Auch zu diesem Thema
-
Malware im Internet: Was macht sie so gefährlich?
-
Berlins Dokumenten Manager Horn & Görwitz und das IT-Systemhaus ebunet schließen sich zu Berlins führendem inhabergeführten Dienstleister für Druck- und Multifunktionsgeräte zusammen
-
Eingeschränkte Erreichbarkeit wegen Büroumzugs am 19. und 20.05.2022
-
„Digital Jetzt“– Neue Förderung für die Digitalisierung
Fehler oder Lücken in Sicherheitskonzepten von Unternehmen zu finden kann nicht nur ärgerlich, sondern auch sehr gefährlich sein. Werden sensitive Daten nicht richtig verschlüsselt, sind sie für unbefugte Personen leichter zugänglich. Die häufigsten Fehler in Sicherheitskonzepten sind klein und werden oft übersehen. Selbst geschultes Personal ist vor solchen Sollbruchstellen nicht gefeit.
Häufig dringen externe Hacker*innen durch ungeschützte Fernzugriffe wie VPN oder Sicherheitslücken in öffentlich-zugänglichen Anwendungen in die Systeme von Unternehmen ein. Aber auch ungeschulte Mitarbeiter werden nicht selten von Angreifer*innen zu ihrem Vorteil ausgenutzt.
Die Multi-Faktor-Authentifizierung (MFA) wird nicht genutzt
Die Multi-Faktor-Authentifizierung ist eine zuverlässige Methode, um für mehr Sicherheit in passwortgeschützten Anwendungen zu sorgen. Zu Deutsch heißt die MFA auch “Zwei-Faktor-Authentifizierung” und wird vom Bundesamt für Sicherheit in der Informationstechnik empfohlen. Es handelt sich um ein Verfahren, welches nach der Passworteingabe eine weitere Verifizierung vorsieht. Diese kann beispielsweise ein Google Captcha sein.
Der Hintergrund hinter diesen Verifizierungen ist, dass sie nicht durch künstliche Intelligenz ausgeführt werden können. So sollen automatisierte Hacking-Algorithmen abgewehrt werden. Darüber hinaus gibt es biometrische Systeme, die als Zwei-Faktor-Authentifizierung genutzt werden. Wie Fingerabdrücke und Gesichtsscanner. Kryptografische Token hingegen speichern einen kryptografischen Schlüssel. Bei dessen Aktivierung wird eine Anforderung an den Token geschickt, welcher nur durch einen privaten Schlüssel nachgekommen werden kann. Hierfür ist es am sichersten, einen physischen Token wie beispielsweise einen USB-Stick zu nutzen. Für die Nutzung von TAN/OTP-Systeme wird ein Einmal-Passwort zur Verifizierung eingegeben. Auf diesem Prinzip basiert das Push-TAN Verfahren, welches verstärkt zur Kontoführung im Bankensektor genutzt wird. Unabhängig davon, welche Form von bestehenden Multi-Faktoren-Authentifizierung genutzt wird, sollte immer eines der Systeme bereitgestellt werden, um Unternehmen und Daten zu schützen.
Keine Richtlinien für Passwörter
Passwörter bilden nicht nur den bisher klassischsten Zugangsschlüssel für Mitarbeiterinnen und Mitarbeiter, sondern auch den beliebtesten für potenzielle Angreiferinnen und Angreifer. Bei der Auswahl sicherer Passwörter gibt es heutzutage einiges zu beachten, um die Sicherheit von Systemen zu erhöhen und das Risiko ungewollter Zugriffe zu reduzieren. So sollten vor allem die Grundeinstellungen von Herstellern nicht übernommen werden. Oftmals werden Geräte mit Standard-PIN wie 1234 oder 0000 ausgeliefert. Am besten ist die Entwicklung eines eigenen Sicherheitskonzeptes. In diesem werden Zugriffsberechtigungen und Vorgaben zur Passwortwahl definiert. Grundlegender Bestandteil dieses Konzeptes sind die geregelten Zugriffsberechtigungen. Auf diese Weise ist immer genau definiert, welche/r Mitarbeiter*in im Ernstfall als Ansprechpartner*in fungiert.
Zusätzlich sollten Passwörter regelmäßig aktualisiert werden. So wird Angreifer*innen ein Zugriff auf sensitive Firmendaten erschwert. Idealerweise soll das Erneuern von Passwörtern maximal einmal im Quartal vollzogen werden. Sonst besteht die Gefahr, Mitarbeiter*innen unnötig zu verwirren und die Passwortsicherheit ins Chaos zu stürzen. Änderungen von Passwörtern sollten stets mit entsprechender Vorlaufzeit angekündigt und, sofern erforderlich, erinnert werden.
Ungeschützte Cloud-Dienste
Viele Unternehmen nutzen Cloud-Dienste, um sich intern oder mit Kund*innen auszutauschen. Es ist eine einfache Art, um Daten unabhängig vom Standort für alle Beteiligten zugänglich zu machen. Doch auch bei der Nutzung von Cloud-Diensten ist Vorsicht geboten, da sich auch hier Sicherheitslücken verstecken. Es sollten nie die gleichen oder ähnliche Passwörter auf verschiedenen Plattformen genutzt werden. So wird es Hacker*innen leicht gemacht, die Passwörter zu knacken und auf die gespeicherten Daten zuzugreifen. Die Multi-Faktor-Authentifizierung, die bereits oben im Text behandelt wurde, sollte bei Cloud Diensten immer aktiviert sein. Die dazugehörigen Sicherheitsschlüssel sind unter keinen Umständen in der Cloud zu speichern.
