechen Sie uns gerne darauf an.

Gehen Sie diesem Hinweis unbedingt nach. Wenn Sie sich unsicher sind melden Sie sich gerne bei uns: heartbleed@yourIT.de oder Telefon +49 7433 30098-0.

Erprobte Hilfestellungen von den yourIT-securITy-Experten:

Sie möchten einmal Ihr gesamtes Netzwerk nach Schwachstellen durchscannen lassen? Das bieten wir Ihnen gerne zum Festpreis: http://www.mitgroup.eu/unsere-beratungspakete/2-sicherheitsaudit-it-infrastruktur

Sie wollen wissen, wie sicher Ihre Web-Applikationen sind (z.B. Ihr Webshop)? Auch das bieten wir Ihnen zum Festpreis: http://www.mitgroup.eu/unsere-beratungspakete/13-sicherheitsaudit-webapplikationen

Übrigens: Für Mittelständler werden diese yourIT-Beratungsleistungen gefördert mit Mitteln aus dem Europäischen Sozialfonds ESF.

Was ist ein "It-Girl"?

Diese Woche starb Peaches Geldof, laut den Medien ein sogenanntes "It-Girl". Dabei fällt mir auf, dass viele Menschen nicht wissen, was das bedeutet und sehr wahrscheinlich daher an der korrekten Aussprache des "It" scheitern. Hatte Frau Geldof wirklich etwas mit IT - also "Informationstechnologie" zu tun, war sie vielleicht mal "Miss CeBIT", oder wie?

Weshalb mir das auffällt? Wir von "yourIT" sind es mittlerweile gewohnt, dass das "IT" in unserem Firmennamen falsch ausgesprochen wird. Seit mittlerweile fast 12 Jahren werden wir immer wieder mit [jɔː(r)] [it] statt korrekt [jɔː(r)] [ a͜iˈtiː ] angesprochen. So geschehen z.B. bei der Preisüberreichung anlässlich der Nacht der Gewinner der IHK Reutlingen.

Dabei ist es doch so einfach: WIR haben mit Informationstechnologie zu tun - jeden Tag. Unser Slogan: yourIT steht für Sicherheit in allen IT-Fragen.


Zur Veranschaulichung der richtigen Aussprache unseres "IT" habe ich beim Frühstück ein Foto gemacht:

yourIT - unser "IT" spricht sich wie [Ei tea]

Dahingegen bezeichnet laut Duden "It-Girl" eine junge oder jüngere Frau, die durch ihr häufiges öffentliches Auftreten in Gesellschaft prominenter Personen und ihre starke Medienpräsenz einer breiten Öffentlichkeit bekannt ist.

Dieses "It" steht für das Englische "es" und bezeichnet "das gewisse Etwas".

Nachdem wir das geklärt haben, ist es mir fast schon egal, wenn wir das nächste Mal falsch angesprochen werden. Ich stelle mir dann einfach vor, dass mein Gegenüber auch in uns "das gewisse Etwas" erkannt hat - das wir ohne Frage haben.

Was "das gewisse Etwas" an yourIT ist, werden Sie nur erfahren, wenn wir uns endlich kennen lernen. Fordern Sie uns!

Ihr Thomas Ströbele

Dynamische Passcodes

Für die Identifikation von Personen wird es zunehmend unnötig, zusätzliche physikalische Token zu verwenden. Der Trend geht in Richtung "Bring your own token", da Mitarbeiter immer häufiger mobile Endgeräte nutzen, die sich für eine sogenannte Zwei-Faktor-Authentifi-zierung eignen. Zur sicheren tokenlosen Authentifizierung existieren bereits mehrere erprobte Methoden.

Identitätsnachweis durch Kombination von Faktoren

Damit der Zugriff auf sensible Bereiche nur den richtigen Personen gelingt, hat sich eine doppelte Absicherung bewährt. Dabei müssen zwei von drei Komponenten bedient werden. Mögliche Komponenten sind:
- etwas, das der Nutzer besitzt, also ein Token wie etwa das persönliche Smartphone
- etwas, das der Nutzer weiß, etwa sein Benutzername und sein Passwort oder auch
- etwas, das körperliches Charakteristikum des Nutzers ist, z.B. sein Fingerabdruck oder seine Stimme.
Der Nachteil extra mitzuführender spezieller Token ist, dass sie leichter zu vergessen oder zu verlieren sind als Geräte, die der Mitarbeiter ohnehin dabei hat. Die Kosten der Firmen für gesonderte physikalische Token sind nicht zu unterschätzen, denn neben der Erstanschaffung schlagen auch die Kosten für Ersatz bei Defekt oder Verlust zu Buche.

