Sichere Internetnutzung im Mittelstand - ein Erfahrungsbericht

Von Dr. Julia Mohrbacher

Tom Schlenkhoff Avatar

Ein Interview mit Thomas Schlenkhoff von Gardion
Viele Unternehmen wurden durch den Lockdown vor die Herausforderung gestellt, dass ihre Mitarbeiter aus dem Home Office arbeiten sollen. Auch für die Zeit nach Corona ergeben sich durch die Möglichkeiten des Remote Work Einsparpotentiale, aber auch Effizienzsteigerungen. Hierbei stehen jedoch besonders kleinere Unternehmen ohne eigene IT-Abteilung vor den Fragestellungen auch der Sicherheit gestellt. Über die zentralen Herausforderungen und möglichen Maßnahmen sprachen wir im Interview mit Thomas Schlenckhoff, einem der beiden Gründer von Gardion.

DIGIHUB Südbaden: Was sind die zentralen Herausforderungen in kleinen Unternehmen, die sich ja zunehmend digitalisieren und mobilisieren?

Thomas Schlenkhoff: Um das Problem zu verstehen, muss man etwas zur Geschichte wissen. Noch bis vor Kurzem galt das Paradigma, dass es ein sicheres Netzwerk im Büro des Handwerksbetriebs, des Mittelständlers gab und alles Wesentliche spielte sich in diesem Netzwerk ab. Die Zugehörigkeit zum "alten" Firmennetzwerk besagte ja einfach: "Du darfst hier alles machen, Du, Server, bist einer von uns". Dieses "Full-Trust" Denken wird in innovativen Unternehmen zunehmend vom sogenannten "No-Trust"-Paradigma abgelöst. Darin, überspitzt ausgedrückt, gibt es kein Firmennetzwerk mehr, alle Geräte, ob Drucker, Laptop oder Tablet, sind mit dem Internet verbunden und "vertrauen" sich in keinster Weise. Sie weisen sich gegenseitig immer wieder als legitimiert aus und im fortgeschrittensten Fall überwacht das Netzwerk auch, wer was darin tut. Wenn der Drucker auf einmal ungewöhnlichen Netzwerkverkehr erhält oder ein Vertriebler sich gleichzeitig aus Vietnam und Offenburg am Dateiserver anmeldet, dann wird Alarm geschlagen!

Der Vorteil des alten Weltbilds war seine Einfachheit. Die wesentlichen Nachteile: Es wird den Anforderungen an agiles und mobiles Arbeiten, von überall und ggf. in schnell wechselnden Unternehmensteams, nicht gerecht. Der Vertriebler will eben beim Kunden auf die Präsentationen vom Kollegen zugreifen können, die auf dem Dateiserver liegen; oder ein Projektleiter muss schnell auf die CAD-Daten eines Projektes zugreifen und letzte Änderungen aus dem ICE heraus vornehmen. Diese neue Arbeitsweise setzt einen sicheren Netzwerkzugriff auf das Internet und die Geräte des Betriebs voraus.

 

DIGIHUB Südbaden: Welche Probleme bringt diese neue digitale und mobile Arbeitsweise mit sich?

Thomas Schlenkhoff: Wenn ich Vorträge zu dem Thema halte, lassen sich ein paar Probleme leicht live demonstrieren. Hier verweise ich allerdings auf einen guten Artikel der Fachzeitschrift c't, die in der Ausgabe 14/2019 dazu rät, keine nicht-eigenen Netzwerke (WLAN, Mobilfunk etc.) mehr ohne VPN zu benutzen. Protagonist Otto unternimmt eine Zugfahrt, wird dann im WLAN abgefischt und zur, in der Hektik plausibel wirkenden, Eingabe seiner Apple-Account Daten aufgefordert. Im Folgenden ergeben sich aus diesem Umstand weitere Probleme, etwa dass der Angreifer den eigentlich sonst Browserverschlüsselten Netzwerkverkehr im Klartext mitlesen kann und so von Ottos Liebschaft erfährt und auf interessante Firmendaten zugreifen kann. Entweder mit physischem Kontakt oder auch mit geeigneter Schadsoftware kann der Gauner dann auch ins Firmennetz springen und dort etwa Unterlagen verschlüsseln oder herunterladen. Die Erpressung mit Ottos Liebschaft ist dann nur noch die Sahne auf diesem misslichen Tag.

Es gibt genug Angriffsvektoren, die im Artikel aufgezählten sind nur eine Auswahl. Im Wesentlichen ist hier das Verständnis des eigenen Bedrohungsszenarios wichtig. Wird meine Firma von Ganoven oder von Konkurrenten oder Geheimdiensten bedroht? Abhängig davon müssen dann passende Maßnahmen ergriffen werden.

 

DIGIHUB Südbaden: Welche einfachen, konkreten Maßnahmen kann ein Mitarbeiter ergreifen?

Thomas Schlenkhoff: Unter der oben genannten Prämisse, dass es bestenfalls minimale Vorgaben einer eigenen IT-gibt, gibt es durchaus eine Handvoll von einfachen Tipps, die oft auch nur gesunder Menschenverstand sind. Immer wieder erleben wir, dass im Nachgang eines Angriffs das Opfer sich über sich selbst wundert und sagt "Wie konnte ich nur". Dazu muss man verstehen, dass wir alle in der täglichen Eile manchmal eben schneller klicken als denken.

- Niemals ein öffentliches WLAN nutzen, auch keines, das scheinbar vom lokalen Kaffeeröster oder der dt. Bahn betrieben wird. Die Kennungen eines WLANs lassen sich leicht fälschen. Entweder im eigenen Netzwerk oder - so kein VPN die Verbindung absichert - das Mobilfunknetz nutzen.

- Der Browser mit seinen vielen Funktionen ist (neben MS Office-Dokumenten) das Haupteinfallstor zu ihrem Rechner. Es lohnt sich dort aus Sicherheitsüberlegungen etwa Chrome von Google oder, besser noch, zusätzlich aus Privacy-Überlegungen heraus, Firefox von Mozilla zu nutzen. Der Browser muss unbedingt tagesaktuell gehalten werden, damit vermeidet man Angriffsmöglichkeiten durch die allermeisten Angreifer.

- In der Personalabteilung, mit vielen eingehenden Bewerbungen, ist es sicher manchmal nicht einfach die Dokumente schnell zu sichten. Als einfachen Trick kann es sich dort lohnen, einen kleinen, einfachen PDF-Viewer und Word-Viewer zu nutzen. Darin laufen dann die eventuell eingebauten Schadroutinen nicht, so dass das einen merklichen Schutz bietet.

- E-Mails und vor allem deren Absender nicht für bare Münze nehmen. Es ist sehr einfach E-Mails als unsere Bundeskanzlerin zu verschicken. Ggf. einfach mal (telefonisch - nicht per E-Mail) beim Chef nachfragen, wenn man Passwörter rausrücken oder Geld überweisen soll.

- BONUS-Pro-Tipp: Den Browser pimpen, etwa mit "Extensions" wie "uBlock origin" (Trackingblocker), "Multi-Account Containers" (Tabs verschiedenen Aufgaben zuordnen) und Cookie-Auto-Delete (Unerwünschte Cookies automatisiert löschen).

Das sollte für's Erste genügen, um Ihr Unternehmen schon weit über den Schnitt hinaus abzusichern. Für weitere knackige Tipps verweise ich auch gerne auf die "Online-Kung-fu" Seminare, die der DIGIHUB Südbaden im September anbieten wird.

 

DIGIHUB Südbaden: Was kann ein kleines Unternehmen konkret tun, um ein signifikantes "Mehr" an Online-Sicherheit zu gewinnen?

Thomas Schlenkhoff: Alles oben genannte und noch viel mehr lässt sich in technische Richtlinien gießen. Aber auch ohne zentrale IT-Verwaltung lässt sich einiges tun.

- Halten Sie alle Rechner aktuell. Sowohl das Betriebssystem als auch die eingesetzte Software. Wo das nicht geht, etwa weil alte Software benötigt wird, hilft nur, diesen Rechner aus dem Netz und vor allem aus dem Internet zu nehmen. Ein alter Windows-Rechner, der ungepatcht im Internet ist, ist typischerweise binnen weniger Minuten kompromittiert.

- Nutzen Sie Spezialisten statt selber Dienste anzubieten. Entgegen der vorherrschenden Meinung sind Daten in der Cloud beim Spezialisten sicherer als auf dem alten Exchange-Server im eigenen Keller. Nutzen Sie E-Mail, Filesharing oder sonstige Online-Tools vom renommierten Anbieter. Sie werden sich wundern, wie viel besser sie schlafen, wenn Sie sich nicht mehr selber um die IT kümmern müssen, sondern das für einen kleinen monatlichen Betrag ausgelagert haben. Eventuelle Datenschutzprobleme und Themen wie Auftragsdatenverarbeitung sind dann natürlich zu beachten.

- Beschränken Sie Ihre Mitarbeiter nicht zu stark; immer dann, wenn die Haus-eigenen Regeln die Produktivität (gefühlt) zu sehr einschränken, fangen die Mitarbeiter an auf eigene Lösungen (Dropbox, GMail etc.) auszuweichen. Das kann dann auch nicht in Ihrem Sinne sein.

Gardion wurde von Benjamin Fröhlich und Thomas Schlenkhoff in Freiburg gegründet, um Freiberuflern und kleinen Unternehmen den gleichen sicheren und privaten Internetzugang zur Verfügung zu stellen, wie ihn große Unternehmen selbstverständlich nutzen. Dazu setzen Sie professionelle VPN- und Filtertechnik in ausschließlich deutschen Rechenzentren ein und achten dabei auf Nachhaltigkeit.
Mit dem Gardion VPN können sich professionelle Nutzer unterwegs und im Home Office vor Angriffen aus dem Netzwerk, Schadsoftware und Phishing schützen. Es ist eine Art Corporate-Firewall nur ganz ohne Anfangsinvest und ohne Wartung. Einfach 10€ pro Monat und Nutzer.

Zudem hat Gardion eine eigene Crowdfunding Kampagne gestartet, die man auch mit kleinen Beträgen unterstützen kann.

Bei weiteren Fragen rund um die IT-Sicherheit im Unternehmen steht Herr Schlenkhoff z.B. auch für hausinterne Schulungen zur Verfügung.