13 Tipps wie Sie Ihre IT-Sicherheit verbessern für Anwender und Führungskräfte
Hier haben wir Ihnen Verhaltensregeln und allgemeine Informationen zusammengestellt, wie Sie sich besser vor aktuellsten Cyber-Bedrohungen schützen. Ich hoffe, Sie können den einen oder anderen Tipp mitnehmen und Ihre persönliche IT-Sicherheitslage etwas verbessern.

Es ist kein Technologieproblem. Es ist ein Menschenproblem.

Wenn es um Sicherheit geht, ist Ihre Organisation einem Haus sehr ähnlich. Zum Schutz haben Sie Türen, Schlösser, Fenster und Zäune. Um Bedrohungen zu erkennen, verfügen Sie über Alarme, Bewegungsmelder, Überwachung und Kriminalitätsüberwachung. Um auf Drohungen zu reagieren, haben Sie möglicherweise einen Hund, eine Waffe, die Hilfe der örtlichen Polizei und die Möglichkeit, einen Versicherungsanspruch einzureichen.

Eindringlinge können jedoch weiterhin Zugriff erhalten. Unternehmen sitzen im selben Boot und verfügen in vielen Fällen über alle möglichen Technologien der nächsten Generation, um Bedrohungen zu schützen, zu erkennen und darauf zu reagieren, und trotzdem verschaffen sich Eindringlinge immer noch Zugang. Warum? 95% der Verstöße sind auf menschliches Versagen zurückzuführen.

Daher ist es unbedingt erforderlich, sich auf die Früherkennung und die Reaktion auf einen Einbruch zu konzentrieren, um den Schaden zu begrenzen, da es nun mal keine Möglichkeit gibt, alle fernzuhalten.

Kein “IT-Typ” hat alles im Griff

Während die meisten Unternehmen nicht über eine interne IT-Ressource verfügen, die sowohl IT-Anwendungen als auch IT-Infrastruktur verwaltet (da es unmöglich ist, die Spezialisierung und Bandbreite in einer Person zu finden), arbeiten viele Unternehmen immer noch mit einem „IT-Mitarbeiter“ eines Drittanbieters zusammen. Auch wenn sich diese Person nur auf die IT-Infrastruktur konzentriert, gibt es immer noch erhebliche Lücken in Bezug auf Fähigkeiten und Wissensbreite. Der entscheidende Begriff ist “Single Point of Failure – einzige Fehlerstelle”. Dies war vor 20 Jahren viel weniger ein Problem. IT-Systeme sind jedoch viel dezentraler und komplexer geworden und erfordern nun die Überwachung durch Spezialisten in verschiedenen Disziplinen wie Öffentliche Cloud, Sicherheit und Mobilität. Arbeitet einer Ihrer Anbieter noch mit nur einem IT-Mitarbeiter? Denken Sie daran, Sie sind nur so sicher wie Ihr schwächstes Glied.

Cyberkriminalität hat sehr niedrige Eintrittsbarrieren

Cyberkriminalität ist zunehmend für jedermann zugänglich. Es gibt Online-Stellenausschreibungen, anonyme Zahlungssysteme und Marktplätze, auf denen personenbezogene Daten rund um die Uhr gekauft und verkauft werden. Sie können sogar R400-Softwareprogramme (eine Fernbedienung) kaufen, um sich in Systeme zu hacken. Viele Plattformen haben ähnliche Bewertungen wie Amazon-Bewertungen und einige ermöglichen es Ihnen, Optionen wie Gold, Silber und Platin auszuwählen, je nachdem, welche Art von Unterstützung Sie wünschen.

Wie unheimlich ist das?

Cyberkriminalität wird über Social-Engineering ausgeübt

Phishing ist die häufigste Form des Social Engineerings. Es erscheint häufig in E-Mails, Chat-Tools und Web-Anzeigen. Es sieht so aus, als stamme es von einem echten Unternehmen und vermittelt ein Gefühl der Dringlichkeit oder erfordert sofortiges Handeln. Ein Hacker könnte sich als Unternehmen verkleiden, das einem Endbenutzer eine Rechnung per E-Mail sendet. Wenn sie auf den Anhang klicken, wird ein Virus im System freigesetzt. Oder Sie lesen einen Artikel auf Spiegel-Online und klicken unabsichtlich auf eine Anzeige, die Sie zu einer Website weiterleitet, die mit einem Exploit-Kit ausgestattet ist, mit dem Viren, Malware oder Ransomware auf Ihren Computer heruntergeladen werden.

So schnell geht das.

Sie müssen das nicht alleine machen

Es gibt mehrere Gründe, warum Ihr Unternehmen mit hagel-IT zusammen arbeitet. Sicherheit ist sicherlich einer von ihnen. Wenn Sie verdächtige oder zufällige E-Mails von DHL, Amazon, Facebook, Microsoft Office, DocuSign, DropBox und LinkedIn erhalten (um nur einige zu nennen), üben Sie die 5-Sekunden-Regel und machen Sie eine Verschnaufpause, bevor Sie antworten oder klicken. Ich würde immer den Absender anrufen, um alle Anfragen zur digitalen Signatur zu bestätigen. Bitte leiten Sie fragwürdige E-Mails an uns weiter. Wir sind hier um zu helfen.

Social Engineering nimmt viele Formen an

Das “Ködern” bietet dem Leser etwas im Austausch für private Informationen. Das kann ein kostenloser Musikdownload sein oder ein Blick auf einst schlanke Filmstars, die jetzt in ihren Badeanzügen etwas kräftiger aussehen. Quizfragen auf Facebook scheinen völlig unschuldig zu sein, aber in einigen Fällen geben Sie möglicherweise Antworten ein, die mit denen übereinstimmen, die für Sicherheitsfragen bei Ihren Online-Banking-Konten verwendet werden.

Haben Sie in letzter Zeit Angebote für kostenlose Kreditauskünfte gesehen? Mit Vorsicht fortfahren. Besser noch, fahren Sie überhaupt nicht fort. Es gibt eine Reihe von Betrügereien, die kostenlose Kreditberichte anbieten, die Kreditgebühren mit Kontonummern enthalten, die Sie nicht kennen. Wenn Sie dann anrufen, um die Gebühr zu bestreiten, werden Sie möglicherweise dazu verleitet, den Fehler zu korrigieren, indem Sie Ihre legitime Kontonummer, Ihren Sicherheitscode oder sogar Ihre Sozialversicherungsnummer angeben.

Telefonnummern können gefälscht werden, was viele Leute überrascht, da die meisten von uns es gewohnt sind, Nummern bekannter Unternehmen als Goldstandard für die Überprüfung zu vertrauen. Das Gleiche gilt für Textnachrichten. Wenn Sie sich für Newsletter und Angebote für geschlossene Inhalte auf Facebook anmelden und an Petitionen in sozialen Medien teilnehmen, stimmen Sie möglicherweise Servicebedingungen zu, die es ihnen ermöglichen, Ihre Nummer zu verkaufen, oder Sie geben Ihre Nummer direkt an eine betrügerische Einrichtung weiter.

Social Engineering ist jedoch nicht immer technologieorientiert. Tailgating tritt auf, wenn eine nicht autorisierte Person einem Mitarbeiter in einen Sperrbereich ihres Unternehmens folgt. Betrüger bitten häufig ahnungslose Mitarbeiter, ihnen Türen aufzuhalten, indem sie behaupten, sie hätten ihren Ausweis vergessen, oder sie haben absichtlich alle Hände voll zu tun und erwarten, dass menschliches Einfühlungsvermögen sie über die Ziellinie bringt.

Vermeiden Sie nicht autorisierte Software und Geräte

Installieren Sie keine nicht autorisierten Programme auf Ihrem Arbeitscomputer und schließen Sie keine persönlichen Geräte wie Laptops, USBs, MP3-Player und Smartphones ohne Erlaubnis Ihres Vorgesetzten an.

Sogar ein brandneues Gerät oder ein USB-Flash-Laufwerk kann mit Malware infiziert sein, da gibt es Erfahrungsberichte. Geräte können mit Code kompromittiert werden, der darauf wartet, gestartet zu werden, sobald Sie sie anschließen. Es ist auch eine gute Idee, Bluetooth- und drahtlose Dienste zu deaktivieren/auszuschalten, wenn sie nicht verwendet werden. Geben Sie Hackern keine Fenster, um eines Ihrer Netzwerke zu besuchen, egal wie unbedeutend sie auch erscheinen mögen.

Wenn Sie über ein ungeschütztes Heimnetzwerk verfügen (ohne Kennwort/Benutzer-ID authentifiziert) und Bankauszüge auf Ihrem Laptop haben, können Bedrohungsakteure auf Ihrem Parkplatz die Informationen finden, wenn sie zufällig danach suchen. Leute wie diese machen dasselbe auf Parkplätzen in gewerblichen Einrichtungen mit Wifi. Wie gut ist nochmal gleich Ihr Gäste-WLAN abgesichert im Büro?

Vereinfachen Sie Ihr digitales Leben

Melden Sie sich von E-Mail-Listen ab – sowohl von solchen, die Ihren Arbeits-E-Mail-Posteingang überschwemmen, als auch von Ihrem Yahoo- oder Gmail-Konto. Weniger Unordnung bedeutet weniger Möglichkeiten, auf die sprichwörtliche Mine zu treten. Auf diese Weise können Sie sich auch auf das konzentrieren, was umsetzbar ist. Holen Sie sich etwas Wertvolles von Ihrem Desktop in ein Dateifreigabe-Schema, das sicher und gesichert ist. Posten Sie mit Vorsicht. Sie möchten nicht, dass Facebook als Geo-Tracking-Gerät dient, um Kriminellen jedes Mal mitzuteilen, dass die Luft rein ist, wenn Sie ein Foto von Ihrem Fuß und einem Drink aus einem Liegestuhl auf Mallorca  hochladen.

Bei LinkedIn sollten Sie ähnliche Vorsicht walten lassen. Seien Sie vorsichtig, wenn Sie finanzielle Details, Informationen zu Unternehmensrichtlinien oder detaillierte technische Informationen zu Ihrem Computernetzwerk veröffentlichen. Bestimmte Telefonsysteme verfügen über Online-Benutzerhandbücher, in denen erläutert wird, wie Kennwörter zurückgesetzt werden. Dies bedeutet, dass ein schändlicher Dritter Ihr gesamtes Telefonsystem ausschalten oder Verbindungsgebühren in Höhe von Tausenden von Euro erheben kann.

Holen Sie sich einen Passwort-Manager

Passwörter sind eine Lösung aus dem 20. Jahrhundert für ein Problem aus dem 21. Jahrhundert. Leider sind Benutzernamen und Passwörter – die heute am häufigsten verwendeten digitalen Anmeldeinformationen – alles, was zwischen Mitarbeitern und wichtigen Onlinediensten wie Unternehmensnetzwerken, Social Media-Websites, E-Commerce und vielen anderen steht. Das Teilen von Unternehmens-E-Mail-Adressen und -Kennwörtern mit Ihren Yahoo-, LinkedIn- und Facebook-Konten ist eine schlechte Idee.

Daher besteht eine der besten Sicherheitsmethoden, die Sie implementieren können, darin, für jeden von Ihnen verwendeten Dienst ein völlig anderes Kennwort zu verwenden. 60 Prozent der Amerikaner z.B. (hier gab es eine Umfrage) folgen diesem Prozess, erstaunliche 40 Prozent jedoch nicht. Ein einfacher Passwort-Manager kann den Übergang zum Kinderspiel machen. Sie müssen sich nur ein Hauptkennwort merken, und der Kennwortmanager speichert alle Ihre Websites, verschlüsselt deren Kennwörter, ermöglicht die Aktivierung der 2-Faktor-Authentifizierung, legt Erinnerungen zum Erstellen neuer Kennwörter fest und hilft Ihnen sogar beim Generieren neuer Kennwörter.

Er hilft Ihnen sogar dabei, organisiert zu bleiben, da alle Ihre wichtigsten Websites bequem im Passwort-Manager-Portal untergebracht sind.

Ziehen Sie den Schutz vor Identitätsdiebstahl in Betracht

Es geht nicht darum, ob, es geht darum, wann. Verzeihen Sie den Zynismus, aber die Chance, getroffen zu werden, steht bei uns allen 1 zu 4. Lange bevor das Internet begann, enthielten viele Papieraufzeichnungen persönliche Identifikationsinformationen („PII“), die jetzt allgemein verfügbar sind.

Es ist sicher anzunehmen, dass jemand mit schlechten Absichten entweder Ihre PII hat oder diese finden kann, da Papieraufzeichnungen digitalisiert und ständig im Dark Web zum Verkauf angeboten werden. Wenn Ihre Identität gestohlen wird, benötigen Sie mindestens 80 Stunden, um mit allen Regierungsbehörden, Kreditbüros, Banken, Kreditkartenunternehmen und anderen Organisationen, mit denen Sie Geschäfte machen, Abhilfe zu schaffen. Können Sie sich vorstellen, wie störend das für Ihr Berufsleben wäre?

Für ein paar Cent pro Tag kann eine gute Identitätsdiebstahl-Schutz- und Wiederherstellungsfirma Sie schützen und den Wiederherstellungsprozess verwalten, wenn Sie zufällig getroffen werden. Lassen Sie Ihren Kredit zumindest eingefroren und heben Sie das Einfrieren nur bei Bedarf auf.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung, auch als 2FA bezeichnet, ist eine zusätzliche Sicherheitsebene, die als “Multi-Faktor-Authentifizierung” bezeichnet wird. Dies erfordert nicht nur ein Passwort und einen Benutzernamen, sondern auch etwas anderes, das für diesen Benutzer eindeutig ist.

Die Verwendung eines Benutzernamens und eines Passworts zusammen mit einer Information, die nur der Benutzer kennt, erschwert es potenziellen Eindringlingen, Zugang zu erhalten und die persönlichen Daten oder die Identität dieser Person zu stehlen. 2FA kann mit Enterprise-Lösungen wie Duo Mobile, Okta, OneLogin und SecureAuth implementiert werden. Es kann auch kostenlos direkt mit Online-Diensten wie Facebook, LinkedIn, Yahoo und Well Fargo implementiert werden, um nur einige zu nennen. Sobald Sie sich mit einer Benutzer-ID und einem Kennwort angemeldet haben, werden Sie in einem Dialogfeld aufgefordert, einen Code anzufordern, den sie als Textnachricht an Ihr Smartphone senden. Einige Sekunden später können Sie den 6- bis 8-stelligen Code eingeben, um Zugriff zu erhalten.

Arbeiten Sie nicht im Verborgenen

80% der Mitarbeiter geben zu, Cloud-Anwendungen zu verwenden, die nicht von ihrem Unternehmen oder IT-Anbieter genehmigt wurden. 33% der Vorfälle mit Cyber-Verstößen werden durch Schatten-IT ausgelöst. Warum? Die IT wurde stark „konsumiert“, sodass es einfacher als je zuvor ist, auf Ihrem eigenen Gerät alles zu tun, was Sie wollen. Benutzer laden ständig kostenlose, nicht autorisierte Apps herunter. Sie speichern und übertragen vertrauliche Daten zwischen persönlichen Geräten, Webmail und dem E-Mail-System des Unternehmens.

Mitarbeiter speichern Unternehmensdaten in persönlichen DropBox-Konten für Endverbraucher. Wir werden alle automatisch an kostenlosen WIFI-Hotspots angemeldet. Das unregulierte Surfen auf Websites ist außer Kontrolle geraten. Und fast jeder nutzt zu Hause Firmen-Laptops für persönliche Angelegenheiten, besonders in den COVID-19-Zeiten. Sobald ein gefährdeter Computer oder ein gefährdetes Gerät an das Netzwerk angeschlossen ist, ist Ihre Organisation einer Vielzahl vermeidbarer Probleme ausgesetzt.

Stellen Sie sicher, dass Sie sich wirklich abmelden

Wenn Sie in einer betrügerischen E-Mail auf “Abbestellen” klicken, wird Ihre E-Mail-Adresse nicht aus der Trefferliste des Betrügers entfernt. Insbesondere, wenn Sie zu einer Website weitergeleitet werden, auf der Sie aufgefordert werden, Ihre E-Mail-Adresse erneut einzugeben. Es wird jedoch eines oder mehrere Dinge tun – die Adresse des Betrügers überprüfen oder Sie zu einer schädlichen Website führen, die Malware auf Ihren Computer herunterlädt und/oder Sie dazu bringt, auf irgendeine Art von Betrug hereinzufallen. Seriöse Firmen tun dies nicht. Unternehmen wie Amazon, Apple, u.a. haben eh bereits Ihre E-Mail-Adresse und respektieren Ihre Wünsche, entfernt zu werden. Der beste Ansatz, um mit dem fragwürdigen Spam-Sperrfeuer umzugehen, besteht darin, die verdächtige oder unerwünschte E-Mail einfach als “SPAM” oder “Junk” zu markieren und sie dann einfach zu löschen. Widerstehen Sie dem Drang, es zu öffnen.

Was noch?

Eine gute Möglichkeit, um das Sicherheitslevel in Ihrer Organisation zu erhöhen ist natürlich die Zusammenarbeit mit einem externen IT-Dienstleister. Starten Sie doch ein unverbindliches Gespräch, indem Sie mit uns Kontakt aufnahmen und gleich eine Cyber-Risiko-Analyse machen. Anschließend haben Sie einen guten Maßnahmenplan, was man noch verbessern kann.

Jens Hagel
Folge mir

Der Artikel hat Ihnen gefallen?

Abonnieren Sie unseren Newsletter für IT-Entscheider!

Kommentarbereich geschlossen.