19. Mai 2024

MyH IT-Security Basics für jedermann – Massnahmen ganz ohne Risikoanalyse

MyH IT-Security Basics für jedermann - Massnahmen ganz ohne Risikoanalyse      IT Security Basics

Es gibt tatsächlich Massnahmen, die jede Unternehmung, unabhängig von Grösse und Informatik-Abhängigkeit, auf jedem PC und in jedem Netzwerk implementiert haben muss. Als Kunde können Sie hierbei auf eine Risikoanalyse verzichten, denn diese Massnahmen sind in Bezug auf Kosten ziemlich tief und in Bezug auf deren Nutzen sehr hoch. Ich bezeichne das als absolutes Minimum an IT-Sicherheit, das überall implementiert sein muss. Ich habe diese Massnahmen unter MyH IT-Security Basics zusammengefasst und nachfolgend im Detail beschrieben. Natürlich können und sollten nach diesen Massnahmen noch weitere umgesetzt werden, diese jedoch erst nach einem seriösen Risikomanagement, um Ihren Bedarf an IT-Sicherheit zu bestimmen und damit auch nicht zu weit über das Ziel hinausgeschossen wird.

MyH IT-Security Basics (BAPAFA)

Die 6 Buchstaben BAPAFA sind ein Akronym für Backup, Aktuelle Systeme, PasswörterAntivirus, Firewall und Awareness und sind aus eigener Erfahrung die Punkte, auf die teilweise bei Einführung neuer Systeme geschaut wird, die aber oft im Verlauf der Zeit immer weniger Aufmerksamkeit bekommen. Für Sie als Kleinunternehmer und Nutzer habe ich diese Punkte hier erklärt und mit praktischen Umsetzungstipps versehen. So können Sie die Basics Ihrer IT-Security gleich selber umsetzen.

(Disclaimer: Um Ihnen möglichst praxisnahe Tipps geben zu können, habe ich teilweise auch Produkte und Hersteller erwähnt, mit welchen wir jedoch keine Partnerschaft pflegen. Diese dienen lediglich der besseren Veranschaulichung. Alternative Produkte können problemlos die selben Eigenschaften aufweisen und gleichermassen angewendet werden. Falls Sie nicht sicher sind, können Sie mich gerne kontaktieren)


Backup

Der Backup ist DIE Versicherung für die Daten Ihrer Unternehmung. Egal wie Sie diese durchführen, ob auf Band, in die Cloud, auf Disk oder sonstiger Technologie und Medium, Sie benötigen eine Datensicherung, auf die Sie zugriefen können, wenn Ihre Daten aus irgend  einem Grund nicht mehr verfügbar sind. Wie gesagt, wir machen hier keine Risikoanalyse sondern nur die Massnahme Backup.

Hier die wohl einfachste und günstigste Lösung für Ihre sichere Datensicherung unter Windows mit Robocopy und externen Harddisks:

  • Kaufen Sie sich zwei externe Harddisk, die mindestens doppelt oder dreifach so gross sind, wie Ihr aktueller Speicherbedarf, typischerweise so viel wie auf Ihrem Datenlaufwerk verfügbar ist. Also wenn Ihr Datenlaufwerk D:\ 500GB gross ist, dann kaufen Sie sich mindestens 2 Disks mit je 1’000-2’000GB. Wenn möglich schnelle Disks mit USB und noch besser SSD-Speicher (wie zum Beispiel von Western Digital).
  • Erstellen Sie in einem Verzeichnis Ihrer Wahl (z. B. erstellen Sie ein neues Verzeichnis C:\skripts) eine Datei mit dem Namen “backup.cmd”. Falls Sie die Endung nicht sehen, müssen Sie im Windows Explorer die Änderungen bei bekannten Dateinamen einblenden lassen 🎦.
  • Kopieren Sie diesen Befehl “robocopy D:\Daten E:\DatenBackup /e /R:0 /W:0 /NFL /NDL /LOG:”E:\datenbackup.log” in die backup.cmd-Datei 🎦. Ersetzen Sie das Quellverzeichnis D:\Daten und das Zielverzeichnis E:\DatenBackup sowie das Ziel der Logdatei E:\datenbackup.log mit Ihren Daten.  Danach können Sie diese Datei speichern und schliessen und schlussendlich bei Bedarf mit einem Doppelklick manuell ausführen oder automatisiert über die Aufgabenplanung von Windows.  Was macht dieser Befehl genau? Er kopiert den Inhalt des Verzeichnis D:\Daten ins Verzeichnis E:\DatenBackup und schreibt dabei eine Log-Datei ins Verzeichnis E:\ in der Sie nachschauen können ob alles geklappt hat. Dabei überschreibt dieser Befehl beim Backup alle alten Dateien mit dem selben Namen, löscht aber keine Daten, die nicht mehr im Quellverzeichnis sind. Dies ist wichtig, da, wenn Sie Dateien gelöscht und dies noch nicht bemerkt hätten, würden diese Daten auch auf dem Backup gelöscht. Von Zeit zu Zeit empfiehlt es sich das alte Backup-Verzeichnis E:\DatenBackup zu löschen um mögliche Ansammlungen von alten Daten zu bereinigen. Anstelle von Löschen, können Sie das alte Backup-Verzeichnis auch umbenennen, zum Beispiel in E:\DatenBackupAlt. Darum empfiehlt es sich eine mindestens doppelt oder dreifach so grosse Festplatte zu wählen wie der eigentliche Platzbedarf. Der erste Backup dauert etwas länger, da alle Daten neu kopiert werden müssen. Danach kopiert dieser Befehl nur noch die Daten, die sich geändert haben oder neu dazugekommen sind, was dann ganz schnell von statten geht. Machen Sie den Backup mit beiden Festplatten und schreiben auf einem Post-it das Datum des Backups und kleben es auf die Festplatten.
  • Danach nehmen Sie eine dieser Harddisks und lagern diese ausserhalb des Standorts Ihrer aktiven Daten auf. Machen Sie es sich einfach. Nehmen Sie einen Standort, wo Sie ab und zu sind. Zum Beispiel bei Ihren Eltern oder Schwiegereltern, vielleicht haben Sie noch einen externen Kellerabteil, Bastelraum oder eine Ferienwohnung und wenn gar nichts besteht empfehle ich ein Bankschliessfach. Tauschen Sie diese Daten immer wieder aus, jede Woche oder alle zwei Wochen, wie es passt. Warum ist das so wichtig? Wenn Sie einen Elementarschaden wie Feuer oder Wasser erleben, so haben Sie zumindest einen Datenstand, auf den Sie zurückgreifen können. Und auch wenn dieser eine Woche alt ist, so ist das immer noch viel besser als gar nichts. Dieser Fall käme ja nur im Worst-Case-Szenario, also bei Feuer oder Wasserschaden, zum Tragen und da ist eine Woche Datenverlust eher zu verkraften.
  • Die andere Festplatte bleibt beim Rechner. Machen Sie jeden Abend oder jeden Morgen diesen Backup. Wenn die Disk nur reingesteckt wird während des Backups, so ist das eine zusätzliche Sicherheit da zum Beispiel bei einem möglichen Cyberangriff der Backup nicht betroffen wäre.
  • Prüfen Sie ab und zu auch, ob Sie die Daten auf der Backup-Festplatte wiederherstellen können, also zurück kopieren oder öffnen können.
  • Falls Sie zusätzliche Datenbanken oder Programme haben, die Daten enthalten so empfehle ich diese Programme zu schliessen.
  • Datenbankdienste sollten für das Backup angehalten werden. Entweder manuell unter Dienste oder mit dem Befehl “net stop IHR DIENST”, den Sie in die oben erstelle backup.cmd Datei vor der Backupzeile einfügen können. Die Dienste nach dem Backup können Sie auch wieder manuell unter Dienste starten oder mit dem Befehl “net start IHR DIENST” in der Zeile nach dem Backup einfügen.


