Angstmache gilt nicht

Um das Banale vorwegzunehmen: Security-Probleme ändern sich schneller als der Rest der IT. Deshalb geht es bei der Erarbeitung von mehr Sicherheit in den Betrieben primär darum, sich am richtigen Ort mit den richtigen Informationen zu versorgen und diese dann gezielt an die richtigen Benutzer weiterzugeben. Hier ist Qualität und keine Quantität gefragt.

Auch KMU können sich mit den richtigen Security-Informationen selbst up-do-date halten. Damit bringen sie dann jedenfalls mit vertretbarem Aufwand wirklich «mehr» Sicherheit in ihre IT-Landschaft. Sollten Probleme bestehen, die die eigenen Ressourcen übersteigen, können sie jederzeit und vor allem gezielt an externe Serviceleute vergeben werden.

Der technische Schutz einer KMU-IT-Infrastruktur ist heutzutage mit richtig konfigurierten Sicherheitsdiensten relativ einfach möglich. Hersteller von Virenkillern, Firewalls und Intrusion-Prevention-Systemen (IPS) haben meistens gemanagte Sicherheitslösungen im Angebot. Einmal sauber konfiguriert, muss an solchen Diensten nichts mehr geändert werden und die Patches und Signaturen sind dann im Betrieb ebenfalls einfach aktuell zu halten. Das Reporting, das bei diesen Lösungen häufig mitgeliefert wird, hilft, weitere Informationen aus den Attacken zu ziehen, um gegen sie künftig gewappneter zu sein.

Für die wichtige korrekte Konfiguration ist also zu überlegen, ob man sie an externe Dienstleister vergibt. In der Regel sollten solche Dienstleister über ein vertieftes Wissen verfügen. Zudem können sie mit Tipps und Tricks während der Installation respektive Konfiguration die Mitarbeiter auf den entsprechenden Systemen gleich schulen. Internet sei dank, ist auch die Informationsbeschaffung ausserhalb der firmeneigenen Quellen nur insofern ein Kostenfaktor, als bei deren Beschaffung Arbeitszeit investiert werden muss. Die lässt sich erheblich reduzieren, wenn klar ist, wie sich das Wesentliche herausfiltern lässt.

Im Internet sind unzählige Websites verfügbar, die sich mit IT-Sicherheitsfragen beschäftigen. Schon eine gezielte Suchabfrage via Google bringt rasche Ergebnisse. Diverse öffentliche Ämter und Behörden veröffentlichen auf ihren Websites ebenfalls gute Sicherheitshinweise. Auf ihnen kann gezielt nach der richtigen Auskunft gesucht werden. Bewährt hat sich folgende Taktik : Man sucht im Internet Website eines «Freaks» oder einer bestimmten Gruppe von ihnen. Diese Freaks haben neben den eigenen Informationen auf ïhren Seiten meist eine Hyperlink-Sammlung, über die sich dann leicht weitere, spezialisierte Informationen zu einer gesuchten Thematik finden lassen.

Um Wichtiges von Unwichtigem zu unterscheiden, kann sich sogar der Zugang zu einer geschlossenen Security- oder Hacker-Website aufdrängen. Momentan ist «www.astalavista.net» mit 16 000 Mitgliedern die wohl bekannteste Seite dieser Art. Und natürlich liefen auch die Hersteller auf ihren Websites gute Tipps, um sich vor Hackern und Virenattacken zu schützen.

Da immer mehr Angriffe direkt auf den Enduser am PC zielen, ist es unerlässlich, die Mitarbeiter vor solchen Gefahren gezielt zu warnen und informieren. Benutzer in Abständen von zwei oder drei Monaten nötigenfalls auch per Intranet aktiv zu schulen, zahlt sich allemal aus.