Vollständigen Schutz gegen Datendiebstahl wird es nicht geben, solange der „Risikofaktor Mensch“ bleibt. Aber man kann es den Kriminellen zumindest schwermachen. Der Secure-Cloud-Provider idgard gibt Tipps, wie sich Unternehmen gegen Cyberattacken absichern.
Die Liste der Opfer von Cyberattacken ist lang: Einer aktuellen Bitkom-Studie zufolge waren im vergangenen Jahr mehr als 80 Prozent der befragten Organisationen betroffen. Dabei entsteht der deutschen Wirtschaft jedes Jahr ein Schaden in Höhe von mehr als 200 Milliarden Euro. Eines der größten Risiken neben dem Verlust von Daten durch Malware oder Ransomware ist Datendiebstahl.
Die Methoden der Hacker werden dabei immer dreister. Wie Unternehmen sich und ihre Mitarbeiter wirkungsvoll vor Cyberkriminellen schützen, zeigen die folgenden sieben Tipps.
1. Awareness schaffen – Phishing erkennen
„Kenne deinen Feind“, heißt das erste Gegenmittel. Um sich wirkungsvoll gegen Attacken schützen zu können, sollte man die Methoden der Angreifer kennen. Unternehmen sollten daher ihre Mitarbeiter schulen, wie sie beispielsweise Phishing-Mails erkennen. Phishing ist noch immer eine der häufigsten Methoden, mit denen Cyberkriminelle versuchen, sich Zugang zu fremden Systemen zu verschaffen. Dabei versuchen die Betrüger, ihre Opfer mithilfe von gefälschten E-Mails, Webseiten oder Nachrichten in sozialen Netzwerken zur Weitergabe von sensiblen Informationen wie beispielsweise Zugangsdaten zu Firmennetzwerken zu bringen. Diese Mails, Webseiten und Nachrichten sind auf den ersten Blick meist nicht als Fälschungen zu erkennen. Wissen die Mitarbeiter, worauf sie achten müssen, ist das Risiko sehr viel geringer, dass sie in die Falle tappen.
2. Antiviren-Software aktuell halten
Jeden Tag entstehen hunderttausende neue Viren- und Malware-Varianten. Antivirenprogramme erkennen zwar nicht alle neuen Varianten – aber immerhin die weit verbreiteten. Trotzdem sollten Unternehmen Firewalls und Antivirensoftware nutzen und diese auch stets aktuell halten. Dasselbe gilt übrigens im Grunde für jede Software, die im Unternehmen genutzt wird. Denn Hacker nutzen auch bekannte Sicherheitslücken, um Systeme mit Schadsoftware zu infizieren. Security-Updates der Hersteller schließen diese Lücken. Veraltete Software stellt daher ein Sicherheitsrisiko dar, das sich mit wenig Aufwand aus der Welt schaffen lässt.
3. Sichere Passwörter verwenden
„123456“ und „passwort“ führen seit Jahren die Toplisten der unsichersten Passwörter an – und gehören trotzdem noch immer zu den am häufigsten verwendeten Zugangsdaten. Die Grundregeln für ein sicheres Passwort sind recht einfach zu merken: Es sollte aus mindestens 10 Zeichen bestehen, darunter Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben. Außerdem sollten keine Geburtstage oder Namen verwendet werden – auch nicht der Kosename des Haustiers. Genauso wichtig: Niemals dasselbe Passwort für verschiedene Zugänge nutzen! Wer sich viele Zugangsdaten merken muss, benutzt am besten einen Passwortmanager.
4. Zugänge mit einem zweiten Faktor absichern
Ein sicheres Passwort ist nur die halbe Miete: Um Zugänge, beispielsweise zu Firmennetzwerken oder Collaboration-Tools, wirkungsvoll abzusichern, empfiehlt es sich, einen zweiten Faktor zur Nutzerauthentifizierung einzurichten. Der Nutzer bekommt dann bei der Anmeldung einen Code geschickt, etwa per Handy oder Mail, den er zusätzlich zu Nutzernamen und Passwort eingeben muss. Dann können sich Angreifer selbst dann nicht ohne Weiteres Zugang zu einem Online-Konto oder System verschaffen, wenn ihnen die Zugangsdaten bekannt sind.
