Häufige Fehler als warnende Beispiele
Zugegeben: IT-Security erfordert Know-how. Es gibt jedoch auch einfache Punkte mit der man die IT-Infrastruktur schützen kann.
Datenverlust durch fehlende Backups
Ein Festplattendefekt sorgt eines Tages für einen Serverausfall. Nach dem Ausfall sollten die Daten eigentlich auf den Server gespielt werden. Jedoch stellte sich dabei heraus, dass keinerlei Daten auf Sicherungsbänder geschrieben wurden.
Die Daten sind somit verloren gegangen.
Zu vermeiden wäre dies gewesen, hätte man die Backup-Sicherungen regelmäßig überprüft.
Mangelnder Virenschutz
Wenngleich man Viren-Schutzprogramme flächendeckend einsetzt, fehlt es an der regelmäßigen Aktualisierung der Viren-Signaturen. Übers Internet verbreitet sich ein Virus an zahlreiche Empfänger. Nötig wäre es hier, mithilfe eines automatisierten Mechanismus die Anti-Viren-Programme auf sämtlichen Rechnern mit den neuesten Viren-Signaturen zu aktualisieren.
In dem Beispiel jedoch hat sich der Virus ins interne Netz eingeschlichen. Da viele Viren fürs Löschen von Dokumenten bekannt sind, müssen sämtliche Rechner vom Netz genommen und heruntergefahren werden.
All dies wäre vermeidbar gewesen, hätte es ein Update-Konzept gegeben.
Cyberattacke
Ein Allgemeinmediziner hat eine Praxis inmitten einer Kleinstadt. Auf seinem Rechner mit Internetanschluss verwaltet er die Patientenakten und installiert auch Software selbst. Der Arzt muss sich mit seinem Passwort am Rechner anmelden, deshalb hält er die abgelegten Daten für sicher.
Leider war der Praxis-Rechner nicht vor Fremdzugriffen gesichert.
Der Allgemeinmediziner sieht sich nun einer Klage gegenüber: Ihm wird vorgeworfen, fahrlässig mit Patientendaten umgegangen zu sein.
Hätte der Arzt die Internet-Zugänge gesichert, die vertraulichen Daten verschlüsselt, hätten die Hacker keinen Zugriff darauf.
Ausfall des Administrators
In einem Mittelstandsunternehmen arbeitet ein Administrator schon seit Jahren allein. Er ist plötzlich von heut auf morgen arbeitsunfähig geworden.
Beim Versuch, die Unterlagen des Administrators zu studieren, ergibt sich leider, dass die bestehende IT-Landschaft kaum dokumentiert wurde. Es müssen externe Spezialisten hinzugezogen werden, da das Unternehmen auf branchenspezifische Individuallösungen setzt.
Dieses Szenario ist leicht vermeidbar: Die System-Einstellungen müssen ausführlich dokumentiert sein. Mit Vertretungsregeln und einem Notfallplan ist Unternehmen schon geholfen.
Ausschleusen von Daten durch Mitarbeiter
In der Steiermark stellt ein Traditionsbetrieb seit Jahrzehnten köstliche “Flecksuppn” her – eine geheim gehaltene Rezeptur ist das Erfolgsgeheimnis des Betriebs. Kein halbes Jahr später hat das Konkurrenzunternehmen eine nahezu identische Suppe auf den Markt gebracht. Der Verdacht liegt nahe: Ist das Unternehmen Opfer von Industriespionage durch einen früheren Mitarbeiter geworden?
Als die Kriminalpolizei den Rechner des Verdächtigen untersucht, findet sie die Information, dass Dateien, die die geheime Rezeptur erhielten, erst gespeichert und später gelöscht wurden. Er konnte sich die Rezeptur beschaffen, da die Räumlichkeiten der Entwicklungsabteilung nicht verschlossen waren. Jeder Mitarbeiter, der im Gebäude war, hätte das Rezept stehlen können.
Wären die wichtigen Daten verschlüsselt, die Räumlichkeiten gegen unbefugten Zutritt abgesichert gewesen, wäre dem Unternehmen dies erspart geblieben.
Niedriges Gefahrenbewusstsein bei Mitarbeitern
In der Personalabteilung eines Mittelständers bearbeitete die neue Kollegin die eingehenden Bewerbungen. Nicht weiter auf detaillierte Inhalte achtend, leitete sie eingehende Bewerbungen zur entsprechenden Stelle weiter. Die bearbeitende Kollegin ruft jedoch plötzlich aus ihrem Büro, dass an ihrem Rechner nichts mehr ginge.
Emotet war ins Netzwerk gelangt. Die auf den Rechnern gespeicherten Backups wurden verschlüsselt und das Unternehmen erhielt eine Lösegeldforderung.
Es liegt auf der Hand: IT-Sicherheit im Unternehmen ist immer auch von den Mitarbeitern abhängig
