FAQ – Häufig gestellte Fragen

FAQ – Häufig gestellte Fragen

Wie mache ich mein Unternehmen oder meine Kanzlei fit gegenüber IT Ausfällen und moderner Cyberkriminalität?

Seit vielen Jahren sind wir mit unserem Systemhaus neben dem Medizinsektor auch für kleine und mittelständische Unternehmen, sowie Anwalts- und Steuerkanzleien tätig. Dabei steht die Sicherheit der Daten unserer Kunden bei unserer täglichen Arbeit immer im Mittelpunkt. Wir stellen in den letzten Jahren jedoch vermehrt Angriffe von Cyberkriminellen fest, die sich gezielt gerade gegen Unternehmen richten. Sicher werden Sie über den ein oder anderen größeren Vorfall auch schon selbst in der Presse gelesen haben. Jedoch sind nicht nur die dicken Fische betroffen. Auch im kleineren Maßstab, beispielsweise bei einem Handwerksbetrieb, einem Mittelständler und im Bereich von Kanzleien, kommt es immer häufiger zu erstaunlich gezielten Angriffen, bei denen ein großer Schaden entstehen kann. Dabei hat man es als Betroffener nicht nur mit finanziellen Risiken, wie Lösegeldforderungen und teurer Wiederherstellung des Systems zu tun. Man sollte auch Punkte wie Ausfall des Betriebs, sowie Vertrauensverlust der Kunden und Partner bei Datendiebstal und möglichen Folgen in Bezug auf Bußgelder des Bayerischen Landesamtes für Datenschutzaufsicht nicht aus den Augen verlieren.

Warum greifen Kriminelle ausgerechnet kleinere und mittlere Unternehmen an?

Hier können wir nur Vermutungen anstellen, gehen jedoch davon aus, dass in dem Sektor viel Geld zu verdienen ist. Denn im Vergleich zu Konzernen und großen Firmen betreiben kleinere Unternehmen in der Regel einen weitaus geringeren Aufwand im Bereich IT-Sicherheit. Sie haben auch meist nicht die Möglichkeit hausinterne Spezialisten für IT-Security zu beschäftigen. Und beispielsweise als Handwerker One-Man-Show neben den täglichen unternehmerischen Aufgaben noch auf dem neuesten Stand der Cybersecurity zu sein, gelingt wohl nur den Wenigsten. In der Folge sind kleine Unternehmen nicht nur finanziell lohnende Opfer. Sie sind zudem noch mit wenig Aufwand angreifbar.

Oftmals auch hausgemachte Probleme

Doch nicht alle Probleme werden von externen Akteuren ausgelöst. Oft wird auch am falschen Ende bei Hard- und Software gespart. Plötzliche und unerwartete Systemausfälle sind dabei die Folge, die die Beteiligten Zeit und Nerven kosten. Und dabei ist dies alles nicht unabwendbar. Denn es gibt vernünftig konzeptionierte, bewährte Systeme, welche weder das Budget eines Unternehmens sprengen, noch einen außergewöhnlich hohen Wartungsaufwand nach sich ziehen. Dass es oftmals bei Firmen und Kanzleien anders aussieht, haben wir so manches Mal schmerzlich erleben müssen. Aus dem Grund haben wir eine FAQ für alle Interessenten und Kunden entwickelt. Hierbei fassen wir kurz zusammen, welche Fragestellungen sich für einen IT affinen Unternehmer oder Kanzlei Inhaber ergeben, und wie wir darauf mit unserer Berufserfahrung antworten.

Infrastruktur

Stimmt aus unserer Sicht nicht ganz. Denn gute USVs überbrücken nicht nur bei Stromausfall den Zeitraum bis der Strom wieder da ist. Und verhindern somit einen Serverabsturz und im schlechtesten Fall eine defekte Datenbank. Sie filtern auch zuverlässig Stromspitzen aus dem Netz. Daher kann eine USV einen Überspannungsschaden verhindern. Da dies auch immer mehr Versicherungen so sehen, empfehlen wir den Einsatz dieser Geräte. Allein schon um im Falle einer Überspannung nicht auf dem Schaden sitzen zu bleiben.

Mit so einer Infrastruktur sind Probleme und wiederkehrende Abstürze vorprogrammiert. Denn es reichen schon leichte Stromschwankungen für Paket-Drops aus. Bzw. die Geräte „hängen“ sich auch oft auf. Wir raten dringend, eine Verkabelung nach dem Ethernetstandard CAT 6 oder 7 mit sternförmiger Zusammenführung aller Leitungen und zentralem Gigabit Switch einzuführen. Vergessen Sie dabei eine saubere Erdung nicht.

