3252 < 3221

Tür zu, es zieht! IT- und Datensicherheit im Handwerksbetrieb

Wissens-ABC

© Pexels, Dan Nelson


Wenn wir das Haus verlassen, schließen wir die Tür hinter uns ab. Kaum jemand geht unbekleidet bei 3°C Außentemperaturen zum Wandern. Das volle Portemonnaie lässt niemand gut sichtbar auf der Picknickdecke am Badesee liegen. Aus Gewohnheit schützen wir, was uns lieb und teuer ist. Doch Bits und Bytes sind abstrakt. Hier wird zuweilen weniger Vorsicht an den Tag gelegt. 

Dabei ist ein grundlegender IT-Schutz weder teuer noch aufwändig, sondern einfach eine Frage von Bewusstsein, Wachsamkeit und Konsequenz.

Drei Aspekte gilt es im Wesentlichen für Handwerksbetriebe zu beachten:

  • Die Infrastruktur
  • Die Datensicherung
  • Den Datenschutz

Die Infrastruktur

Beginnen Sie mit der Infrastruktur. Mit wenigen Maßnahmen kann man hier viel erreichen:

  • Aktuelle Software und Browser
  • Ein sicheres Netzwerk oder WLAN mit WPA2-Verschlüsselung
  • Eine Firewall und ein aktueller Virenscanner
  • Starke Passwörter auf allen Hardwaregeräten und bei Software mit sensiblen Daten
  • Funktionsbezogene Zugriffsbeschränkungen für die Mitarbeitenden

Starke Passwörter bestehen aus mindestens 10 Zeichen (Buchstaben, Zahlen und Sonderzeichen) und werden jeweils nur EINMAL vergeben. Sie sollten nicht aufgeschrieben und in einem Aktenordner deponiert werden, sondern gehören in einen Passwortsafe. Gute kostenfreie Lösungen sind beispielsweise Bitwarden oder KeePassX. 

Gute Virenscanner sind für einen überschaubaren Preis am Markt verfügbar. Die Auswahl ist ein bisschen Geschmacksache und hängt auch vom Betriebssystem ab. Die Investition lohnt sich.

Aktuelle WLAN-Router sind kostengünstig und normalerweise stellen die Hersteller oder Netzanbieter aktuelle Firmware zur Verfügung. Verwenden Sie unbedingt die WPA2-Verschlüsselung (Wi-Fi Protected Access 2). Dieser Standard ist der fortschrittlichste und bietet die höchste Sicherheit.

Das Betriebssystem, alle Programme und Browser müssen auf dem aktuellen Stand sein. Die Hersteller schließen Sicherheitslücken jeweils zeitnah und in der Regel werden die Updates kostenfrei angeboten.

Nicht alle Mitarbeitende brauchen Zugang zu allen Daten, Laufwerken und Apps. Eine Zugangsregulierung sollte kein Zeichen fehlenden Vertrauens sein, sondern dient schlicht und einfach der Datenintegrität und schützt auch vor unbeabsichtigtem Löschen oder Ändern von Datensätzen.

Die Datensicherung

Neben der handwerklichen Expertise sind oft die Daten das Kapital des Betriebs. Seien es Kunden- und Lieferantenstammdaten, Personaldaten, Korrespondenz, Konstruktions- oder Prozessdaten: Ein Verlust ist verheerend. Die goldene Regel der Datensicherung lautet: 3-2-1.

  • Drei Datenkopien
  • Zwei Medien
  • Ein externes Backup

Konkret heißt das, von jeder Originaldatei gibt es zwei Datenzwillinge. Die Originaldatei auf dem lokalen oder Netzwerklaufwerk, eine Kopie auf einer externen Festplatte, einem NAS oder einer Bandsicherung und eine zweite Kopie auf einem sicheren Cloudserver. Sollte eine der physischen Festplatten defekt, zerstört, durch einen Cyberangriff kompromittiert oder gestohlen sein, greift als Rettungsanker die zweite Festplatte oder die Cloud-Kopie. Eine zuverlässige Synchronisationssoftware hilft dabei, dass alles auf demselben Stand ist.

Die Backup-Möglichkeiten der Microsoft- und Apple-Betriebssysteme sind für Gründerinnen und Gründer meist schon ausreichend. In Kombination mit einer Cloudsicherung, erzielt man mit überschaubarem Aufwand eine sehr gute Sicherheit.

WICHTIG: Verlassen Sie sich nicht darauf, dass das System gut funktioniert, sondern proben Sie den Ernstfall, indem Sie hin und wieder einen kontrollierten Datenverlust herbeiführen oder simulieren und das Backup einspielen!

Der Datenschutz

Der Schutz der Daten ist wichtig zur Sicherung des unternehmerischen Know-Hows und für eine vertrauensvolle Zusammenarbeit mit Kunden, Lieferanten und Mitarbeitenden. Hier besteht das größte Risiko für einen kriminellen Angriff von außen.

Die große Mehrheit der Cyberattacken ist:

  • Phishing – E-Mails, die aussehen, als ob sie z.B. von der Bank, von einem Paketdienstleister oder dem Internetprovider verschickt worden seien. Meist ist eine Aufforderung zum Anklicken eines Links enthalten, über den z.B. Passwörter abgegriffen werden.
  • Social Engineering – ein ähnliches Prinzip wie Phishing, nur dass der Absender scheinbar ein*e Bekannte*r ist.
  • Malware (Adware, Spyware, Viren, Botnets, Trojaner, Würmer, Rootkits und Ransomware) – Schadsoftware, die sich beispielsweise über eine App, das Aufrufen einer Website, einen USB-Stick, Peer-to-Peer-Dateifreigabedienste oder auch einen E-Mail-Link installiert. Malware kann PCs, aber auch Mobilgeräte betreffen.
  • Schwachstellen in der Infrastruktur (offene Ports, fehlende Firewall, schlecht gesichertes WLAN) – durch Schlupflöcher können Angreifer sich in das System hacken und/oder Trojaner installieren.

Wichtig zu wissen: Die allerwenigsten dieser Angriffe finden wirklich zielgerichtet statt! Die Cyberkriminellen machen sich Möglichkeiten zunutze, Systeme auf Schwachstellen zu scannen oder attackieren ihre Opfer mit einer Vielzahl an Phishing-Mails. Die Menge und Hartnäckigkeit bringt hier den „Erfolg": Irgendjemand ist immer irgendwann unaufmerksam oder gutgläubig und klickt einen harmlos aussehenden Link an.

Die Folge sind kompromittierte Passwörter, verschlüsselte Daten o.ä. Im ersten Fall verschaffen sich die Angreifer Zugang zu persönlichen Daten, Kontoverbindungen, etc. Im zweiten Fall folgt in der Regel eine Lösegeldforderung.

Nach einer Studie der Signal Iduna aus dem Jahr 2019 war jeder fünfte Handwerksbetrieb bereits Opfer einer Cyberattacke. Während der Corona-Pandmie hat die Zahl der Cyberangriffe laut BKA nochmals deutlich zugenommen (Vgl. https://t1p.de/b17e).

Der zweite Bereich des Datenschutzes betrifft alles rund um die Datenschutzgrundverordnung (DSGVO). Für die Website sind ein rechtssicheres Impressum und eine Datenschutzerklärung essentiell und schützen vor Abmahnungen. Ein Verfahrensverzeichnis ist verpflichtend, um Kunden Auskunft über die Datenverarbeitung geben zu können. Vor allem aber muss den Grundsätzen der Datensparsamkeit und Datenintegrität Genüge getan werden:

  • Datensparsamkeit: Es dürfen immer nur so viele Daten erfasst und verarbeitet werden, wie für den jeweiligen Zweck unbedingt nötig ist.
  • Datenintegrität: Es müssen bestimmte Anforderungen an den Schutz und die Qualität von digitalen Daten erfüllt werden und die Konsistenz, Vollständigkeit, Genauigkeit und Gültigkeit von Daten über den gesamten Aufbewahrungszeitraum sichergestellt sein. Die Daten müssen vor unbemerkter oder unberechtigter Manipulation geschützt werden. Datenintegrität hat damit das übergeordnete Ziel, Daten vor internen und externen Verstößen zu schützen.

Auch und gerade für Gründerinnen und Gründer ist eine sichere EDV unter Umständen existenziell, da die Auftragsgewinnung, Angebotserstellung, Auftragsdurchführung und Abrechnung davon abhängen.

Der IT-Grundschutz muss gewährleistet sein, nicht nur aufgrund rechtlicher Anforderungen, sondern auch im Interesse des*der Unternehmer*in, um die wertschöpfenden Geschäftsprozesse zu schützen.

Es sollte ein Notfallkonzept erstellt werden und die technischen und organisatorischen Maßnahmen zur IT-Sicherheit müssen regelmäßig überprüft werden.



Mehr Informationen, inklusive Veranstaltungen und Sicherheits-Check

 

 

Text: Ilka Döring, Handwerkskammer Freiburg

Bilder: Dan Nelson von Pexels, Tima Miroshnichenko von Pexels, icon0.com von Pexels

zurück