Gefundenes Fressen:
Hackermonster
Ein kleiner Codeschnipsel wird ins Kommentar-Feld auf einer Website kopiert. Dann drückt Max Fechner, einer der beiden Geschäftsführer vom IT-Systemhaus Frederix in Hannover, auf Senden. Wenig später hat der IT-Spezialist einen auf dem weit verbreiteten Content-Management-System Wordpress aufgebauten Internet-Auftritt so manipuliert, dass der eigentliche Administrator nicht mehr darauf zugreifen kann und er selbst, in seiner Rolle als Hacker, die Seite beliebig manipulieren kann. Die Telefonnummer vom schärfsten Wettbewerber ins Impressum eintragen? Kein Problem! Ein neuer Download-Bereich über den Schadsoftware verbreitet wird? Im Handumdrehen! Eine schon auf der Startseite sofort sichtbare Sympathiebekundung äußerst fragwürdigen oder gar strafrechtlich relevanten Inhalts? Auch das ist nach der erfolgreichen Manipulation der Webseite nur noch ein paar Mausklicks entfernt.
Die Folgen fürs eigene Unternehmen? Gewaltig. Und das sowohl auf der Kostenseite als auch beim Imageschaden.
Wenig später präsentiert Fechner die passenden Antworten auf die Frage, was man gegen solche Hackerangriffe tun kann. Einer der wichtigsten Lösungsansätze seien regelmäßige Updates des Content Mangement-Systems. „Sagen Sie Ihrer Web-Agentur, Ihrem Webadministrator oder demjenigen, der sich um Ihre Seite kümmert, dass er die regelmäßig einspielen soll. Und: Vertrauen Sie nicht nur darauf. Kontrollieren Sie es nach oder lassen Sie es sich schriftlich bestätigen”, empfiehlt der Fachmann.
Ein zweiter Punkt könnte die Implementierung eines Captcha-Codes sein. Darunter versteht man eine in ein kleines, verzerrtes Bild eingebettete Zeichenfolge, die nur Menschen auslesen und eingeben können. Wird der Zugriff auf das Backend einer Website so geschützt, könne sie nicht mehr so ohne Weiteres durch ein Skript gehackt werden, sagt Fechner.
Eine andere Idee wäre, eine IP-Sperre einzurichten. „Damit ist die Administration Ihrer Webseite nur noch möglich, wenn Sie mit der IP-Adresse Ihres Firmen-Netzwerkes darauf zugreifen.“ Sind Sie mit Ihrem mobilen Endgerät unterwegs oder versucht jemand, von außen auf Ihr Backend zuzugreifen, werde das nicht mehr gelingen.
Als einen Königsweg charakterisiert Fechner die vollständige Trennung in eine Website, die im Netz zu sehen ist, und eine dort unsichtbare, auf der intern alle Änderungen erfolgen. Beide Seiten würden dann – immer erst nach entsprechenden Freigaben – untereinander automatisch gespiegelt, so dass Inhalte wirklich kontrolliert im Netz sichtbar würden.
Wer mobil auf seine Firmendaten zugreifen muss, dem empfiehlt Fechner eine VPN-Verbindung. VPN steht für virtuelles persönliches Netzwerk. Vorstellen könne man sich das wie eine Röhre oder einen sicheren Tunnel durch das Internet zwischen dem mobilen Endgerät und den Firmendaten.
Wie wichtig ein Mobile Device Management heute ist, zeigt Fechner mit einer weiteren Demo. „Ich verlier mal mein iPad”, sagt der IT-Fachmann und reicht es einem der Teilnehmer, der es gleich einstecken will. Was nun? Ein kurzer Admin-Zugriff aufs firmeneigene Mobile Device Management (MDM). In dem meldet Fechner das Endgerät als verloren. Gleichzeitig klickt er den Befehl zum Löschen sämtlicher Daten an – und binnen Sekunden, wird das Gerät live zurückgesetzt. Damit haben Diebe keine Chancen mehr, auf die Firmendaten zuzugreifen.
Rechtssicherer Umgang mit E-Mail? Ein heikles Thema. Worauf es ankommt, lesen Sie auf der nächsten Seite.
"Holen Sie sich professionelle Hilfe"
Zu mehr Sensibilität im Umgang mit E-Mails lädt Dirk Riebe, Senior Business Development Manager bei der Firma Securepoint, ein: „Datenhoheit ist ein extrem wichtiges Thema.“ Denn wir verschicken heute alles per E-Mail – Bilder, Angebote, Pläne. „Je nachdem, welche Studien man zu Rate zieht, liegen heute bis zu 95 Prozent Ihrer Firmendaten in Ihrem Mailsystem”, verdeutlicht Riebe. „Sind die Daten weg, entsteht der Firma ein riesengroßer Schaden.“
Nicht gerade kleiner werde das Problem durch das sehr unterschiedliche Nutzerverhalten – und das sowohl bei der täglichen Arbeit als auch dann, wenn ein Mitarbeiter das Unternehmen verlässt.
Fest steht nach Aussagen des Fachmanns, dass alle E-Mails, die zugestellt werden, rechtssicher archiviert werden müssen. Sonst sei nicht zuletzt auch der Ärger mit dem Finanzamt oder den Banken vorprogrammiert. Beide erwarteten heute eine klar dokumentierte IT-Struktur samt Verfahrenswegen und Notfallplan. „Wenn das Finanzamt mitbekommt, dass Sie Ihre Abläufe über E-Mail organisiert haben, werden Sie nach dem Archiv fragen. Wenn Sie nichts vorweisen können, werden Sie im einfachsten Fall in so vier bis sechs Wochen eine nette Aufforderung bekommen, einen Betrag X zu bezahlen im Rahmen einer Umsatzsteuerneuveranlagung“, warnt der Fachmann und berichtet von entsprechenden Kunden-Erfahrungen.
Riebes Tipp: „Holen Sie sich eine professionelle Lösung ins Haus. Und lassen Sie sich die bei Ihnen installieren, machen Sie das nicht selber.“ Wichtig sei es dabei auch, die Mitarbeiter von Anfang an mitzunehmen.
Die Kosten seien dabei meist nicht das Problem. „Das ist kleines Geld. Daran scheitert es nicht“, sagt der Fachmann.
(ha)
Weitere Themen, die Sie interessieren könnten:
