In vielen Unternehmen hinkt die IT-Sicherheit dem Stand der Technik hinterher. Meist sogar um Jahre.

Ein Grund, so unsere Erfahrung, liegt darin, dass den Anwendern – also auch Unternehmen – oft einfach angebliche Lösungen verkauft werden, ohne dass Fragen beantwortet oder auch nur definiert werden.

Das gilt leider auch für manche externe IT-Dienstleister, die auf diese Weise ihren Kunden Hard- und Software-Pakete verkaufen können, ohne deren Relevanz nachweisen zu müssen.

Kritische Fragen müssen sie in der Regel nicht fürchten. Das möchten wir – im Sinne einer Verbesserung der IT-Sicherheit – ändern.

Hier haben wir zehn Fragen zusammengestellt, die Unternehmen von ihrem internen oder externen IT-Dienstleister beantwortet werden sollten.

1. Gehen Sie bei Backups nach der 3-2-1-Regel vor?

Datenverlust kann Unternehmen bis zur Handlungsunfähigkeit bringen, sie ruinieren. Dabei spielt es keine Rolle, aus welchem Grund die Daten nicht mehr aufzurufen sind. Bei der 3-2-1-Regel werden immer drei Datensätze generiert: zwei auf unterschiedlichen Medien (etwa Tape und Festplatte im selben System) und einer in einem externen System – etwa in der Cloud oder auf einem Server an einem anderen Standort. Damit haben Sie immer mindestens ein Backup, auf das Sie zurückgreifen können. Das sollte Ihre IT-Administration wissen, anwenden und dokumentieren, um auf der sicheren Seite zu sein.

Dabei ist es zudem von erheblicher Bedeutung, dass ein Backup nicht nur alle 14 Tage oder einmal im Monat angelegt wird: Wenn Sie vom Worst-Case-Szenario ausgehen, fehlen Ihnen dann die Daten von 13 oder sogar 30 Tagen. Auch hier lohnt sich eine kleine Nachfrage.

2. Welche Anti-Virus-Lösung setzen Sie für uns ein – auf welchen Servern und Endgeräten?

  • Haben Sie eine professionelle Antiviruslösung auf Ihren Servern und Endgeräten installiert?
  • Werden die Meldungen der Software täglich oder öfter zentral überwacht und ausgewertet?

3. Firewall

  • Besitzt Ihr Unternehmen eine professionelle UTM-Firewall?
  • Gibt es echte Regel- oder Filtersets oder lautet die Regel einfach nur "any out"?
  • Wer kümmert sich regelmäßig und nachweisbar um die Updates der Firmware?

4. Netztrennung

Wird bei Ihnen Netztrennung oder Netzsegmentierung konsequent umgesetzt? Das bedeutet zum Beispiel:
  • Sind Office-IT und Produktions-IT voneinander getrennt?
  • Hat die Produktions-IT dauerhafte Schnittstellen in andere, mit dem Internet verbundene, Netze? Ist Sie gar direkt mit dem Internet verbunden? Wenn ja, warum?
  • Sind Ihre PCs/Notebooks, Server, Telefone, Drucker und vor allem die Managementschnittstellen aller Geräte in eigene Subnetze separiert?

5. Administratorrechte

  • Gibt es Benutzer, die mit lokalen Administratorrechten arbeiten? Wenn ja, warum? Sind diese Benutzer besonders sensibilisiert?
  • Wird vermieden, dass zu Supportzwecken ein Benutzer mit Domainadminrechten auf die PCs der Benutzer zugreift?

6. Dokumentation

Haben Sie Zugriff auf eine ausführliche und vor allem aktuelle Dokumentation Ihrer IT-Umgebung? Dazu gehört unbedingt eine Auflistung aller Softwarelizenzen, Laufzeiten von Serviceverträgen und Carepacks, eine Übersicht des Netzwerks und der VLAN-Konfiguration auf den Switchen ettc. Und gibt es davon auch eine Kopie außerhalb des Gebäudes?

7. Passwörter / Zwei-Faktor-Authentifizierung

  • Gibt es in Ihrem Unternehmen eine Kennwort-Richtlinie?
  • Gibt es eine Zwei-Faktor-Authentifizierung bei möglichst vielen wichtigen Diensten und Anwendungen?
  • Werden die Kennwörter in einem Passwordsafe (z.B. Keepass, Passwordstate) gesichert?
  • Haben Sie als Geschäftsführer zumindest theoretisch Zugriff auf mindestens ein Domain Administrator Passwort?

8. Updates / Monitoring

  • Werden die Betriebsysteme und die Standardsoftware Ihrer PCs und Server zentral ausgerollt und wird der Patchstand regelmäßig überwacht?
  • Wird die Firmware Ihrer Switche, Drucker. Router, WLAN-Umgebung etc. nachweisbar regelmäßig aktualisiert?
  • Werden die aktiven Komponenten in Ihrem Netzwerk dauerhaft auf Fehler überwacht? Haben Sie Zugriff auf eine Gesamtübersicht?

9. Externe Festplatten/USB-Sticks/Verschlüsselung

  • Sind USB-Sticks und externe Festplatten bei Ihnen grundsätzlich verboten oder funktionieren nur bestimmte ausgewählte Geräte?
  • Sind die Festplatten Ihrer mobilen Geräte (Laptops, Smartphones, Tablets) verschlüsselt? Dies ist vor dem Hintergrund der Meldepflicht der DSGVO besonders wichtig!

10. Notfallpläne

Existieren in Ihrem Unternehmen IT-Notfallpläne? Zum Beispiel, was muss nach einem Stromausfall getan werden?

Wenn Sie diese Punkte beachten und implementiert haben, sollte das Sicherheitsniveau Ihrer IT schon verhältnismäßig hoch sein. Wenn Sie zusätzlich noch daran denken, dass es sich bei der IT-Sicherheit nicht um einmalige Anschaffungen sondern um einen fortlaufenden Prozess handelt, befinden Sie sich mit Ihrem Unternehmen auf dem richtigen Weg zu mehr Sicherheit.

Falls Sie noch Fragen zu dem Thema haben, können Sie uns gerne ansprechen!