23.06.2005, 13:42 Uhr

Angstmache gilt nicht

KMU müssen nicht hilflos und allein vor ihren IT-Security-Problemen stehen. Interesse vorausgesetzt, finden sich leicht die nötigen Infos. Computerworld Gastautor Ronny Fischer gibt Tipps, wie sich die IT-Infrastruktur eines KMU mit relativ einfachen technischen Mitteln schützen lässt. Eine Reihe von Weblinks gibt eine kurze Übersicht über Security-Dienstleister in der Schweiz und nützliche Tools.
Ronny Fischer: «Die Technik funktioniert. Was fehlt, sind Security-Infos und der Zugang zu ihnen.» (Bild: cw/gis)
Um das Banale vorwegzunehmen: Security-Probleme ändern sich schneller als der Rest der IT. Deshalb geht es bei der Erarbeitung von mehr Sicherheit in den Betrieben primär darum, sich am richtigen Ort mit den richtigen Informationen zu versorgen und diese dann gezielt an die richtigen Benutzer weiterzugeben. Hier ist Qualität und keine Quantität gefragt.
Auch KMU können sich mit den richtigen Security-Informationen selbst up-do-date halten. Damit bringen sie dann jedenfalls mit vertretbarem Aufwand wirklich «mehr» Sicherheit in ihre IT-Landschaft. Sollten Probleme bestehen, die die eigenen Ressourcen übersteigen, können sie jederzeit und vor allem gezielt an externe Serviceleute vergeben werden.

Technik ist vorhanden

Der technische Schutz einer KMU-IT-Infrastruktur ist heutzutage mit richtig konfigurierten Sicherheitsdiensten relativ einfach möglich. Hersteller von Virenkillern, Firewalls und Intrusion-Prevention-Systemen (IPS) haben meistens gemanagte Sicherheitslösungen im Angebot. Einmal sauber konfiguriert, muss an solchen Diensten nichts mehr geändert werden und die Patches und Signaturen sind dann im Betrieb ebenfalls einfach aktuell zu halten. Das Reporting, das bei diesen Lösungen häufig mitgeliefert wird, hilft, weitere Informationen aus den Attacken zu ziehen, um gegen sie künftig gewappneter zu sein.
Für die wichtige korrekte Konfiguration ist also zu überlegen, ob man sie an externe Dienstleister vergibt. In der Regel sollten solche Dienstleister über ein vertieftes Wissen verfügen. Zudem können sie mit Tipps und Tricks während der Installation respektive Konfiguration die Mitarbeiter auf den entsprechenden Systemen gleich schulen. Internet sei dank, ist auch die Informationsbeschaffung ausserhalb der firmeneigenen Quellen nur insofern ein Kostenfaktor, als bei deren Beschaffung Arbeitszeit investiert werden muss. Die lässt sich erheblich reduzieren, wenn klar ist, wie sich das Wesentliche herausfiltern lässt.

Information steht bereit

Im Internet sind unzählige Websites verfügbar, die sich mit IT-Sicherheitsfragen beschäftigen. Schon eine gezielte Suchabfrage via Google bringt rasche Ergebnisse. Diverse öffentliche Ämter und Behörden veröffentlichen auf ihren Websites ebenfalls gute Sicherheitshinweise. Auf ihnen kann gezielt nach der richtigen Auskunft gesucht werden. Bewährt hat sich folgende Taktik : Man sucht im Internet Website eines «Freaks» oder einer bestimmten Gruppe von ihnen. Diese Freaks haben neben den eigenen Informationen auf ïhren Seiten meist eine Hyperlink-Sammlung, über die sich dann leicht weitere, spezialisierte Informationen zu einer gesuchten Thematik finden lassen.
Um Wichtiges von Unwichtigem zu unterscheiden, kann sich sogar der Zugang zu einer geschlossenen Security- oder Hacker-Website aufdrängen. Momentan ist «www.astalavista.net» mit 16 000 Mitgliedern die wohl bekannteste Seite dieser Art. Und natürlich liefen auch die Hersteller auf ihren Websites gute Tipps, um sich vor Hackern und Virenattacken zu schützen.

Schult die Mitarbeiter

Da immer mehr Angriffe direkt auf den Enduser am PC zielen, ist es unerlässlich, die Mitarbeiter vor solchen Gefahren gezielt zu warnen und informieren. Benutzer in Abständen von zwei oder drei Monaten nötigenfalls auch per Intranet aktiv zu schulen, zahlt sich allemal aus.
Ronny Fischer


Das könnte Sie auch interessieren