Um mit einer möglichst niedrigen Temperatur arbeiten zu können, sind viele PCs und Server mit Lüftern ausgestattet. Diese saugen kühle Umgebungsluft an und blasen diese auf thermokritische Komponenten. Durch einen ungünstigen Standort werden oftmals auch Staub und Flusen mit angesaugt und verstopfen dann Kühlrippen und Lüfter. Werden diese nicht regelmäßig z.B. mit Druckluft gereinigt, so kann das Gerät den frühen Hitzetod sterben. Meist in einer Situation, in der die Auftragsbücher voll sind und man ganz andere Dinge im Kopf hat. Vorsicht beim Aussaugen: Dabei werden gerne empfindliche Komponenten im Inneren beschädigt, bzw. durch Kurzschluss außer Gefecht gesetzt!

Kabelberge und unordentlich installierte EDV sieht nicht nur unprofessionell aus, sie kann auch zu immer wiederkehrenden Problemen führen. Beispielsweise weil mit dem Fuß gegengestoßen wird, Kabel abknicken, sich lösen, usw. Die Fehlersuche wird zudem erschwert und verlängert sich, wenn erst im Kabelchaos das Problem eingegrenzt werden muss. Wir empfehlen unter Schreibtischen überhaupt keine „zentrale“ EDV zu installieren, sondern diese in einem kühlen, trockenen Technikraum, bzw. abschließbaren Serverschrank sauber unterzubringen. Damit erfüllen Sie auch die Anforderungen der Datenschutzbehörden.

Thema hohe Temperatur und Luftfeuchtigkeit. In unserem fiktiven Beispiel wirkt sich beides negativ auf die Lebenserwartung des Servers aus. Denn Server sind auf eine mittl. Temperatur von ca. 18 bis 20 Grad und niedrige Luftfeuchte hin konstruiert. Weichen die Umgebungsdaten davon stark ab, so ist mit einem frühzeitigen und unerwarteten Ausfall zu rechnen.

Als Unternehmer sind Sie auf eine sichere und funktionierende EDV angewiesen. Sie ist Ihr bestes Werkzeug in Ihrer täglichen Arbeit zwischen Kunde, Lieferant und Finanzamt.

Die Einhaltung von gewissen Grundstandards in der IT wird die Chance von unvorhergesehenen Ausfällen, Datendiebstahl und Abstürzen massiv verringern.

Durch eine saubere Installation aller zentralen Geräte in einem belüfteten und verschließbaren Serverschrank erfüllen Sie nicht nur die DSGVO-Vorgaben. Ihre wertvolle Hardware wird staubfrei und kühl betrieben – das garantiert eine lange Lebenserwartung und kurze Fehlersuche, wenn es darauf ankommt.

Hardware / Betriebssysteme

Es ist richtig, dass ein Serverbetriebssystem etwas teurer ist, als ein Client Betriebssystem. Doch im Gegenzug bekommt man auch viel mehr. So richten wir beispielsweise in Firmen und Kanzleien immer eine sog. Windows Domäne mit einer Benutzersteuerung ein. Damit sind wir in der Lage per Single-Sign-On und mehreren Benutzern, zu regeln, wer was darf. Man kann damit Datei-Ordner und Mailzugänge bestimmten Personen(kreisen) zugänglich machen und sinnvoll im Team zusammenarbeiten. Auch sind Serverbetriebssysteme für den Dauerbetrieb und den Zugriff von mehreren Benutzern ausgelegt und laufen daher lange stabil und stressfrei.

SSDs unterliegen einer Belastung was das Löschen von Datensegmenten angeht. Denn es wird hier mit einer weitaus höheren Spannung gearbeitet wie beim Schreib- oder Lesevorgang. Günstige Consumer SSDs sind auf wiederholtes Löschen von Daten nicht ausgelegt, weil dies am privaten PC nicht oft vorkommt. Wird jedoch eine Datenbank, wie bei einer modernen Warenwirtschaft oder Fibu Software, auf so einer SSD betrieben, so kommen solch preiswerte Komponenten gerne mal an ihre Leistungsgrenze. Ein spontaner Ausfall mit Datentotalverlust ist dabei die Folge. Auch im RAID betriebene Consumer SSDs bieten keinen Vorteil. Denn beide Platten unterliegen hierbei noch größerem Verschleiß.

