Merkblatt

IT-Sicherheit für kleine und mittlere Unternehmen

Schadsoftware und Datenklau sind Bedrohungen, denen auch kleine und mittlere Unternehmen (KMU) ausgesetzt sind. Totale Sicherheit gibt es nicht. Massive Sicherheitsmaßnahmen übersteigen oft das Budget von KMU. Mit einigen Maßnahmen kann man sich aber wirkungsvoll absichern.

Organisatorische Maßnahmen

  • Verantwortlichkeiten im Unternehmen müssen klar geregelt sein:
    • An wen können/müssen sich Mitarbeiter wenden, wenn Fragen oder Probleme mit der IT-Sicherheit auftauchen?
    • Wer ist bei einem IT-Sicherheitsvorfall zu informieren?
  • Schulen Sie die Mitarbeitenden regelmäßig zur IT-Sicherheit.

Technische Maßnahmen

  • Auf jedem Computer sollte ein Virenschutz installiert sein, der regelmäßig aktualisiert wird.
  • Installieren Sie einen Spam-Filter. Es gibt eine Vielzahl von Möglichkeiten, Spam E-Mails zu blockieren.
  • Verwenden Sie auf jedem Computer eine Firewall. Schützen Sie zudem Ihr Unternehmensnetzwerk gegenüber dem Internet mit einer zusätzlichen Firewall. Standard der Firewall sollte sein, dass jeglicher eingehender und ausgehender Datenverkehr unterbunden wird, es sei denn, er ist explizit (durch eine Firewall-Regel) autorisiert.
  • Trotz des Virenschutzes sollte regelmäßig ein System-Scan durchgeführt werden.
  • Machen Sie ein tägliches Back-up der Daten und bewahren Sie sie an einem sicheren Ort über einen bestimmten Zeitraum auf.
  • Teilen (segmentieren) Sie Ihr Netzwerk. Buchhaltung und Personalabteilung sollten von den anderen Computern im allgemeinen Netzwerk nicht erreichbar sein und in eigenen Netzwerken organisiert werden.
  • Stellen Sie sicher, dass potenziell schädliche E-Mail Anhänge bereits auf Ihrem E-Mail-Gateway blockiert und/oder gefiltert werden. Gefährliche E-Mail Anhänge verwenden unter anderem folgende Dateiendungen: .js (JavaScript), .jar (Java), .bat (Batch file), .exe (Windows executable), .cpl (Control Panel), .scr (Screensaver), .com (COM file), .pif (Program Information File), .vbs (Visual Basic Script), .ps1 (Windows PowerShell), .wsf (Windows Script File), .docm (Microsoft Word mit Makros), .xlsm (Microsoft Excel mit Makros), .pptm (Microsoft PowerPoint mit Makros).
  • Lassen Sie keine USB-Sticks an den Computern zu, die nicht vorher auf Viren gescannt wurden.
  • Überprüfen Sie regelmäßig die Computer auf Anbauteile, Stecker, … die nicht vom Unternehmen installiert wurden.
  • Festplattenverschlüsselung.
  • Verwendung von sicheren Passwörtern.
  • Laptops auf keinen Fall unbeaufsichtigt stehen lassen.
  • Sichtschutzfolie verwenden (hilfreich für die Sicherheit beim Arbeiten im Zug, Flugzeug, …).