Aktuelle Systeme

Um Ihre Computersysteme sicher und geschützt zu halten, ist es entscheidend, dass Sie Ihr Betriebssystem und Ihre Programme stets auf dem neuesten Stand halten. Durch regelmässige Updates können Sie sich vor Cyberangriffen schützen und die Sicherheit Ihrer Daten gewährleisten. Die meisten Cyberattacken erfolgen durch Hacker, indem diese bestehende Schwachstellen ausnützen, wie zum Beispiel Ransomware 👨‍🎓. Schliessen Sie darum diese Schwachstellen so rasch wie möglich mit den Updates von Betriebssystemen und Programmen. Hier sind einige einfache Schritte, die Sie befolgen können:

  • Betriebssystem-Updates: Stellen Sie sicher, dass Ihr Betriebssystem immer auf dem neuesten Stand ist. Dies umfasst Sicherheitspatches, Bugfixes und Funktionserweiterungen. Die meisten Betriebssysteme bieten automatische Updatefunktionen an, die Sie aktivieren können. Überprüfen Sie regelmässig, ob Updates verfügbar sind, und installieren Sie diese umgehend. Sie sollten dies bei allen Geräten durchführen, egal ob PC, Server, Smartphone etc. Bei Windows, als häufigstes Betriebssystem, gehen Sie wie folgt vor. Klicken Sie auf “Start (Windows-Fenster) in der Taskleiste => Einstellungen => Windows Update”. Suchen Sie nach neuen Updates und installieren Sie diese regelmässig.
  • Programmaktualisierungen: Überprüfen Sie regelmässig Ihre installierten Programme und Anwendungen auf Updates. Viele Programme bieten automatische Updatefunktionen, die es Ihnen ermöglichen, die neuesten Versionen mit einem Klick zu installieren. Stellen Sie sicher, dass alle Programme, die Sie verwenden, auf dem neuesten Stand sind, um Sicherheitslücken zu schliessen und die Leistung zu verbessern. Die meisten Programme wie Acrobat Reader, oder Tools für Kameras, Smartphones oder andere Applikationen lassen sich oft über die “Hilfefunktion => Nach Updates suchen” aktualisieren. Aktualisierungen von Microsoft Office beispielsweise lässt sich über “Datei=>Office Konto” steuern.


Passwörter

Passwörter sind per se nicht als ideale Art der sicheren Authentisierung und Anmeldung zu betrachten. Besser ist eine 2-Faktor-Authentisierung, also mittels zusätzlichem Gerät wie ein Smartphone. Eine Anmeldung erfolgt immer mit einem Benutzernamen und einem Passwort. Der Benutzername ist “wer ich bin” und das Passwort ist “was ich kenne”. Eine 2-Faktoren-Authentisierung ist dazu noch etwas,  “was ich besitze” (früher Steichlisten, Tokens – heute Smartphone App wie bei der Bank).

  • Länge und Komplexität eines Passwortes: Aktuell liest man oft noch, dass eine minimale Länge eines Passworts 8 Zeichen sein soll. Ich empfehle aber sehr diese Länge auf 12 oder noch besser 13 Zeichen und mehr zu erweitern. Die heutigen Rechnerleistungen und Tools knacken auch bereits Passwörter von 8 Zeichen. Das Passwort soll nie ein Wort sein, das in einem Wörterbuch zu finden ist. Es soll so komplex wie möglich sein, bestehend aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Unterschiedliche Passwörter: All die verschiedenen Applikationen und Dienste dürfen nie die selben Passwörter haben. Also ein Passwort pro Account und Anmeldung. Stellen Sie sich vor, ein Onlineshop, bei dem Sie registriert sind, erleidet eine Cyberattacke und dadurch werden alle Passwörter gestohlen, vielleicht sogar im Klartext. Wenn Sie nun für Ihren Email-Account das selbe Passwort benutzen würden, könnten diese Emails ebenfalls gelesen werden und das Schlimme daran, Sie würde es gar nicht merken.
  • Nie Passwort herausgeben: Geben Sie niemals Ihr Passwort weiter. Es gibt keinen Grund, dass ein Dienstleister Ihr Passwort wissen müsste um für Sie etwas auszuführen.
  • 2-fach Authentisierung: Man sollte wenn immer möglich eine 2-Fach-Authentisierung einrichten. Viele Dienste wie Shops und Portale im Internet bieten das an, aber leider nur optional, zum Beispiel ganz einfach mit einem SMS- oder Email-Code oder einer Authentisierungs-App auf dem Smartphone. Mit dieser Art der Authentisierung muss dem Passwort nicht ein so hohes Gewicht beigemessen werden, zum Beispiel mit der Länge des Passworts. Alle andere Regeln hier unten empfehle ich trotzdem sehr zu befolgen.
  • Passwortspeicher: Da heute so viele Passwörter benutzt werden, gibt es fast keine Möglichkeit sich diese zu merken. Aufschreiben ja, aber wo? Es gibt bereits in den gängigen Internet-Browsern einen integrierten Passwort-Manager. Dieser sichert Ihre Passwörter und bewahrt sie geschützt auf.  Nachteil ist, dass dieses System nur für Webseiten funktioniert. Besser sind da Passwortmanager, die nicht nur für Webseiten sind. Da können Sie alle Passwörter speichern und bei Bedarf darauf zugreifen. Es gibt unterschiedliche Produkte. Hier finden Sie einen Testbericht von Passwort-Managern aus dem Jahr 2024 von Chip.de👨‍🎓. Wichtig: Das Passwort für den Passwortmanager muss sehr komplex sein und darf nirgends aufgeschrieben werden.