Sehr vertrauliche Daten sollten tatsächlich nie in den Cloud-Dienst hochgeladen werden. Sie sollten stattdessen lokal gespeichert werden, um das Verlustrisiko zu minimieren. Jeglicher Datenverkehr darf nur verschlüsselt erfolgen, dies wird meist vom Herstellenden gewährleistet und ist ausschlaggebend für die Anbieterauswahl. Durch die Verschlüsselung sind die Daten bei der Übertragung geschützt und für Angreifer*innen nicht zugänglich.
Unzureichende Aufklärung über Phishing
Phishing bezeichnet einen neuen Trend der Cyberattacken. Hierbei geben sich Angreifer*innen oder besonders programmierte Algorithmen als vertraute Personen aus. Opfer erhalten beispielsweise eine E-Mail von einer Kolleg*in, in der vertraulichen Daten wie Telefonnummern oder sogar Passwörter abgefragt werden. Da diese Fake-E-Mails nicht immer als diese zu erkennen sind, stellen sie eine besonders große Gefahr für die Unternehmenssicherheit dar.
In diesen Situationen ist die erfolgreichste Strategie eine ausreichende Aufklärung der Mitarbeiter*innen, um sie auf die bestehenden Gefahren aufmerksam zu machen. So wird die Wahrscheinlichkeit erhöht, dass solche Angriffe erfolglos bleiben. Phishing E-Mails lassen sich vorwiegend durch dubiose Anhänge erkennen. Häufig handelt es sich bei diesen um “Microsoft-Office” Dateien, die voll von schädlichen Makros ist. Auch Shell-Skripte sind beliebte Anhänge von Angreifer*innen.
Häufig enthalten die E-Mails auch Links, die zu anderen Webseiten führen, bei denen eine Passwort-Abfrage vorgenommen wird. Diese Schein-Webseiten mögen aussehen wie bekannte Firmenseiten, sind es allerdings nicht. Stattdessen dienen sie lediglich dazu, die Passwörter der Opfer zu speichern.
Um sich zu schützen ist es also wichtig keine unbekannten Links zu verfolgen oder Anhänge herunterzuladen. Wenn Sie sich unsicher sind, ob es sich um eine Phishing-E-Mail handelt, kann die schnellste Lösung sein, auf anderem Wege (bspw. telefonisch) Kontakt zum Absender aufzunehmen und sich den Empfang bestätigen zu lassen. So können Sie ihn persönlich fragen, ob er Ihnen tatsächlich eine Nachricht geschickt hat oder nicht.
Fehlende “Endpoint Detection and Response” (EDR)
Bei “Endpoint Detection and Response” (EDR) handelt es sich um ein Cyber-Security-Konzept, welches als erweiterter Virenschutz zu verstehen ist. EDR zeichnet die übliche Arbeitsweise des Endgerätes auf und alarmiert die Nutzer*in bei verdächtigen Aktivitäten. Zusätzlich wird eine automatisierte Reaktion hervorgerufen, nämlich die Isolierung des Gerätes vom Netzwerk.
Besonders für Unternehmen, auf deren Netzwerk viele Geräte Zugriff haben, ist dies wichtig. So wird verhindert, dass ein einziges komprimiertes Gerät alle anderen Geräte ebenfalls in Gefahr bringt. Das Implementieren eines solchen Schutzes in das IT-Sicherheitskonzept ist ein ergänzender Schritt zu einem breit aufgestellten Systemschutz.
Um einfache Fehler im eigenen Sicherheitskonzept zu vermeiden, muss auch auf die kleinsten Schritte geachtet werden. Sichere Passwörter sind die erste Instanz zum Schutz der Firmendaten, wobei eine Multifaktor-Authentifizierung die Passwörter noch stärker macht.
Besonders für Cloud-Dienste muss auf sichere Passwörter geachtet werden, die an anderen Speicherorten gesichert werden. Um jegliche verdächtigen Aktionen innerhalb des Systems zu erfassen ist eine zuverlässige Antiviren-Software unverzichtbar, diese kann durch ein EDR System unterstützt werden. Durch das EDR System werden die Abläufe des Gerätes eingehend analysiert, sodass bei Veränderungen sofort alarmiert wird und ein individueller Schutz entsteht. Dieser ist bestens auf das Gerät und die Gewohnheiten der Nutzer*in abgestimmt.
Alles, was an den Antiviren-Programmen vorbeigelassen wird, kann durch Schulung der Mitarbeiter*innen aufgefangen werden. Wenn diese richtig ausgebildet sind, können sie viele Gefahren selbst erkennen und einschätzen – beispielsweise die Bedrohung, die durch Phishing E-Mails ausgeht. So entsteht ein Rundumschutz der Unternehmensdaten bestens absichert.
