Cybercrime betrifft jeden - Schützen Sie Ihr Unternehmen

Image-Verlust, Geheimnisoffenbarung, finanzieller Schaden oder gar die Insolvenz.

Das alles kann Ihnen drohen, wenn Sie die Gefahr des Cybercrime zu spät erkennen und nicht vorbereitet sind. Nutzen Sie die Möglichkeit, um sich noch rechtzeitig zu positionieren und Angreifern den Datendiebstahl in ihrem Unternehmen zu erschweren.

NA SICHER, CHEF!

IT-Sicherheit ist absolute Chefsache. Ohne konsequente Unterstützung und Vorgabe der Unternehmensleitung kann keine dauerhaft ausreichende Sicherheit für Ihr Unternehmen gewährleistet werden.

Notwendig ist hierbei vor allem das Erstellen, Pflegen und (Vor-)Leben einer umfassenden IT-Sicherheitsleit- und -richtlinie.

Lernen Sie dadurch die eigenen Sicherheitsbedürfnisse und -anforderungen kennen und sensibilisieren Sie Ihre Mitarbeiter.

Sicherheit ohne Chef gibt es nicht!

WIR BRAUCHEN EINEN PROZESS!

Um Sicherheit strukturiert und effizient zu organisieren, ist es notwendig, einen geregelten Prozess zur IT-Sicherheit als festen Bestandteil in Ihren Unternehmensalltag einfließen zu lassen. Ein IT-Sicherheitsbeauftragter, ausgestattet mit den erforderlichen Ressourcen, sorgt für dessen Umsetzung.

OHNE TOOLS GEHT GAR NICHTS!

Essentiell ist auch der Einsatz effektiver Sicherheitswerkzeuge, die es Ihnen ermöglichen, gegen unterschiedliche Angriffstypen stand zu halten und Ihre Daten zu schützen.

Eine geeignete Firewallarchitektur (Richtig konfiguriert!), der Einsatz von Virenscannern (Erkennen nicht alles!) und ggf. Intrusion Detection Systeme (Verwaltungsaufwand nicht unterschätzen!) bilden hierbei die Grundausstattung.

WER GREIFT UNS AN?

Wissen Sie eigentlich, mit wem Sie es zu tun haben? Potentielle Angreifer kommen aus allen Schichten:

  • Mitarbeiter aus unterschiedlichen Motiven (Frust, Neugierde, Rache)
  • Technisch Nicht-versierte mit 1-Klick-Angriffstool (Skript-Kiddie)
  • Technisch motivierte Personen mit hohem Know-How (Hacker)
  • Gruppen zur Durchsetzung politischer Interessen (Hacktivism)
  • Organisierte Banden mit umfangreicher Ausstattung (Cyber-Kriminielle)
  • Staatliche Stellen mit unbegrenzten Ressourcen (Nachrichtendienste)
  • Wettbewerber (Neider)

WO UND WIE ATTAKIERT MAN UNS?

Cyber-Angriffe können von allen Seiten stattfinden:

  • Auf Netzwerkebene: (>> z.B. Firewall, Webserver, Datenbank)
  • Bei Anwendungen: (>> z.B. SQL-Injection, XSS, CSRF)
  • Über Kommunikationskanäle: (>> z.B. Phishing, Man-In-The-Middle, Advanced Persistent Threads)
  • Durch Schadsoftware: (>> z.B. Drive-By-Download, per PDF, Mail-Anhang, USB-Stick)
  • Bei der Entsorgung: (>> z.B. Rekonstruktion von gelöschten Festplatten, Rückgabe von Leasing-Geräten, Unzureichende Aktenvernichtung)
  • Mittels Social Engineering: (>> z.B. telefonisch, in sozialen Netzwerken)

WIR MÜSSEN VERSCHLÜSSELN!

Krypthographie funktioniert! Denken Sie daran,

  • Unternehmensnetze sicher zu verbinden (VPN)
  • Datenträger zu verschlüsseln (z.B. AES-256 Bit)
  • Webanwendungen abzusichern (HTTPS, HSTS, Secure-Cookie-Flag)
  • STARTTLS beim Mailserver zu konfigurieren
  • Ende-Zu-Ende Verschlüsselung einzusetzen (z.B. S/MIME mit 2048 Bit)
  • Drahtlose Netze richtig zu betreiben (WPA2 mit 20-stelligem Passwort)
  • Daten vor der Ablage in der Cloud zu verschlüsseln (z.B. AES-256 Bit)
  • Passworte sicher zu speichern (z.B. PBKDF2)
  • Entschlüsselungsversuche mit Perfect Forward Secrecy zu erschweren

WER IST FÜR WAS BERECHTIGT?