Grundsätzlich gilt: Der Einsatz von veralteter Technik – in diesem Fall ein Betriebssystem, welches vom Hersteller nicht mehr mit Updates versorgt wird – stellt einen Verstoß gegen die DSGVO und Ihre Sorgfaltspflicht als Unternehmer dar. Gerade im Bereich Cyberkriminalität sind Angriffe über solcherlei Sicherheitslücken sehr beliebt, weil bekannt und einfach durchführbar. Wir empfehlen daher immer den Einsatz aktueller Software und Patches.

Glückwunsch! Ihr Server meldet einen sich ankündigenden Fehler und Sie haben es rechtzeitig bemerkt. Leider werden solche Warnzeichen gerne mal übersehen. Wir sollten gemeinsam versuchen dem Problem so schnell wie möglich auf den Grund zu gehen. Bitte kontrollieren Sie regelmäßig die Status LEDs am Server und die Logs. Es ist meist deutlich angenehmer für alle Beteiligten frühzeitig Defekte kontrolliert zu beheben, als zu warten bis das Gerät ganz unverhofft ausfällt. Noch komfortabler und sicherer ist der Einsatz von Überwachungssoftware, wie z.B. ILO von Hewlett-Packard. Denn hier bekommt man sogar ein Mail, wenn sich ein Fehler ankündigt.

Bei Systemumgebungen ab 5-6 PCs aufwärts raten wir unseren Kunden zum Einsatz von VMWare. Denn diese Technik bringt nicht nur weitaus mehr Flexibilität, was das Aufrüsten, Wechsel von Hardware und Erweiterungen mit zusätzlicher Software angeht. VMWare ist daneben auch Ihre unschlagbare Waffe gegenüber Systemausfällen und bringt Ihre IT nach einem Crash blitzschnell wieder „online“. Ohne teure Dienstleistungskosten. Denn bei VMWare Umgebungen sind Backups der kompletten Server incl. Betriebssystem, Software und Einrichtung hardwareunabhängig möglich. Im Falle des Falles halten wir für unsere Kunden sogar fertig vorbereitete Serverhardware auf Lager um schnell und unkompliziert reagieren zu können. Um Ihnen alle Vorteile von VMWare aufzeigen zu können, ist der Rahmen dieser FAQ jedoch zu eng. Lassen Sie sich gerne von uns hierzu beraten!

Internetzugang

Eine Fritzbox oder vergleichbare Router sind für den Consumermarkt entwickelt. Diese Gerätekategorien sind vom Sicherheitslevel nicht vergleichbar mit richtigen Firewalls, wie z.B. einer Sophos. Wir nutzen Firewalls in Kunden-Netzwerken für folgende Funktionen: Segmentierung von Netzen um z.B. Backups vor Verschlüsselungstrojanern zu schützen. Verschlüsselte VPN Einwahl von mobilen Geräten, Homeoffice und Standorten. Ende-zu-Ende verschlüsselte Fernwartung. Scan des Netzwerktraffics bis auf Paketebene zur Bekämpfung von Angriffen. Blocken von schädlichen Downloads, Anhängen und Website-Kategorien für bestimmte Usergruppen.

Geräte wie Router und WLAN-Accesspoints sind potentielle Einfallstore für Cyberkriminelle. Diese Art von Geräten muss somit immer auf dem neuesten Stand der Sicherheitspatches gehalten werden.

Dem würden wir nur eingeschränkt zustimmen. Wahr ist, dass klassische Virenscanner in den letzten Jahren zu einem stumpfen Schwert im Bereich Bekämpfung von Cyberkriminalität geworden sind. Windows 10 bietet mit dem Defender eine gute Basisabsicherung vor Viren. Jedoch sind die Angriffe immer feiner austariert. Nur mittels guter Firewalls und Software speziell zur Bekämpfung von Trojanern ist eine akzeptable Sicherheit heutzutage möglich.

Mail / Datenaustausch

Im Zweifel gilt leider oft: Das schwächste Glied im Bereich der Cybersecurity ist der unbedarfte Anwender. Genau hier setzen Kriminelle heute an. Mit gezielten, sog. Spear Fishing Angriffen, versuchen sie beispielsweise per Mail den User zu überzeugen auf Links zu klicken, bzw. Anhänge mit Schadsoftware zu öffnen. Wir hatten schon Fälle solch gezielt gemachter Angriffe, dass größere Geldbeträge von der Buchhaltung angewiesen wurden, weil man vorgaukelte, der Chef hätte dies so bestimmt. Von Banking Trojanern, die ganze Girokonten abräumen, ganz abgesehen.

Kostenlose Dienste, wie Google und Co. bieten dagegen keinerlei Sicherheit. Außerdem werden Daten die über diese Dienste laufen oft missbräuchlich zur Auswertung benutzt oder können von Regierungsstellen eingesehen werden. Solche Dienstleister haben daher im professionellen Umfeld nichts verloren. Besser ist es eine eigene Domain zu hosten, bzw. einen eigenen Mail- oder Cloudserver am im eigenen Haus zu installieren. Die Kosten sind dabei absolut im Rahmen und man hat die Sicherheit, dass wichtige Daten das Unternehmen nicht verlassen. Moderne Mailserver scannen beispielsweise auch auf Spam und Fishing Mails und schützen damit die Anwender vor vorschnellem Klick auf gefährliche Inhalte.

Vorsicht bei solchen Aktionen! Man verletzt dabei sehr leicht seine Pflichten im Bereich Datenschutz und riskiert, dass wichtige Daten abfließen. Bessere Lösung: Opensource Cloud auf eigenem Server installieren, verschlüsselte S/MIME Kommunikation mit Partnern über Zertifikate oder passwortgeschützter Mailversand von Bildern und Dokumenten an die Kunden.

Homeoffice

Wer RDP mit freigeschaltenen Ports betreibt, der geht ein ausgesprochen hohes Sicherheitsrisiko ein, indem er sprichwörtlich Scheunentore für potentielle Eindringlinge in seinem Netzwerk öffnet. 256 Bit VPN Verschlüsselung ist hier unbedingt notwendig. Auch raten wir vom Einsatz von Fernwartungstools, wie Teamviewer ab. Sitzt hierbei doch noch eine Stelle – nämlich der Hersteller – in der Mitte und kann mithören. Wer seine Unternehmensdaten so für andere „zur Verfügung stellt“ verletzt die Regularien der DSGVO vorsätzlich. Beachten Sie, dass nur leistungsfähige Firewalls, wie beispielsweise eine Sophos, sowohl die notwendige Routingleistung (CPU), als auch zeitgleich moderne Verschlüsselungsstandards mitbringen. Consumer Geräte sind hierfür definitiv nicht ausgelegt.

Backup

Kein Backup – kein Mitleid“ ist eine oft im ITler Umfeld gehörte Floskel. Batchscripte sind zwar grundsätzlich eine Möglichkeit ein Backup anzufertigen, jedoch greifen sie oft ins Leere. Gerade wenn Dateien oder Datenbanken im Zugriff sind. Daneben sind sie vergleichsweise langsam und bieten keine Backupkontrolle. Besser ist es seinen ganzen Server mit VMWare zu sichern. Dabei bekommen die verantwortlichen Mitarbeiter täglich eine Kontroll-eMail, wenn das Backup gelaufen ist. Außerdem ist man mit so einem Backup in der Lage den kompletten Server, incl. der Kundendaten und all der Dienstleistung für die Einstellungen in einem Rutsch zurückzusichern. Und dass ein Backup nur wenige Minuten dauert, kann ja auch nicht schaden.

Ein häufiges Angriffsszenario der letzten Jahre ist der Einsatz von sogenannten Ransomware. Dabei werden Netzwerke von Trojanern gezielt durchforstet und blitzschnell verschlüsselt um Lösegeld zu erpressen. Die aufgerufenen Beträge bei Unternehmen sind teilweise erheblich. Zudem kann man nicht davon ausgehen, dass man nach Zahlung des Lösegelds auch tatsächlich wieder seine Daten bekommt. Hier ist derjenige im Vorteil, der ein Backup hat. Jedoch muss eine NAS mit solch wichtigen Daten so geschützt werden, dass der Kriminelle nicht in der Lage ist die Backupfiles zu kompromittieren. Desweiteren ist auch bei Überspannungen oder Bränden eine NAS gerne einmal defekt und man kann auf die wertvollen Daten keinen Zugriff mehr nehmen.

Das ist faktisch keine wirkliche Backupkontrolle. Denn Dateien haben unterschiedlich Stände und daher bekommt man nie einen kompletten Überblick. Moderne Backuptools sichern auch nicht mehr die Dateien, sondern sektorbasiert die kompletten Festplatten. Das geht effizienter und im Zugriff befindliche Daten werden trotzdem gesichert.

Schulung

Die IT-Sicherheit in Ihrem Unternehmen oder Ihrer Kanzlei ist immer nur so gut, wie das schwächste Glied – das heutzutage nun mal oft der Mensch ist. Wir empfehlen und bieten Ihnen daher entsprechende kurze Schulungen an um sich und Ihr Team auf mögliche Angriffsszenarien vorzubereiten. Dabei gehen wir mit vielen Praxisbeispielen konkret auf die aktuellen Bedrohungen ein.