Feh­ler oder Lücken in Sicher­heits­kon­zep­ten von Unter­neh­men zu fin­den kann nicht nur ärger­lich, son­dern auch sehr gefähr­lich sein. Wer­den sen­si­ti­ve Daten nicht rich­tig ver­schlüs­selt, sind sie für unbe­fug­te Per­so­nen leich­ter zugäng­lich. Die häu­figs­ten Feh­ler in Sicher­heits­kon­zep­ten sind klein und wer­den oft über­se­hen. Selbst geschul­tes Per­so­nal ist vor sol­chen Soll­bruch­stel­len nicht gefeit.

Häu­fig drin­gen exter­ne Hacker*innen durch unge­schütz­te Fern­zu­grif­fe wie VPN oder Sicher­heits­lü­cken in öffent­lich-zugäng­li­chen Anwen­dun­gen in die Sys­te­me von Unter­neh­men ein. Aber auch unge­schul­te Mit­ar­bei­ter wer­den nicht sel­ten von Angreifer*innen zu ihrem Vor­teil ausgenutzt.

Die Multi-Faktor-Authentifizierung (MFA) wird nicht genutzt

Die Mul­ti-Fak­tor-Authen­ti­fi­zie­rung ist eine zuver­läs­si­ge Metho­de, um für mehr Sicher­heit in pass­wort­ge­schütz­ten Anwen­dun­gen zu sor­gen. Zu Deutsch heißt die MFA auch “Zwei-Fak­tor-Authen­ti­fi­zie­rung” und wird vom Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik emp­foh­len. Es han­delt sich um ein Ver­fah­ren, wel­ches nach der Pass­wort­ein­ga­be eine wei­te­re Veri­fi­zie­rung vor­sieht. Die­se kann bei­spiels­wei­se ein Goog­le Cap­t­cha sein.

Der Hin­ter­grund hin­ter die­sen Veri­fi­zie­run­gen ist, dass sie nicht durch künst­li­che Intel­li­genz aus­ge­führt wer­den kön­nen. So sol­len auto­ma­ti­sier­te Hacking-Algo­rith­men abge­wehrt wer­den. Dar­über hin­aus gibt es bio­me­tri­sche Sys­te­me, die als Zwei-Fak­tor-Authen­ti­fi­zie­rung genutzt wer­den. Wie Fin­ger­ab­drü­cke und Gesichts­scan­ner. Kryp­to­gra­fi­sche Token hin­ge­gen spei­chern einen kryp­to­gra­fi­schen Schlüs­sel. Bei des­sen Akti­vie­rung wird eine Anfor­de­rung an den Token geschickt, wel­cher nur durch einen pri­va­ten Schlüs­sel nach­ge­kom­men wer­den kann. Hier­für ist es am sichers­ten, einen phy­si­schen Token wie bei­spiels­wei­se einen USB-Stick zu nut­zen. Für die Nut­zung von TAN/OTP-Sys­te­me wird ein Ein­mal-Pass­wort zur Veri­fi­zie­rung ein­ge­ge­ben. Auf die­sem Prin­zip basiert das Push-TAN Ver­fah­ren, wel­ches ver­stärkt zur Kon­to­füh­rung im Ban­ken­sek­tor genutzt wird. Unab­hän­gig davon, wel­che Form von bestehen­den Mul­ti-Fak­to­ren-Authen­ti­fi­zie­rung genutzt wird, soll­te immer eines der Sys­te­me bereit­ge­stellt wer­den, um Unter­neh­men und Daten zu schützen.

Keine Richtlinien für Passwörter

Pass­wör­ter bil­den nicht nur den bis­her klas­sischs­ten Zugangs­schlüs­sel für Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter, son­dern auch den belieb­tes­ten für poten­zi­el­le Angrei­fe­rin­nen und Angrei­fer. Bei der Aus­wahl siche­rer Pass­wör­ter gibt es heut­zu­ta­ge eini­ges zu beach­ten, um die Sicher­heit von Sys­te­men zu erhö­hen und das Risi­ko unge­woll­ter Zugrif­fe zu redu­zie­ren. So soll­ten vor allem die Grund­ein­stel­lun­gen von Her­stel­lern nicht über­nom­men wer­den. Oft­mals wer­den Gerä­te mit Stan­dard-PIN wie 1234 oder 0000 aus­ge­lie­fert. Am bes­ten ist die Ent­wick­lung eines eige­nen Sicher­heits­kon­zep­tes. In die­sem wer­den Zugriffs­be­rech­ti­gun­gen und Vor­ga­ben zur Pass­wort­wahl defi­niert. Grund­le­gen­der Bestand­teil die­ses Kon­zep­tes sind die gere­gel­ten Zugriffs­be­rech­ti­gun­gen. Auf die­se Wei­se ist immer genau defi­niert, welche/r Mitarbeiter*in im Ernst­fall als Ansprechpartner*in fungiert.

