ADMIN

2024

05

2024-04-29T12:00:00

Zero Trust

PRAXIS

052

Sicherheit

KMU

IT in Kleinunternehmen (2)

Wider den Wildwuchs

von Martin Loschwitz

Veröffentlicht in Ausgabe 05/2024 - PRAXIS

Kleine Unternehmen benötigen IT mittlerweile ebenso sehr wie Großkonzerne. Anders als jene haben sie aber nicht das Personal, um ihre interne IT strukturiert zu planen und umzusetzen. Ein paar Grundregeln helfen schon dabei, die größten Klippen zu umschiffen und Ungemach von vornherein zu vermeiden – damit ein Unfall später nicht die Existenz des Unternehmens gefährdet.

In der IT kursiert das Bonmot, wonach im Grunde jede Firma mittlerweile (auch) eine IT-Firma ist. Wann der Begriff der "IT-Firma" zutrifft, ist freilich Definitionssache. Fest steht aber, dass mit wenigen Ausnahmen heute Unternehmen samt und sonders Onlinedienste nutzen, darunter Klassiker wie Instant Messaging oder die althergebrachte E-Mail. Oft genug ist die Kommunikation mit Lieferanten und anderen Geschäftspartnern ohnehin nur noch digital möglich. Kein Wunder: Eine E-Mail ist nicht nur deutlich billiger als ein klassischer Brief, sondern erreicht ihren Empfänger auch in kürzester Zeit, statt nach mehreren Tagen. Hinzu kommen andere digitale Dienste, die einen Rattenschwanz an Abhängigkeiten nach sich ziehen.
Wer viele lokale Dateien in Spezialprogrammen nutzt, benötigt davon im Regelfall umfassende Backups, was schon gar keine so triviale Aufgabe mehr ist, wenn die Sicherungen zuverlässig wiederherstellbar und sicher gelagert sein sollen. Denn sind sie das nicht, sind sie praktisch wertlos. Beinahe alle Aufgaben mit IT-Bezug im Unternehmenskontext bedingen Wissen und eine Form von Struktur, für die in Klein- und Kleinstunternehmen regelmäßig sowohl das Wissen als auch die Leute fehlen. Der Erfahrungsbericht in IT-Administrator 4/2024 [1] hat davon einen guten Eindruck vermittelt: Das durch einen Unfall unerwartete Ausscheiden eines Mitarbeiters einer Agentur für Kreditvermittlung hätte diese um ein Haar in den Abgrund gerissen, weil digitale Dienste lange nicht verfügbar und wichtige Daten nicht zugänglich waren.
So schaurig die Erfahrungen auch waren, so vermeidbar wären sie gewesen. Denn die allermeisten Probleme waren das Ergebnis des mehr oder weniger unkoordinierten Vor-sich-Hinarbeitens eines einzelnen Mitarbeiters, ergänzt um die Tat- sache, dass die Inhaberin sich für das Thema schlicht nicht interessiert hat und dafür auch keine Regeln vorgab. Der Umkehrschluss ist zulässig: Oft genügt es schon, einige zentrale Regeln für die IT-Nutzung eines Unternehmens aufzustellen, um dem Wildwuchs den Garaus zu machen und ein Sicherheitsnetz für den Notfall aufzuspannen. Dieser Artikel listet die wichtigsten Regeln auf, an die es sich zu halten gilt, und zwar quer über alle relevanten Themen der mittelständischen IT hinweg.
In der IT kursiert das Bonmot, wonach im Grunde jede Firma mittlerweile (auch) eine IT-Firma ist. Wann der Begriff der "IT-Firma" zutrifft, ist freilich Definitionssache. Fest steht aber, dass mit wenigen Ausnahmen heute Unternehmen samt und sonders Onlinedienste nutzen, darunter Klassiker wie Instant Messaging oder die althergebrachte E-Mail. Oft genug ist die Kommunikation mit Lieferanten und anderen Geschäftspartnern ohnehin nur noch digital möglich. Kein Wunder: Eine E-Mail ist nicht nur deutlich billiger als ein klassischer Brief, sondern erreicht ihren Empfänger auch in kürzester Zeit, statt nach mehreren Tagen. Hinzu kommen andere digitale Dienste, die einen Rattenschwanz an Abhängigkeiten nach sich ziehen.
Wer viele lokale Dateien in Spezialprogrammen nutzt, benötigt davon im Regelfall umfassende Backups, was schon gar keine so triviale Aufgabe mehr ist, wenn die Sicherungen zuverlässig wiederherstellbar und sicher gelagert sein sollen. Denn sind sie das nicht, sind sie praktisch wertlos. Beinahe alle Aufgaben mit IT-Bezug im Unternehmenskontext bedingen Wissen und eine Form von Struktur, für die in Klein- und Kleinstunternehmen regelmäßig sowohl das Wissen als auch die Leute fehlen. Der Erfahrungsbericht in IT-Administrator 4/2024 [1] hat davon einen guten Eindruck vermittelt: Das durch einen Unfall unerwartete Ausscheiden eines Mitarbeiters einer Agentur für Kreditvermittlung hätte diese um ein Haar in den Abgrund gerissen, weil digitale Dienste lange nicht verfügbar und wichtige Daten nicht zugänglich waren.
So schaurig die Erfahrungen auch waren, so vermeidbar wären sie gewesen. Denn die allermeisten Probleme waren das Ergebnis des mehr oder weniger unkoordinierten Vor-sich-Hinarbeitens eines einzelnen Mitarbeiters, ergänzt um die Tat- sache, dass die Inhaberin sich für das Thema schlicht nicht interessiert hat und dafür auch keine Regeln vorgab. Der Umkehrschluss ist zulässig: Oft genügt es schon, einige zentrale Regeln für die IT-Nutzung eines Unternehmens aufzustellen, um dem Wildwuchs den Garaus zu machen und ein Sicherheitsnetz für den Notfall aufzuspannen. Dieser Artikel listet die wichtigsten Regeln auf, an die es sich zu halten gilt, und zwar quer über alle relevanten Themen der mittelständischen IT hinweg.
Leidige Benutzerverwaltung
Ein erster zentraler Aspekt bei der Verwaltung von IT-Diensten ist die Benutzerverwaltung. Quasi das gesamte Internet und sämtliche Onlinedienste fußen auf dem Prinzip, dass sensible Daten durch eine Kombination aus einem Benutzernamen und einem Passwort zu sichern sind. Heute gesellt sich regelmäßig zudem die Zweifaktor-Authentifizierung (2FA) hinzu, die dem Passwort ein zweites Merkmal zur Seite stellt, das eindeutiger und spezifischer ist. Das Problem: Je mehr Onlinedienste eine Firma nutzt, desto mehr Passwörter und Logins gibt es, und zwar pro Dienst und Benutzer.
Hier entsteht mit der Zeit beinahe unvermeidlich ein Chaos, das eine weitere Gefahr birgt: Dass die Mitarbeiter nämlich entweder sehr schwache Passwörter nutzen oder dasselbe immer und immer wieder. Angreifer finden das gut, denn knacken Sie bei einem beliebigen Onlinedienst den Tresor mit den Benutzerdaten und ergattern eine gültige Kombination aus Benutzernamen und Passwort, funktioniert diese unerwartet auch bei vielen anderen Zugängen. Eben das würde 2FA zwar verhindern, und obendrein auch dafür sorgen, dass Ganoven die eigenen Benutzerdaten nicht unbemerkt missbrauchen können. Die bei aktivierter 2FA zugesandte SMS oder Authenticator-Meldung auf dem Smartphone würde nämlich für Argwohn sorgen. Doch vielerorts ist 2FA gar nicht erst aktiv und eine zentrale Option, diese zu erzwingen, existiert in den meisten Fällen nicht. Stellt sich zwangsläufig die Frage: Geht das nicht besser und sinnvoller? Die gute Nachricht ist: Das geht. Die schlechten Nachrichten sind der damit verbundene Aufwand sowie die nötigen grundlegenden IT-Kenntnisse.
