Standard-Schutzmaßnahmen
  sensible Daten
  Kontodaten, TAN
  Virenscanner, Firewall
  Datensicherung
  Administartorenrechte
  Updates
  Originale
  Schnittstellen
  Funknetz
  Fremdnetze und Angriffspunkte
  mobiles Computing
  Hotspots, öffentliche Funknetze
Renate Mustermann ...
berufliche und geschäftliche DV
gewerbliche und professionelle DV
 

Die Gefahrenpotentiale, denen Privatanwender, kleine Gewerbetreibende und große Organisationen ausgesetzt sind, sind sehr unterschiedlich. Einige Regeln gelten jedoch für alle Gruppen. Diese wollen wir voran stellen.
  

1. Sensible Daten
Arbeiten Sie mit sensiblen Daten, deren unbefugte Kenntnis oder Verwendung Sie oder andere schaden können? Solche Daten gehören verschlüsselt oder auf mobile Datenträger gespeichert, die Sie sicher verwahren müssen.

2. Kontodaten, TAN
Kontozugangsdaten und ganz besonders Transaktionsnummern für das Homebanking gehören nicht im Computer gespeichert. Fragt Ihr Browser, ob die Zugangsdaten gespeichert werden sollen, was sehr bequem wäre, klicken Sie auf "nein". Solche Daten verwahren Sie entweder nur in gut verschlüsselten Dateien oder notieren Sie auf Papier, das Sie sicher verwahren.

Verwenden Sie Kennworte, die Sie sich gut merken können, aber verwenden Sie dabei auch Sonderzeichen und Zahlen! Wechseln Sie Ihre Kennworte in regelmäßigen Abständen.
Misstrauen Sie falschen Freunden und Fremden und geben Ihre Zugangsdaten nur dann preis, wenn Sie dem anderen auch wirklich vertrauen und die Preisgabe auch erforderlich ist.

Überprüfung von Kontodaten:
Robin-Hood-Trend bei Onlinekriminellen, tecchannel 10.07.2007

 
3. Virenscanner, Firewall
Virenscanner und Firewall gehören zum Basisschutz. Jeder private PC, der an das Internet angebunden ist, muss über sie verfügen, wollen Sie sich nicht dem Vorwurf der Fahrlässigkeit aussetzen. Die Programme werden häufig von den Hersteller mitgeliefert (Windows XP) oder von Dritten kostenlos angeboten. Achten Sie auch darauf, dass die Signaturen für den Virenscanner und die Sicherheitseinstellungen regelmäßig von Ihnen aktualisiert werden.

4. Datensicherung
Eine regelmäßige Datensicherung ihrer am häufigsten verwendeten Dateien gehört zum Basisschutz. Kopieren Sie sie auf Wechseldatenträger oder verwenden Sie ein Backupprogramm. Bachupdateien gehören auf einen gesonderten Datenträger (Wechselfestplatte, CD, DVD).
Wollen Sie Dateien langfristig aufbewahren (z.B. Fotos), müssen Sie die Daten spätestens nach 10 Jahren auf einen anderen Datenträger kopieren, weil alle heute angebotenen verschleißen können. Vermeiden Sie dabei Verschlüsselungen und Kompressionen (ZIP), weil möglicherweise nach längerem Zeitablauf nicht mehr funktionieren, und verwenden Sie marktübliche und gebräuchliche Dateiformate.

5. Administratorenrechte
Arbeiten Sie nur dann als Administrator, wenn Sie wirklich neue Programme installieren wollen oder Administratorenrechte zwingend erforderlich sind. Wenn möglich entfernen Sie dazu zu Verbindung zum Internet.

6. Updates
Installieren Sie die vom Hersteller ihres Betriebssystems angeboten Updates (Service Packs von Microsoft), weil sie fast immer Sicherheitslücken schließen, die unmittelbar nach ihrem Erscheinen von Malware ausgenutzt werden. Fertigen Sie jedoch vor der Installation ein Komplett-Backup - man weiß ja nie.
Vermeiden Sie jedoch die unüberlegte Aktualisierung anderer Programme und neuer "Spielzeuge", die sich Ihnen zum Download anbieten. Neue Versionen können die Leistung Ihres PCs überfordern und zum Absturz bringen. Programme aus unbekannten Quellen könnten sich als Spyware oder Trojanische Pferde herausstellen.