Zusätz­lich soll­ten Pass­wör­ter regel­mä­ßig aktua­li­siert wer­den. So wird Angreifer*innen ein Zugriff auf sen­si­ti­ve Fir­men­da­ten erschwert. Idea­ler­wei­se soll das Erneu­ern von Pass­wör­tern maxi­mal ein­mal im Quar­tal voll­zo­gen wer­den. Sonst besteht die Gefahr, Mitarbeiter*innen unnö­tig zu ver­wir­ren und die Pass­wort­si­cher­heit ins Cha­os zu stür­zen. Ände­run­gen von Pass­wör­tern soll­ten stets mit ent­spre­chen­der Vor­lauf­zeit ange­kün­digt und, sofern erfor­der­lich, erin­nert werden.

Ungeschützte Cloud-Dienste

Vie­le Unter­neh­men nut­zen Cloud-Diens­te, um sich intern oder mit Kund*innen aus­zu­tau­schen. Es ist eine ein­fa­che Art, um Daten unab­hän­gig vom Stand­ort für alle Betei­lig­ten zugäng­lich zu machen. Doch auch bei der Nut­zung von Cloud-Diens­ten ist Vor­sicht gebo­ten, da sich auch hier Sicher­heits­lü­cken ver­ste­cken. Es soll­ten nie die glei­chen oder ähn­li­che Pass­wör­ter auf ver­schie­de­nen Platt­for­men genutzt wer­den. So wird es Hacker*innen leicht gemacht, die Pass­wör­ter zu kna­cken und auf die gespei­cher­ten Daten zuzu­grei­fen. Die Mul­ti-Fak­tor-Authen­ti­fi­zie­rung, die bereits oben im Text behan­delt wur­de, soll­te bei Cloud Diens­ten immer akti­viert sein. Die dazu­ge­hö­ri­gen Sicher­heits­schlüs­sel sind unter kei­nen Umstän­den in der Cloud zu speichern.

Sehr ver­trau­li­che Daten soll­ten tat­säch­lich nie in den Cloud-Dienst hoch­ge­la­den wer­den. Sie soll­ten statt­des­sen lokal gespei­chert wer­den, um das Ver­lust­ri­si­ko zu mini­mie­ren. Jeg­li­cher Daten­ver­kehr darf nur ver­schlüs­selt erfol­gen, dies wird meist vom Her­stel­len­den gewähr­leis­tet und ist aus­schlag­ge­bend für die Anbie­ter­aus­wahl. Durch die Ver­schlüs­se­lung sind die Daten bei der Über­tra­gung geschützt und für Angreifer*innen nicht zugänglich.

Unzureichende Aufklärung über Phishing

Phis­hing bezeich­net einen neu­en Trend der Cyber­at­ta­cken. Hier­bei geben sich Angreifer*innen oder beson­ders pro­gram­mier­te Algo­rith­men als ver­trau­te Per­so­nen aus. Opfer erhal­ten bei­spiels­wei­se eine E‑Mail von einer Kolleg*in, in der ver­trau­li­chen Daten wie Tele­fon­num­mern oder sogar Pass­wör­ter abge­fragt wer­den. Da die­se Fake-E-Mails nicht immer als die­se zu erken­nen sind, stel­len sie eine beson­ders gro­ße Gefahr für die Unter­neh­mens­si­cher­heit dar.

In die­sen Situa­tio­nen ist die erfolg­reichs­te Stra­te­gie eine aus­rei­chen­de Auf­klä­rung der Mitarbeiter*innen, um sie auf die bestehen­den Gefah­ren auf­merk­sam zu machen. So wird die Wahr­schein­lich­keit erhöht, dass sol­che Angrif­fe erfolg­los blei­ben. Phis­hing E‑Mails las­sen sich vor­wie­gend durch dubio­se Anhän­ge erken­nen. Häu­fig han­delt es sich bei die­sen um “Micro­soft-Office” Datei­en, die voll von schäd­li­chen Makros ist. Auch Shell-Skrip­te sind belieb­te Anhän­ge von Angreifer*innen.