Es existieren mittlerweile beinahe zahllose Methoden, die eigenen Benutzer zentral im Netz zu verwalten. Google Workspace etwa bringt ein eigenes Benutzerverzeichnis mit, dasselbe gilt für Microsoft Azure und Microsoft 365 (Bild 1) in dessen Gefolge, sowie für Apples iCloud. Hinzu gesellen sich externe Dienstleister wie Okta. Sie alle bieten eine Funktion, die früher ganz klassisch lokal im Unternehmen implementiert war – nämlich das Erstellen eines zentralen Benutzerverzeichnisses, das sich online an andere Dienste anbinden lässt. Früher wären hier LDAP & Co. zum Einsatz gekommen, heute übernehmen diese Rolle die großen Anbieter. Mit einer wichtigen Zusatzfunktion, nämlich dem sogenannten Single Sign-on (SSO).
Bild 1: Eine zentrale Benutzerverwaltung ist auch in KMU Gold wert – sie ist zwar nicht ganz leicht zu erstellen, bietet dafür aber erheblichen Mehrwert in Sachen Administration und Sicherheit.
Das bedeutet, dass Nutzer sich mit ihren Account-Daten von Microsoft bei entsprechender Konfiguration auch bei Google Workspace einloggen können sowie bei zahllosen weiteren Onlinediensten. Das ist auch deshalb praktisch, weil der Betrieb eines eigenen LDAP-Servers mitsamt einer Software namens Keycloak, die ebenfalls SSO bietet, für die meisten KMUs mangels Wissen und Personal schlicht nicht zu stemmen ist. Wer die IT in einer kleinen Firma (mit)verantwortet und auf kein bestehendes Benutzerverzeichnis zurückgreifen kann, ist gut beraten, sich für einen der großen Anbieter zu entscheiden und dort ein zentrales Verzeichnis zu erstellen.
Wer beispielsweise ohnehin schon bei Microsoft 365 registriert ist, kann auf dessen Entra-Free-Dienst zurückgreifen, der nichts kostet, die meisten Login- und SSO-Funktionen aber bereitstellt, die KMUs regelmäßig benötigen. Hier gibt es das Feature etwa als Teil einer Microsoft 365 Business-Standard-Subskription als kostenlose Beigabe. Ein weiterer Vorteil der Nutzung eines Online-Benutzerverzeichnisses ist, dass sich hierüber zentrale Passwortregeln definieren und erzwingen lassen. Wer beispielsweise sicherstellen will, dass im Unternehmen jeder 2FA für den Zugriff auf zentrale Dienste nutzt, setzt im Admin-Portal von Entra den entsprechenden Haken. Die Nutzer, die sich dann irgendwo per Microsoft-SSO einloggen wollen, werden automatisch gezwungen, sich den Microsoft-Authenticator etwa auf ihr Smartphone zu holen und entsprechend einzurichten.
Ob sich IT-Verantwortliche für Microsoft 365, Google Workspace, Okta oder einen anderen ID-Dienst entscheiden, hängt übrigens stark von den genutzten Werkzeugen und ihrer Unterstützung für die jeweiligen Dienste ab. Microsoft und Google sind weitverbreitet und lassen sich an viele andere Dienste zudem ankoppeln. Wer etwa für die zentrale Verwaltung von Mac-Rechnern – dazu später mehr – den Apple Business Manager nutzt, kann diesen hinterrücks mit Microsoft 365 verheiraten und so dieselben Benutzeraccounts für zentrale Onlinedienste und den Login auf den jeweiligen Macs verwenden – SSO und 2FA inbegriffen (Bild 2). Das ist eine erhebliche Erleichterung im Alltag, weil es den gesamten Themenkomplex der Benutzerverwaltung mit einem Schlag abhandelt.
Bild 2: Ein weiterer Vorteil einer zentralen Benutzerverwaltung besteht darin, dass sie sich mit vielen Onlinediensten im Hintergrund verbinden lässt, um Single Sign-On zu ermöglichen.
