Die wichtigsten Maßnahmen
Ein Cyber-Angriff kann den Verlust von sensiblen Daten zur Folge haben, oder Teilprozesse bis zum gesamten Unternehmen lahmlegen. Aktuelles Beispiel von Anfang November ist die Erpressung der Elektronikmärkte Mediamarkt und Saturn mit Ransomware, die u.a. zu Einschränkungen von Bezahlsystemen im stationären Handel geführt hat. Bei IT-Sicherheit geht es daher um vielfältige Bereiche und Maßnahmen, die implementiert und – ganz wichtig – laufend gewartet werden müssen, denn Cyberkriminelle entwickeln ständig neue Angriffsmethoden.
- Eine Anti-Viren Software schützt vor Bedrohungen wie Viren, Trojaner oder Malware und warnt auch vor unsicheren Webseiten. Entscheidend ist, dass diese regelmäßig aktualisiert wird und dass alle Geräte geschützt werden, also nicht nur PC oder Laptop, sondern auch Tablet und Smartphone.
- Die Firewall kann man sich wie einen Türsteher vorstellen, der die Verbindungen zwischen Firmennetzwerk und dem Internet kontrolliert. Unerlaubte Verbindungen werden blockiert; was erlaubt ist und was nicht, definieren Zutrittsregeln, die vorab konfiguriert werden müssen.
- Um vom Home-Office aus oder von unterwegs auf Unternehmensdaten bzw. Programme zuzugreifen, sollte eine VPN Verbindung (Virtual Private Network) installiert werden. Das ist eine eigene Software, die ermöglicht, verschlüsselt und sicher Daten über das Internet zu senden und zu empfangen.
- „123456“ steht seit vielen Jahren auf Platz 1 als meist genutztes Passwort – das wissen auch Hacker. Sichere Passwörter sollten stark sein, d.h. mit mindestens 15 Zeichen inklusive Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen. Außerdem sollten sie nicht mehrfach genutzt werden.
- Die MFA (Mehr-Faktor-Authentifizierung) erhöht nochmals die Sicherheit bei Nutzung eines Programms, dabei werden zwei oder mehr Berechtigungsnachweise kombiniert. Viele kennen das vom Netbanking, wo z.B. ein Kennwort und ein PIN, der an das Smartphone gesendet wird, eingegeben bzw. bestätigt werden muss.
- Die regelmäßige Datensicherung auf externen Speichermedien schützt vor Verlust der wertvollen Unternehmensdaten. Ohne Backup sind Unternehmen Erpressern mit Ransomware schutzlos ausgeliefert.
Tipps gegen Phishing, Social Engineering
Mitarbeiter sollten auf die Gefahren von Social Engineering, sowie auf Verhaltensregeln bei Verdacht von Phishing aufmerksam gemacht werden, dazu gehört:
- Mails von unbekannten Absendern mit vorsichtiger Skepsis behandeln, im Zweifelsfall nicht öffnen, sondern löschen oder nachfragen.
- Nicht auf unbekannte Links klicken, die per Mail oder SMS hereinkommen und zu LogIn Seiten oder zum Download einer Datei führen.
- Vertrauliche Informationen wie Passwörter oder Kreditkartendaten nie telefonisch oder per Mail weitergeben.
- Sich nicht von unbekannten Anrufern bedrängen lassen, stattdessen intern nachfragen.
Ebenso müssen Arbeitskräfte wissen, wohin sie sich wenden können: Sollte der Verdacht bestehen, Daten an Unbefugte weitergegeben oder auf einen Phishing-Link geklickt zu haben, können sie das sofort an die verantwortliche IT-Sicherheitsstelle melden.
Viele haben sie schon erlebt, die wiederkehrenden betrügerischen Anrufe vorgeblicher Microsoft Mitarbeiter, die Fremdsoftware installieren möchten unter dem Vorwand, einen Schaden zu reparieren oder ein Sicherheits-Update einzuspielen; Microsoft hat Verhaltenstipps und eine Historie von 2017 bis 2021 zusammengestellt.
Das Home-Office miteinbeziehen
Eine IT-Sicherheitsstrategie muss das Home-Office miteinbeziehen. Dass darauf weniger geachtet wird, hebt der Deloitte Cybersecurity Report hervor: „29 % der Angestellten geben an, von ihrem Arbeitgeber nie über Informationssicherheit oder Datenschutz im Home Office aufgeklärt worden zu sein. Wenn informiert wurde, so fand das in 63 % der Fälle per E-Mail statt. Effektivere Maßnahmen wie Schulungen (36 %) und E-Learnings (34 %) wurden viel seltener angeboten.“ Die Konsequenzen des Informationsmangels beschreibt der Report so: „Über ein Fünftel der Befragten glaubt etwa, dass die Cyber-Risiken in den eigenen vier Wänden geringer sind als im Büro. Viele verfallen auch einfach aufgrund der schlechten Datenverbindungen daheim in alte Muster: Laut Umfrage speichern 36 % sensible Daten zu Hause häufiger lokal auf der Festplatte ab – davon ist klar abzuraten.“
IT-Security gehört in die Hände von Profis
Vor allem kleinere Unternehmen, die kein eigenes Security Know-how aufbauen können oder wollen, sollten die Dienste von Sicherheitsspezialisten nutzen, das wird allgemein empfohlen. Außerdem haften Geschäftsführer für Verstöße gegen die DSGVO (Datenschutzgrundverordnung). Die Maßnahmen beginnen bei der Einrichtung von Virenschutz und Firewall durch Security-Anbieter, diese sollten auch die laufende Wartung und Updates übernehmen. Zusätzlich gibt es Optionen wie Handy Ortung oder Fernlöschung von Daten, wenn Geräte verloren gehen oder gestohlen werden. Unternehmen können noch weiterdenken und ihre sensiblen Firmendaten überhaupt nicht mehr im Haus auf dem eigenen Server halten, sondern Cloud-Dienste nutzen, wo Rechenzentrumsbetreiber rund um die Uhr für sichere Speicherung und Backup der Daten verantwortlich sind. Mit dem Schritt zu Software as a Service (SaaS) werden Programme und Daten im Rechenzentrum von Experten betrieben, gespeichert und geschützt.
Wer IT-Security-Dienste, in welchem Bereich auch immer, an Profis übergibt, erhält damit in der Regel Sicherheit rund um die Uhr, und zwar professioneller und zu einem günstigeren Preis, als wenn Unternehmen es selbst machen.
Weiterführende Informationen
- Infos zu Cybercrime, Vorbeugung und Webinare: https://www.onlinesicherheit.gv.at
- Videos zu IT-Sicherheit und Datenschutz, Infos über Betrugsmeldungen, u.v.m. bietet speziell für KMU www.it-safe.at von der WKO.
- Infos und Tipps zu Phishing, sichere Telearbeit oder Cybersicherheit im Home-Office bietet das IKT-Sicherheitsportal des Bundesministeriums für Digitalisierung und Wirtschaftsstandort (BMDW) und des A-SIT Zentrum für sichere Informationstechnologie – Austria.
- Prägnant sind die wichtigsten Verhaltensregeln auf dem Merkblatt Cybersicherheit im Home-Office vom BMDW zusammengefasst.