Sinnvolle Sicherheitskonzepte für kleine Unternehmen, Methoden und Anleitungen
Hallo,
welche Sicherheitskonzepte lassen sich sinnvoll und einfach umsetzen?
Es werden Windows 10 pro Clients verwedet, mit getrennten Admin und Standardnutzer Account.
Es wird S/MIME als Emailverschlüsselung eingesetzt.
Die Festplatten der Clients werden mit Bitlocker verschlüsselt.
Bakups werden auf einer NAS wöchentlich erstellt.
Dropbox als Cloudanbieter um auf gemeinsam genutzte Daten zuzgreifen wird verwedet, ist aber ein Dorn im Auge.
Nun sind häufigst die Anwender die größte Sichheitslücke. Wie kann man die am Effektivsten aufklären?
Gibt es gute Quellen die hilfreiche Tools oder Anleitungen zur Verfügung stellen? Wenn ich da Manuals rumcshicke oder PDFs, ob die gelesen werden oder nicht, werden diese verstanden?
Gibt es da online quest zum Thema DSGVO oder so?
Was macht ihr hinsichtlich praktisher Umsetzung von Sicherheit und DSGVO, womit habt ihr gute Erfahrungen gemacht.
Über einen Erfahrungsaustausch würde ich mich sehr freuen.
P.S.: Bitte vom DAU als Anwender ausgehen ;)
welche Sicherheitskonzepte lassen sich sinnvoll und einfach umsetzen?
Es werden Windows 10 pro Clients verwedet, mit getrennten Admin und Standardnutzer Account.
Es wird S/MIME als Emailverschlüsselung eingesetzt.
Die Festplatten der Clients werden mit Bitlocker verschlüsselt.
Bakups werden auf einer NAS wöchentlich erstellt.
Dropbox als Cloudanbieter um auf gemeinsam genutzte Daten zuzgreifen wird verwedet, ist aber ein Dorn im Auge.
Nun sind häufigst die Anwender die größte Sichheitslücke. Wie kann man die am Effektivsten aufklären?
Gibt es gute Quellen die hilfreiche Tools oder Anleitungen zur Verfügung stellen? Wenn ich da Manuals rumcshicke oder PDFs, ob die gelesen werden oder nicht, werden diese verstanden?
Gibt es da online quest zum Thema DSGVO oder so?
Was macht ihr hinsichtlich praktisher Umsetzung von Sicherheit und DSGVO, womit habt ihr gute Erfahrungen gemacht.
Über einen Erfahrungsaustausch würde ich mich sehr freuen.
P.S.: Bitte vom DAU als Anwender ausgehen ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397365
Url: https://administrator.de/contentid/397365
Ausgedruckt am: 14.11.2024 um 17:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
Deine Frage ist bereits mehrfach im Forum gestellt worden. Nutze bitte mal die Suchfunktion.
Bezüglich Anwenderverhalten, empfehle ich diese zu sensibilisieren und...
...Schulung, Schulung und nochmal Schulung.
Sorry, auch wenn das jetzt blöd klingen mag. Wenn die Anwender es oft genug eingetrichtert bekommen, werden diese es dann endlich verstehen.
Zudem sollen die Anwender lieber zu oft anrufen, wenn Ihnen eine E-Mail verdächtig vorkommt, als wenn ein Verschlüsselungstrojaner zu schlägt, oder ein angeblicher Chef anruft bzw. eine E-Mail schreibt zwecks Überweisung von Geld.
In dem Unternehmen, wo ich gerade beschäftigt bin, gab es im letzten Jahr einen Virenbefall bzw. ein Verschlüsselungstrojaner hat zugeschlagen.
Deshalb erstelle ich gerade Schulungsmaterial, um die Anwender zu schulen. Und jedes Mal weise ich darauf hin, ANRUFEN wenn etwas misstrauisch macht. Auch wenn ich dadurch mehr (unnütze) Arbeit habe. Aber im Endeffekt wird sich das auszahlen.