Passwörter zentral speichern
Zentrale Benutzerzugänge sind gut und schön, aber nicht jeder Dienst unterstützt den Login mittels SSO von Microsoft & Co. Im konkreten Beispiel der Finanzagentur stand etwa das Kundenportal der Telekom exemplarisch für einen Onlinedienst, der zwingend einen eigenen Login braucht. Hier wird die Sache etwas komplizierter, denn zunächst ist zu unterscheiden, ob die Zugänge für einen Service nutzerspezifisch sind oder nicht. Im Fall des Telekom-Logins fällt die Unterscheidung leicht: Die Internetleitung ist klar der Agentur als solcher zuzurechnen und nicht einer einzelnen Person darin.
In solchen Fällen müssen KMU dafür sorgen, dass die Zugangsdaten an zentraler Stelle hinterlegt und etwa für die Geschäftsleitung jederzeit einsehbar sind. Obendrein sollte beim eigenen Mailanbieter ein Sammelpostfach bestehen, dessen Adresse als Ziel für etwaige Nachrichten sowie als Log-in für entsprechende Dienste zum Einsatz kommt. Ob derjenige, der den Account anlegt und konfiguriert, das Passwort in einem Online-Passwortspeicher ablegt oder auf Papier ausdruckt und der Geschäftsführung zur sicheren Verwahrung im Safe übergibt, ist dabei fast zweitrangig. Wichtig ist, dass etwaige Passwörter nicht nur einzelnen Personen bekannt sind und womöglich gar in deren eigenem, zu einem privaten Account gehörenden Schlüsselbund landen, beispielsweise in der iCloud.
Handelt es sich demgegenüber um Passwörter, die klar einzelnen Personen zuzurechnen sind, ist die Sache etwas komplizierter. Grundsätzlich gilt: Sowohl das Arbeitsgerät, das der Firma gehört, als auch die Tätigkeit eines Mitarbeiters ermöglichen es einem Arbeitgeber, klare Regeln im Hinblick auf etwaige Konten festzulegen. Hier kollidiert die gelebte Praxis in KMU oft mit etwaigen gesetzlichen Anforderungen – denn gerade in kleineren Firmen nutzen Mitarbeiter etwa den PC des Unternehmens auch für private Aktivitäten. Klar muss aber sein: Alles, was auf einem dienstlichen Notebook an Daten vorhanden ist, gehört dem Arbeitgeber – so wie das Gerät Eigentum des Arbeitgebers ist.
Legt ein Mitarbeiter also persönliche Onlinekonten zur dienstlichen Nutzung an, sollte er die Zugangsdaten entweder an zentraler Stelle hinterlegen oder sicherstellen, dass beim jeweiligen Dienst auch ein Firmenaccount aktiv ist, auf den andere Personen im Betrieb Zugriff haben. Wo es möglich ist, sollte stets ein Admin-Konto existieren, das nicht zugleich ein persönlicher Account eines Mitarbeiters ist. Ist das technisch nicht möglich, muss das Passwort wie beschrieben entweder anderweitig hinterlegt sein oder es muss mehrere Accounts mit Admin-Rechten geben, sodass die Verantwortung für den Zugriff auf mehreren Schultern ruht.
Einfach mal delegieren
Apropos mehrere Schultern. Gerade in Unternehmen, die relativ früh digitale Dienste genutzt haben, existiert oft viel technische Schuld aus der Vergangenheit. Das Uralt-CRM auf einem klapprigen NAS mit alten Festplatten aus dem Erfahrungsbericht im vergangenen Heft ist dafür ein gutes Beispiel. In KMU muss die Devise allerdings eher lauten: Einfach mal delegieren. Es gibt keinen guten Grund dafür, dass eine Acht-Personen-Firma einen eigenen Mailserver betreibt, ohne dafür hinreichend technisches Wissen zu haben. Einerseits entsprechen diese Setups regelmäßig nicht mehr den Standards der Gegenwart und unterstützen keine zentralen Dienste wie DKIM oder DNSSEC.