Antivirus

Auf jedem Arbeitscomputer sollte ein Antivirenprogramm installiert sein, insbesondere auf den Geräten mit Microsoft Windows. Es gibt zwar auch Viren für andere Betriebssysteme, aber diese sind nicht sehr verbreitet. Bei Möglichkeit würde ich aber sicher auch auf Apple-Geräten ein solches Antivirenprogramm installieren. Bei Smartphones und Linux-Geräten wird es schwierig überhaupt eine passende Antivirensoftware zu finden. Was ist wichtig zu wissen bei der Antivirensoftware?

  • Richtige Installation der Software ist dringend notwendig um die Funktion überhaupt sicherzustellen. Insbesondere bei Geräten, die bereits von einem Virus befallen sind.
  • Die Updates müssen so schnell wie möglich und automatisch eingespielt werden, sowohl für die Signaturen wie auch für die Software selbst.
  • Bei Büros mit mehr als 3-5 Computer sollte ein zentrales Management-System installiert sein damit die Kontrolle und die Steuerung über eine einzelne Maschine läuft.
  • Das Produkt ist nicht matschentscheidend, einmal ist der eine Hersteller schneller, einmal der andere. Auch das Windows-eigene Antivirenprogramm “Defender” ist da nicht schlecht, die Verwaltung ist da eher das Problem, da es sich nicht über eine Konsole zentral managen lässt.
  • Da diese Programme tief in das Betriebssystem greifen, treten oft auch Störungen wegen dem Antivirenprogramm selbst auf. Da gibt es  Unterschiede zwischen den einzelnen Herstellern.
  • Auch ein Antivirenprogramm erkennt nicht alle Attacken. Darum sind auch die anderen erwähnten Massnahmen wie Softwareaktualisierung, Firewall und Awareness als präventive Massnahmen sehr wichtig und dann das Backup, falls ein Virus es dann doch schaffen würde.


Firewall

Die Firewall steuert grundsätzlich den Datenverkehr zwischen dem internen Netzwerk und dem Internet. Mit Regeln kann definiert werden welcher Datenverkehr von wo nach wohin freigegeben oder blockiert wird. Die meisten Privathaushalte und kleinere Firmen haben zwar eine solche installiert aber eher statisch, also ohne Kontrolle und Anpassung vom Regelwerk. Darum empfehle ich in solchen Fällen dringend ein paar Grundsätze zu befolgten:

  • Keine Regel einrichten, die Datenverkehr vom Internet ins interne Netzwerk zulässt. Noch besser auch nur den gewünschten Verkehr zum Internet zulassen.
  • Mindestens all Halbjahr einen Update der Firmware des Gerätes vornehmen um allfällig bekannte Schwachstellen entgegenzuwirken.
  • Kein Zugriff vom Internet auf die Firewall selbst zulassen, weder für Fernzugriff mit VPN oder Fernwartung.

Firewalls können heutzutage aber noch viel mehr. Sie untersuchen den Datenverkehr praktisch ohne Verzögerung und erkennen so Bedrohungen schon beim Eintritt in das interne Netzwerk. Dies erfordert zwar etwas Administrationsaufwand, leistet aber zusammen mit den anderen aufgeführten Massnahmen wie Antivirus, aktuelle Systeme und Awareness einen grossen Beitrag für die Informationssicherheit in Unternehmungen.

In Firmen mit Servern und PCs (auch bereits kleine Firmen) kann auch eine interne Segmentierung des Netzwerks dazu beitragen, dass Server und somit die Daten besser geschützt sind, da sich eine mögliche Attacke nicht so einfach auf das ganze Netzwerk ausbreiten kann.