Gruss Penny
Deine Frage ist bereits mehrfach im Forum gestellt worden. Nutze bitte mal die Suchfunktion.
Bezüglich Anwenderverhalten, empfehle ich diese zu sensibilisieren und...
...Schulung, Schulung und nochmal Schulung.
Sorry, auch wenn das jetzt blöd klingen mag. Wenn die Anwender es oft genug eingetrichtert bekommen, werden diese es dann endlich verstehen.
Zudem sollen die Anwender lieber zu oft anrufen, wenn Ihnen eine E-Mail verdächtig vorkommt, als wenn ein Verschlüsselungstrojaner zu schlägt, oder ein angeblicher Chef anruft bzw. eine E-Mail schreibt zwecks Überweisung von Geld.
In dem Unternehmen, wo ich gerade beschäftigt bin, gab es im letzten Jahr einen Virenbefall bzw. ein Verschlüsselungstrojaner hat zugeschlagen.
Deshalb erstelle ich gerade Schulungsmaterial, um die Anwender zu schulen. Und jedes Mal weise ich darauf hin, ANRUFEN wenn etwas misstrauisch macht. Auch wenn ich dadurch mehr (unnütze) Arbeit habe. Aber im Endeffekt wird sich das auszahlen.
Gruss Penny
Sers,
da empfehle ich dir jetzt einfach mal den IT Grundschutz des BSI.
Das Kompendium 2018 findest du hier,
die Edition 2019 findest du hier
Grüße,
Philip
da empfehle ich dir jetzt einfach mal den IT Grundschutz des BSI.
Das Kompendium 2018 findest du hier,
die Edition 2019 findest du hier
Grüße,
Philip
Hallo,
der BSI Grundschutz ist schon mal eine gute Anlaufstelle. Wenn ihr keine Expertiese im Haus habt, holt euch einen Externen. Und wenn ich mir deine Schilderung der IT-Umgebung durchlese wird mir auch etwas anderes. Dropbox, Backup auf ein NAS... und wo ist das Offline-Backup? Merke: Kein Backup > kein Mitleid! :-P
der BSI Grundschutz ist schon mal eine gute Anlaufstelle. Wenn ihr keine Expertiese im Haus habt, holt euch einen Externen. Und wenn ich mir deine Schilderung der IT-Umgebung durchlese wird mir auch etwas anderes. Dropbox, Backup auf ein NAS... und wo ist das Offline-Backup? Merke: Kein Backup > kein Mitleid! :-P
wie Nobody schon sagt sollte auch ein Offline Backup vorliegen.
Dafür gibt es zwei Gründe.
Einmal für den Fall das es brennt.
Und dann noch der Fall dass das Adminkonto kompromittiert wird und da dann ein Verschlüsselungstrojaner zuschlägt. Dann wird das Backup auch gleich mit verschlüsselt. Dann ist nix mit wiederherstellen.
Zweiter Grund lässt sich aber leicht beheben und sollte tunlichst auch so gemacht werden.
Bei dir ist jetzt nicht angegeben über welchen Account das Backup auf das NAS geschrieben wird.
Sollte das der Admin sein dann ändern. Heutzutage sollte man dringend davon abraten das über den Admin Account laufen zu lassen.
Dafür erstellt man einen eigenen Backup Account.
Dieser darf dann als einziges auf die Freigabe auf dem NAS schreiben. Admin darf nur lesen. Dann kann wenn das Adminkonto befallen wird nicht das Backup mit verschlüsselt werden wenn der Admin keinen Schreibzugriff hat.
Dafür gibt es zwei Gründe.
Einmal für den Fall das es brennt.
Und dann noch der Fall dass das Adminkonto kompromittiert wird und da dann ein Verschlüsselungstrojaner zuschlägt. Dann wird das Backup auch gleich mit verschlüsselt. Dann ist nix mit wiederherstellen.
Zweiter Grund lässt sich aber leicht beheben und sollte tunlichst auch so gemacht werden.
