Es liegt nahe, die persönliche Hygiene mit der Pflege des IT-Netzwerks vergleichen: Während manche Menschen jeden Tag duschen, gehören andere lieber zur Fraktion „Stinker“ und nehmen es mit der persönlichen Hygiene nicht so ernst. So wie im persönlichen Leben hat auch in der IT die regelmäßige Hygiene einen besonderen Stellenwert. Dieser Beitrag beschreibt, welche Maßnahmen zu einer gesunden Cyberhygiene gehören, damit das eigene Netzwerk immer „frisch“ ist.
Inhalt
Die Regelmäßigkeit ist wichtig
Die wichtigste Regel vorab: Bei der Cyberhygiene heißt es dranbleiben und sich regelmäßig um sie zu kümmern. Am besten mit Routinen und Prozessen. Es reicht nicht, das Netzwerk in Bezug auf Sauberkeit und Sicherheit einmal auf 100 Prozent zu bringen und dann die Sauberkeit wieder schleifen zu lassen. So wie bei der persönlichen Hygiene ist eine innere Haltung wichtig. Um im Unternehmens-Jargon zu bleiben: es helfen gut eingeführte und regelmäßige Arbeitsprozesse. Es gibt zahlreiche Maßnahmen innerhalb des IT-Sicherheitskonzepts, um Kontinuität in die Netzwerkpflege zu bringen. Dazu gehören unter anderem:
- Patchmanagement
- Virenschutz
- Schulungen
- Datensicherung
- Datenschutz
Wenn Sie Unterstützungsbedarf in diesen Themen haben, unterstützen wir Sie gerne im Rahmen einer IT-Sicherheit Beratung.
Patchmanagement: Grundpfeiler der IT-Sicherheit
Das Patchmanagement dient dazu, regelmäßig zu prüfen, ob die Netzwerkumgebung auf dem neuesten Stand ist. Patches schließen Sicherheitslücken und Fehler. Das ist wichtig, um ungewollte Schlupflöcher vor Angriffen zu schützen und die Performance der Anwendungen sicherzustellen.
Für das Patchmanagement ist ein regelmäßiger Plan wichtig, um nicht die Produktivität der Mitarbeiterinnen und Mitarbeiter zu behindern. Daher müssen IT-Verantwortliche planen, wann sie Updates installieren. Natürlich ist das mit Aufwand verbunden, vor allem weil manche Updates nur außerhalb der klassischen Geschäftszeiten möglich sind. Die Downtime planen die Verantwortlichen in solchen Fällen dann am besten in der Nacht oder am Wochenende. Zum Patchmanagement gehört nicht nur das klassische Windowsupdate, sondern auch Sicherheitspatches und Updates für laufende Anwendungssoftware.
Viele, jedoch nicht alle Anwendungen verfügen über einen Automatismus, der auf Updates hinweist. Doch abgesehen von diesem Automatismus ist eine regelmäßige, manuelle Überprüfung sinnvoll und empfehlenswert.
Der Virenschutz: für gute Cyberhygiene am besten automatisch
Ein Virenschutz ist in den meisten Unternehmen heute glücklicherweise fest etabliert und ist Teil der Cyberhygiene. Doch gehört die Ausführung des Virenscans heute noch zum Standard? Nicht wirklich. Viele Virenscanner haben zwar die Möglichkeit, einen manuellen Scan laufen zu lassen. Nötig ist dies jedoch in den meisten Fällen nicht. Moderne Virenscanner starten beim Öffnen einer Datei einen automatischen Scan. Solange eine infizierte Datei nicht angerührt wird, „tut sie keinem weh“. Und bei der Öffnung, springt der Virenschutz automatisch an.
Schulungen für die Mitarbeiterinnen und Mitarbeiter
Stabile IT-Sicherheit funktioniert im Unternehmen nur durch die Mitwirkung der Mitarbeiterinnen und Mitarbeiter. Daher gehören regelmäßige Schulungen der Belegschaft und Kampagnen zur Cybersicherheit dazu.
Ein Klassiker sind Kampagnen mit Phishing-E-Mails. Verantwortliche können damit den Schulungsbedarf identifizieren. Fallen viele Mitarbeiterinnen und Mitarbeiter darauf herein, gibt es einen hohen Bedarf für Schulungen. Da ist die Awareness für Gefahren aus dem eigenen Postfach erst zu schaffen.
Es ist aber auch möglich, den Weg umgekehrt zu gehen: Das bedeutet, zuerst zu schulen und dann mit einer Kampagne zu prüfen, wie viel die Schulung gebracht hat.
Auch wer glaubt, gut in Bezug auf Phishing- oder Fake-E-Mails geschult zu sein, kann auf diese Art von E-Mails hereinfallen. Ein Beispiel: Gerade die gefakten DHL-E-Mails sind in letzter Zeit immer besser geworden. Außerdem triggern sie unseren Dopaminmechanismus. Denn wer wartet nicht sehnsüchtig auf das nächste Päckchen und klickt dann aus Versehen auf einen verdächtigen Link?
Fakt ist aber: Wer das Bewusstsein für Fake-E-Mails hat, schaut genauer hin und erkennt im Zweifel die gefälschte E-Mail ziemlich schnell als solche.
Die Datensicherung: täglich und automatisiert
Sichere Daten sind ein weiterer wichtige Aspekt in Bezug auf die Cyberhygiene. Die Datensicherung sollte in jedem Unternehmen einigen Punkten folgen:
- Sie sollte täglich stattfinden
- Sie sollte automatisiert erfolgen
- Die Sicherheitskopien sind außerhalb des Unternehmens zu lagern
Mehr zum Thema Datensicherung und Backup findest du in unseren dazugehörigen ausführlichen Blogbeiträgen.
Datenschutz als Teil der Cyberhygiene
Nicht nur die Sicherung der Daten gehört zur Cyberhygiene, sondern auch der Schutz der Daten. Das ist einerseits wichtig, um die Vorgaben der Datenschutzgrundverordnung (DSGVO) einzuhalten. Andererseits ist es auch wichtig, den eigenen Datenbestand zu organisieren. Es ist ratsam, in regelmäßigen Abständen zu schauen, welche Daten nicht mehr nötig sind. Diese belasten dann auch das tägliche Backup nicht mehr und das ganze System zeigt sich deutlich performanter.
Solche Datenbereinigen lassen sich gut durch automatisierte Prozesse und Regeln managen. Eine Regel könnte lauten, Daten, die älter als zehn Jahre sind, automatisch zu löschen.
Stichwort: Schatten-IT
Noch ein letzter Punkt ist in Bezug auf die Cyberhygiene ist uns wichtig: Die Schatten-IT. Darunter lassen sich alle Dinge zusammenfassen, die im Unternehmensnetzwerk laufen, ohne dass die IT-Verantwortlichen davon eine Ahnung haben. Dazu gehören Geräte, aber auch Programme und Anwendungen. Konkret kann dies zum Beispiel ein privater Access-Point sein, um das Firmen-WLAN zu verstärken. Aber auch Whatsapp-Gruppen gehören dazu.
Um Schatten-IT zu eliminieren, kann ein Rundgang durch das Unternehmen sinnvoll sein. Es gibt aber auch Mechanismen im Netzwerk, die warnen, wenn unbefugte Geräte oder Programme laufen.
Das war es zum Thema Cyberhygiene. „Bleiben Sie sauber“ und wenn Sie weitere Informationen zu einem hygienischen Netzwerk benötigen, sprechen Sie uns gerne an. Vereinbaren Sie gerne ein jetzt ein unverbindliches Beratungsgespräch, um über Ihre Cyberhygiene zu sprechen.