Angesichts der Ereignisse, ist es kaum zu glauben, dass erst das erste Quartal von diesem Jahr vorbei ist. Die Eindrücke, welche wir in diesen ersten Monaten gemacht haben, hätten vermutlich für einige von uns für ein ganzes Jahr gereicht. Nichtsdestotrotz ist wieder diese Zeit. Diese Zeit, in der Apotheken dank den Heuschnupfengeplagten Rekordumsätze mit Antiallergika machen. Diese Zeit, in der es wieder länger hell bleibt. Die Zeit, in der uns unsere Haustiere durch das Ablegen ihres Winterfells unmissverständlich klar machen, es wäre so weit. Es wäre so weit, sich dem alljährlichen Frühjahrsputz anzunehmen. 

Ihre IT-Infrastruktur macht sich durch subtilere Zeichen bemerkbar. Hier ein Mitarbeiterwechsel ohne ordentliches Entfernen der Berechtigungen in der Verwaltungssoftware, da ein Backup, bei dem sich niemand wirklich sicher ist, ob es im Fall der Fälle tatsächlich funktionieren wird. 

Wir nehmen den Beginn der wärmeren Jahreshälfte zum Anlass, Ihnen Vorschläge zu machen, welche sicherheitsrelevanten Themen mal wieder etwas Beachtung verdient hätten. Es handelt sich dabei nicht um Basics wie die regelmässigen Updates ihrer Systemlandschaft, sondern um weniger populäre Dinge, die sich optimal für den IT-Frühjahrsputz eignen.

Kennwortrichtlinien

Unsere Systeme sind mit den Anforderungen gewachsen und besonders die vergangenen zwei Jahre haben neue Anforderungen mit sich gebracht. Durch den Einsatz neuer Werkzeuge wurde die Vernetzung der verschiedenen Dienste vorangetrieben. Vieles, was vormals auf lokalen Systemen betrieben wurde, läuft heute in der Cloud. Und immer wenn Systeme schnell portiert werden, gehen Dinge vergessen. So auch in einem Beispiel, das an mich herangetragen wurde. 
Firma XY betreibt seit vielen Jahren einen Active Directory Server zur Verwaltung der Benutzerkonten. Dieser Server war lange nicht von aussen erreichbar und der Admin, welcher ursprünglich für die Konfiguration zuständig war, hat es mit der Kennwortrichtlinie nicht ganz so genau genommen. Ehrlicherweise muss gesagt werden, dass das Thema sichere Passwörter zu diesem Zeitpunkt noch keines war. Geschweige denn die Verwendung von Passwortmanagern oder eine Zwei-Faktor-Authentifizierung. Konkret bedeutet das, die Passwortrichtlinie legte fest, dass mindestens 3 beliebige Zeichen verwendet werden müssen. Wem stellen sich bereits die Nackenhaare auf?

Mit dem Umzug von lokalen Servern in die Cloud wurde diese Richtlinie mitportiert. Die Folge davon ist verheerend: Alle geschäftskritischen Anwendungen, welche via Active Directory authentifiziert werden, waren im schlechtesten Fall durch gerade einmal 3 Zeichen «geschützt». Werden ausschliesslich Kleinbuchstaben verwendet, sind das gerade einmal 378 mögliche Kombinationen. Ein Sicherheitsaudit bei diesem Unternehmen brachte den Missstand ans Tageslicht. 
Fazit – Immer dann, wenn ein Systemwechsel besonders einfach ist, werden Altlasten übernommen. Es sollte genau geprüft werden, welche das sind.

Berechtigungen und Rollen

Welche Admins kennen es nicht? Das Herumschlagen mit Benutzerberechtigungen. Es wird so lange in der Administrationsoberfläche herumgeklickt, bis die User die richtigen Berechtigungen haben, damit das Supportticket geschlossen werden kann. Selbst wenn die Admins stets nur genau die Berechtigungen setzen, die nötig sind, haben wir ein Beispiel für Sie.: Das Beispiel der allmächtigen Azubis.

Im Rahmen der Ausbildung des Nachwuchses, durchlaufen Auszubildende oft alle Abteilungen einer Firma. In jeder Abteilung sollen sie alles kennenlernen, um sich möglichst viel Wissen aneignen zu können. Das führt dazu, dass Azubis im 4. Ausbildungsjahr oft genau dieselben Berechtigungen besitzen wie der CEO. Selbst wenn ihr Unternehmen flache Hierarchien propagiert, wird das vermutlich nicht gewünscht sein.
Fazit – Berechtigungen sind schnell erteilt, werden aber in den wenigsten Fällen wieder entzogen, wenn sie nicht mehr benötigt werden. Etablieren Sie ein System, um die Berechtigungen der einzelnen Benutzerkonten transparent zu dokumentieren.

Firewalls

Was bei den Berechtigungen für einzelne Mitarbeiter gilt, gilt auch für den digitalen Türsteher Ihres Unternehmens. Der Firewall. 
Neue Applikationen benötigen oftmals eine Konfiguration der Firewall. Hier müssen Ports geöffnet werden, da müssen Einstellungen verändert werden. Wird die Applikation nicht mehr eingesetzt, bleibt die Firewall oftmals so konfiguriert. In Verbindung mit Mitarbeiterwechseln ist schon bald für niemanden mehr klar, welche Regeln genau was bewirken und welche noch benötigt werden. 
Fazit – Dokumentieren Sie Änderungen an Firewalls so, dass stets für alle IT-ler klar ist, wann welche Änderung für was gemacht wurde. Wenn Applikationen deinstalliert werden, können Sie anhand dieser Listen sicherstellen, dass ebenfalls Konfigurationen an Ihrer Infrastruktur rückgängig gemacht werden. 

Backup

Backup ist wichtig, Backup brauchen wir… Das Erstellen von Backups ist mit dem Thema IT-Sicherheit direkt verbunden. Es ist eines der wenigen Dinge, von denen mittlerweile fast alle überzeugt sind. Alle sagen, dass sie Backups regelmässig machen. Alles schön alles gut? Wir hoffen es für Sie! Dieser Punkt ist insbesondere für die Geschäftsleiter interessant. 
Lassen Sie Ihre IT-Abteilung beweisen, dass das Backup auch wirklich funktioniert. Also das eine vollständige Wiederherstellung möglich ist. Dazu müssen Sie nicht die gesamte Systemlandschaft ausser Kraft setzen. Sie können sich z.B. von Ihrer IT ganz genau erklären lassen, welche Daten wie häufig gesichert werden. Dann erstellen Sie eine Textdatei mit beliebigem Inhalt, lassen 2-3 Sicherungsperioden vergehen, löschen die Datei unwiderruflich und bitten ihre IT, diese wiederherzustellen. An den Abstufungen der Farbe Rot auf den Köpfen der IT-Mitarbeitenden, können Sie gut beurteilen, wie es um die Datensicherung in Ihrem Unternehmen steht. Je weiter der Farbton Richtung Tomate geht, desto mehr Handlungsbedarf haben Sie. Sie dürfen aber erwarten, dass gut ausgebildete IT-Mitarbeitende sich heutzutage durch dieses simple Beispiel nicht aus der Ruhe bringen lassen. Sie können sich daher das Wiederherstellen ganzer Systeme und Teilnetze beweisen lassen. Immer auch unter dem Szenario, dass durch Ransomware alle Laufwerke verschlüsselt wurden. 
Fazit – Ein Backup ist so lange kein richtiges Backup, bis es wiederhergestellt wurde. Sie haben die Wahl, ob das erst im Ernstfall ist, oder ob Sie das in Ruhe vor dem potenziellen Worstcase testen können.

Mitarbeitende weiterbilden

Glauben wir den Aussagen von auf IT-Security spezialisierten Unternehmen, ist es so, dass in 80% der Fälle, in denen ein Schaden durch Cybercrime entsteht, keine technische Schwachstelle das Einfallstor war, sondern ein Mensch in einem unachtsamen Moment. 
Es macht daher keinen Sinn, Unsummen in technische Sicherheitsmassnahmen zu investieren und die Mitarbeitenden aussen vorzulassen. Beide Massnahmen sind nur dann effektiv, wenn sie kombiniert werden. Seriöse IT-Security Audits setzen heutzutage beim Menschen an. Ein Beispiel. 
Im Rahmen von einem IT-Security Audit, haben die Spezialisten auf dem Firmengelände eines Kunden 10 USB-Sticks mit der Aufschrift «Urlaubsbilder Petra Muster» verteilt. Petra Muster ist in diesem Fall der Name der Chefin der Firma. Was denken Sie, wie viele dieser USB-Sticks wurden direkt in den Slot des Firmenrechners gesteckt? Es waren 9 Stück. Meine Theorie ist es, dass der 10. Stick nicht eingesteckt werden konnte, weil der Rechner vom entsprechenden Mitarbeiter nur noch über USB-C Schnittstellen verfügt, und kein Adapter zur Hand war. Spass beiseite. Das Beispiel bringt es sehr gut auf den Punkt. Die beste Firewall nützt nichts, wenn diese durch den Faktor Mensch umgangen wird. Es gibt viele Firmen, welche zur Prävention dieses Falls die USB-Slots von Firmenrechnern ausbauen, oder ausschäumen. Gegen diese Holzhammermethode ist nichts einzuwenden. Trotzdem sollten Mitarbeitende kontinuierlich geschult werden. 
Fazit – Geben Sie Ihren Mitarbeitenden die Chance, sich gegen Cybercrime fit zu machen. Das funktioniert nicht mit einem Standardmail, in dem erklärt wird, dass keine E-Mail-Anhänge angeklickt werden sollen etc. Machen Sie das spielerisch und nutzen Sie Gamification, um Wissen zu vermitteln. Das Investment wird sich auszahlen und Ihren Mitarbeitenden wird es Spass machen, sich weiterzubilden. 

Der zweite Teil wird ebenfalls hier veröffentlicht. Um keinen Beitrag zu verpassen, folgen Sie unserer LinkedIn Unternehmensseite