A und O eines durchgängigen Sicherheitskonzepts ist ein sauber gepflegtes Berechtigungsmanagement ohne "Leichen". Hierbei sollte nach dem Motto verfahren werden: Nur die absolut erforderlichen Rechte erteilen.

Gruppenkennungen sind zu vermeiden, da damit eine belastbare Vorgangsprotokollierung nicht möglich ist.

Insbesondere bei administrativen Kennungen muss eine sehr strenge Reglementierung und Vergabepraxis erfolgen. Bei Daten mit erhöhtem Schutzbedarf sollte zudem das Vier-Augen-Prinzip berücksichtigt werden, um internen Datendiebstahl durch einzelne Personen zu erschweren.

LASST UNS PATCHEN!

Sicherheitslücken gehören zum IT-Alltag. Aus diesem Grund ist es sehr wichtig, möglichst rasch zu patchen und bekannte Schwachstellen zu reparieren. Erkunden Sie selbst über Suchmaschinen den eigenen Perimeter und bringen Sie Hersteller-Hinweise über Sicherheitslücken rechtzeitig in Erfahrung.

Seien Sie sich bewusst, dass Angreifer oft mehr über Ihre Systeme und die dabei bestehenden Exploits kennen als Ihnen lieb sein dürfte.

SIND MOBILE GERÄTE GEFÄHRLICH?

Mobile Anwendungen und Geräte müssen mit Bedacht eingesetzt werden. Ein Mobile Device Management hilft Ihnen dabei, eine einheitliche SicherheitsPolicy auf alle eingesetzte Geräte zu bringen. Auf "Bring-your-own-device" sollte weitestgehend verzichtet werden, da sich dieses Verfahren kaum sicher um- bzw. einsetzen lässt.

Mit einer sog. Whitelist können Sie kontrollieren, welche Apps auf den Geräten zulässig sind. Gezielte Datenschutzprüfungen bringen Ihnen im Zweifelsfall die nötige Klarheit über mögliche Bedrohungen bei Apps (z.B. Diebstahl von Geschäftskontakten).

DATENFLÜSSE IM AUGE BEHALTEN!

Wem teilen Sie eigentlich alles Ihre Suchanfragen und Aktivitäten mit? Die Daten, die Ihr Unternehmen verlassen, verraten sehr viel über Ihr Arbeitsgebiet und mögliche Projekte. Versuchen Sie, Ihre Kommunikation nach außen zu begrenzen, indem Sie z.B. Anwendungen sperren und Ports schließen. Verfahren zur Data Loss Prevention können dabei hilfreich sein. Achten Sie dabei auf ein gesundes Gleichgewicht zwischen Datenüberwachung und Mitarbeiterkontrolle. Regeln Sie zudem gezielt den Umgang mit Suchmaschinen und Einträgen in sozialen Netzwerken in Ihrem Unternehmen.

 


Weitere Datenschutz News

 

DSB-Meldung - online & sicher 22.05.2018 Lesen
3 von 4 Unternehmen verfehlen die Frist der Datenschutz-Grundverordnung 20.05.2018 Lesen
Datenschutz in der Cloud: US-Gerichtshof urteilt über Zugriff auf europäische Daten 28.02.2018 Lesen
Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 17.02.2018 Lesen
Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern 05.01.2018 Lesen
Neue EU-Datenschutzgrundverordnung: Vielen Firmen drohen böse Überraschungen 25.11.2017 Lesen
Uber verschwieg Daten-Diebstahl bei 50 Millionen Kunden 22.11.2017 Lesen
Ordinypt: Erpressungstrojaner bedroht deutsche Firmen 10.11.2017 Lesen
Kritische Lücken in WPA2 gefunden 17.10.2017 Lesen
Finger weg von SHA-1: 320 Millionen Passwörter geknackt 06.09.2017 Lesen
Cybercrime betrifft jeden - Schützen Sie Ihr Unternehmen 28.06.2017 Lesen
Mein Auto – meine Daten? 02.06.2017 Lesen
Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm 13.05.2017 Lesen
Hacker erpressen Apple mit Löschung der iCloud-Konten 23.03.2017 Lesen
Datenschutz-Grundverordnung: Bußgelder und Sanktionen 07.03.2017 Lesen