Andererseits gewinnen Unternehmen auch nichts damit, dass sie diese Dienste selber hosten, außer mehr Aufwand und ein viel höheres betriebliches Risiko. Professionelle Mailanbieter mit ausgezeichneter Reputation existieren im Netz zuhauf. Wer seine Daten also nicht bei einem der großen Hyperscaler wissen will, hat trotzdem genug – auch hiesige – Alternativen. Dasselbe gilt für andere zentrale Dienste, etwa Instant-Messaging oder Groupware. Von einem uralten Groupware-System, das ohne regelmäßige Sicherheitsupdates offen im Netz hängt, profitieren höchstens Angreifer.
Hier gilt es auch, das Risikoszenario zu erfassen und korrekt einzuordnen. Was ist wahrscheinlicher? Dass ein professioneller Mail-Hoster wie Mailbox.org aus Deutschland (Bild 3), der vertraglich wie gesetzlich über die DSGVO zur Einhaltung aktueller Sicherheitsstandards verpflichtet ist, Schindluder mit Daten betreibt? Oder eher, dass Gangster Daten aus einem schlecht gesicherten Uralt-Set-up klauen, obgleich die Firma, die den Server betreibt, eigentlich zum selben Schutz der Daten verpflichtet wäre wie der zuvor im Beispiel genannte professionelle Anbieter?
Bild 3: Wer seine Daten nicht beim Hyperscaler in der Cloud sehen möchte, ist mit einem gehosteten Mailsetup bei lokalen Anbietern wie etwa Mailbox.org gut bedient.
Clouddienste evaluieren
Was schnurstracks zum nächsten Thema führt, nämlich der Cloud und insbesondere der, in der die amerikanischen Anbieter den Ton angeben. Nicht wenige Kleinstunternehmer betrachten Microsoft, Google & Co. quasi als Teufel in Menschengestalt. Und eine Sache ist unstrittig: Bis heute existiert kein universell gültiger Ansatz, um die europäische DSGVO sowie den amerikanischen CLOUD-Act unter einen Hut zu bringen. Die daraus gezogene Konsequenz, etwa M365 sei für die eigenen Unternehmensdaten kategorisch unbrauchbar, ist jedoch ein Trugschluss. Dass sich beispielsweise Microsoft 365 durchaus konform mit der DSGVO nutzen lässt, beweisen viele Unternehmen tagtäglich.
Dasselbe gilt für Google Workspace, die andere, weit verbreitete Groupware im Netz. Einmal spielt hier die Frage nach dem konkreten Bedrohungsszenario eine Rolle. Wer seine Dateien beispielsweise auf Microsoft 365 lagert, bekommt über die Subskription bei Microsoft ein ganzes Arsenal von Sicherheits- und Verifikationsmethoden. Dass eine alte, schlecht gewartete NAS-Kiste vor Ort einen besseren Schutz hätte, ist nur sehr schwer vorstellbar. Hier greift dann im Zweifelsfall aber eben nicht Microsoft auf Grundlage eines bestehenden Vertrages auf die Daten zu, sondern ein Angreifer unkontrolliert und unbemerkt.
Gerade Klein- und Kleinstunternehmen, die keine interne IT-Abteilung besitzen, fahren mit der Nutzung von Cloudservices im Normalfall deshalb deutlich sicherer und billiger als mit irgendwelchen selbstbetriebenen Diensten. Zumal auch das Argument, die selbst gehosteten Applikationen seien mittel- und langfristig günstiger, nicht wirklich zieht. Denn die vor Ort oft angestellten Kalkulationen lassen regelmäßige Wartungsaufgaben meist komplett außer Acht und erstellen so eine höchstens unvollständige Rechnung für die Kosten etwaiger Installationen. Wer gleich mehrere lokale Dienste weitgehend unkoordiniert betreibt, müsste den Kosten eigentlich das Vollzeitgehalt eines Mitarbeiters gegenüberstellen, der sich ausschließlich um diese Systeme kümmert – und dann ändern die Zahlen sich rapide.
