Im heutigen Gastartikel von Ralph Dombach geht es um die Sicherheit im eigenen eMail-Postfach und auf der eigenen Website. Denn man kann sich da durchaus viel Ärger einhandeln, wenn man nicht aufpasst.
Hundertprozentige Sicherheit gibt es in der Praxis nur in sehr wenigen Fällen. Theoretisch ist sie zwar möglich, aber oftmals aufgrund der Kosten oder der damit verbundenen Einschränkungen (wirtschaftlich) nicht sinnvoll.
Daher kann es durchaus geschehen, dass einmal die eigenen IT Systeme von einem Computervirus oder Trojaner infiziert werden, auch wenn man einen Virenscanner nutzt.
Was für den Privatanwender bestenfalls ärgerlich ist, kann für den Unternehmer eine teure Angelegenheit werden, wenn er auf einmal mit einem Schadensersatzanspruch konfrontiert wird, weil er beispielsweise eine infizierte E-Mail verschickt hat.
Was kann man tun um eine wirksame Risikominimierung zu betreiben und im Schadensfall nicht im Regen zu stehen?
Versicherungen
Angeblich ist es typisch Deutsch, sich gegen jegliches Risiko zu versichern. Wer aber bei den Versicherungsunternehmen nach einer Policy geht, muss suchen und genau hinschauen. Einige Unternehmen bieten erweiterte Haftpflichtversicherungen an, die für Schäden aufkommen, die z.B. entstehen, wenn man den eigenen, infizierten USB-Speicherstick an einen fremden Computer betreibt.
Alternativ gibt es auch die sogenannte Daten- und Betriebsunterbrechungsversicherung. Diese kommen u.a. für die Wiedereingabe/Wiederbeschaffung abhanden gekommener Daten auf, ein Service der bei einer intensiven PC-Nutzung durchaus sinnvoll sein kann.
Versichern lässt sich vieles, aber man muss genau kalkulieren, ob die Prämie tragbar ist und ob Ausschlüsse in der Policy enthalten sind, die im eigenen Umfeld akzeptabel sind. Einen kurzen Überblick zu diesem Thema erhält man SecuPedia, der Plattform für Sicherheits-Informationen.
Risikomanagement
SecuPedia empfiehlt ein gutes Risikomanagement, also die Einführung und Kontrolle von Maßnahmen, die dazu beitragen, ein potentielles Risiko zu minimieren.
Dies bedeutet minimal, dass beispielsweise Security-Programme installiert sind, die einer Schädigung durch Malware (Computerviren, Spy-Ware, Trojaner etc.) vorbeugen. Also eine Security-Suite mit einem Virenscanner, die in der aktuellen Version betreiben wird.
Ebenso empfiehlt es sich, für die Ausbildung seiner Mitarbeiter zu sorgen. Es genügt also nicht, jemanden beizubringen, wie man das Buchhaltungssystem bedient, um Rechnungen zu versenden, es ist auch erforderlich, auf Sicherheitsregeln hinzuweisen und die Einhaltung dieser auch zu überwachen (Z.B.: Schalte nicht den Virenscanner aus, auch wenn dadurch das System etwas schneller wird!).
In diesem Zusammenhang sei auf einen interessanten Bericht bei AdvoGarant.de hingewiesen, der sich mit der Haftungsfrage bei Infektion einer Webseite beschäftigt. Auch wenn man als Selbständiger allein tätig ist, sollte man die eigene Weiterbildung hinsichtlich IT Security nicht vernachlässigen.
Praktische Umsetzung
Computer sind hochkomplexe Systeme, deren Funktionsbasis oftmals nur für den Experten verständlich ist. Durch diese Komplexität ergibt sich auch das Bedrohungspotential für den Nutzer, das er nicht oder nur sehr schwer einschätzen kann.
Wer denkt schon beim Besuch einer Webseite daran, dass er z.B. Opfer einer “Drive-By-Attacke” werden kann?
Dies gilt aber für alle Beteiligten, die eine Website betreiben oder das WWW nutzen. Also für Sie als Selbständigen ebenso, wie für ihren Kunden. Wenn Ihr Kunde einen Schaden erleidet, weil Sie ihm versehentlich eine virulente E-Mail gesendet haben, er aber keinen aktuellen Virenschutz nutzt, so trifft ihn eine Mitschuld! Diese ist je Einzelfall separat zu betrachten.
Je mehr Risikominimierung, Risikomanagement und Security-Komponenten Sie aber betreiben, umso besser für Sie!
Daher im Folgenden 7 Empfehlungen, um das Risiko einer Virusinfektion und das versehentliche weiterleiten zu vermeiden!
- Verwenden Sie eine professionelle Security-Suite auf Ihrem PC und stellen Sie die stetige Aktualisierung sicher. Verzichten Sie auf die Nutzung einer Gratis-Lösung im beruflichen Umfeld.
Wieso: Ein Gratis-Virenscanner schützt Sie sicherlich auch vor Standard-Bedrohungen, aber eine kostenpflichtige Software bietet i.d.R. mehr Sicherheits-Module. Dies ist ein Punkt, der in einem Rechtsstreit für Sie spricht.
- Sorgen Sie dafür, dass Ihre Security-Suite richtig konfiguriert ist. Wenn ein E-Mail-Scanner zur Suite gehört, dann schalten Sie diese Funktion auch ein! Archivieren Sie periodisch und dauerhaft Ihre Security-Einstellungen. Minimal drucken Sie diese aus und heften Sie sie ab.
Wieso: Sie belegen damit, dass Ihre Schutzsoftware korrekt genutzt wurde.
- Überprüfen Sie periodisch (mindestens einmal wöchentlich) Ihren gesamten PC auf einen möglichen Befall durch Schadsoftware und archivieren Sie das Ergebnisprotokoll dauerhaft.
Wieso: Sie zeigen damit die Unversehrtheit Ihres IT-Systems auf. Außerdem überprüft ein On-Demand-Scan ALLE Dateien auf Ihrem System, während der aktuelle Virenscanner i.d.R. nur im On-Access-Modus arbeite (prüfe nur die Dateien, die genutzt werden).
- Weisen Sie Ihren Mitarbeitern Kennungen zu, die eine Nutzung des IT-Systems ermöglichen, in dem Umfang, der für Ihre Arbeiten erforderlich ist. Arbeiten Sie nur dann unter einer Admin-Kennung, wenn dies erforderlich ist. Dies gilt auch für den Chef. 😉
Wieso: Weitreichende Berechtigungen sind oftmals die Ursache (rund 30%) für Sicherheitsvorfälle.
- Erstellen Sie eine Nutzungsvereinbarung, welche Aktivitäten der Mitarbeiter am PC zu erledigen hat. Benennen Sie die dafür benötigten Programme und ggf. Internet-Services.
Wieso: Vermeiden Sie ein Organisationsverschulden.
- [Wenn möglich] Reduzieren Sie den eigentlichen E-Mail-Text auf das wesentliche und senden Sie alle relevanten Informationen als Dateianhang. Diese Dateianhänge können Sie vor dem Versand per E-Mail zusätzlich auf Computerviren überprüfen lassen. Verwenden Sie dazu einen Dienst wie VirusTotal. Dieser ausgezeichnete Dienst überprüft mit rund 40 verschiedenen Antivirus-Produkten eine Dabei und erzeugt auch einen eindeutigen Datei-Hash-Wert (Eine Art von Quersumme, um eine Datei zu identifizieren).
Wieso: Damit könne Sie belegen, dass zum Zeitpunkt an dem die E-Mail verschickt wurde, kein Virenscanner einen Virus gefunden hat.
- [Wenn möglich]Teilen Sie Ihre Tätigkeiten auf mehrere PCs auf. Verwenden Sie je Tätigkeit (Buchhaltung, Internet-Recherche, Programmierung etc.) jeweils ein eigens System (dies kann auch ein virtueller PC sein – z.B. das Gratis-Produkt: BitBox des BSI. Schotten Sie die Systeme gegeneinander ab (z.B. mit einer Personal Firewall).
Wieso: Sie reduzieren das Infektionsrisiko, wenn die Arbeitsgebiete voneinander getrennt sind. Auf dem Buchhaltung-PC kann man ggf. auf das Surfen komplett verzichten.
Zusammenfassung
Aktuelle Reports der Security-Unternehmen belegen, dass weiterhin die Cybercrime-Branche expandiert. Das Risiko, sich einen Computervirus oder eine andere Schadsoftware auf dem eigenen Rechner einzufangen ist nach wie vor gegeben.
