Abgesichert abgesendet
Von Sabine Philipp
Teil 1 dieser Serie hat bereits dargelegt, wie Daten auf Servern, PCs, Mobilgeräten und Backups am besten gesichert sind und dazu drei konkrete Lösungen vorgestellt. Jetzt soll es um die E-Mail-Verschlüsselung gehen. Denn auch elektronische Unternehmenspost sollte kodiert sein. Hier dürften die bekanntesten Programme Pretty Good Privacy (PGP) bzw. GNU Privacy Guard (GnuPG) sein. Da beide Varianten zusammen funktionieren, können E-Mails, die mit dem einen Programm verschlüsselt wurden, meist mit dem anderen gelesen werden.
PGP und GnuPG eignen sich besonders für Projekte, bei denen mehrere Firmen involviert sind, es aber keine zentrale Infrastruktur gibt. Falls doch, könnte S/MIME ein geeigneter Kandidat sein; der Standard arbeitet ganz ähnlich und es gibt Programme verschiedener Hersteller. Neben der E-Mail-Verschlüsselung könnte sich außerdem eine Sicherung von Messengern wie MSN, Skype, oder ICQ als sinnvoll erweisen. Hier bietet sich OTR an, das sicher und einfach in der Nutzung ist.
Wachmannschaft im Intranet
Für den Geschäftsführer, der letztlich die interne Sicherheit zu verantworten hat, ist diese Aufgabe meist nur eine zusätzliche, unbequeme Pflicht. „Dabei gibt es sehr gute Möglichkeiten, mit einem einfachen Netzwerkcheck die Schwachstellen zu ausfindig zu machen“, erklärt Fachmann Rainer Tausend. „Dann habe ich schon mal eine Grundlage und kann sehen, wie es mit der Sicherheit überhaupt bestellt ist.“
Rainer Tausend war bis 2012 Geschäftsführer der von ihm 1991 mitgegründeten InCom Gesellschaft für EDV Systeme mbH im saarländischen Schiffweiler. In Sachen IT-Security, Verschlüsselungssoftware und Authentisierungslösungen macht ihm so schnell keiner etwas vor. Neben fundierten Schwachstellenanalysen bietet Tausend u.a. eine besondere Expertise in den Bereichen WLAN und Netzwerkkonzeption.
InCom Gesellschaft für EDV-Systeme mbH, Gewerbepark Klinkenthal 31, 66578 Schiffweiler, Tel.: 06821-96110, info@incomgmbh.de, www.incomgmbh.com
Dabei wird eine spezielle Appliance ins Netz gestellt. „Im Grunde ist die Appliance eine Box, die mit dem Host-System kommuniziert“, erläutert Tausend. „Dann wird eine Software, die als webbasierende Applikation läuft, losgelassen und prüft alle angegebenen IP-Adressen auf Schwachstellen. Der große Vorteil dabei ist, dass man das Netzwerk nicht während dieser Riesensicherheitslücke aufmachen muss. Ein paar Stunden später wissen Sie, was Ihre Schwachstellen sind und wie sie sie beheben können.“ Wenn z.B. ein Patch von Microsoft fehlt, wird gleich der Link angegeben, unter dem man die Korrektur herunterladen kann.
Aber obwohl die Sicherheitsprüfung bei relativ wenig Aufwand viel bringt, hat Tausend noch viel Arbeit vor sich. „Die Problematik ist, dass viele Mittelständler keinen Sinn darin sehen, während für unsere Großkunden ist ein regelmäßiger Netzwerkcheck überhaupt kein Thema ist.“ Die führten ihn alle zwei Wochen aus und hätten eigene Hardware. Für den Mittelständler rät der Fachmann zu einer halbjährlichen Kontrolle.
Teil 1 kommt gleich zur Sache und gibt praktische Tipps, wie Informationen im Unternehmen für Unbefugte tabu bleiben. Teil 2 setzt bei der E-Mail-Verschlüsselung an und warnt eindringlich vor Sorglosigkeit.
Der Bedarf besteht durchaus. Tausend: „Ich hatte den Check einmal einem Kunden angeboten, der ihn partout nicht wollte. Als wir dann für sein WLAN den passenden Standort für die Geräte ausgemessen haben, stellten wir fest, dass er tatsächlich noch eine WEP-Verschlüsselung hatte! Ich weiß nicht, wie häufig schon in den Medien darüber berichtet wurde, dass Darmstädter Studenten die Verbindung innerhalb von fünf Minuten geknackt haben. Inzwischen müssten sogar Laien wissen, dass man mindestens WPA nutzen sollte, um drahtlose Verbindungen zu schützen.“ Und ausgerechnet dieser Kunde hatte hochsensible Kundendaten. „Wenn die wegekommen wären, hätte er das sein Leben lang nicht bezahlen können.“
Im Gedächtnis abgespeichert
Selbst bei den besten Verschlüsselungsprogrammen steht und fällt der Schutz mit dem Passwort. Es sollte aus mindestens acht Zeichen bestehen und sich aus Groß und Kleinbuchstaben, Zahlen und Sonderzeichen zusammensetzen. Hacker testen bei ihren so genannten Brute-Force-Attacken mit Spezialprogrammen mehrere tausend Variationen pro Sekunde und werden bei kürzeren und simpleren Passwörtern wie Vornamen und Geburtsdatum schnell fündig.
