10 IT-Security-Tipps für Gründer


44 likes

Wie lässt sich IT-Sicherheit auch ohne große Ressourcen und Security-Spezialisten im Team umsetzen? Wer diese zehn Tipps befolgt, macht bereits vieles richtig!

Viele Aufgaben, wenig Personal, starke Veränderungen – die ersten Monate und Jahre nach der Gründung haben es in sich. Da liegt es nahe, vermeintlichen Randthemen wie IT-Sicherheit wenig Bedeutung zukommen zu lassen. Doch die innovativen Konzepte, Patente und sensiblen Daten müssen geschützt und der störungsfreie Betrieb der IT gewährleistet werden, damit das neugegründete Unternehmen durchstarten kann. Wie lässt sich IT-Sicherheit auch ohne große Ressourcen und Security-Spezialisten im Team umsetzen? Zehn wertvolle Tipps und To Do's:

IT-Security-Tipp 1: Benennt Zuständigkeiten

Als frisch gegründete Unternehmen habt ihr wahrscheinlich noch ein kleines Team und daher keinen IT-Admin in Vollzeit. Trotzdem sollte ein IT-Verantwortlicher festgelegt werden, der den Überblick behält und Ansprechpartner bei aufkommenden Fragen ist. Wer ist beispielsweise für das Onboarding neuer Mitarbeiter verantwortlich, wer für das Offboarding? Wer kontrolliert die ergriffenen Sicherheitsmaßnahmen?

IT-Security-Tipp 2: Sprecht miteinander, lernt voneinander

Nutzt eure schon vorhandenen Wissensstände! Sich in der Kaffeepause ein bisschen über IT-Sicherheit und Gefahren auszutauschen, hat einen großen Nutzen. Sollte euch etwas komisch vorkommen, ihr beispielsweise eine seltsame E-Mail erhalten, sprecht eure Kollegen an und macht es öffentlich. Gemeinsam Lernen ist der effektivste Schutz vor Fehlverhalten. Etabliert eine Frage-Antwort-Kultur, sodass keiner Angst haben muss, vermeintlich dumme Fragen zu stellen.

IT-Security-Tipp 3: Bewahrt den Überblick

Gerade in der Anfangszeit wird eure IT-Infrastruktur sehr dynamisch sein. Neue Mitarbeiter, neue Server, neue Drucker. Da fällt es schwer, den Überblick zu bewahren. Essenziell für eine Absicherung von IT-Landschaften ist es jedoch, zu wissen, welche Geräte und Abhängigkeiten eigentlich vorhanden sind. Etabliert daher von Beginn an eine Visualisierung der IT-Infrastruktur. Im Gründungsstress können Euch dabei smarte Tools zur Seite stehen, welche die Visualisierung weitestgehend automatisieren.

IT-Security-Tipp 4: Etabliert ein Monitoring

Eine alte Weisheit sagt: Wer glaubt, nie von einem Cyberangriff betroffen gewesen zu sein, hat es wahrscheinlich nur nicht mitbekommen. IT-Monitoring entdeckt ungewöhnliches Verhalten, welches auf einen Angriff hindeuten kann. Das kann etwa ein sprunghafter Anstieg einer CPU-Auslastung sein. Die Fortschritte im Bereich des maschinellen Lernens erlauben es, die aus dem Monitoring gewonnen Daten, immer besser zu analysieren und automatisch Anomalien zu erkennen. Lasst eure IT-Infrastruktur also von einer Monitoring-Software überwachen.

IT-Security-Tipp 5: Setzt auf sichere Passwörter und 2-Faktor-Authentifizierung

Man denkt, es sei ein alter Hut, aber es sei nochmal gesagt: Sichere Passwörter sind das A und O, wenn es um IT-Sicherheit geht. Kommt erst gar nicht auf die Idee, ihr könntet euch alle sicheren Passwörter merken, denn dann sind sie es wahrscheinlich nicht. Nutzt niemals das gleiche Passwort für zwei Dienste! Deshalb setzt auf einen Passwortmanager und lasst euch eure Passwörter automatisch generieren. Einen wirklichen Sprung in Sachen Sicherheit könnt ihr mit 2-Faktor-Authentifizierungen erreichen, sodass bei neuen Geräten stets ein zweites temporäres Passwort eingegeben werden muss.