Wer dieses Risiko minimieren will, sollte seine IT Security im Auge behalten und auch bereit sein, Geld für die eigene Sicherheit zu investieren. Je nach dem finanziellen Rahmen ist dies minimal eine gute Schutzsoftware und erstreckt sich über Zusatzversicherungen, bis hin zur Beratung durch einen Security-Fachmann.
Wer kann, dem sei auch ein Besuch der IT Sicherheitsmesse IT-SA in Nürnberg vom 11.-13.10.2011 empfohlen. Denn dort ist vom Software-Hersteller bis zum Verband oder Beratungsunternehmen eine Vielzahl von Anbietern vertreten.
Du hast Interesse einen Gastartikel hier auf “Selbständig im Netz” zu veröffentlichen?
Die Anforderungen an Gastartikel und ein Kontaktformular findest du auf der Gastautoren-Seite.
- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
Könnte mir jemand erklären, ob ich Tipp 6 falsch verstanden habe, oder da tatsächlich empfohlen wird, Mailtexte zukünftig als Doc-Dateien an die Mails abzuhängen, da sie sich so vorher scannen lassen kann? “… Reduzieren Sie den eigentlichen E-Mail-Text auf das wesentliche und senden Sie alle relevanten Informationen als Dateianhang. Diese Dateianhänge können Sie vor dem Versand per E-Mail zusätzlich auf Computerviren überprüfen lassen.”
Wenn ich meinem Gegenüber etwas mitzuteilen habe, sende ich doch eine Mail als reinen Text (Nicht als formatierte HTML-Mail). Das ist nicht nur am schnellsten und bequemsten für den Leser. Das ist auch vollkommen sicher, ohne dass man einen (kostenpflichtigen) Virenscanner drüber laufen lässt.
Wenn ich mein Anschreiben als Extra-Datei anhänge, nimmt es nicht nur viel mehr Speicherplatz ein sondern ist auch extrem unpraktisch für diejenigen, die heutzutage von unterwegs ihre Mails über Smartphone oder Tablett-PC lesen, oder nicht?
Hallo Jomus,
du hast Tipp 6 schon richtig verstanden.
Generell geht es darum, die Arbeit eines selbständigen Unternehmers abzusichern und für den Notfall so zu gestalten, dass die Tätigkeit nachvollziehbar und beweisbar ist.
Wenn Du reine ASCII-Texte via E-Mail schreibst ist das, nach meiner Meiung schon recht sicher! Insofern besteht da kein Handlungsbedarf.
Im Geschätsverkehr wist Du aber sicherlich eine Auftraggsbestätigung oder eine Rechnung nicht als Plain-E-Mail senden, sondern im HTML-Format ansprechend gestalten. Hier ist aber die Empfehlung, beispielsweise eine Rechnung als Dokument zu schicken und in der E-Mail nur den Betreff anzugeben und als Text ein “Siehe angefügtes Dokument”.
Du hast recht, eine solche E-Mail auf dem Smartphone zu verarbeiten ist nicht unbedingt ergonomisch, aber im Normalfall wird das auch eher seltender Fall sein. VirusTotal ist nebenbei bemerkt, in der Nutzung umsonst, auf Dich kommen also keine zusätzlichen Service-Kosten dazu. Aber Du erhältst eine gute Aussage, das Dein Dokument zum Zeitpunkt x. keine bekannten Viren enthielt.
Kurze Mitteilunge würde ich aber durchaus weiterhin durchaus als Plain-Text schreiben – aber das ist u.a. auch abhängig von Deinem Business und Deiner Kommunikationsart.
Security soll einbusiness-Enabler sein undnciht ein Verhinderer! Die Kunst ist es, die richtige Balance, zwischen Usability und Security zu finden. Aber das muss jeder für sich selbst machen. Tipps, wie die im Artikel sind da nur Anregungen und ggf. Handwerkszeug.
Grüße Ralph
Hallo Herr Dombach,
dem Satz
“Security soll einbusiness-Enabler sein undnciht ein Verhinderer! Die Kunst ist es, die richtige Balance, zwischen Usability und Security zu finden.”
kann ich nur beistimmen. Tipp 6 passt aber nicht wirklich dazu, zumal eine Security-Suite (Tipps 1 und 2) die ausgehenden Mails bereits überprüfen sollte.
Viele Grüße
Gerald Wiesner
Die Scan-Protokolle zu sichern, find ich ne klasse Idee, wird ab sofort umgesetzt 😉
Vielen Dank
Hallo Hr. Wiesner,
Sie haben recht, eine Security-Überprüfung haben wir durch einen installierte Security-Suite schon erreicht. Wobei man aber auch schauen muss, ob das verwendete E-Mail-Tool auch richtig unterstützt wird. Aber dass kann man ja z.B. mal generell mit einem eicar-Testvirus (www.eicar.org) selbst testen.
Was wir (i.d.R.) nicht haben, ist eine Protokollierung, daher Tipp 6.
Die Balance ist wichtig, aber das ist auch die große Kunst (und zu tippen, ohne sich zu vertippen 😉 ) und die stetige Herausforderung. Denn wer zuviel macht, behindet sich selbst und wer zu wenig bzgl. IT-Security macht, der zahlt irgendwann dafür.
Viel Erfolg mit dem frisch gestarteten Blog!
Beste Grüße
R. Dombach
Hallo,
sehr schöne Liste.
Punkt 4 halte ich für am Wichtigsten und wird aber vermutlich auch mit am meisten vernachlässigt. Falls der wie auch immer geartete Virenschutz nicht greift, lässt sich somit wenigstens die Auswirkung etwas minimieren.
Ich hatte mir letztes Jahr nach über 10 Jahren aktiver WWW-Nutzung zum ersten Mal was eingefangen (Ursache: zu faul, Java upzudaten mit dem damaligen “Feature” des vorherigen Updates, dass Fremdcode per JavaScript nachgeladen werden durfte – noch ein Grund mehr für mich, Java nicht zu mögen und JavaScript mit Vorsicht zu genießen) und konnte froh sein, dass dank beschränkter Berechtigungen kein Rootkit installiert wurde, allerdings wurden alle FTP-Zugänge genutzt und PHP-Seiten verseucht. Es ist zwar etwas aufwändiger, zum Beispiel, wenn man was installieren möchte und dann immer auf Admin umschalten muss, es lohnt sich aber.
Somit Tipp 8 von mir: Software etc. immer aktuell halten, wer weiß, welche Lücken in älteren Versionen vorhanden sind, die dann geschlossen wurden (andererseits wurde die Java-Lücke mit dem vorhergehenden Update erst eingebaut, nunja…).
Tipp 9 von mir wäre noch: keine Passwörter auf dem PC speichern bzw. diese ordentlich sichern (irgendwelche Passwort-Verwaltungstools mit Masterpasswort helfen da eventuell weiter) und eventuell auch viele verschiedene Passwörter verwenden und nicht überall das selbe.
Tipp 10: auf sicherheitsrelevanten Systemen alle nichtbenötigten Kinkerlitzchen ausschalten oder gar nicht erst installieren (Java, JavaScript im Browser, ActiveX etc. pp)
und Tipp 11: aufpassen, wo man rumsurft und draufklickt 😉 was sich manche an AdWare und SpyWare einfangen, finde ich schon etwas seltsam. Mein Befall damals kam allerdings durch die Suche nach einem jQuery-Plugin und einer verseuchten Demo-Seite, ausschließen kann man das also leider auch durch umsichtiges Surfen nicht.
Viele Grüße
Claudia
Ich meckere ja nur ungern, aber der aller, aller, einzige, super, wichtige Punkt beim Computer absichern ist – mal wieder – nicht dabei.
Ein paar kleine Pluspunkte durch eine kostenpflichtige Virensuite zu bekommen ist zwar nett, aber wohl kaum damit vergleichbar sch wirklich darum zu kümmern. Ich denke, wenn man vor Gericht nachweisen kann, dass man sich wirklich darum kümmert, bringt es mehr als Geld auszugeben, was laut Statistik zu 16% schief geht.
16% sind die infizierten Rechner in der EU Statistik trotz Virenscanner. Vor allem eins ist sehr, sehr wichtig: UPDATES. Updates ALLER Programme. Der Rechner muss auf dem aktuellen Stand sein.
Gruß, Alexander Fuchs