Schützen Sie Ihren Root Server – und Ihr Unternehmen

Zwei Dinge haben Unternehmen wie Uber, Snapchat und Flipkart gemeinsam. Erstens gehören sie aktuell zu den wertvollsten Startups der Welt (s. u. Infografik) und zweitens, beruht ihre Geschäftsidee auf einer Online-Anwendung, was den Betrieb eigener Server unumgänglich macht. Das alles birgt für Gründer von heute zahlreiche Chancen, aber auch Gefahren. Im Folgenden werden wir beide Seiten der Medaille beleuchten.

Irgendwann entscheidet sich jedes Unternehmen, das über das Internet Geld verdienen möchte, für einen Root Server, weil dieser es ihnen ermöglicht ihr System so zu konfigurieren, dass es ihren Ansprüchen gerecht wird. Das heißt aber auch, dass ab diesem Zeitpunkt allein die Firma beziehungsweise ihr Administrator für den Schutz der IT-Infrastruktur selbst verantwortlich ist. Für viele stellt sich dann die Frage, auf welche Art von Root Server sie setzen: einen „normalen“ oder einen so genannten Managed Root Server. Beides hat seine Vor- und Nachteile, doch bevor wir auf diese näher eingehen, klären wir die Frage, warum Unternehmen, und zwar mehr denn je, IT-Sicherheit brauchen.

Ob Startup oder „klassischer“ Gründer – jeder braucht IT-Sicherheit

Startups, das sind jene junge Unternehmen, die sich im Vergleich zu einer traditionellen Gründung – zum Beispiel der eines klassischen Handwerksbetriebs – in zwei wesentlichen Dingen unterscheiden:

  1. Ihre innovative Geschäftsidee. Sie bieten beispielsweise einen komplett neuen Lösungsansatz an, der ihren Kunden einen echten Mehrwert liefert.
  2. Ihr Markt. Sie tummeln sich in einem noch nicht existierenden oder sehr jungen Markt, in welchem sich ihr Geschäftsmodell erst noch beweisen muss.

Seit der Implementierung des Internets als ein zur Gestaltung unseres Alltags unverzichtbares Medium sprießen Startups wie Pilze aus dem Boden. In einigen Fällen durchaus mit Erfolg wie unten eingefügte Infografik beweist.

Root Server, Startups, IT-Sicherheit
Die Grafik zeigt die wertvollsten, mit Venture Capital finanzierten Unternehmen der Welt. (Quelle: de.statista.com / CC BY-ND 3.0)

Allerdings ist die Zahl jener Startups, die mindestens ebenso schnell verschwunden sind wie sie gegründet worden, ungleich höher. Das kann unterschiedliche Gründe haben. So kann das Potenzial des Marktes, auf welchem sie aktiv sind, überschätzt worden sein. Ein anderer Grund kann in der Geschäftsidee selbst liegen. Sie kann von den möglichen Käufern als nicht derart innovativ empfunden worden sein, wie sie es möglicherweise wäre. Die meisten sind eher organisatorischer Natur. So könnte die Finanzierung nicht ausreichend durchdacht worden sein. Dinge, die man mithilfe eines Businessplans von vornherein vermeiden kann.

Ein weiterer entscheidender Faktor, den viele Gründer (ob nun von Startups oder „klassischen“ Betrieben) im Blick behalten müssen, sind die Bedrohungen durch Wirtschaftsspionage und Cyberkriminelle. Das sehen die Unternehmen selbst übrigens genauso. Laut einer Erhebung der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) aus dem März 2016 sind sich 91 Prozent der Unternehmen eigenen Angaben zufolge durchaus bewusst, dass sie künftig mehr in ihre Datensicherheit investieren müssen als je zuvor.

Root Server schützen: so geht’s

Doch wie sehen diese Bedrohungen konkret aus und wie kann man seinen Root Server – und damit sein Unternehmen – davor schützen? Antworten auf diese Fragen bietet auch folgender Beitrag von Timm Günther. Wir haben die – aus unserer Sicht – drei wichtigsten Gefahren kompakt zusammengefasst:

Gefahr Nr. 1: DDoS Angriffe

DDoS, dieses Abkürzung steht für Distributed Denial of Service. Gerade zu Beginn haben Startups es mit unseriösen Konkurrenten zu tun. Der Zweck von Angriffen auf das DDoS ist es, den unternehmenseigenen Server mit einer hohen Anzahl an Anfragen lahmzulegen. Das besonders Fiese daran: Für mögliche Kunden ist eine Online-Kontaktaufnahme mit dem Unternehmen nicht mehr möglich.

Gefahr Nr. 2: Das Einloggen

Das Verbinden zum Server beziehungsweise das Einloggen bietet zahlreiche Angriffsmöglichkeiten. Allen voran, wenn man sich über einen Benutzernamen und ein Passwort anmeldet.

Gefahr Nr. 3: Der Standardnutzer

Ein Sicherheitssystem ist stets lediglich so stark wie sein schwächster Nutzer. Viele, die sich in ihren Root Server einloggen tun dies mit einem, vom Anbieter festgelegten, Standardnamen.

Schutzmaßnahmen einleiten und im Zweifel auf Experten vertrauen

Hier stellen wir Ihnen bereits die erste Gegenmaßnahme vor, denn die ist denkbar einfach: Legen sie sich schnellst möglich einen eigenen, individuellen Nutzernamen inklusive Rootrechte an. Schon das macht vielen Cyberkriminiellen das Leben deutlich schwerer.

Um die Sicherheit von Benutzername und Passwort zu erhöhen, sollte man Key-Pair setzen. Dabei wird, wie Günther beschreibt, der Public Key auf den Server übertragen, während der Private Key geschützt auf dem hauseigenen Computer verweilt. Eine Verbindung zum Server wird es dann zugelassen, sobald beide Keys miteinander abgeglichen worden sind.

Der Schutz vor DDoS Angriffe ist aber schon weitaus komplizierter. Hier hilft das Herausfiltern und Umleiten über ein Cloud basiertes Scraping Center auf ein Servernetzwerk, das mit genügend Bandbreite ausgestattet ist.

Doch gerade Unternehmer, die sich mitten in der Startphase befinden, fehlt oft die Zeit sich in derart komplexe Materien hineinzudenken. Für diese Zielgruppe sind Managed Root Server eine denkbare Variante zu den konventionellen, und zwar aus folgenden Gründen:

  1. Der Administrator übernimmt alle notwendigen Aufgaben, wie zum Beispiel Pflege und Wartung.
  2. Es wird von den unternehmenseigenen Mitarbeitern selbst kein komplexes Fachwissen abverlangt.
  3. Im Notfall kann eine schnelle Wiederherstellung seitens eines professionellen Dienstleisters erfolgen.

Wir wollen aber an dieser Stelle auch nicht die Nachteile unter den Teppich kehren.

  1. Man ist als Unternehmen stets am Provider gebunden und Profis können unter Umständen sich recht unflexibel zeigen.
  2. Man hat nur wenig oder gar keine Kontrolle über das System.

Für welche der beiden Varianten man sich entscheidet, muss man von den Rahmenbedingungen abhängig machen, die einem das eigene Startup bieten. Nur eines ist sicher: Keine IT-Sicherheit ist gar keine Lösung.

Kennen Sie schon die Leinwände von Inspiring Art?