Datenschutz angehen
Das Thema Datenschutz ist gerade in kleineren Unternehmen bis heute ein eher trauriges. Obwohl die DSGVO bereits seit Jahren in Kraft ist, wissen noch immer viele Unternehmer gar nicht oder ignorieren, dass die DSGVO-Regeln sie betreffen. Das ändert an den rechtlichen Grundlagen aber nichts. Den Landesbeauftragten für Datenschutz stünden in vielen wenn nicht den meisten KMU die Haare zu Berge, würden sie sich den Schutz personenbezogener Daten dort genauer ansehen. Wer ein Unternehmen frisch aus dem Boden stampft, tut gut daran, das Thema Datenschutz von Anfang an mitzudenken.
Wer bereits eine Weile aktiv ist, muss zumindest ungefähr erfassen, wo im Unternehmen personenbezogene Daten erhoben, verarbeitet und gespeichert werden und wie diese Speicherung im Detail funktioniert. Davon hängt implizit nämlich ab, wie gut die Daten gesichert sind. De facto braucht jedes Unternehmen heute eigentlich eine valide Datenschutzstrategie. Im Zweifelsfall hilft es, sich hier professionelle Hilfe ins Haus zu holen, etwa durch spezialisierte Anwaltskanzleien oder den TÜV, der entsprechende Dienstleistungen anbietet.
Kommen Dienste aus der Cloud zum Einsatz, ist auch dieser Punkt in einem Datenschutzkonzept zwingend zu erfassen und zu erläutern. So sehr es manchen Kleinunternehmer auch ärgern mag – ohne Datenschutz geht es nicht und der entsprechende Aufwand ist Teil der im Unternehmen anfallenden Kosten.
Verflixtes WLAN
Und apropos Datenschutz: Von zentraler Bedeutung für ein Unternehmen ist, dass nicht (mehr) autorisierte Menschen auch keinen Zugriff auf sensible Unternehmensdaten mehr haben. So schützt ein Unternehmen sich einerseits vor Racheaktionen, genügt aber andererseits auch den Anforderungen des Datenschutzes vollumfänglich. Ein Schlüssel zum Erfolg ist dabei eine zentrale Benutzerverwaltung wie zuvor beschrieben. Wird etwa in Google Workspace der Zugang eines Nutzers deaktiviert, schneidet ihn das von allen mit Google verbundenen Diensten automatisch ab. Sind zentrale Einrichtungen wie ein CRM mit Google verbunden, sind die etwaigen Daten also augenblicklich vor dem unautorisierten Zugriff sicher.
Eine Technologie tanzt hier allerdings aus der Reihe, nämlich WLAN. Praktisch jedes Büro hat heute ein WLAN, das gerade in KMU auch wild private Endgeräte mit dem Internet verbindet. Was schön und gut ist, solange alle gut miteinander können. Verlässt ein Kollege das Unternehmen aber im Streit, wäre es eigentlich am Unternehmer, auch dessen Zugriff auf das WLAN sofort zu unterbinden. Das geht am einfachsten freilich durch das simple Ändern des Passworts – das praktisch aber nirgendwo geschieht. Denn dann wären im Regelfall gleich diverse Endgeräte umzukonfigurieren, die mit demselben Netz verbunden sind.
Einen einfachen Ausweg aus eben diesem Problem gibt es leider nicht. WLAN-Access-Points, die sich einfach mit einem Online-Benutzerdienst wie Okta oder Google Workspace oder Microsoft 365 kombinieren ließen, existieren nicht – und viele Clients könnten diese auch nicht nutzen, etwa IoT-Geräte. Die technische Lösung des Problems ist RADIUS in Verbindung mit Benutzerzertifikaten. Auch das gibt es allerdings nicht in einer Art und Weise, die dem Nicht-Profi im KMU eine entsprechende Konfiguration ermöglichen würde. Praktisch ist das Thema WLAN im KMU mithin ein weiteres Argument dafür, lokale Dienste so gut wie möglich zu vermeiden oder zumindest an eine existierende zentrale Benutzerverwaltung anzuschließen. Hat jemand zwar Zugriff auf ein WLAN, ohne dass dort lokal etwas zu holen wäre, sind wenigstens keine sensiblen Daten in Gefahr.
Überblick bewahren: Verträge und Dienste
Zwar nicht als Sicherheitsproblem, wohl aber als finanzieller Aspekt, entpuppten sich beim Finanzierungsvermittler aus dem Erfahrungsbericht ein dichtes Gestrüpp aus Verträgen für Internet und Mobilfunk, die zum Teil zehn Jahre alte Tarife nutzten. Ganz koscher verhalten sich hier zwar auch die Telekommunikationsanbieter nicht. Denn die wären eigentlich angehalten, ihre Kunden regelmäßig über den zum Einsatzzweck am besten passenden Tarif zu informieren, auch wenn dieser günstiger wäre. Allerdings definiert die entsprechende Gesetzgebung die Parameter für den "besten Tarif" nur äußerst vage. Verlassen sollten IT-Verantwortliche sich hierauf also nicht.
Sinnvoller ist es, etwa vom eigenen Buchhalter eine Liste aller bestehenden Verträge pflegen zu lassen und diese regelmäßig auf Optimierungspotenzial hin zu überprüfen. Das geht deutlich leichter, wenn es zusätzlich zur Liste zentrale Zugänge gibt, für die das Passwort (auch) der Geschäftsführung bekannt ist. Denn die meisten Anbieter, ob Strom, Telekommunikation oder eine andere Dienstleistung, haben ein Onlineportal mit entsprechenden Informationen. Stellen IT-Verantwortliche fest, dass Mitarbeiter einen acht Jahre alten Mobilfunktarif verwenden, schadet ein Anruf bei der Hotline des Anbieters mit der Drohung einer Kündigung ebenfalls selten.
Homogenität hilft
Zurück zum Thema Sicherheit: Dem aufmerksamen Leser wird nicht entgangen sein, dass praktisch alle Tipps und Ratschläge bis hierhin in irgendeiner Form das Thema Konsolidierung streifen. Dabei vergessen viele, dass Konsolidierung unmittelbar auch die Arbeitsgeräte der Mitarbeiter betrifft. Hier jedoch läuft in Kleinunternehmen regelmäßig beinahe alles schief. Das persönliche Notebook des Mitarbeiters, einst ein Schnäppchen vom Discounter für 399 Euro, erspart dem Chef zwar womöglich die Anschaffung eines Arbeitsgerätes für den Mitarbeiter. Die Eigenschaft als Pfennigfuchser rächt sich unter Umständen zu einem späteren Zeitpunkt aber bitter.
Einerseits haben dienstliche Daten auf den privaten Geräten der Mitarbeiter nichts verloren. Das ist schon deshalb so, weil das Unternehmen im Zweifelsfall keine rechtliche Handhabe hat, um auf die Herausgabe der Daten zu bestehen und ihre Löschung zu erzwingen. Und andererseits nützt es dem Unternehmen auch nichts, wenn der Mitarbeiter nach dem Klick auf ein Programm erst einmal einen Kaffee trinken kann, bis dieses endlich geladen ist. Stattdessen muss ein Unternehmen Sorge dafür tragen, dass Mitarbeitern die digitale Infrastruktur bereitsteht, die sie für ihre alltäglichen Aufgaben benötigen.
Dabei empfiehlt es sich allerdings, so homogen wie möglich zu bleiben. Das kann etwa für Unternehmen im Kreativbereich bedeuten, ausschließlich Apple-Geräte anzuschaffen, weil diese sich mittels Apple Business Manager besonders gut zentral verwalten lassen. Remote-Management-Software existiert andererseits aber auch für Windows. Ähnliche Probleme verursachen private Mobilgeräte wie Smartphones und Tablets. Auch auf diesen haben Firmendaten zunächst nichts verloren. Wer möchte, dass seine Mitarbeiter solche Geräte verwenden, stellt sie ihnen sinnvollerweise zur Verfügung – und implementiert auch hier ein zentrales Management. Mit Diensten wie Jamf ist das gerade für Apple-Devices auch in kleineren Firmen und ohne tiefgreifende technische Kenntnisse durchaus möglich. Gerade die zentrale Geräteverwaltung ist indes ein großer Vorteil – sie spart Zeit und Aufwand proportional zur Anzahl der insgesamt verwalteten Geräte.
Der Grundsatz "Weg von Bastellösungen, hin zu professioneller Hardware" gilt darüber hinaus übrigens auch bei der klassischen Büroinfrastruktur, die sich in KMUs ebenso findet wie im Großkonzern. Es ergibt auch aus KMU-Sicht nur wenig Sinn, bei Komponenten wie WLAN-Access-Points oder Routern auf lokale Bastellösungen zu setzen, die irgendein wissender Mitarbeiter irgendwann möglicherweise mal gebaut hat. Hier ist stattdessen Standardisierung der Weg zum Erfolg: Eine Fritzbox von AVM oder eine Digitalisierungsbox bieten alle Funktionen, die KMU regelmäßig benötigen. Sie werden anders als Bastelkram seitens ihrer Hersteller jedoch regelmäßig mit Updates versorgt und bilden insofern die erste Verteidigungslinie im Kampf gegen Angreifer.
Wer bereits solche fertigen Appliances nutzt, muss zumindest bei älteren Geräten regelmäßig prüfen, ob der Hersteller für diese noch Updates anbietet. Wenn nicht, ist das betroffene Gerät schleunigst zu ersetzen. Wobei das Argument "das funktioniert doch noch" nicht gilt – alle Geräte, ob Appliance, Smartphone, Tablet oder Computer, die seitens des Herstellers nicht mehr mit Sicherheitsupdates versorgt werden, sind ein unkalkulierbares Sicherheitsrisiko. Sollen sie weiter zum Einsatz kommen, dürfen sie zumindest keine Firmendaten mehr enthalten und idealerweise auch nicht das Firmen-WLAN nutzen. Hier rentiert sich unter Umständen die Einrichtung eines zusätzlichen eingehegten Gäste-WLANs.
Alte Zöpfe abschneiden
Der letzte Tipp bezieht sich auf eine Erkenntnis, die auch im Rahmen der Arbeiten bei der Finanzagentur erst langsam durchgesickert ist. Die Tatsache nämlich, dass hier im Laufe der Zeit bei fast zahllosen Onlinediensten Accounts ad hoc eingerichtet worden waren, die im Anschluss nur einmal zur Verwendung kamen und danach brachlagen. Das ist gar nicht so selten, denn oft suchen Mitarbeiter eine schnelle Lösung für ein spezifisches Problem, vergessen diese nach erfolgreicher Umsetzung aber gleich wieder.
Kleinunternehmer tun gut daran, immer wieder zu prüfen, ob sie die gebuchten Dienste der eigenen Firma überhaupt regelmäßig nutzen. Im konkreten Fall waren der Inhaberin der Agentur viele gebuchte Dienste völlig unbekannt, weil die jeweiligen Abos zum Teil noch von ehemaligen Kollegen erstellt worden waren – die aber seit zehn Jahren schon nicht mehr für die Agentur tätig waren. Das verpulvert unnötig Geld und vergrößert die Angriffsfläche zur Außenwelt erheblich.
Fazit
Manche Ansätze, um die Sicherheit des IT-Betriebs und seine Widerstandsfähigkeit gegen unvorhergesehene Katastrophen abzusichern, sind nicht kompliziert und leicht umzusetzen. Andere Themen sind komplexer, etwa das Einführen einer zentralen Benutzerverwaltung. Alles Jammern hilft aber nicht. Auch KMU sind 2024 längst ins Visier von Gaunern und Datenschützern gleichermaßen geraten.
Nutzt ein Unternehmen digitale Dienste, zählt die Absicherung dieser zu den betrieblichen Aufgaben. Das schützt vor technischem Ungemach – und obendrein auch vor finanziellem. Zwar gehen die Landesdatenschützer recht behutsam vor, was tatsächliche Strafen wegen Datenschutzverstößen angeht. In zahlreichen KMU erweist sich der Datenschutz aber als derart desolat, dass er auf die Schnelle nicht sinnvoll zu korrigieren ist. Verstreichen dann gesetzte Fristen, ist das Geld schlimmstenfalls auch weg – dann ohne Gegenleistung.
(dr)
Link-Codes