IT-Security-Tipp 6: Nutzt Schwachstellenanalysen

Unwissenheit schützt vor Strafe nicht. Eine falsch gesetzte Konfiguration, ein veraltetes und unsicheres Protokoll – vieles kann Einfallstor von Angriffen sein und das meiste lässt sich einfach beheben. Schwachstellenanalysen können solche Sicherheitslücken zuverlässig aufspüren und sammeln, zum Teil sogar automatisiert fixen.

IT-Security-Tipp 7: Ruht euch nicht auf Firewall und Antivirensoftware aus

Sie sind den meisten ein Begriff und das auch nicht zu Unrecht: Firewall und Antivirenprogramme leisten einen wichtigen Dienst, um deine IT-Systeme sicher zu machen. Sie bieten aber keinen Rundumschutz, auf dem man sich ausruhen könnte, und sind daher nur ein Teilaspekt eines Sicherheitskonzeptes. Die Stärke von Virenprogrammen ist die Erkennung von bekannter Schadsoftware und deren Blockade (reaktive Erkennung). Gegen unbekannte Viren und Würmer oder gegen Angriffe ohne den Einsatz von Schadsoftware sind sie jedoch wenig effektiv. Eine Firewall hat hingegen lediglich die Aufgabe Regeln für die Netzwerkkommunikation festzulegen. So kann sie zwar unberechtigte Zugriffe stoppen, deren Erkennung ist aber komplex und daher beschränkt.

IT-Security-Tipp 8: Kümmert euch um Updates

Veraltete Software ist der Erzfeind der IT-Sicherheit. Achtet also darauf, dass ihr eure Software stets auf dem aktuellen Stand haltet. Aufgrund seiner herausragenden Bedeutung solltet ihr die Verantwortung für die Durchführung von Sicherheitsupdates nicht allein auf den Schultern des einzelnen Mitarbeiters lasten lassen. Etabliert ein Patch-Management, das heißt eine Überwachung über den Einsatz veralteter und unsicherer Software und Services und deren Aktualisieren. Macht es unmöglich, dass sich ein Mitarbeiter beispielsweise vor Windows- oder Browser-Updates drücken kann und schafft die Möglichkeit, diese von außen anzustoßen.

IT-Security-Tipp 9: Unterzieht euer System einem Härtetest

Dem fleißigsten und akribischsten Kämpfer für IT-Sicherheit rutscht mal was durch. Deshalb solltet ihr eure IT-Infrastruktur in regelmäßigen Abständen einem Härtetest unterziehen, einem Penetrationstest, kurz Pentest. Eine Möglichkeit ist hierbei, einen IT-Sicherheits-Experten zu engagieren, der wie ein Hacker versucht, in euer System einzudringen. Die notorisch knappen finanziellen Ressourcen in der Gründungsphase erlauben das aber meist nicht, schon gar nicht regelmäßig. Eine Alternative stellen daher automatisierte Pentests dar. Diese sind deutlich günstiger, insbesondere bei regelmäßiger Ausführung. Deshalb eignen sie sich besonders für stark wachsende IT-Landschaften.

IT-Security-Tipp 10: Erstellt einen Notfallplan

Was tun, wenn’s brennt? Das solltet ihr euch überlegen, bevor es so weit ist. Genau wie bei einem Feueralarm sollte allen Mitarbeitern klar sein, an wen sie sich mit welchen Informationen zu wenden haben und welche Erstmaßnahmen sie (nicht) zu treffen haben, sollte es zu einer Cyberattacke kommen. Wer ist der Ansprechpartner im Haus? Welcher externe Dienstleister muss alarmiert werden? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Maßnahmen-Katalog zum Notfallmanagement zusammengestellt und schlägt vor, eine IT-Notfallkarte im Büro aufzuhängen.

Der Autor Paul Becker ist bei dem Security-Start-up Enginsight für das redaktionelle Marketing zuständig. Enginsight entwickelt eine All-in-One-Lösung zur sicherheitstechnischen Überwachung von IT-Infrastrukturen.

Diese Artikel könnten Sie auch interessieren: