Melde- und Analysestelle Informationssicherung MELANI des Bundes: Sicherheitslücken ernst nehmen! Admin
Im unlängst veröffentlichten 22. Halbjahresbericht der Melde- und Analysestelle Informationssicherung MELANI des Bundes wird gewarnt: Sicherheitslücken spielen bei den vielen erfolgreichen Cyberattacken eine grosse Rolle. Das kann rasch mal ins Geld gehen. Ergo: Vor allem die Klein- und Mittelunternehmen KMU sollten die IT-Sicherheit ernst nehmen.

Fehlende oder nicht durchgeführte Updates

Die MELANI-Experten schreiben im Halbjahresbericht: «Direkt oder indirekt sind Internetnutzer dauernd irgendwelchen Sicherheitslücken ausgesetzt. Im Jahr 2015 wurden weltweit insgesamt 6419 Schwachstellen erfasst. Viele informationstechnologische Systeme werden nicht automatisch auf den neuesten Stand gebracht. Fehlende oder nicht durchgeführte Updates bilden somit ein grosses Problem bei der steigenden Anzahl von Sicherheitslücken jedes Jahr.»

MELANI sagt, was bei KMUs zu tun ist

Im Merkblatt IT-Sicherheit für KMUs erläutert MELANI, welche organisatorischen und technischen Massnahmen die KMUs zur Sicherstellung der IT-Sicherheit ergreifen sollten. 

Organisatorische Massnahmen zur Erhöhung der IT-Sicherheit

• Die Verantwortlichkeiten für die IT-Sicherheit genau regeln: Wer wartet die Systeme und stellt die Backups sowie die gesamten Schutzmassnahmen sicher. Beim Cloud Computing geht diese Aufgabe grossenteils an den Cloud-Partner.
• Alle Mitarbeitenden im Umgang mit der IT-Sicherheit schulen (dabei geht es namentlich um die grundlegenden Verhaltensregeln im Umgang mit dem Internet)                      
• Regelmässig eine akribische Risikoanalyse machen und protokollieren 
• Definition des Umgangs mit Passwörtern und deren Durchsetzung
• Regelung des Zahlungsverkehrs gemeinsam mit der gewählten E-Banking-Applikation 

Technische Massnahmen zur Erhöhung der IT-Sicherheit

• Allumfänglicher und stets aktualisierter Virenschutz samt vollständigen Systemscans sowie Einrichtung eines Spam-Filters für die E-Mails. E-Mail-Anhänge mit unüblichen Dateiendungen sollten automatisch abgewiesen werden. Jeder eingesetzte Computer muss eine Firewall mit eigenen Firewall-Regeln haben. Beim Cloud Computing wird das gewährleistet
• Jede eingesetzte Software muss automatisch und sofort die vom Hersteller angebotenen Updates durchführen. Das ist ein wichtiger Teil des Cloud Computing
• Mindestens tägliche und sicher aufbewahrte Backups aller Daten. Beim Cloud Computing kann eine massgeschneiderte Backup-Politik gewählt werden
• Beim Datenverkehr die bestmögliche Verschlüsselungstechnologie einsetzen
• Sicherstellen, dass Protokolldateien (Logdateien) erstellt werden: Diese sind für die Nachbearbeitung eines IT-Vorfalls unerlässlich
• «Least Privilege Prinzip»: Alle Mitarbeitenden haben nur diejenigen Zugriffsrechte, die sie für ihre Arbeit wirklich benötigen
• Den Webauftritt schützen und das eingesetzte Content Management System (CMS) stets auf dem neuesten Stand halten 




Kommentare sind geschlossen.
Kommentar