Für den Datentransfer zwischen lokalem Client (PC, Notebook etc.) und Server sollte man bei SFTP (Secure File Transfer Protokoll), der „sichereren“ Nachfolge des FTP, trotz Verschlüsselung zusätzlich mit einem VPN-Tunnel (Virtual Private Network) arbeiten. Aber auf FTP sollte man in jedem Fall komplett verzichten.
Für externe Zugriffe auf lokale Rechner oder Server verwendet man bis heute gerne RDP, ein Zugriffsprotokoll aus der Microsoft-Windows-Welt. Das galt bis vor kurzem noch als recht sicher. Doch leider ist inzwischen auch diese Technologie korrumpiert worden. Daher sollte man sie auch nur in Verbindung mit Verschlüsselung und VPNs nutzen.
Werden alle möglichen Sicherheitsmaßnahmen auf alle Anwendungsfälle angewendet oder unterscheiden sich Sicherheitskonzepte für verschiedene Kunden?
Eigentlich sind wir von Hause aus ziemlich faul und wir schlafen gerne ruhig. Deshalb machen wir zwischen unseren Kunden keine Unterschiede. Es ist unsinnig und unwirtschaftlich, verschiedene Grade von Betriebssicherheit abzustufen und vorzuhalten.
Da unsere Kunden sämtlich Geschäftskunden sind, haben sie alle ein Anrecht auf hohe Betriebssicherheit, also auch auf Hochverfügbarkeit. Es gibt lediglich manchmal Unterschiede beim ActiveBackup. Denn manche Kunden haben gerne noch mehr Generationen der Datensicherung aufbewahrt oder wünschen sich kürzere Backup-Intervalle. Diese Services bezahlen sie extra.
Müssen Ihre Kunden für den Schutz Ihrer Internetanwendungen selbst aktiv werden oder bieten Sie einen Rundum-Schutz-Service?
Manchmal bestehen die Maßnahmen beim Kunden einfach nur darin, bestimmte Dinge NICHT zu tun, wie
- keine zu einfachen Passwörter verwenden, diese in Sichtweite oder greifbarer Nähe des PCs hinterlegen
- E-Mails und Dateianhänge unbekannter Herkunft niemals öffnen, jedenfalls nicht ohne gründliche, kritische Überprüfung
- niemals ungeprüft auf Links mit seltsamen Domain-Endungen klicken
- keine unsicheren Protokolle wie z. B. FTP zum Datei-Upload verwenden
- keine als unsicher bekannten Anwendungen (WhatsApp, Telegram, DropBox, Zoom, Teamviewer etc.) für die betriebsinterne oder geschäftliche Kommunikation verwenden
- auf als unsicher bekannte Scripte und Funktionserweiterungen bei Online-Anwendungen verzichten
- keine IoT-Lösungen (Internet of Things) ohne Firewall und zusätzliche Absicherung benutzen
- keine privaten Endgeräte für geschäftliche Zwecke einsetzen oder umgekehrt
Um alles andere kümmern wir uns. Also ja: In Sachen Betriebssicherheit bieten wir ein Rundum-Sorglos-Paket ohne Kleingedrucktes. Denn wir klären unsere Kunden über eventuelle Risiken bei Sonderwünschen auf und beraten sie zum Beispiel auch bei ihren Backup-Konzepten.
Wie behalten Sie als Provider den Überblick über aktuelle Bedrohungen?
Das ist im Prinzip ganz einfach: Regelmäßig, also täglich, die einschlägigen Fachpublikationen kritisch lesen. Dazu gehören Repositories, Newsgroups und Foren der eingesetzten Softwares, Patch- und Update-Meldungen der Hersteller. Und natürlich die bekannten klassischen Online-Medien studieren. Danach die Aussagen überprüfen, sorgfältig nachdenken und dann eine Risiko-Einschätzung zunächst für uns und dann für die Kunden vornehmen. Da wir unsere Softwares gut dokumentiert haben und alle unsere Serversysteme gut kennen, wissen wir recht genau, wann wir wie aktiv werden müssen.
Glücklicher Weise passieren akute Bedrohungen eher selten. Und wir können auf 25 Jahre Erfahrung mit der Betriebssicherheit von Internetanwendungen zurückgreifen. Das erspart uns eine Menge Stress und lässt auch unsere Kunden ruhiger schlafen.
Das Interview führte die freie Journalisting Beatrix Westphal (info@beatrix-westphal.de)