Wie aber soll man sich die seltsamen Symbolreihen merken? Eine bewährte Methode besteht darin, sich aus den Einzelzeichen eine Geschichte zu basteln. Problematisch wird es jedoch, wenn der Geheimnisträger z.B. überraschend stirbt. „Dann kann man das Passwort noch sicher im Tresor hinterlegen“, meint Tausend, „und für alle Fälle ein Masterpasswort erstellen, mit dem Sie alles aufkriegen.“ Keinesfalls dürfen Zugangscodes per Post-it am Bildschirm kleben oder unter dem Begriff „Passwort“ abgespeichert sein. Falls Sie eine Suchmaschine für Ihre Rechner haben, sollten Sie sicherheitshalber einmal nachsehen.
Woran liegt es also, dass Verschlüsselung in Unternehmen oft auf die leichte Schulter genommen wird? „Das Problem ist“, meint Tausend, „dass ich – anders als die gepanzerte Eingangstür – IT-Sicherheit nicht sehe. Deshalb sparen die Leute oft an der falschen Stelle und geben das Geld woanders wieder aus. Der Chef gönnt sich dann ein dickes Auto, dessen Leasing-Raten monatlich dreimal so viel kosten wie Security. Dabei kann man unsere Dienstleistungen auch leasen. Und sie natürlich von der Steuer absetzen.“
Oft wären bereits kleine Lösungen ausreichend. Wie bei dem Unternehmen, von dessen Firmenkonto per Pharming 14000 Euro nach Russland abgebucht wurden. Der Spezialist kann es noch immer nicht fassen: „Nach unserem Netzwerkcheck mussten wir zu unserem großen Schrecken feststellen, dass es weder eine Firewall noch einen Virenschutz gab. Es gab überhaupt keinen Schutz!“
Die TU Darmstadt hat in Zusammenarbeit mit der Bauhaus-Universität in Weimar, der Universität Luxemburg und dem Chaos Computer Club bedenkliche Sicherheitslücken bei Schnurlostelefonen aufgedeckt, die mit dem weltweit meistgenutzten DECT-Standard (Digital Enhanced Cordless Telecommunication) arbeiten. Da nur wenige Geräte eine Warnmeldung bei einem unverschlüsselten Gespräch im Display anzeigen, ist die Schwachstelle meist nur schwer ersichtlich. In neueren Versionen des DECT/CAT-iq-Standards sollen jedoch einige Sicherheitsanforderungen zur Pflicht werden. Tipps und Infos zum Thema finden Sie in der BSI-Broschüre „Drahtlose Kommunikationssysteme und ihre Sicherheitsaspekte“.
Um die gröbsten Lücken abzudecken und zu verhindern, dass weiter Daten abgesaugt werden, wurde dem Geschäftsführer eine Firewall für 450 Euro angeboten. „Die wurde nie gekauft,“ sagt Tausend. „Kollegen, die später vorstellig wurden, haben mir erzählt, dass auch sie nichts verkauft hätten.“ Dem Unternehmen selbst ging es sonst blendend, so dass auch eine drohende Insolvenz nicht der Grund für den Firewall-Boykott sein konnte. „So etwas verstehe ich nicht“, meint Tausend kopfschüttelnd. „Hier war der Schaden wirklich greifbar, aber es wurde trotzdem nicht einmal das Notwendigste gemacht.“
Fazit: Mit offenen Augen
IT-Sicherheit kostet nicht die Welt, aber IT-Sicherheit ist auch nicht alles. Die beste Verschlüsselung nützt wenig, wenn ausgedruckte Passwortlisten am Ende einfach im offenen Papiermüll landen. (Aktenvernichter der Sicherheitsstufe 3 wären richtig.) Oder wenn jeder zufällige Besucher den Mitarbeitern bei der Arbeit über die Schulter blicken kann.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Der gesunde Menschenverstand ist daher die beste Basis für Datensicherheit. Wer dann noch grundlegende Sicherheitsmaßnahmen beherzigt, eine Firewall aufzieht, Benutzerkonten für Büro-PCs einrichtet und die Datenträger konsequent verschlüsselt, kann auch mit wenig Aufwand ein hohes Sicherheitsniveau erreichen.
