DIE 10 WICHTIGSTEN MASSNAHMEN GEGEN ATTACKEN
Die Medien berichten beinahe täglich von Cyberattacken und Sicherheitslücken. Beschleicht auch Sie ein seltsames Gefühl, wenn Sie sich nicht sicher sind, in wie weit Ihr Unternehmen die neusten Datenschutzbestimmungen einhält und ob Ihr Unternehmen gegen einen Cyberangriff wirklich geschützt ist? Dann empfehlen wir Ihnen erst recht unsere Tipps, wie Sie Ihr KMU besser schützen. Mit der Sensibilisierung der Mitarbeiter erreichen Sie schon viel, da die Mitarbeiter die grösste Sicherheitslücke darstellen.
Gerne begleiten wir Ihr Unternehmen, um Sie Datenschutzkonform aufzustellen und Ihre Mitarbeiter auf die Informationssicherheit zu sensibilisieren.
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Mitarbeiter haben die verschiedensten Funktionen und Aufgaben und benötigen dazu die entsprechende Software, so ergibt es sich sehr wohl, dass unterschiedliche Anforderungen an einen Arbeitsplatzrechner gestellt werden. Die Installation spezieller Software sollte nur durch den IT-Verantwortlichen erfolgen. So lässt sich verhindern, dass Mitarbeiter Programme installieren, die unter Umständen bereits mit einer Schadsoftware infisziert sind.
2. Erstellen Sie ein Inventar der Hard- und Software
2. Erstellen Sie ein Inventar der Hard- und Software
Um den Überblick zu behalten, ist es zwingend notwendig ein Inventar über die Hardware und Software zu führen. Dazu gehören Arbeitsplatzgeräte mitsamt Anwendungen, Server, Smartphones, wie auch Drucker und andere Netzwerkgeräte. Aufgrund der eingesetzten Hardware und Software-Versionen lässt sich schnell entscheiden, ob das Unternehmen bei einem Cyberangriff betroffen sein könnte. Zudem haben sie einen guten Überblick über den aktuellen Stand der Versionen.
3. Überprüfen Sie welche fremde und private Geräte im Netz angeschlossen sind
3. ….Anschluss fremder und privater Geräte im Netz kontrollieren
Private Notebooks oder auch Smartphones und Geräte von Gästen können ein Sicherheitsrisiko sein, zumal Ihnen nicht bekannt ist, welche Applikationen und Software Versionen auf diesen Geräten laufen und in wie weit diese Viren auf sich tragen. Wenn private Geräte in Ihrem Betrieb erlaubt sind, dann sollten diese in einem eigenständigen Netzwerk laufen. Zudem sollte der Umgang mit USB-Sticks und die Downloadpolicy geregelt sein, um das Einschleusen von Viren zu verhindern.
4. Sind Ihre Server und Arbeitsstationen sicher konfiguriert?
4. Server und Arbeitsstationen sicher konfigurieren («härten»)
Nach der Grundinstallation sollten die Systeme in ihrem Unternehmen nochmals überprüft und abgesichert werden. Anforderungen an die Passwortlänge klar definiert und die Zugriffsrechte eingeschränkt werden. Sind Dienste deaktiviert, die nicht benötigt werden.
5. Regelmässige Überprüfung des Firmennetz auf Schwachstellen
5. Periodisch das Firmennetz auf Schwachstellen prüfen
Überprüfen Sie Ihr Firmennetz regelmässig auf Schwachstellen? Regelmässige Scans helfen, das Unternehmen auf aktuelle Gefährdungen hin zu prüfen und den Stand der Sicherheit überprüfen.
Es gibt verschiedene kommerzielle und kostenfreie Software-Scanner-Lösungen. Verbreitet ist zum Beispiel Greenbone Community Edition. Um sich über den aktuellsten Stand zu informiern, bietet die NON-PROFIT-Organisation “The Open Web Application Security Project” (OWASP) einen guten Überblick. Ein wichtiges Element ist die regelmässige Sensibilisierung der Mitarbeiter in Ihrem Unternehmen. Die IT-Sicherheit im Unternehmen steht und fällt mit den Mitarbeitern. Mit den technischen Massnahmen können viele Cyberangriffe abgewehrt werden, sie können jedoch damit nicht ausschliessen, dass es trotzdem noch Sicherheitslücken gibt. Das wissen die Cyberkriminellen und fokussieren sich deshalb vermehrt auf die Mitarbeiter, zum Beispiel mit Phishing-Mails.
6. Verwenden Ihre Mitarbeiter sichere Passwörter?
6. Sichere Passwörter verwenden
Passwörter sind das Sicherheitsproblem Nummer eins. Immer wieder kommt es vor, dass Hacker die Datenbanken von Unternehmen knacken und Zugangsdaten von Nutzern entwenden. Oft wissen das die Nutzer eigentlich gar nicht! Die kostenlose Web-App “Have I Been Pwned” findet heraus, ob Ihre Zugangsdaten gestohlen wurden. Unter dieser Domain bietet der australische Sicherheitsforscher Troy Hunt Nutzern eine Möglichkeit an, zu prüfen, ob ihre E-Mail-Adresse Teil bekannter grosser Daten-Leaks ist. Das Bundesamt für Sicherheit in der Informationstechnik in Deutschland (BSI) hält den Betreiber des Dienstes für vertrauenswürdig. Zu den Leaks, die Hunt berücksichtigt, kam es oft durch Datenlecks bei Unternehmen, nicht durch ein Fehlverhalten der Nutzer. Um ein Ergebnis angezeigt zu bekommen, tippt man seine Adresse ins Eingabefeld und klickt auf “pwned? Das Passwort “123456” taucht gemäss der Plattform 23’5 Millionen Mal als gestohlen auf.
Aktuell befinden sich 428 Webseiten mit 9 Milliarden Accounts in der Datenbank, darunter Plattformen wie europajobs, Adobe, Yahoo und Snapchat . Darüber hinaus verfügt die Web-App über eine Benachrichtigungs-Funktion, die Sie automatisch informiert, wenn Ihre E-Mail gehackt worden ist.
Was ist bei einem Passwort zu beachten:
Benutzerpasswörter sollten mindestens 12 Zeichen lang sein, Administratorenpasswörter für die Systemverwaltung 16 Zeichen.
Passwörter sollten mindestens Gross- und Kleinbuchstaben sowie Zahlen enthalten.
Jedes Konto – Anmeldung am Computer, am Cloud-Speicher, am ERP, CRM etc. – benötigt ein eigenes Passwort.
7. Sensibilisieren Sie Ihre Mitarbeiter
7. Sensibilisieren und schulen Sie die Mitarbeitenden in IT-Sicherheit
Sensibilisieren Sie Ihre Mitarbeiter darauf, dass insbesondere die Passwortregeln aus Gründen der IT-Sicherheit und dem Datenschutz erforderlich sind und damit die Betriebssicherheit sicher gestellt werden kann. Erklären und unterstützen Sie, insbesondere diejenigen Mitarbeiter, die sich damit schwertun.
8. Mitarbeiter auf die Gefahren von Phishing-Mails sensibilisieren
8. Mitarbeitende für die Gefahren von Phishing-Mails sensibilisieren
Phishing-Mails, die Zugangsdaten ergaunern, gehören leider zum Alltag. Das Wort setzt sich zusammen aus „password“ und „fishing“. Der Angreifer versucht dabei, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internetnutzers zu gelangen und diese für seine Zwecke, meist zulasten des Opfers, zu missbrauchen.
Eine der gemeinsten Varianten ist Ransomware. Ein Schadprogramm, dass sich auf Ihrem Rechner oder System einnistet und all Ihre Dateien verschlüsselt und den Zugriff auf Daten und Systeme einschränken oder verhindern. Der Zugang wird nur gegen Zahlung eines Lösegeldes (engl. „ransom“) wieder freigegeben. Es handelt sich dabei um eine Form digitaler Erpressung.
Sensibilisieren Sie die Mitarbeitend darauf, kritisch zu sein – Schulen Sie die Mitarbeiter darin, die Schadsoftware zu erkennen.
9. Admin-Rechte für Benutzer nicht lokal vergeben
9. Keine lokalen Admin-Rechte für Benutzer
In der täglichen Arbeit sollten alle Mitarbeiter mit einem Standard-Benutzerkonto arbeiten und nie mit Administrator-Rechten. Damit sorgen Sie für eine zusätzliche Schutzstufe, falls ein Rechner plötzlich einen Virus haben sollte.
10. Zugriffsrechte auf Dateiablagen im lokalen Netz und Cloud einschränken
10. Minimale Zugriffsrechte auf Dateiablagen im lokalen Netz und in der Cloud
Arbeiten Sie mit Gruppen und legen Sie Verzeichnisse für Produktion, Verkauf, Marketing, Administration, Buchhaltung etc. an. Schränken Sie den Zugriff der Gruppen auf die jeweiligen Ordner ein und legen Sie Backup- und Archivdaten an einem separaten Ort ab. Machen Sie regelmässig ein Backup. Prüfen Sie die Rückspielung der Backups. Im Idealfall verhindern Sie damit auch, dass nach einem Cyberangriff Ransomware sämtliche Daten verschlüsseln kann.