5. Eine Backup-Strategie entwickeln und umsetzen
Was tun, wenn doch einmal der Ernstfall eintritt? Eine sinnvolle und gut umgesetzte Backup-Strategie schützt zwar nicht vor Angriffen, kann aber dabei helfen, das Risiko eines kritischen Datenverlusts auf ein Minimum zu reduzieren. Die Datensicherung sollte dabei entweder in regelmäßigen Abständen oder abhängig vom Umfang der zu sichernden Daten erfolgen. So entsteht eine möglichst geringe Datendifferenz zwischen dem letzten Backup und einem möglichen Datenverlust.
Eine bewährte Strategie ist die sogenannte „3-2-1-Backup-Regel“: 3 – dreifache Ausführung der Daten: Das Original, an dem gearbeitet wird, plus zwei Kopien. 2 – zwei verschiedene Medientypen zur Datenspeicherung – zum Beispiel eine lokale Festplatte und die Cloud. 1 – eine Kopie „außer Haus“: Einer der Datensätze sollte sich an einem anderen Ort befinden als die anderen Kopien – beispielsweise in der Cloud.
6. Sichere Collaboration-Dienste nutzen
Seit Beginn der Pandemie hat ein großer Teil der deutschen Unternehmen seine Prozesse umgestellt. Abläufe wurden digitalisiert, Daten in die Cloud übertragen, ortsunabhängige Zusammenarbeit ist das neue Normal – und das ist grundsätzlich auch gut so. Doch noch immer nutzen viele Unternehmen unsichere Ad-hoc-Lösungen oder unverschlüsselte E-Mails, um sensible Daten mit Kunden, Partnern und Kollegen auszutauschen. Das kommt nicht nur einer Einladung für Cyberkriminelle gleich, sondern stellt im schlimmsten Fall sogar einen direkten Verstoß gegen Datenschutzvorschriften dar. Denn der rechtskonforme Austausch personenbezogener Daten erfordert besondere technische Schutzmaßnahmen und damit ein Maß an Datenschutz, das viele Filesharing-Dienste nicht bieten können.
Stattdessen sollten Unternehmen auf Business-Lösungen setzen, die nachweisbar ein angemessenes Sicherheitsniveau bieten. Dazu gehören zum Beispiel Collaboration-Tools wie virtuelle Datenräume oder versiegelte Cloud-Dienste, die Angreifer mit technischen Maßnahmen zuverlässig ausschließen. Datenschutz-Zertifikate, etwa nach dem Trusted-Cloud-Datenschutzprofil, helfen dabei, eine geeignete Lösung zu finden.
Anzeige
Trovarit Academy – Wissensvermittlung auf höchstem Niveau
- Zertifikatskurse der RWTH Aachen (Project Manager Business Software, Change Management in Business Software Projekten & Enterprise Data Manager)
- Webinare & Downloads speziell zum Thema SAP-Projekte
- Webinare zu Software-Projekten von A–Z
- Webinarreihe „Künstliche Intelligenz (KI) konkret“
Trovarit-Academy besuchen
7. Vorsicht vor öffentlichen Hotspots und unbekannten Netzwerken!
Frei zugängliche WLAN-Hotspots sind bequem – aber sie sind auch unsicher. Sind die Zugänge unverschlüsselt, ist es für andere Teilnehmer im selben Netzwerk nicht schwierig, übertragene Daten abzufangen und Nachrichten mitzulesen. Das umfasst nicht nur die vertrauliche Mail des Chefs, sondern zum Beispiel auch Zugangsdaten. Wer auf Nummer sicher gehen will, nutzt in fremden WLANs entweder ein VPN (Virtual Private Network) oder hochsichere Collaboration-Tools, bei denen sowohl Datenverkehr als auch Kommunikation verschlüsselt sind. jf
Der Autor
Andreas Dirscherl ist Director Cloud Operations beim Secure-Cloud-Provider idgard – uniscon GmbH, einem Tochterunternehmen der TÜV SÜD Gruppe.