Wirtschaftsforum 2020 des Bundes Deutscher Landschaftsarchitekten (bdla)

Einmal im Jahr treffen sich die Mitglieder des Bundes Deutscher Landschaftsarchitekten (bdla) zu einer Tagung, um sich über anstehende Themen auszutauschen. Beim Wirtschaftsforum 2020 standen aktuelle Fragen der Planungsbüros im Mittelpunkt: herausfordernde Vergabekultur, hilfreiches Controlling, notwendiges Nachtragsmanagement, zwingende Sicherheitserfordernisse.

Der Schutz von sensiblen Unternehmensdaten und der IT-Infrastruktur hängt neben der technischen Ausstattung des Unternehmens vor allem auch von den personellen Kompetenzen der Mitarbeiter und dem vorhandenen Fachwissen ab. In diesem Vortrag wird ein Einblick in das Thema Cyber Security gegeben, damit Bedrohungen besser eingeordnet werden können und das Vorgehen von Angreifern nachvollzogen werden kann. Dadurch können im Anschluss Maßnahmen zum Schutz besser umgesetzt werden.

Cyber Security

Angreifer scannen mit Tools das gesamte Internet automatisiert nach angreifbaren Systemen. Dadurch können auch kleine Planungsbüros betroffen sein, auch wenn diese nicht gezielt im Fokus der Angreifer stehen.

• Alle Systeme, die online erreichbar sind, können auch gefunden werden. Verschleierung durch komplizierte Links oder Verschleierung der IP-Adresse sind kein Schutz.
• Die Standard-Passwörter von Geräten müssen immer geändert werden.
• Komponenten können sich auch selbstständig mit dem Internet verbinden, daher muss die Konfiguration immer geprüft werden.
• Updates sollten immer zeitnah installiert werden, um Sicherheitslücken schnell zu schließen.

Social Engineering

Ein großer Teil aller Angriffe erfolgt, indem Menschen manipuliert werden und nicht wie häufig vermutet mit raffinierten Schadcodes oder durch unbekannte Sicherheitslücken. Durch gewieft gemachte Phishing-Mails oder mit gefälschten Telefonanrufen werden Betroffene mit psychologischen Tricks zu Handlungen verleitet. Daher stellt die regelmäßige Schulung aller Mitarbeiter/innen einen wichtigen Teil der IT-Sicherheit dar.

• Informationen im Web, aber auch SMS-Nachrichten und Telefonnummern, können sehr einfach gefälscht werden.
• E-Mails können sehr einfach manipuliert werden und vorhandene Konversationen können von Angreifern aufgegriffen werden.
• Definierte Prozesse für alle Abteilungen, insbesondere mit Schnittstellen nach außen (Personalabteilung, Verkauf, etc.).
• Sensibilisierung der Mitarbeiter/innen mit Schulungen über Social Engineering-Strategien und –Methoden.

Passwortsicherheit

Durch einfach zu erratende bzw. schnell zu knackende Passwörter oder bereits durch andere Hacks bekannte Passwörter können Angreifer leicht Systeme übernehmen. Eine starke und sichere Authentifizierung ist essenziell für den Schutz der eigenen Systeme.

• Die Länge eines Passwortes ist ein entscheidender Faktor. Lange Passwörter sind, pauschal gesagt, sicherer als kurze.
• Das Passwort darf nicht mit Ihrem persönlichen Umfeld in Verbindung stehen.
• Nutzen Sie für jeden Dienst verschiedene Passwörter, damit nach einem Angriff nicht auch andere Accounts von Ihnen betroffen sind.
• Nutzen Sie einen Passwortmanager, um die unterschiedlichen Passwörter sicher zu speichern.
• Nutzen Sie, wenn möglich, eine Zwei-Faktor- Authentifizierung.

Hacking Hardware

Werden gezielte Angriffe gegen Planungsbüros durchgeführt, kommt bei lokalen Angriffen Hacking Hardware zum Einsatz. Damit können Tastatureingaben oder Bildschirminhalte ausgespäht werden oder ganze Rechnersysteme zerstört werden.

• Rechner, die sich in einem frei zugänglichen Bereich befinden, sollten durch bauliche Maßnahmen vor Manipulationen geschützt werden.
• Jede Hardware sollte kontinuierlich automatisiert auf Veränderungen überprüft und Vorkommnisse gemeldet werden.
• Mitarbeiter müssen sensibilisiert werden, damit unbekannte Geräte oder abweichende Verhaltensweisen sofort gemeldet werden.
• Ein Ausfall einer Sicherheitskomponente sollte mit einem Alarm gleichgesetzt werden.

Weiterführende Informationen

Neben der Sensibilisierung der Mitarbeiter/innen (und Aushilfen sowie Praktikanten/innen) sollten die fünf goldenen Regeln der IT-Sicherheit beachtet werden:

• Starke Authentifizierung
  Nutzen Sie sichere Passwörter, die nur einmal verwendet werden. Verwenden Sie einen Passwortmanager, um diese Passwörter effektiv zu verwalten. Wo möglich, sollten Sie eine Zwei-Faktor Authentifizierung einsetzen.
• Systeme aktuell halten
  Installieren Sie immer zeitnah die neuesten Sicherheitsupdates, um bekannte Schwachstellen zu schließen und verwenden Sie keine veralteten Betriebssysteme. Wenn dies nicht möglich ist, dürfen diese Systeme nur in streng isolierten Umgebungen betrieben werden.
• Konsequente Rechtevergabe
  Jeder Benutzer darf nur so viele Zugriffsrechte wie nötig bekommen und diese müssen regelmäßig überprüft werden. Die Zugriffe auf verschiedene Dateitypen sollten auf das Minimum beschränkt sein.
• Verschlüsselung und Segmentierung
  Netzwerkverbindungen sollten immer nur verschlüsselt erfolgen. Bei externen Zugriffen auf Firmennetzwerke oder in unkontrollierten Umgebungen (z.B. Hotel WLAN) sollte immer eine VPN-Lösung eingesetzt werden. Netzwerke sollten in Segmente aufgeteilt werden, damit nie ein Vollzugriff möglich ist.
• Effektives Backupmanagement
  Backups sollten immer automatisiert und ohne manuelle Steuerung durchgeführt werden. Dabei dürfen die gespeicherten Daten später nicht mehr verändert werden. Wenn möglich, sollte eine Kopie des Backups an einem zweiten Standort gespeichert sein.

Das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – veröffentlicht regelmäßig Information zur Verbesserung der IT-Sicherheit.

• Leitfaden zur Basis-Absicherung nach IT-Grundschutz
• Maßnahmenkatalog zum Notfallmanagement – Fokus IT-Notfälle

Folien des Vortrags

Der Cyber Security Vortrag „Bedrohungen aus dem Internet – IT-Sicherheit im Planungsbüro“ (PDF Download) fand am 03.03.2020 im Rahmen des 12. bdla-Wirtschaftsforums des Bundes Deutscher Landschaftsarchitekten (bdla) in Kassel statt.