Die Meldungen über gehackte Firmenserver überschlagen sich zurzeit. Was können IT- und Webstartups tun, um ruhiger zu schlafen?
In einem Ingenieurbüro, in dem ich vor langer Zeit einmal gearbeitet habe, trat eines Montagmorgens der Ernstfall ein: Einbruch, Server inklusive Sicherungsbänder sowie verschiedene Rechner geklaut. Niemand hatte je daran gedacht, das Sicherungsbänder auch geklaut werden.
Insgesamt waren mehr als drei Monate an Daten verschwunden – Adressen von Kunden, ihre offiziellen Aufträge sowie die statischen Berechnungen einer Brücke, die bereits im Bau war. Nur mit einigen Investitionen und viel Überstunden konnten existenzbedrohende Kosten für das Unternehmen abgewendet werden.
Gerade Internet-Startups sollten sich von Anfang an Gedanken um Datenschutz und IT-Sicherheit machen. Wenn wichtige Daten abhanden gekommen oder Teile Deiner IT zusammengebrochen sind und monatelange Arbeit im Nirvana verschwunden ist, ist Dein Startup existenzgefährdet. Deswegen hier 12 Tipps zur IT-Sicherheit, zusammengesucht an den verschiedensten Stellen in Web und Print:
- Cybersecurity sollte die Verantwortlichkeit des Chefs sein (und falls an jemand anders delegiert, sollte IT-Sicherheit nicht eine Unteraufgabe der IT sein, sondern ein Extra-Verantwortungsgebiet)
- Idealerweise machst Du mindestens einmal pro Jahr ein IT-Sicherheits-Audit (bringe erfahrene Hacker ins Unternehmen, die Dein Startup angreifen: Du lernst viel über Angriffsarten, -orte, mögliche Verteidigung)
- Investiere in Software, die Deinen Netzwerk-Traffic aufzeichnet, insbesondere nach draußen gehende Verbindungen (und überwache diese Aufzeichnungen)
- Patche und update Deine Software regelmässig
- Identifiziere die kritischsten Deiner Daten und isoliere sie vom Netzwerk (z.B. Kreditkarten-Daten Deiner Kunden, deren Verschwinden eine Katastrophe wäre)
- Eine Perimeter-Verteidigung ist mittlerweile nutzlos, also organisiere Deine IT-Sicherheit in verschiedenen Ebenen (z.B. können Angestellte unwissend verseuchte USB-Sticks andocken etc.)
- Verschlüssle alle Kundendaten und achte darauf, wo Du sie speicherst (wichtig bei der Nutzung von Cloudserving und -hosting!)
- Sei vorsichtig beim mobilen Zugriff: entweder Du sicherst alle mobilen Geräte Deiner Angestellten ab oder Du limitierst den Zugriff von außen
- Schule alle Deine Mitarbeiter in IT-Sicherheit
- Sei vorsichtig in der Vergabe von Admin-Rechten, z.B. auf den PCs Deiner Mitarbeiter etc.
- Aus eigener Erfahrung: Mache lieber zuviele Backups als zu wenige und richte ein, dass regelmässig Backups sicher außerhalb der Firma gelagert werden!
- Falls vorhanden: Trainiere Deinen Hund darauf, weniger freundlich zu Leuten mit aufgesetzten Skimasken zu sein!
„Mein“ IT-Berater meint dazu (unter anderem):
Zwei sehr wichtige Punkte fehlen meiner Meinung nach:
1. Backup auf Backup Server im Internet ist je länger je mehr interessant. Bei Diebstahl der Systeme, Feuer, Wasser, etc. hat man immer eine aktuelle Kopie ausser Haus. Die Daten werden dort automatisch verschlüsselt. Punkt 7+11 geht am Rande auf diesen Punkt ein.
2. Datendiebstahl durch Mitarbeiter: Die Mitarbeiter haben in der Regel auf zuviel Zugriff und können grosse Datenmengen mit mobilen Festplatten, Memory Sticks, einfach mitnehmen. Auch wenn dies im ersten Moment nicht böswillig geschieht, werden Daten kopiert und mitgenommen und später beim Jobwechsel nicht retourniert.
lw
Zum ersten Punkt, ich muss ganz ehrlich sagen, dass ich langsam ein wenig skeptisch bin, was Internetserver anbelangt. Ich bin nicht „vom Fach“ aber für mich ist alles, was direkt am Netzwerk angeschlossen ist schon per se unsicher. Wäre es da nicht besser, die Backups einfach so ausser Haus zu lagern und allenfalls „in der echten Welt“ zu transportieren? Gerade nachdem die Daten von Dropbox vor einiger Zeit quasi ungeschützt offen gelegen sind, bin ich vielleicht ein wenig paranoid. Trotzdem, wenn es möglich wäre, würde ich in meinem Geschäft am liebsten auf das Internet ganz verzichten :)
Danke für die Kommentare. Das sind gute Hinweise, auf die man als Gründer achten sollte. Für private Daten ist Dropbox meiner Meinung nach immer noch OK, aber bei Kunden-Daten würde ich das auch nicht empfehlen.
@leoweiss: Wir haben einen Server in einem anderen Brandabschnitt in unserem Haus untergebracht. Die Wahrscheinlichkeit, dass Diebe beide Lokationen aufbrechen, ohne bemerkt zu werden, ist gering. Ein Brand kann uns auch nicht schaden.
Ich arbeite seit paar Tagen mit Programmen für das anonyme surfen im Netz. Es gibt viele Vorteile für das benutzen diverser Apps. Doch leider ist das Setup der Programme oft heikel. Diverse Viren tauchen vielmalig wieder auf. Seit Samstag verwende ich nur noch eine Seite mit dem Namen Proxybuster. Die URL in das freie Feld eingeben und ihr surft ohne ein nervende Installation ganz anonym : http://bit.ly/1eq9IiT
Ich arbeite seit paar Tagen mit Apps für das anonyme surfen im Netz. Es gibt viele Vorteile für das nutzen diverser Apps. Doch leider ist das Setup der Programme oftmals schwer verständlich. Diverse Betrüger Programme tauchen oftmalig wieder auf. Seit Montag benutze ich nur noch eine Seite mit dem Namen Proxybuster. Die URL in das freie Feld eingeben und ihr surft ohne ein nervende Installation ohne Spuren : http://bit.ly/1eq9IiT