Swisscom Magazin Wie Unternehmen ihre IT-Sicherheit verbessern

Ein Security Assessment beim Zuger KMU Stadler Form hat nicht nur Sicherheitslücken aufgedeckt. Sondern vor allem dem IT-Verantwortlichen aufgezeigt, wie er IT-Sicherheit strategisch angehen und verbessern kann. Erfahrungen und Handlungsempfehlungen, von denen auch andere Unternehmen profitieren können.

Was passiert, wenn man professionelle «Hacker» auf ein Schweizer KMU loslässt? Sie werden Sicherheitslücken finden und sich Zugriff auf Daten und Anwendungen verschaffen können. Genau das ist dem Zuger Unternehmen Stadler Form passiert. Ein Glück, dass es sich bei den Hackern um professionelle IT-Security-Spezialisten gehandelt hat und nicht um Cyberkriminelle mit verbrecherischen Absichten.

Denn Stadler Form hat im Rahmen des Swisscom Wettbewerbs «Win a Hacker» ein professionelles Security Assessment gewonnen. Darin haben die Spezialisten die IT-Infrastruktur mit denselben Tools unter die Lupe genommen, wie sie auch Cyberkriminelle verwenden. Ziel eines solchen Assessments ist es gerade, Sicherheitslücken aufzudecken und zu beheben, bevor kriminelle Angreifer die Schwachstellen finden.

Dabei ist die Situation bei Stadler Form typisch für viele KMU: Die interne Betreuung der IT erfolgt im Nebenjob und ist nur eine von vielen Aufgaben in diesem Fall von Samuel Wyss. Der zudem sehr IT-affin ist, aber kein Informatiker. Ein unfaires Spiel: Auf der einen Seite das KMU mit begrenzten Ressourcen und beschränktem Know-how, auf der anderen Seite hauptberufliche Cyberkriminelle mit vertieftem Wissen. Immerhin, ganz allein ist Samuel Wyss nicht. «Bei Bedarf kann ich auf die Spezialisten unseres IT-Dienstleisters zurückgreifen», erklärt er seine Verstärkung

Swisscom MagazinSo sorgt ein Schweizer KMU für IT-Sicherheit

Kombination von Faktoren als typische Schwachstelle

Das Assessment hilft dabei Samuel Wyss und dem IT-Dienstleister, den Schutz des Unternehmens zu verbessern. «Die Schwachstellen, die wir gefunden haben, sind typisch für ein KMU», fasst einer der Sicherheitsexperten das Ergebnis zusammen. Schwachstellen, die oftmals nicht auf der technischen Ebene zu finden sind, sondern auf der menschlichen. Das grösste Risiko dabei: die Kombination von unsicheren Passwörtern mit weitreichenden Zugriffsrechten. Daniel Aegerter, Security-Spezialist bei Swisscom, erklärt es so: «Wir treffen häufig die Situation an, dass Benutzer mit Administratorenrechten arbeiten. Das erleichtert es einer Malware, sich auszubreiten.» Beispielsweise kann sich die Malware so im System einnisten und versuchen, weiterreichende Rechte zu erlangen, um am Schluss die gesamte IT-Infrastruktur zu kontrollieren.

Ein weiteres Beispiel für eine menschgemachte Schwachstelle: Die meisten Unternehmen haben zwar ein Backup. Aber ob die Sicherungsstrategie noch zeitgemäss ist und ob die Wiederherstellung beispielsweise nach einem Ransomware-Befall auch funktioniert, wird oftmals nicht geprüft.

Und genauso, wie eine Kombination von unsicheren Faktoren ein Sicherheitsrisiko darstellt, kann die Kombination mehrerer Schutzmassnahmen die IT-Sicherheit verbessern. So lautet etwa die Empfehlung der IT-Security-Spezialisten, für die Administration der Systeme nicht nur ein – einzigartiges – Administratoren-Passwort mit mindestens 16 Zeichen zu verwenden. Sondern auch einen Rechner, der nur für die Administration dient und nicht mit dem Internet verbunden ist.

Die Krux mit den Updates

Zu den Aufgaben eines Systemadministrators gehört auch die regelmässige Aktualisierung von Betriebssystemen und Anwendungen, auch Patch-Management genannt. Die Empfehlung von Sicherheitsspezialisten ist dabei eindeutig: Updates sollten installiert werden, sobald sie der Software-Hersteller veröffentlicht. Denn Cyberkriminelle nutzen meist bekannte Lücken, die durch einen aktuellen Patch geschlossen werden.

Das Problem dabei: In KMU betreut oftmals ein IT-Dienstleister die Systeme und sorgt auch für das Einspielen der Updates auf den Servern. Und weil bei Windows-Updates immer wieder Probleme und Inkompatibilitäten bekannt werden, werden manche Updates zuerst getestet. Oder es wird gewartet, bis bekannt ist, dass die Aktualisierung fehlerfrei läuft. Das verzögert auf der einen Seite die Installation von Updates und ergibt ein Zeitfenster, in dem Cyberkriminelle bekannte Lücken ausnutzen können.

Auf der anderen Seite verursachen kürzere Zeitintervalle für Updates Mehraufwand beim IT-Dienstleister, weil die Systeme anschliessend auf reibungsloses Funktionieren überprüft werden müssen. Das schlägt sich in einem teureren SLA (Service Level Agreement) nieder. Stadler Form hat sich entschieden, in diesen sauren Apfel zu beissen, wie Samuel Wyss sagt: «Aufgrund der Ergebnisse des Assessments haben wir die Update-Intervalle verkürzt, auch wenn das teurer ist.»