7. Originale
Verwahren Sie die Datenträger mit Ihren gekauften und ständig eingesetzten Programmen an einem Ort auf, wo Sie sie auch wieder finden. Dazu gehören auch die Passworte des Herstellers. So können Sie nach einem fatalen Ausfall alle Programme wieder herstellen und Ihre Daten weiter verarbeiten.

9. Funknetz
Nutzen Sie alle Sicherheitseinstellungen, die Ihr WLAN-Router bietet. Verteilen Sie feste IP-Adressen für alle Geräte, die Sie zulassen wollen, und verwenden Sie eine starke Verschlüsselung (WPA).

10. Fremdnetze und Angriffspunkte
Betreiben Sie keine ungeschützten Computer in ihrem Netzwerk.
Für kleine private Netze gilt: Geben Sie Ihren PC und ihren Drucker nicht für andere Mitglieder im Netzwerk frei. Wenn Sie sicher gehen wollen, tauschen Sie innerhalb der Gruppe die Daten entweder per Datenträger oder per E-Mail aus (Verringerung des Zeitfensters für eine Penetration).

11. mobiles Computing
Neben Verschleiß und Malware ist Ihr Laptop, das Sie mobil einsetzen, zwei weiteren wesentlichen Gefahren ausgesetzt: Diebstahl und unbefugte Nutzung.
Unbefugte Nutzung: Arbeiten Sie in der Öffentlichkeit niemals als Administrator.
Fahren Sie das Gerät vollständig runter, wenn Sie es vorübergehend - auch in beaufsichtigten Räumen - unbeobachtet zurück lassen müssen.
 

Ein "Spielkalb" oder böswilliger Mitmensch könnte ansonsten die viele Jahre lang in der Öffentlichkeit nicht bekannte Festplattenverschlüsselung aktivieren und für die Preisgabe des Ihnen dann unbekannten Kennworts eine gewisse Aufwandsentschädigung verlangen.
Sichern Sie Ihre wichtigsten Daten auf mobile Speicher (USB-Stick oder -Festplatte), die Sie bequem am Körper tragen können.

12. Hotspots. Öffentliche Funknetze
Öffentliche Hotspots für den bequemen Zugang zu einem WLAN per Laptop sind besonders anfällig dafür, dass der Ihnen unbekannte Betreiber oder ein Spion Ihren Datenverkehr mitschneidet oder sogar als Man-in-the-Middle agiert. Verarbeiten Sie vertrauliche Daten per mobile Computing nur in gesicherten Verbindungen (Virtual Private Network - VPN - mit Verschlüsselung).
 

 
Für "einfache" Privatanwender reichen in aller Regel die oben genannten Sicherheitsvorkehrungen aus. Wichtig dabei ist, dass Sie sich fragen und bewusst machen, ob Sie mit personenbezogenen oder sogar sensiblen Daten arbeiten und welche Folgen Sie sich ausmalen, wenn diese missbraucht werden.

Private Netze und Funknetze lassen sich mit einem angemessenen technischen Aufwand kaum vollständig gegen Angriffe von außen absichern. Sie müssen im Allgemeinen keine Spionage-Hardware und keine Hacker befürchten, die sich "einfach mal umschauen wollen", wohl aber Malware und Hacking im Zusammenhang mit Ihren Kontodaten (Homebanking, eBay, Man-in-the-Middle).

Ihre Bemühungen müssen sich deshalb auf Ihr Arbeitsgerät, also Ihren PC oder Ihr Laptop konzentrieren. Vermeiden Sie deshalb technische Spielereien in Ihrem Netzwerk, besonders ständig erreichbare Netz-Festplatten und Server für die gemeinsame Dateiablage oder Backups.
 

 
Besondere Sicherungspflichten für Privatleute gibt es bislang nicht. Es entwickelt sich allerdings eine Rechtsprechung, die jedenfalls wegen grober Fahrlässigkeit Schadenersatzansprüche wegen unerlaubter Handlungen (§ 823 BGB) erwarten lässt.

Ungeachtet dessen vermeiden Sie persönlichen Ärger und finanzielle Verluste, wenn Sie ihrer privaten Informationstechnik einen Grundschutz verpassen.