Dynamische Passcodes verschlanken die Authentifizierungspraxis

Sicherer als feststehende Login-Informationen sind dynamisch generierte Passcodes. Diese werden je nach verwendeter Lösung auf verschiedene Arten automatisch ersetzt, sodass jederzeit ein aktueller Code bereitsteht und akute Übertragungsprobleme kein Login-Hindernis sind. Unbefugten wird das Durchdringen der Sicherheitsschranken zudem durch eine festgelegte Anzahl maximaler Falscheingaben erschwert. Ausgeklügelte Login-Lösungen, die die Smartphones oder Tablets der Mitarbeiter als Token nutzen, erreichen die gesuchte Kombination von Flexibilität für die Nutzer und Sicherheit für das Unternehmen. So kann zum Beispiel ein einmalig gültiger Ziffern-Passcode auf das Mobilgerät des Mitarbeiters gesendet werden. Dieser berechtigt im Zusammenhang mit der persönlichen Zugangslizenz sowie Benutzername und Passwort zum Zugriff auf bestimmte Bereiche. Eine andere Lösung ist die Zusendung eines Passcodes, der nur für eine begrenzte Zeitspanne gültig ist und danach verfällt. Selbst Authentifizierungslösungen, die offline funktionieren - etwa durch einen Festnetzanruf - sind bereits am Markt etabliert.

Unflexible Tokenlösungen sind bald Geschichte

Die Anschaffung kostenintensiver physikalischer Token ist für Firmen heutzutage nicht mehr nötig. Mit der passenden tokenlosen Authentifizierungslösung kann den Mitarbeitern auf sichere Art der Zugang zu bestimmten Bereichen gewährt werden. Informieren Sie sich jetzt über die Möglichkeiten der Authentifizierung ohne zusätzliche Token. Wir von yourIT beraten Sie gerne und unterstützen Sie bei der technischen Umsetzung.

Ich freue mich auf Ihre Projektanfragen.

Fordern Sie uns! Wir beraten Sie gerne.

Ihr Ralf Ströbele

WLAN effizient schützen - Die Notwendigkeit in der Wirtschaft

WLAN ist längst ein selbstverständlicher technischer Standard für den Internetzugang. Viele Restaurants, Cafés, Flughäfen und Unternehmen nutzen ihre Chance, dies als erweiterten Kundenservice anzubieten.

Aber auch zahlreiche herkömmliche Betriebe entdecken die enormen Vorzüge von WLAN-Netzwerken, sind sich jedoch nicht immer der damit verbundenen Risiken durch Missbrauch bewusst.

Haftet der Betreiber eines WLAN-Netzwerkes für die übertragenen Daten?

Das Problem beginnt schon mit der Anschaffung geeigneter WLAN-Geräte zum Einrichten von einem Hotspot. In der Werkskonfiguration sind die Geräte mit einfachen Passwort-Codes geschützt, wirklich nachhaltige Informationen über Schutz­maßnahmen sucht man in den Produkt­beschreibungen vergeblich. Es gibt auch keine gesetzlichen Vorschriften, wonach eine Aufklärungspflicht bestünde. Daher stellt sich die Frage, welche rechtlichen Konsequenzen sich aus dem Zugriff auf einen Access-Point durch Dritte für den Betreiber ergeben - unabhängig, ob dieser seine Einwilligung für den Zugriff gegeben hat oder nicht. Grundsätzlich gilt, dass der Betreiber eines WLAN-Hotspots wie ein regulärer Zugangsprovider behandelt wird.