Häu­fig ent­hal­ten die E‑Mails auch Links, die zu ande­ren Web­sei­ten füh­ren, bei denen eine Pass­wort-Abfra­ge vor­ge­nom­men wird. Die­se Schein-Web­sei­ten mögen aus­se­hen wie bekann­te Fir­men­sei­ten, sind es aller­dings nicht. Statt­des­sen die­nen sie ledig­lich dazu, die Pass­wör­ter der Opfer zu speichern.

Um sich zu schüt­zen ist es also wich­tig kei­ne unbe­kann­ten Links zu ver­fol­gen oder Anhän­ge her­un­ter­zu­la­den. Wenn Sie sich unsi­cher sind, ob es sich um eine Phis­hing-E-Mail han­delt, kann die schnells­te Lösung sein, auf ande­rem Wege (bspw. tele­fo­nisch) Kon­takt zum Absen­der auf­zu­neh­men und sich den Emp­fang bestä­ti­gen zu las­sen. So kön­nen Sie ihn per­sön­lich fra­gen, ob er Ihnen tat­säch­lich eine Nach­richt geschickt hat oder nicht.

Fehlende “Endpoint Detection and Response” (EDR)

Bei “End­point Detec­tion and Respon­se” (EDR) han­delt es sich um ein Cyber-Secu­ri­ty-Kon­zept, wel­ches als erwei­ter­ter Viren­schutz zu ver­ste­hen ist. EDR zeich­net die übli­che Arbeits­wei­se des End­ge­rä­tes auf und alar­miert die Nutzer*in bei ver­däch­ti­gen Akti­vi­tä­ten. Zusätz­lich wird eine auto­ma­ti­sier­te Reak­ti­on her­vor­ge­ru­fen, näm­lich die Iso­lie­rung des Gerä­tes vom Netzwerk.

Beson­ders für Unter­neh­men, auf deren Netz­werk vie­le Gerä­te Zugriff haben, ist dies wich­tig. So wird ver­hin­dert, dass ein ein­zi­ges kom­pri­mier­tes Gerät alle ande­ren Gerä­te eben­falls in Gefahr bringt. Das Imple­men­tie­ren eines sol­chen Schut­zes in das IT-Sicher­heits­kon­zept ist ein ergän­zen­der Schritt zu einem breit auf­ge­stell­ten Systemschutz.

Um ein­fa­che Feh­ler im eige­nen Sicher­heits­kon­zept zu ver­mei­den, muss auch auf die kleins­ten Schrit­te geach­tet wer­den. Siche­re Pass­wör­ter sind die ers­te Instanz zum Schutz der Fir­men­da­ten, wobei eine Mul­ti­fak­tor-Authen­ti­fi­zie­rung die Pass­wör­ter noch stär­ker macht.

Beson­ders für Cloud-Diens­te muss auf siche­re Pass­wör­ter geach­tet wer­den, die an ande­ren Spei­cher­or­ten gesi­chert wer­den. Um jeg­li­che ver­däch­ti­gen Aktio­nen inner­halb des Sys­tems zu erfas­sen ist eine zuver­läs­si­ge Anti­vi­ren-Soft­ware unver­zicht­bar, die­se kann durch ein EDR Sys­tem unter­stützt wer­den. Durch das EDR Sys­tem wer­den die Abläu­fe des Gerä­tes ein­ge­hend ana­ly­siert, sodass bei Ver­än­de­run­gen sofort alar­miert wird und ein indi­vi­du­el­ler Schutz ent­steht. Die­ser ist bes­tens auf das Gerät und die Gewohn­hei­ten der Nutzer*in abgestimmt.

Alles, was an den Anti­vi­ren-Pro­gram­men vor­bei­gelas­sen wird, kann durch Schu­lung der Mitarbeiter*innen auf­ge­fan­gen wer­den. Wenn die­se rich­tig aus­ge­bil­det sind, kön­nen sie vie­le Gefah­ren selbst erken­nen und ein­schät­zen – bei­spiels­wei­se die Bedro­hung, die durch Phis­hing E‑Mails aus­geht. So ent­steht ein Rund­um­schutz der Unter­neh­mens­da­ten bes­tens absichert.

Ansprechpartner

Sebastian Schlehofer

Sebastian Schlehofer

Mar­ke­ting­kom­mu­ni­ka­ti­on

(030) 34984–172