Das gilt besonders für private Funknetze. Der geduldete oder unbefugte Missbrauch Ihres Zugangs zum Internet führt zunächst zu Ihnen, weil von außen nur die IP-Adresse Ihres Routers bekannt wird, mit dem die Verbindung zum Internet aufgebaut wurde. Wegen Schadenersatzansprüche und strafrechtliche Ermittlungen wird man sich also zuerst an Sie als den Betreiber wenden.

Dasselbe müssen Sie befürchten, wenn Ihre persönlichen Daten von einem Unbekannten zum Beispiel für unlautere Geschäfte bei eBay oder zu volksverhetzenden Präsentationen missbraucht werden.
 

 
Bei der beruflichen oder geschäftlichen Datenverarbeitung unterliegen Sie weiter gehenden Sorgfaltspflichten als bei der reinen Privatnutzung, weil Sie Vertraulichkeits-, vertraglichen Partnerschutz-, Datenschutz- und firmenrechtlichen Handlungsanforderungen unterliegen können.

Vermeiden Sie deshalb den sorglosen Umgang mit ungeschützten Daten und machen Sie gelegentlich eine Risikoanalyse: Wen könnte ich mit der Preisgabe der bei mir gespeicherten Daten Schade zufügen und wer könnte ein besonderes Interesse an der Erlangung dieser Daten haben?
 

Wenn Sie in Workgroups, also mit mehreren vernetzten Arbeitsplätzen arbeiten müssen, so vermeiden Sie möglichst den Anschluss an das Internet und errichten ein Kabelnetzwerk, kein WLAN. Auch der Aufwand, zwei Netzwerke aufzubauen, könnte den Aufwand lohnen. In dem einen, isolierten Netz verarbeiten Sie die sensiblen Daten, in dem anderen agieren Sie in der Öffentlichkeit. Vermeiden Sie dabei aber unbedingt unbedachte Schnittstellen, vor allem für die Telekommunikation, und Arbeitsplätze, die gleichzeitig mit beiden Netzen verbunden sind. Wenn Sie Daten zwischen beiden Netzen austauschen, verwenden Sie physikalische Datenträger und achten gleichzeitig darauf, dass auch das isolierte Netz hinreichend durch aktualisierte Virenscanner gegen Malwaren geschützt ist.
 

 
Die Geschäftsführer und Vorstände von Kapitalgesellschaften unterliegen nach US-amerikanischem und europäischem Gesellschaftsrecht einer unmittelbaren Verpflichtung zur IT-Sicherheit. Verstöße und Schluderigkeiten können zu empfindlichen persönlichen Schadenersatzpflichten führen.

Aber auch die Leitungen und Sicherheitsverantwortlichen anderer großer Organisationen (z.B. Hochschulen, die als öffentlich-rechtliche Körperschaften in der Öffentlichkeit agieren) unterliegen erhöhten Anforderungen aus dem Datenschutz und als Träger privater Geheimnisse.

Die gewerbliche und professionelle Datenverarbeitung verlangt deshalb nach einer klaren Strategie zur IT-Sicherheit, nach geregelten Prozessen zum IT-Betrieb und nach einer ständigen Risikoanalyse. Die Einzelheiten ergeben aus dem Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik - BSI - und aus der einschlägigen Fachliteratur.

Wegen der IT-Architektur zeigt die  Folgeseite ein Beispiel, wie mit einer Demilitarisierten Zone und dem Einsatz von Firewalls eine Abschottung erreicht werden kann.
 

Das größte Sicherheitsrisiko stellt dabei der Mensch dar. Das können uninformierte, unbedarfte und bequeme Mitarbeiter sein, die Sicherheitsregeln nicht beachten oder bewusst umgehen, halbwissende Kollegen, die ihren "Spieltrieb" ausleben, oder ehemalige Mitarbeiter, die Ihr Wissen zu schädlichen Aktionen ausnutzen.

IT-Sicherheit beschränkt sich dabei nicht auf den Betrieb von Technik. Die Diskussion um das Social Engineering zeigt überdeutlich, dass auch das soziale Kommunikationsverhalten, die physikalische Sicherheit (Serverräume, Schließanlagen, Zugangskontrollen) und das allgemeine Sicherheitsverständnis aller Mitarbeiter gefordert sind.