Awareness

Alle technischen Massnahmen zur Informationssicherheit, und seien Sie noch so raffiniert, reichen nicht aus wenn es den Mitarbeitern und Benutzern nicht bewusst ist, wo welche Gefahren lauern und wie sie mit solchen Bedrohungen umgehen sollen.

Hier zwei Beispiele von Bedrohungen im Bereich der Cybersicherheit:

Aber es geht auch ganz ohne Internet:

  • Interne Netzwerkanschlüsse sind unbeaufsichtigt und frei verfügbar (Empfang, Sitzungszimmer etc.).
  • Unsichere Wireless-Netzwerke lassen Zugriff auf das Interne Netzwerk zu.
  • Social Engineering – Angriffe ohne Computer, nur mit Psychologie und Manipulation von Menschen. Bedeutet zum Beispiel: Jemand ruft an oder kommt vorbei und gibt sich als jemand anders aus und bekommt so Informationen für eine Vorbereitung einer Cyberattacke ( hier eine gute Erklärung des Budesamts für Cybersicherheit Schweiz 👨‍🎓).

Darum empfehlen wir sehr die Mitarbeiter immer wieder zu schulen und ihr Bewusstsein für diese Bedrohungen zu stärken.

Quicktipp:

Aktuell sind die meisten Kleinfirmen und Privatanwender mit Emails bedroht, die einen Cyberangriff bezwecken. Zum Beispiel erhalten Sie von irgendwelchen Paketzustellern ein Email, dass ein Paket für Sie bereit ist oder Sie noch etwas bezahlen müssten, damit das Paket ausgeliefert wird. Es können auch Banken, Versicherungen, Internet-Shops, Streaming-Dienste oder andere Firmen oder Verwaltungen sein, die Angeben, dass Ihr Abo oder Passwort abgelaufen sei und Sie sich mit dem folgenden Link anmelden sollen. Tun Sie das bitte nie! Sie können ein paar Dinge prüfen und eine Wirkungsvolle Massnahme treffen:

  • Erstens: Überlegen Sie immer ob das, was im Email steht, sein kann, ist es plausibel. Also zum Beispiel erwarten Sie ein Paket von UPS oder haben Sie überhaupt ein Disney Streaming Dienst.
  • Zweitens: Schauen Sie genau ob das Email den richtigen Absender hat zum Beispiel “info@post.com” anstelle “info@pots.com” oder “post@cyber.ch” 📷.
  • Drittens: Gehen Sie – OHNE ZU KLICKEN – mit der Maus über den Link, den Sie anklicken müssten, dann erscheint der echte Link, wohin dieser Sie führen würde. Internet-Adressen enthalten immer einen Hostnamen, der mit einem letzten Punkt und der Endung abschliesst. Der Name vor dem letzten Punkt und die Endung nach diesem Punkt sagen aus, zu wem diese Domain gehört. Alles was dahinter noch wäre, ist Verzeichnis und Datei und nicht relevant zum Ausfinden des Besitzers der Domain 📷.
    • Also zum Beispiel “www.myhomenet.ch/start” gehört “myhomenet.ch”.
    • Auch “global.server1.web.computer.myhomenet.ch/start/heute” würde zu “myhomenet.ch” gehören.
    • Hingegen “www.myhomenet.cyber.com/start” würde nicht zu “myhomenet.ch” sondern zu “cyber.com” gehören.
    • Auch “www.myhomnet.ch” gehört nicht “www.myhomenet.ch” denn das Wort ist falsch geschrieben, es fehlt ein “e”.
  • Falls Sie nicht sicher sind und es trotzdem verhindern möchten, dass Ihr Abo ausläuft oder Ihr Paket nicht ankommt gibt es einen kleinen Trick. Sie geben die Adresse selber im Browser ein, also gehen Sie zu “www.post.ch” oder “www.ups.ch” oder “www.disenyplus.com” und melden Sie sich so an und so können Sie feststellen ob eine Handlung nötig ist. Das Email würde ich dann in jedem Fall löschen.

So, nun hoffe ich, dass ich ein paar Tipps geben konnte und Sie sicherer durch den Cyberspace fliegen können. Falls Sie weitere Fragen haben oder Themen, die ich hier ansprechen soll, schreiben Sie mir bitte ein Email auf sma@myhomenet.ch.