Keine Schadensersatzforderungen, aber abmahnbar

Die Haftung bei Missbrauch einer offenen Hotspot-Verbindung durch Dritte ist nicht wirklich eindeutig gesetzlich geregelt. Jedoch hat der Bundesgerichtshof (BGH) erklärt, dass ein schlecht oder gar nicht gesichertes WLAN zur sogenannten Störerhaftung führt. Allerdings "nur" abmahnbar, Schadensersatz­forderungen können nicht geltend gemacht werden beim Betreiber (BGH AZ: 1 ZR 121/08). Insbesondere im zivilrechtlichen Verfahren gilt jedoch: der Beschuldigte muss einen Nachweis erbringen, dass der Verstoß nicht von ihm, dafür aber von einem Dritten begangen wurde. Anders, wenn es zu einer strafrechtlichen Auseinandersetzung kommt. Die ermittelnden Behörden müssen dann ihren Vorwurf nachweisen, was immerhin "In dubio pro reo" bedeutet, also im Zweifel für den Angeklagten.

Wenn Sie einen zugänglichen Hotspot bereitstellen

Derartige Unannehmlichkeiten ließen sich weitgehend vermeiden. Zunächst einmal sollten Sie das Netzwerk immer mit einem wechselnden Passwort schützen. Um den Datenschutz zu gewährleisten, händigen Sie den möglichen Teilnehmern die Zugangsdaten nur dann aus, wenn sie sich vertraglich einverstanden erklären, dass Sie einen Daten-Log über die Verbindungsdaten erstellen. Das Erfassen und Speichern der Verbindungsdaten bei einem Hotspot ist zwar rechtlich erlaubt, aber so sind Sie auf der sicheren Seite.

Das gilt jedoch nur bei Netzwerken, die bewusst wechselnden Teilnehmern zugänglich gemacht werden. Kommerziell genutzt müssen diese streng genommen auch bei der Bundesnetzagentur angemeldet werden. Nun stehen noch Netzwerke im Raum, die für Unternehmensbelegschaften gedacht sind. Solche Netzwerke lassen sich sehr sicher aufbauen. Es können Hierarchien mit unterschiedlichen Freigaben angelegt werden. Innerhalb von Unternehmen sollten zudem ausführliche Logs genutzt werden, um nicht zum Arbeitsbetrieb gehörende Datenströme schnell zu erkennen. Effiziente Verschlüs­selungen und Monitoring unter verschiedenen Aspekten sollten ebenfalls eine Selbst­ver­ständ­lich­keit sein.

Der Zugriff auf offene und abgeschirmte Netzwerke

Ist das kommerzielle Netzwerk sogar völlig offen, müssen Sie sich die Frage gefallen lassen, weshalb Sie Ihren Hotspot nicht geschützt haben. Knacken oder umgehen Fremde bestehende Sicherheitsmerkmale, ist wiederum entscheidend, wie gut oder schlecht das Netzwerk gesichert war. Das gilt insbesondere für kommerzielle Bereitstellung, da es laut den Gerichten zumutbar erscheint, mit der Verbindungstechnik auf dem neuesten Stand zu sein. Wird von außen auf Ihre Inhalte zugegriffen, stellt das nach dem Strafgesetzbuch eine Straftat dar. Doch was nützt das, wenn sensible Firmendaten bereits entwendet wurden? Neben Passwörtern ist es also sinnvoll, entsprechende Verschlüsselungen und Freigabezonen einzurichten. Dann sind Sie immer auf der sicheren Seite. Als langjähriges Unternehmen mit tiefem Fachwissen und reichem Erfahrungsschatz berät Sie Ihr IT-Systemhaus umfänglich über sämtliche Möglichkeiten, Ihr Netzwerk nachhaltig und effizient zu gestalten und zu schützen.

Fordern Sie uns! Wir beraten Sie gerne.

Ihr Ralf Ströbele

Erst die Pflicht, dann die Kür: Effektiver Viren- & Spamschutz

Viren, Trojaner und Würmer – schädliche Programme für den Computer lauern überall. Besonders gern verstecken sie sich hinter Spammails. Sportliche Großereignisse, E-Mails von Banken und Telefongesellschaften werden gern genutzt, um Rechner von arglosen Usern mit Malware zu infizieren. Virenschutz, Spamschutz und eine Firewall sollten daher zur Grundausstattung eines jeden Computers gehören. Erst wenn das der Fall ist, sollte der Ausflug in das World Wide Web erfolgen.

Vor schädlichen Programmen im Zusammen­hang mit E-Mails wird in regelmäßigen Abständen gewarnt. Post von Versicherungen, gefälschte Mails von scheinbar seriösen Anbietern kursieren in regelmäßigen Intervallen und sorgen für Ärger. Trotz Warnungen öffnen Verbraucher (auch Ihre Mitarbeiter) häufig die
E-Mails und die beigefügten Dateien – immer im Vertrauen, dass schon nichts passieren wird. Dann kann es allerdings schon zu spät sein.

yourIT empfiehlt Norman SecureBox als Online-Datenspeicher

yourIT empfiehlt Norman SecureBox als Online-Datenspeicher

Das Befolgen einiger einfacher Tipps kann jeden vor Schaden schützen:

Sicher im Netz unterwegs: E-Mails von unbekannten Absendern ignorieren

Inzwischen ist es möglich, dass schädliche Programme auf den Computer herunter­geladen werden können, sobald eine E-Mail geöffnet wird. Die separate Öffnung eines Anhangs oder das Klicken eines Links ist dafür nicht notwendig. Ein in die Spammails integriertes Java-Skript sorgt dafür, dass die Malware aktiviert wird. Vor allem ältere Mailprogramme sind dafür anfällig, da diese die Ausführung von Java-Skript erlauben.

Dateien unbekannter Herkunft: Ab in den Papierkorb!

Schon lange werden Computernutzer davor gewarnt, dass Dateien unbekannten Ursprungs nicht geöffnet werden sollen. Trotzdem passiert es immer wieder, vor allem dann, wenn scheinbar seriöse Absender Usern eine E-Mail zusenden. Wer wird schon glauben, dass zum Beispiel ausgerechnet das Bundeskriminalamt einem auf diesem Weg schädliche Software zuschickt? Ob Post von der Bank, Versicherung oder Telefon­gesellschaft, Computerkriminelle versuchen es in regelmäßigen Abständen mit dieser Methode und sind dabei oft erfolgreich. Eine gesunde Portion Misstrauen gegenüber E-Mails von unbekannten Absendern ist daher nie verkehrt. Parallel dazu ist die Installierung eines aktuellen Spamschutzes und Virenschutzes sinnvoll, der einige dieser Nachrichten erst gar nicht in Ihr Postfach vordringen lässt.

Ein Klick zu viel: Malware zum Nulltarif

Spammails verführen gern mit Lockangeboten in E-Mails zum spontanen Klick auf einen Link. Viele Nutzer unterliegen dem Trugschluss, dass dadurch nichts passieren kann. Die Links führen jedoch unter Umständen zu Webseiten, die dem Verbraucher sofort via „drive-by-download“ eine schadhafte Software automatisch unterjubeln. Auch hier sollte entsprechend vorsichtig agiert werden und nicht einfach beliebige Links von unbekannten Absendern angeklickt werden.

Gefahrenquelle Facebook, Google+ & Co

Über die sozialen Netzwerke wie zum Beispiel Xing, Facebook, Google+ werden viele Datenquellen und Links zwischen den Usern via Chat und Messenger ausgetauscht. Viele Nutzer denken jedoch nicht daran, dass die Netzwerke bezüglich Spamschutz und Virenschutz nicht sicher sind. Es wird nicht überprüft, ob Dateien oder Links tatsächlich durch einen direkten Kontakt zustande kommen. Daher muss jeder Nutzer selbst die Vertrauenswürdigkeit der Daten prüfen. Wer unsicher ist, sollte unbekannte Dateien lieber nicht öffnen.

Viren keine Chance lassen

Der wichtigste Tipp zum Schluss: Der beste Schutz vor Malware ist immer noch ein gutes Antivirenprogramm. Ständige Aktualisierungen sollten eine Selbstverständlichkeit sein. Sowohl der Anbieter als auch der Computernutzer sind hier gefordert. Außerdem sind Spamschutz und E-Mail-Filter für einen optimalen Schutz Voraussetzung. Nur dann besteht die realistische Aussicht, den Fängen von Internetkriminellen zu entkommen.

Fordern Sie uns! Wir beraten Sie gerne.

Ihr Ralf Ströbele