Meldungen wie „Cyberattacken auf den Bundestag“ oder gerade aktuell „Ransomware-Virus legt Krankenhaus lahm“ zeigen, dass die Bedrohung durch Angriffe auf die eigene IT allgegenwärtig ist, und dass auch vermeintlich besonders gesicherte Organisationen wie Regierungsorganisationen oder Unternehmen der sogenannten kritischen Infrastrukturen, wie Krankenhäuser, nicht davor sicher sind angegriffen zu werden. Dadurch entstehen teilweise erhebliche, oder sogar existenzbedrohende, finanziellen Schäden.
Aber was hat das nun mit einem Maler- oder Stuckateurbetrieb zu tun?
Bereits Anfang 2015 stellte der VDI in einer Studie fest, dass immer mehr kleine und mittlere Unternehmen ins Ziel von Cyberattacken geraten. Und das kann für einen kleinen Handwerksbetrieb ebenso unangenehme Folgen haben wie für einen Großbetrieb. Läuft der Computer unendlich langsam oder gar nicht, können Angebote, Rechnungen und Co nicht geschrieben werden. Ausschreibungsfristen können nicht eingehalten werden, Zahlungseingänge verzögern sich. Das Malerbüro steht still. Schuld daran war vielleicht nur ein E-Mail-Anhang, der achtlos geöffnet wurde. Und schon treibt der Schädling sein Unwesen.
Kampf gegen Viren, Würmer, Trojaner
Viren, Würmer, Trojaner – allen gemeinsam ist, dass sie dem Nutzer Schaden zufügen. Daher wird auch gerne von sog. Schadsoftware oder Malware gesprochen. Bei diesen Plagegeistern ist der Nutzer nicht mehr Herr über seinen eigenen Computer. Sie sind in der Lage zur „Freude“ von Freunden, Bekannten und Geschäftspartnern Spam an alle Mailadressen im Adressbuch zu versenden. Oder sie erspähen Bank- und Kontodaten, beschädigen oder löschen Dateien und im schlimmsten Fall entziehen sie dem Nutzer die komplette Kontrolle über seinen Computer. Das ist dann der Super-Gau.
Um es gleich vorweg zu sagen: Einen hundertprozentigen Schutz gibt es nicht. Da die Abläufe von Cyberangriffen aber häufig ähnliche Muster aufweisen bzw. die gleichen Angriffsvektoren (zum Beispiel Sicherheitslücken, E-Mail-Anhänge oder Links) nutzen, lassen sich durch ein paar technische und organisatorische Abwehrmaßnahmen schon viele Angriffsversuche erfolgreich abwehren.
Im Folgenden sollen einige dieser Ansätze und Lösungsmöglichkeiten dargestellt werden, die in jedem Maler- und Stuckateurbetrieb (nicht nur dort) Standard sein sollten:
Tipp 1: Ohne Sicherheitspatches des Betriebssystems geht nichts
Zunächst sollte das Augenmerk auf das Betriebssystem aller Rechner gelegt werden, die im Unternehmen aktiv genutzt werden. Sicherheitslücken im Betriebssystem werden oft und gerne ausgenutzt und stellen daher ein echtes Sicherheitsrisiko dar. Auf den meisten Rechnern dürfte Windows 7, Windows 8.1 oder Windows 10 installiert sein. Aktuelle Sicherheitspatches, die von Microsoft zur Verfügung gestellt werden, sollten immer eingespielt werden. Die fortlaufende Aktualisierung der Betriebssysteme erfolgt bei entsprechender Konfiguration automatisch am sogenannten monatlichen Patchday. Einige Geräte erfordern aber auch manuelle Eingriffe und hier sollten klare Regelungen getroffen werden, wer, wann und wie oft diese ausführt. Mit dem Hardwarepartner sollte die konkrete Vorgehensweise abgesprochen werden.
Achtung: Wer immer noch einen Rechner mit Windows XP nutzt, spielt mit dem Feuer. Bereits seit 2014 stellt Microsoft keine Sicherheitsupdates mehr zur Verfügung (Lesen Sie hierzu den Malerblog-Beitrag: Windows XP: das Ende einer Ära) . Hier sollte umgehend auf einen Nachfolger umgestellt werden.