Strategische Investitionen in die Sicherheit

Die Kosten sind überhaupt bei IT-Sicherheit immer ein Thema. Denn Sicherheitsmassnahmen bringen direkt keinen Mehrwert. Sie können aber Anforderungen aus dem Geschäftsalltag unterstützen. Wenn beispielsweise Aussendienstmitarbeitende von unterwegs auf Unternehmensanwendungen zugreifen müssen, kann eine verschlüsselte VPN-Verbindung für den Schutz vor Attacken sorgen. Auch Samuel Wyss muss Security-Investitionen bei der Geschäftsleitung begründen. «Nur wenn ich den Nutzen fürs Unternehmen darlegen kann», sagt er, «werden die Ausgaben gutgeheissen.»

Das Security Assessment kam für ihn genau zum richtigen Zeitpunkt. «Ich wusste, dass wir mehr in die Sicherheit investieren müssen», sagt Samuel Wyss. «Aber mir war nicht klar, wie wir die Prioritäten setzen sollen.» Die Ergebnisse des Sicherheits-Checks haben ihm da weitergeholfen. «Ich kenne jetzt die nächsten Schritte und kann begründen, welche Massnahmen notwendig sind», sagt er.

IT-Security, ein Kreislauf

Das Assessment hat Samuel Wyss auch weitergebracht auf dem Weg zu einem strategischen Ansatz für die IT-Sicherheit mit einem systematischen Vorgehen. «Wir müssen die Ursachen angehen», sagt Samuel Wyss. «Beispielsweise, indem wir die Handlungsempfehlungen für sichere Passwörter festlegen und bei den Mitarbeitenden das Bewusstsein für die Bedeutung sicherer Passwörter vorleben.»

Und auch weitere Security Assessments sind für ihn ein Thema. «Der Nutzen überwiegt die Kosten», sagt er. «Nichts zu machen ist wie gamblen mit der Sicherheit des Unternehmens.»

Dies ist ein Artikel aus dem Swissscom Magazin. Weitere finden Sie hier.

Galerie: Dafür ist VPN gut

Weitere 11 Bilder ansehen

Dafür ist VPN gut

Was ist VPN eigentlich oder wofür kann ich es nutzen? Wie erklären, was hinter den drei Buchstaben steht.

Bild: iStock

VPN steht für« Virtual Private Network». Nutzt man VPN, ist man Teil eines gesonderten Netzwerkes und tritt gegenüber dem restlichen Internet als Teil dieses Netzwerkes auf.

Bild: iStock

Bei VPN verbindet sich der eigene Rechner mittels spezieller Software sicher mit dem Server eines VPN-Anbieters und leitet sämtlichen Internet-Verkehr verschlüsselt über diese Verbindung.

Bild: iStock

Für VPNs gibt es Vielzahl von Einsatzmöglichkeiten, etwa das Home Office. Ein Mitarbeiter eines Unternehmens kann durch VPN Teil des internen Netzwerkes seiner Firma werden. So hat er dann den gleichen Zugriff auf interne Dateien, als wenn er seinen Laptop im Grossraumbüro ans Netzwerk anschliessen würde.

Bild: iStock

Auch bei Universitäten sind VPNs weitverbreitet, damit Studierende von überall her aus auf das Uni-Netzwerk zugreifen können.

Bild: iStock

Für Privatanwender ist ein möglicher Einsatzbereich die Wahrung der Anonymität. Nutzt man VPN, kann etwa eine Website nicht mehr bestimmen, welchen Internet-Anbieter man verwendet. Der VPN-Anbieter kann allerdings zumindest theoretisch noch Rückschlüsse auf den Nutzer und seine besuchten Websites ziehen. Ausserdem verhindert VPN auch nicht die Verfolgung per Cookies, so dass ein Dienst wie TOR für völlige Anonymität besser geeignet sein könnte.

Bild: iStock

VPNs werden häufig auch zur Umgehung von staatlicher Zensur eingesetzt. Verbindet man sich beispielsweise von China aus mit einem ausländischen VPN-Anbieter, kann man dann auch Websites besuchen, die von der «Great Firewall of China» blockiert werden.

Bild: iStock

VPN sorgt auch für mehr Sicherheit, besonders, wenn das genutzte Netzwerk per se unsicher ist. Das ist etwa bei vielen öffentlichen WLANs der Fall. Will man verhindern, dass andere Nutzers des gleichen WLANs mitbekommen können, welche Websites man besucht, sollte ein VPN genutzt werden.

Bild: iStock

Auch zur Umgehung des so genannten Geoblockings wird VPN vielfach eingesetzt, besonders bei Streaming-Diensten. Diese haben in der Regel von Land zu Land ein unterschiedliches Angebot oder sind mancherorts gar nicht vertreten. Mit VPN kann man dann virtuell in ein anderes Land umziehen. Anbieter wie Netflix sehen das allerdings gar nicht gerne und versuchen ihrerseits, VPN-Nutzer zu erkennen und zu blockieren.

Bild: iStock

Schliesslich wird VPN auch gerne für klar illegale Zwecke verwendet, etwa um die neuste «Game of Thrones»-Folge herunterzuladen. Durch die von VPN erfolgte Verschleierung der eigenen IP-Adresse sollte man vor Abmahungen oder Strafverfolgung geschützt sein.

Bild: iStock

Um VPN als Privatanwender zu nutzen, ist in der Regel ein kostenpflichtiges Abo bei einem von hunderten am Markt vertreteten VPN-Anbietern nötig. Je nach Qualität muss man dabei mit Preisen von fünf bis zehn Franken pro Monat rechnen. Will man VPN nur beim Surfen nutzen, hat dies etwa der Opera-Browser kostenlos eingebaut.

Bild: iStock