Bei dir ist jetzt nicht angegeben über welchen Account das Backup auf das NAS geschrieben wird.
Sollte das der Admin sein dann ändern. Heutzutage sollte man dringend davon abraten das über den Admin Account laufen zu lassen.
Dafür erstellt man einen eigenen Backup Account.
Dieser darf dann als einziges auf die Freigabe auf dem NAS schreiben. Admin darf nur lesen. Dann kann wenn das Adminkonto befallen wird nicht das Backup mit verschlüsselt werden wenn der Admin keinen Schreibzugriff hat.
Moin !
Ein Backup auf einem NAS ist dahingehend ausreichend, dass Dateien von gestern oder vorgestern schnell wieder rekonstruiert werden können, falls ein Nutzer eine Datei aus Versehen löscht oder mit einer "falschen" Datei überschreibt.
Gegen Verschlüsselungstrojaner, Brand, Einbruchdiebstahl oder sei es nur Löschwasser aus den Geschossen über Euch hilft nur ein Offline-Backup in einem anderen Brandabschnitt, in einem anderen Gebäude oder in einer anderen Postleitzahl - jeweils ohne Netzverbindung.
Wie sieht's mit einer Firewall / UTM aus?
Hier lässt sich z.B. einstellen, dass keine Dateien mit den Endungen *.exe; *.com; *.msi usw. heruntergeladen werden dürfen (außer von Internetseiten, die auf einer Whitelist stehen für Updates). Ebenso können z.B. regionale Beschränkungen gesetzt werden wie z.B. keine Zugriffe auf Internetseiten in Asien, Südamerika, Afrika, Russland - außer wenn ein Land oder eine Domain auf einer Whitelist steht.
Wie sieht es aus mit Zugriffsbeschränkungen auf gemeinsam genutzte Laufwerke?
Muss jeder überall Lese- UND Schreibrechte habe?
Wie sieht es aus mit Hardware-Schutz?
Können z.B. die USB-Anschlüsse ausgebaut / versiegelt werden?
Gruß
Ein Backup auf einem NAS ist dahingehend ausreichend, dass Dateien von gestern oder vorgestern schnell wieder rekonstruiert werden können, falls ein Nutzer eine Datei aus Versehen löscht oder mit einer "falschen" Datei überschreibt.
Gegen Verschlüsselungstrojaner, Brand, Einbruchdiebstahl oder sei es nur Löschwasser aus den Geschossen über Euch hilft nur ein Offline-Backup in einem anderen Brandabschnitt, in einem anderen Gebäude oder in einer anderen Postleitzahl - jeweils ohne Netzverbindung.
Wie sieht's mit einer Firewall / UTM aus?
Hier lässt sich z.B. einstellen, dass keine Dateien mit den Endungen *.exe; *.com; *.msi usw. heruntergeladen werden dürfen (außer von Internetseiten, die auf einer Whitelist stehen für Updates). Ebenso können z.B. regionale Beschränkungen gesetzt werden wie z.B. keine Zugriffe auf Internetseiten in Asien, Südamerika, Afrika, Russland - außer wenn ein Land oder eine Domain auf einer Whitelist steht.
Wie sieht es aus mit Zugriffsbeschränkungen auf gemeinsam genutzte Laufwerke?
Muss jeder überall Lese- UND Schreibrechte habe?
Wie sieht es aus mit Hardware-Schutz?
Können z.B. die USB-Anschlüsse ausgebaut / versiegelt werden?
Gruß
Zitat von @pcproblemkeinproblem:
Danke für die Infos.
Wenn die Festplatte mit Bitlocker verschlüsselt ist und ein Backup auf ein NAS gespeichert wird, ist die Sicherung dort dann verschlüsselt hinterlegt?
Danke für die Infos.
Wenn die Festplatte mit Bitlocker verschlüsselt ist und ein Backup auf ein NAS gespeichert wird, ist die Sicherung dort dann verschlüsselt hinterlegt?