Dies gilt natürlich auch für Computer-Netzwerke, bei denen vor allem auch der Server und das Serverbetriebssystem in die Betrachtung mit einbezogen werden muss. Nach dem Vorgesagten versteht es sich von selbst, dass eines der aktuellen Serverbetriebssysteme Windows Server 2008, Windows 2012 oder Windows 2012 r2, die von Microsoft regelmäßig mit Sicherheitsupdates versorgt werden, eingesetzt werden sollte.
Tipp 2: Browser, Flash, Java & Co regelmäßig updaten
Doch nicht nur das Betriebssystem bietet ein Einfallstor für Schadsoftware. Wer das Betriebssystem auf aktuellem Stand hat, sollte sich im nächsten Schritt Gedanken machen, welche Anwendungsprogramme vorhanden sind, ob diese tatsächlich benötigt werden und ob diese aktuell sind.
Das Hauptaugenmerk liegt hierbei natürlich auf Anwendungen, die direkt mit dem Internet in Verbindung stehen, also in erster Linie der verwendete Internetbrowser oder ein Email-Client wie Outlook oder Thunderbird.
Als Internetbrowser werden heute meist Firefox, Google Chrome oder der Microsoft Internet Explorer verwendet. Diese werden in der Regel von den Herstellern automatisch aktualisiert. Aber auch hier sollte geprüft werden, ob die Aktualisierung richtig eingestellt ist. Oft sind mehrere Browser gleichzeitig eingestellt. Da jede nicht benötigte Anwendung ein Sicherheitsrisiko darstellt, sollte überlegt werden, ob dies tatsächlich erforderlich ist oder eine Reduzierung auf einen Browser nicht sinnvoll erscheint.
Darüber hinaus machen populäre Anwendungen wie Adobe Acrobat Reader, Adobe Flash, Microsoft Office Produkte oder Java immer wieder als Einfallstore für Malware von sich reden. Das liegt ganz einfach daran, dass auch Cyberkriminelle in erster Linie ökonomisch denken und bei diesen weit verbreiteten Anwendungen mit geringem Aufwand hohe Opferzahlen zu erwarten sind. Auch hier ist zunächst zu prüfen, was für den Geschäftsbetrieb benötigt wird oder was deinstalliert werden kann. Für die verbliebenen Komponenten sollte wie bereits oben beschrieben, jeweils klar sein, dass diese aktuell sind und auch fortlaufend aktuell gehalten werden. Die meisten Hersteller bieten auch hier automatische Updates, die aber gegebenenfalls zunächst konfiguriert werden müssen.
Grundsätzlich sollten alle im Unternehmen eingesetzten Anwendungsprogramme immer aktuell gehalten werden. Neben dem Sicherheitsaspekt, bietet dies auch den besten Investitionsschutz.
Tipp 3: Ein Muss in jedem Betrieb: Virenscanner und Firewall
Dass auf einem Rechner ein Antivirus-Programm und eine Firewall installiert sein sollte, hat sich zum Glück in Deutschland herumgesprochen. Sie blockieren bekannte Viren, Würmer, Trojaner und deren Angriffsszenarien. Natürlich nur, wenn sie tagesaktuell sind, denn neue Schadsoftware ist eine tägliche Herausforderung.
Bei der Auswahl des zu verwendenden Antivirus-Programm sollte vor allem darauf geachtet werden, dass diese alle Geräte im Netzwerk, also Server und Arbeitsplätze, in den Virenschutz einbezieht und natürlich muss der Virenscanner automatisch laufend aktualisiert werden. Die verschiedenen Hersteller (Avira, Kaspersky, McAffee usw.) bieten hier unterschiedlichste Lösungen für den professionellen Einsatz. Diese unterscheiden sich weniger in der Erkennungsrate von Viren, als im Bedienkomfort und den zusätzlichen Optionen. In der Regel bedürfen diese aber einer betriebsindividuellen Konfiguration, um optimal arbeiten zu können, sodass die Wahl auf das Produkt fallen sollte, mit dem sich der Hardwarepartner gut auskennt.
Tipp 4: E-Mails & Co: Nie ungeprüft Dateianhänge oder Links öffnen
Das achtlose E-Mail-Verhalten der meisten Nutzer sorgt bei Cyberkriminellen für ein Lächeln. Immer wieder funktionieren sogenannte Phishing-Angriffe, die es meist auf Bankzugangs- oder sonstige Daten abgesehen haben, dadurch, dass der Anwender unbedacht auf einen Link in einer E-Mail klickt oder den Anhang einer E-Mail öffnet.
Es sollten daher niemals Dateianhänge wie Bilder, Dokumente oder Sonstiges geöffnet werden, wenn der Absender nicht zweifelsfrei bekannt ist oder man eine E-Mail dieses Inhalts erwartet hat. Das gleiche gilt auch für Links in E-Mails. Diese leiten immer häufiger auf infizierte Webseiten weiter. Das versprochene Millionenerbe beim Klick auf den Link, entpuppt sich im Nachgang dann oft als teure Erfahrung. Bei fremdsprachigen Inhalten oder Betreffzeilen ohne Inhalt sollten jedenfalls die Alarmglocken angehen.
Leider werden Phishing- und Spammails immer besser, ausgetüftelter und auch viel genauer auf den jeweiligen Adressaten zugeschnitten. Das Erkennen der Fälschung wird damit erheblich schwerer. Hier ist ein gesundes Maß an Misstrauen angebracht und schützt vor unliebsamen Überraschungen.
Und was für E-Mails gilt, gilt natürlich auch für soziale Medien wie Facebook, Google, Twitter, XING oder beliebte Messenger wie Skype oder WhatsApp. Auch hier ist Vorsicht geboten: Man muss nicht alles jedem beantworten oder jeden Link anklicken. Im Zweifelsfall damit lieber in den Mülleimer.
Tipp 5: Nicht alles einfach an den PC stecken
Was oft unterschätzt wird: Schadsoftware kann sich auch über Wechseldatenträger wie USB-Speichersticks oder DVDs verbreiten. Der Trick einen virenverseuchten USB-Stick auf dem Parkplatz zu verstecken und abzuwarten, welcher Mitarbeiter diesen im Unternehmensnetzwerk nutzt, funktioniert leider selbst bei Großunternehmen noch immer erstaunlich gut. Also: Nicht blind alles an oder in den PC stecken, was einem irgendwo zufällt. Hier sollten auch Mitarbeiter entsprechend sensibilisiert werden.
Tipp 6: Vorsorge treffen: Daten sichern
Es erwischt fast jeden, irgendwann einmal. Für den Fall, dass man Opfer einer solchen Attacke wird, heißt es daher Vorsorge treffen. Daher ist es unerlässlich von allen wesentlichen Datenbeständen Kopien, sogenannte Backups, anzufertigen. Die Möglichkeiten diese Kopien herzustellen, sind heutzutage vielseitig und reichen alleine im Bereich der verwendeten Medien von externen Festplatten und Speichersticks, über Bandlösungen bis hin zu Onlinesicherungen in der Cloud. Welches Verfahren genau für den jeweiligen Betrieb das sinnvollste darstellt, sollte individuell mit dem Hardwarepartner abgestimmt werden, der auch sicherstellen sollte, dass das Backup, wenn es benötigt wird, wirklich aktuell ist und hergestellt werden kann. So soll ein solches Backup nicht nur vor Viren schützen. Wird die Betriebseinrichtung beispielsweise durch ein Feuer oder Hochwasser vernichtet, sollte die Datensicherung immer noch zur Verfügung stehen.
Fazit
Wie sich zeigt, sind die Gefahren für die Unternehmens-IT vielfältig und die oben genannten Punkte sind sicher nur ein Anfang des fortlaufenden Prozesses Sicherheit zu gewinnen und man muss sich auch darüber klar sein, dass – wie schon erwähnt – hundertprozentige Sicherheit nicht zu erreichen ist. Die Umsetzung der genannten Punkte sorgt aber für ein erhebliches Maß mehr an Sicherheit.