Sofern die Daten dieses Geräts erhaltenswert sind bzw. überhaupt lokal Daten gespeichert werden, muss ein Backup eingerichtet werden. Dies kann auf verschiedene Arten geschehen
Ein solches „Backup“ ist allenfalls die Anfertigung einer Sicherheitskopie (zu einem undefinierten Zeitpunkt in einem undefinierten Zustand!) – insbesondere gibt es keine definierte Wiederherstellung, keine Versionierung, keine Absicherung gegen katastrophale Ereignisse
Backup auf ein eigenes NAS mittels Push-Backup (Client initiiert das Backup): diese Sicherungsstufe ist ebenfalls nur graduell besser, da auch ein NAS Laufwerk typischerweise ständig als Netzwerklaufwerk verbunden bleibt und dann auch von Virenbefall, Ransomware etc befallen werden kann bzw. die befallenen oder zwangs-verschlüsselten Dateien dann in das Backup gepusht werden. Sofern das NAS physisch in einem anderen Raum oder Gebäude untergebracht ist, bietet diese Variante immerhin Schutz gegen Diebstahl, Brand und Wassereinbruch.
Lokale Backup-Lösung (Pull-Prinzip vom Backup-Server aus): der Betrieb einer lokalen Backup/Restore-Lösung (mit welchen Medien auch immer, Bandlaufwerke o.ä.) ist eine sichere Alternative, sofern das Backup dem Stand der Technik entsprechend eingerichtet ist (z.B. mehrere Versionen, Restore-Tests, …) erfordert aber eine Verwaltung der Backup-Medien und auch eine geregelte externe Lagerung; zudem ist diese Lösung vergleichsweise teuer.
Nutzung des zentralen Backups gemäß Pos. 3103 des Dienstleistungskatalogs des GITZ: für Institute und Einrichtungen die sicherste und bequemste Lösung eines geordneten und verfügbaren Backups
In allen Fällen muss darauf geachtet werden, dass nicht nur ein geordnetes und regelmäßiges Backup erfolgt, sondern auch immer wieder überprüft und geübt wird, dass auch ein Restore der Daten reibungslos funktioniert. Welche Backup-Lösung für den Einzelfall angemessen ist, entscheidet der zuständige DV Koordinator eigenverantwortlich.
Selbstverständlich müssen die Endgeräte ausreichend gegen Viren- und Malwarebefall geschützt sein. Die eingesetzten Produkte und Signaturdatenbanken müssen regelmäßig updated werden, Signaturdatenbanken täglich (oder auch öfter, sofern der Anbieter häufigere Updates bereitstellt).
Es wird empfohlen, wichtige Daten verschlüsselt zu speichern, insbesondere sollten Notebooks mit beispielsweise Bitlocker verschlüsselt werden. Außerdem sollten – sofern der Einsatz von eigenen Geräten wie Smartphones für dienstliche Zwecke erlaubt ist – auch auf diesen Geräten die dienstlichen Daten verschlüsselt abgelegt werden, wenn sie denn überhaupt dort gespeichert werden. Dies gilt natürlich auch für dienstliche E-Mails und deren Anhänge. Sicherer ist es, dort keine dienstlichen Daten zu speichern und allenfalls Browser-Online- Zugänge zu nutzen.
Siehe dazu die entsprechenden Empfehlungen zu Verschlüsselung.
Für Endgeräte ohne Spezialsoftware ist es empfehlenswert, die vom Betriebssystemhersteller angebotenen Sicherheitsupdates vollautomatisch einspielen zu lassen. In Fällen, wo dies nicht sinnvoll ist (Spezialsoftware, Server, keine permanente Netzverbindung, …), muss der Administrator dies zeitnah nach Erscheinen der Updates manuell tun.
Weiterhin ist es dringend empfehlenswert, auch alle weiteren Updates für Betriebssystem und Anwendungssoftware möglichst zeitnah, ggf. nach Überprüfung der Funktionalität, einzuspielen. Technische Angriffe nutzen häufig veraltete Funktionen und Versionen diverser Anwendungssoftware aus, das generelle Risiko wird vermindert durch möglichst aktuelle Software.
Auch wenn es für den Anwender bequemer ist, einfach „alles“ auf dem Endgerät installiert zu haben, so ist es doch zu empfehlen, bei der Einrichtung zunächst nur einen Grundstock an benötigten Programmen zu installieren und weitere Software nur bei Bedarf nachzuinstallieren.
Sofern es möglich ist, einen „Standardrechner“ zu definieren, vereinfacht der Einsatz einer „maßgeschneiderten“ Installation (z.B. per Installations-Image oder auch Script, je nach Betriebssystem) die Installation und sorgt gleichzeitig für ein definiertes Anfangs-Sicherheitsniveau.
Außerdem sollten alle nicht benötigten Dienste, die von außen erreichbar sind, abgeschaltet werden. Was nicht erreichbar ist, kann auch nicht gehackt werden.
Aus IT-Sicherheitssicht ist es dringend zu empfehlen, nur die vom GITZ angebotenen oder ggf. vom Institut oder Einrichtung selbst betriebenen Cloud-Dienste zu verwenden und keinesfalls „öffentliche“ Dienste wie Google Drive, OneDrive, DropBox, Amazon Cloud etc.
Das GITZ bietet hierzu im Dienstleistungskatalog u.a. die Positionen 3104 (Cloud Storage), 4201 (Groupware), 3102 (File Services), 4205 (Webserver), 4207 (Webhosting) an.
Es sollten nur die Nutzerkonten eingerichtet werden, die auch tatsächlich gebraucht werden. Ein reguläres Arbeiten mit Administrator bzw. root Rechten ist zu vermeiden, dies sollte nur erfolgen, wenn es notwendig ist.
Es sollte gewährleistet sein, dass eine Bildschirmsperre (mit Passwort oder anderem Schutz) eingerichtet ist. Je nach Einsatzzweck kann es sinnvoll sein, dass sich der Bildschirm nach einer bestimmten Zeit automatisch sperrt.
Weiter Informationen unter: