Gerade in der heutigen Zeit schaffen es Hackerangriffe regelmäßig in die Nachrichten. So werden große Teile der IT-Infrastruktur ganzer Gemeinden, Unternehmen und Behörden gekapert, verschlüsselt und jeglicher Funktionalität beraubt, gefolgt von dreisten Erpressungsversuchen. Neben ausgeklügelter Technik setzen die Täter vor allem auf Lücken in der Sicherheitsarchitektur ihrer Ziele und deren Anwender, welche zumeist aus auf diese Gefahr nicht sensibilisierten Mitarbeitern bestehen. Die Konsequenzen für einen Betroffenen sind oft existenzbedrohend, und die Hilfestellung seitens der Polizei fällt meist dürftig aus. Trennen Sie sich hier unbedingt von der Vorstellung, dass Ihr „kleiner“ Betrieb für Hacker und Betrüger kein lohnendes Ziel sein könnte. Über riesige E-Mail-Phishing-Kampagnen werden Millionen E-Mail-Adressen zum Ziel dieser Kriminellen. Haben diese Erfolg, wird eine Routine gestartet, die nichts mit der Größe Ihrer Firma zu tun hat.
Um hier vorzubeugen, möchten wir Ihnen ein paar Tipps an die Hand geben, wie Sie Ihr Unternehmen bestmöglich auf diese ganz akute Gefahr vorbereiten bzw. wappnen können.
Phishing-Mails
In unserer zunehmend vernetzten Welt sind Phishing-Mails zu einer allgegenwärtigen Bedrohung geworden. Täuschend echt gestaltete E-Mails, die von vertrauenswürdigen Quellen zu stammen scheinen, locken Nutzer dazu, sensible Informationen preiszugeben. Diese betrügerischen Nachrichten können dazu führen, dass ahnungslose Empfänger persönliche Daten, Passwörter oder Kreditkarteninformationen an Cyberkriminelle übermitteln. Das Tückische an Phishing-Angriffen ist ihre Vielfältigkeit und ständige Evolution, wodurch sie oft schwer zu erkennen sind. Die Folgen können gravierend sein: von finanziellem Verlust bis hin zum Identitätsdiebstahl. In einer Welt, in der E-Mails ein unverzichtbares Kommunikationsmittel sind, ist das Bewusstsein für die Gefahren von Phishing-Mails entscheidend, um sich selbst zu schützen.
Um sich vor Phishing-Mails zu schützen, sollten Sie präventive Maßnahmen überlegen und ein kritisches Bewusstsein für diese sehr konkrete Bedrohung entwickeln. Zunächst sollten Sie und Ihre Mitarbeiter niemals auf Links oder Anhänge in verdächtigen E-Mails klicken! Auch wenn eine E-Mail auf den ersten Blick legitim erscheint, lohnt es sich, die Absenderadresse genau zu prüfen und nach Ungereimtheiten zu suchen. Eine weitere effektive Methode ist die Verwendung von Spam-Filtern, die viele Phishing-Versuche automatisch erkennen und blockieren. Darüber hinaus ist es ratsam, regelmäßig Passwörter zu ändern und Zwei-Faktor-Authentifizierung zu nutzen, wo immer sie verfügbar ist. Bildung und kontinuierliche Aufklärung über aktuelle Phishing-Taktiken können ebenfalls dazu beitragen, dass man nicht zum Opfer dieser heimtückischen Angriffe wird. Indem jeder Einzelne Wachsamkeit und Vorsicht walten lässt, kann das Risiko, durch Phishing-Mails Schaden zu erleiden, deutlich reduziert werden.
Kommunizieren Sie hier mit Ihren Mitarbeitern, wenn es auffällige Bewegungen in ihren Postfächern gibt! Nur weil Sie so vorsichtig sind und eine Phishing-Mail erkennen können, heißt das nicht, dass dies auch für den neben Ihnen sitzenden Kollegen gilt!
Benennung eines IT-Verantwortlichen
Nicht jeder Betrieb kann sich eine IT-Abteilung leisten, sollte aber dennoch einen Mitarbeiter bestimmen, der technikaffin ist und die nötigen Kenntnisse besitzt, die genutzte Software zu überblicken, aktuell zu halten und auf mögliche Gefahren hin zu analysieren. Welche Hardware wird genutzt, welche Programme wurden auf diesen installiert? Gibt es zusätzliche private Hardware, die von den Kollegen für die Arbeit genutzt wird? Wie ist es hier um die Sicherheit bestellt, welche Informationen könnten hier bei einem erfolgreichen Angriff abgegriffen werden?
Es lohnt sich auch regelmäßig, den Nutzwert der verwendeten Software infrage zu stellen. Ist diese noch zeitgemäß, besteht hier noch ein offizieller Support, und sind mögliche Sicherheitslücken bekannt? Welche Software ist obsolet geworden oder wird nur noch von wenigen Mitarbeitern auf unproduktive Weise genutzt? Wiegen Sie hier ab, ob die Sicherheit nicht höher zu gewichten ist, oder man den Mitarbeitern eine Anpassung ihres Arbeitsprozesses zumuten möchte.
Privates Surfen Ihrer Mitarbeiter
Wie so oft stellt der Faktor Mensch ein großes Risiko für die Sicherheit dar. Er ist aber auch der Leistungsträger, der ihr Unternehmen zum Erfolg führt. Wie also mit den Angestellten umgehen, wenn es um das Thema IT-Sicherheit geht? Betreiben Sie Aufklärung, unterbinden Sie nach Möglichkeit den privaten Gebrauch der Firmengeräte für das Surfen und dem privaten Kommunizieren mit dem persönlichen Umfeld. Lässt sich hier die Nutzung nicht einschränken bzw. ist diese Einschränkung zu teuer oder aufwändig, sprechen Sie mit ihren Kollegen und zeigen Sie Ihnen auf welche Weise man gefährliche Webseiten erkennt und warum diese so gefährlich sind.
Erkennungsmerkmale gefährlicher Webseiten
Gefährliche Webseiten können oft an bestimmten Merkmalen erkannt werden, die auf potenzielle Risiken hinweisen. Ein erstes Warnsignal ist eine fehlende oder ungültige SSL-Zertifizierung, erkennbar an der Abwesenheit des „https://“-Präfixes in der URL oder einer Warnmeldung des Browsers. Vorsicht ist auch geboten bei Seiten mit vielen Pop-ups, ungewöhnlicher Werbung oder Aufforderungen zum Herunterladen von Software. Eine weitere rote Fahne ist eine schlechte Gestaltung der Webseite, einschließlich zahlreicher Rechtschreib- und Grammatikfehler, sowie einer unübersichtlichen oder amateurhaften Aufmachung. Ebenso sollten Nutzer skeptisch sein bei Webseiten, die persönliche Informationen oder Zahlungsdaten erfragen, ohne dass ein klarer, vertrauenswürdiger Zweck ersichtlich ist.
Vorsichtsmaßnahmen und Tools zur Überprüfung
Um sich vor gefährlichen Webseiten zu schützen, sollten Nutzer stets aktuelle Sicherheitssoftware und Browser verwenden, da diese oft über integrierte Schutzmechanismen verfügen, die vor schädlichen Seiten warnen. Es ist ratsam, vor dem Besuch einer unbekannten Webseite eine schnelle Online-Überprüfung durchzuführen, beispielsweise mittels Webseiten-Sicherheitschecks, die von vielen Antivirus-Programmen angeboten werden. Auch die Überprüfung der Glaubwürdigkeit einer Webseite durch Online-Bewertungen und Kommentare kann hilfreich sein. Eine gesunde Skepsis und die Vermeidung von Klicks auf unbekannte Links, insbesondere in E-Mails oder auf sozialen Netzwerken, tragen ebenfalls dazu bei, das Risiko eines Besuchs gefährlicher Webseiten zu minimieren.
Aktive Benutzerrechteverwaltung
Welcher Nutzer braucht welche Rechte für seine Arbeit? Stellen Sie sich diese Frage unbedingt! Hier ist abzuwägen, welche Rechte auf dem Arbeitsrechner und den genutzten Programmen für die tägliche Arbeit des Kollegen erforderlich sind und ob man diese nicht noch weiter einschränken kann, ohne ihn bei der Ausführung seiner Tätigkeiten zu behindern. Prüfen Sie an dieser Stelle, welche Software welche Rechteverwaltung besitzt. Führen Sie sich hier immer vor Augen, welche Auswirkung ein erfolgreicher Angriff auf diesen Arbeitsplatz haben könnte und wie man durch ein Einschränken der Rechte diesen noch besser schützen könnte. Machen Sie Ihren Kollegen deutlich, dass es nicht um eine Degradierung geht, sondern um einen aktiven Schutz seines Arbeitsplatzes und den seiner Kollegen.
Regelmäßiges Prüfen und Anpassen der Nutzerrechte sollte einen regelmäßigen Platz in Ihrem Kalender oder dem Ihres IT-Verantwortlichen finden. Besprechen Sie auch im Team, z.B. während einer Betriebsversammlung, wie man hier den Schutz Ihres Unternehmens oder Betriebes stärken kann.
Nutzung von Sicherheitssoftware und Hinzuziehen eines Dienstleisters
Auch handwerkliche Betriebe können Dimensionen in ihrem Datenverkehr und -aufkommen erreichen, deren Verlust gar nicht oder nur sehr schwer zu verkraften ist. Sicherheitssoftware wie Virenschutz-, Hardware- und Softwarefirewalls sowie Malwareschutz sollten feste Bestandteile Ihrer digitalen Betriebsmittel sein. Werden Homeoffice-Plätze von Ihnen oder Ihren Angestellten genutzt, fragen Sie sich bitte, ob statt eines gesicherten VPN-Zugangs weiterhin Fernzugriffsprotokolle, File-Transfer-Protokolle und Dienste wie Remote Desktop Protokoll und Server Message Block genutzt werden, die über das offene Internet genutzt werden.
Passwortsicherheit
Nutzer gehen oft den bequemsten Weg und nutzen unsichere und logisch aus Lebensdaten herleitbare Daten wie Namen- und Geburtsdatenkonstellationen. Hier sollte es in Ihrer Firma ganz klare Regeln über die Zusammensetzung von verwendeten Passwörtern geben und auch Intervalle bestimmt werden, innerhalb dieser diese Passwörter durch neue zu ersetzen sind. Gibt es die Möglichkeit einer Multi-Faktor-Authentifizierung, ist diese zu nutzen! Hierdurch gewinnen Sie erheblich an Sicherheit.
Verwendung von Wechseldatenträgern
Ist eine Nutzung von Wechseldatenträgern nicht zu vermeiden, prüfen Sie diese regelmäßig nach der Verwendung durch ein entsprechendes Virenschutzprogramm. Schränken Sie die Verwendung solcher Geräte nach Möglichkeit weitestgehend ein!
Clouddienste
Hinterfragen Sie die Seriosität und Reputation eines möglichen Cloudanbieters. Ist dieser DSGVO-konform? Wo befindet sich der Geschäftssitz, welcher Gesetzgebung unterliegt der Anbieter, wo sind die Serverstandorte, die genutzt werden? Auch gewisse Services wie Backuproutinen, Zugriffskontrollen und Datenmanagementfunktionen können hier für die Wahl entscheidend sein.
Wenn alles schiefgelaufen ist – BACKUP
Hoffen wir, dass Sie nie ein Backup benötigen werden. Trotzdem sollte eines oder mehrere vorhanden sein, die im Ernstfall all Ihre Daten oder zumindest deren wesentlichen Teil wiederherstellbar machen. Überlegen Sie an dieser Stelle, wie oft und über welchen Zeitraum Backups angelegt werden sollen. Planen Sie hier sorgfältig eine Backup-Strategie mit voneinander unabhängigen Speicherorten und -ständen. Führen Sie, wenn möglich, Automatismen ein, kontrollieren Sie aber auch regelmäßig die Speicherstände und deren Konsistenz.
Schützen Sie sich vor unberechtigtem Zugriff
Halten Sie Ihre Hardware nach Möglichkeit unter Verschluss! Melden Sie sich vom Betriebssystem ab, auch dann, wenn Sie nur kurzzeitig den Arbeitsplatz verlassen! Befinden Sie sich in der Öffentlichkeit? Schützen Sie Ihre Geräte wie Handy, Tablet oder Notebook vor einem Zugriff durch Dritte. Nehmen Sie lieber einen Rucksack mit auf das WC, als das darin befindliche Notebook unbeaufsichtigt im Zugabteil liegen zu lassen. Den Kollegen mal über den eigenen Zugang an den PC lassen? Nein! Melden Sie sich ab und fordern Sie ihn dazu auf, seinen eigenen Account für die Anmeldung zu nutzen!
Fazit: Nicht sensibilisierter Umgang mit Webseiten (gerade beim privaten Surfen der Angestellten), leichtfertiger Umgang mit Spam-E-Mails und die Verwendung viel zu einfacher und oft noch logisch und im Zusammenhang mit persönlichen Daten stehender Passwörter setzen Ihre Firma einer ganz konkreten und existenzbedrohenden Gefahr aus! Nehmen Sie dieses Thema bitte ernst und suchen Sie bestmöglich Schutz, um sich auf einen möglichen Schadensfall vorzubereiten.