Grundsätzlich bei Content-aware Backup das eher üblich ist nein, bei Sector-by-sector Backup ja.
Grundsätzlich sollte man bei Bitlocker die Wiederherstellungsschlüssel aber auch aufheben und sicher verwahren (auch am besten ausgedruckt, nicht nur digital).
Der Hinweis mit dem offline Backup ist ja gut, nur wenn man so 30 Rechner im Umkreis von 30 Km verteilt sind, wie soll das Backup dann offline gelöst werden. 30 mal externe HDD? Handhabt ihr das so?
Bei so einer großen Verteilung sollte man grundsätzlich nicht nur überlegen wie man Backups durchführt sondern auch wie man seine IT generell strukturiert. Das ist aber immer Abhängig vom Einzelfall und vielen Faktoren.
Internetgeschwindigkeit, Datengrößen, Maximal erlaubte Ausfalldauer.
Für viele Firmen könnte bei dem Szenario z.B. die Cloud eine gute Lösung sein. Plus ein Backup Server der von der Cloud eine Sicherung zieht.
Dann hat man kein Problem mehr dass hier die Daten auf 30 Clients in 30 km verteilt sind.
Klappt aber nur wenn die Daten nicht zu groß sind und die Internetleitung ausreicht.
Z.b. für ein Marketingunternehmen mit Fokus auf Video (also sehr große Daten) die dann vielleicht an einigen Standorten nur 10 Mbit kriegen ist das sicher nichts.
Gerade weil hier von Fall zu Fall sehr viele unterschiedliche Faktoren mitwirken bringt es dann meist wenig so etwas in einem Forum mal kurz zu besprechen. Das sprengt dann schnell mal den Rahmen. Da holt man sich dann ein Systemhaus dazu dass einen hier kompetent beraten kann.
Zitat von @pcproblemkeinproblem:
Danke für die Infos.
Wenn die Festplatte mit Bitlocker verschlüsselt ist und ein Backup auf ein NAS gespeichert wird, ist die Sicherung dort dann verschlüsselt hinterlegt?
Danke für die Infos.
Wenn die Festplatte mit Bitlocker verschlüsselt ist und ein Backup auf ein NAS gespeichert wird, ist die Sicherung dort dann verschlüsselt hinterlegt?
Nein. Nur wenn Dein NAS oder Deine Backupsoftware verschlüsseln.
Die Sicherung ist mit dem "Systemsteuerung\System und Sicherheit\Sichern und Wiederherstellen (Windows 7)" erstellt.
Dann soltlest Du regelmäßig prüfen, ob wiederherstellen auch funktioniert.
Der Hinweis mit dem offline Backup ist ja gut, nur wenn man so 30 Rechner im Umkreis von 30 Km verteilt sind, wie soll das Backup dann offline gelöst werden. 30 mal externe HDD? Handhabt ihr das so?
Nein. VPN.
Und wechselmedien.
lks
Der Hinweis mit dem offline Backup ist ja gut, nur wenn man so 30 Rechner im Umkreis von 30 Km verteilt sind, wie soll das Backup dann offline gelöst werden. 30 mal externe HDD? Handhabt ihr das so?
Dann z.B. einen zentralen Server nutzen, auf dem die verteilten User per VPN alles speichern und von dem zentralen Server die Backups ziehen und außer Haus lagern.
Ggf kann man auch eine handvoll verteilte Nutzer zusammenfassen (gruppieren), sofern nicht alle Nutzer auf alle Daten zugreifen müssen. Dann gibt es z.B. 2 oder 3 regionale Cluster mit 3 Backups. Im Katastrophenfall können die Nichtbetroffenen ununterbrochen weiterarbeiten und für die betroffenen ist der Weg zum Backup nicht so weit.
Je zentraler die Organisation ist desto besser lässt sie sich verwalten, erhöht aber auch die Anforderungen an Sicherheit und Ausfallsicherheit.
Kommt auf die betrieblichen Anforderungen an.
Gruß