GlobalSign Blog

02 Nov 2016

31 Tipps für mehr Cybersicherheit

Oktober war traditionell der National Cyber Security Awareness Month oder (NCSAM), der gemeinsam mit der National Cyber Security Alliance ausgerichtet wird. Parallel dazu gab es zahlreiche Aktionen auch in Europa während des European Cyber Security Month unter dem Motto „IT-Sicherheit betrifft alle“.

Ein Grund mehr, zahlreiche Tipps weiterzugeben, wie man Cybersicherheit in einem Unternehmen schafft und aufrechterhält. Nicht zuletzt wollen wir mehr Bewusstsein dafür schaffen, wie ein sicheres, verlässliches Internet aussehen müsste. Dazu haben wir 31 Tipps zur Cybersicherheit zusammengestellt.

Das Internet hat sich stetig weiter entwickelt und ermöglicht es uns allen frei mit Menschen weltweit zu kommunizieren. In einem wachsenden WLAN verbinden sich jetzt auch Geräte mit dem Internet. Sie liefern Daten in ein Netzwerk oder übertragen sie. Einerseits ist diese Konnektivität faszinierend. Der Nachteil ist unglücklicherweise, dass jedes mit dem Internet verbundene Individuum über seine eigenen Netzwerke und Daten verfügt, die wiederum angreifbar für Hacker sind. Es hilft, das Bewusstsein für genau diese Schwachstellen zu erhöhen und Aufklärungsarbeit zu leisten wie man sich selbst am besten schützt.

Grundlegende Schritte für mehr Online-Sicherheit

1. Seien Sie zurückhaltend mit dem, was Sie über sich selbst und andere posten

Wie Sie online über sich und andere sprechen, gibt viel dazu preis, wer Sie sind. Aber Sie machen sich unter Umständen auch selbst für Diebstähle oder Hackerangriffe angreifbar oder bekommen potenziell Ärger mit dem Gesetz. Man kann mithören, was Sie online preisgeben. Wenn Sie also posten, dass Sie eine Woche lang Urlaub machen, wäre es nicht schwer für jemanden, Ihre Adresse herauszufinden und einen Einbruch zu planen. Sie sollten darauf achten, dass Sie keine Geheimhaltungsvereinbarungen, Arbeitsverträge und sonstige Vereinbarungen, die Sie unterschrieben haben, brechen. Es ist ebenfalls ein Gesetzesverstoß, persönliche Informationen über andere offenzulegen oder andere öffentlich zu diffamieren.

2. Entwickeln Sie ein Verständnis dafür, welche Daten Ihr Unternehmen erfasst und sorgen Sie dafür, dass diese geschützt sind

Damit Ihre Unternehmensdaten online sicher sind und bleiben, sollten Sie alle Daten dahingehend zu überprüfen, welche Daten öffentliche Daten sind (und entsprechend weniger streng geschützt werden müssen), welche Daten mäßig wichtig sind und bei denen Vorfälle vergleichsweise geringe negative Auswirkungen auf Ihr Unternehmen haben (und welche vertretbaren Sicherheitsmaßnahmen sie zum Schutz haben sollten) und schließlich, welche Daten am wichtigsten und sensibelsten für Ihr Unternehmen sind. Gehen Daten dieser Kategorie verloren oder werden gestohlen, hat das erhebliche Folgen. Diese Daten sollten der höchsten Sicherheitsstufe unterliegen und die Zugriffsrechte nach dem Prinzip der minimalen Rechtevergabe beschränkt werden.

3. Verwenden Sie mehrere Authentifizierungsmethoden

Authentifizierung ist der Vorgang, der eine Identität (egal ob Benutzer, Computer oder Gerät) durch den Vergleich von bereitgestellten Anmeldeinformationen mit einer vorhandenen Datenbank autorisierter Identitäten bestätigt, bevor der Zugang zu einem bestimmten System oder einer Anwendung erlaubt wird. Denken Sie beispielsweise an die Eingabe Ihres Benutzernamens und Passworts, bevor Sie Ihr E-Mail-Konto zugreifen können. Wir empfehlen jedoch, anstatt sich auf immer unsicherer werdende Passwörter zu verlassen, mehrere Faktoren für den Authentifizierungsvorgang zu verwenden. Authentifizierungsfaktoren sind etwas, das Sie kennen (z.B. Benutzername/Passwort, Antwort auf Sicherheitsfrage), etwas, das Sie haben (z.B. digitales Zertifikat, Smartcard) und etwas, das Sie sind (z.B. Fingerabdruck, Gesichtserkennung).

4. Aktivieren Sie HTTPs auf Ihrer Website

HTTPs-Websites haben auf ihren Servern ein SSL/TLS-Zertifikat installiert. Dieses Zertifikat verschlüsselt alle Daten, die vom Browser zum Server übertragen werden, und schützt vor Lauschangriffen (z.B. durch böswillige Dritte, staatliche Überwachung), egal ob dies personenbezogene Daten oder Finanzdaten sind, die über die Website oder den Inhalt der Webseite gesendet werden. SSL-Zertifikate binden zusätzlich Ihre Markenidentität an die Web-Präsenz. Dadurch wissen Besucher, dass die betreffende Website tatsächlich die Ihres Unternehmens ist und keine Phishing-Site. EV SSL macht das über die grüne Adresszeile besonders deutlich. Zusätzlich wird der Name des Unternehmens deutlich sichtbar angezeigt.

5. Verwenden Sie starke Passwörter und verwenden Sie sie nicht mehrmals. Gut: '34bGUI7&89@))'. Schlecht: '12345 oder Eddy1'

Viele Hacker verkaufen die erbeuteten Daten weiter, das ist mittlerweile gängige Praxis. Dazu gehören Daten von Tausenden, wenn nicht Millionen von Nutzern und deren Passwörter. Wenn Sie für jeden Account das gleiche Passwort verwenden, fällt es einem Hacker nicht besonders schwer, Zugang zu allen Ihren Systemen zu bekommen. Ansonsten kann ein Hacker "Brute Force" einsetzen, um Ihr Passwort zu finden. Die Methode verfängt allerdings längst nicht mehr so gut, wenn ein Passwort länger ist, verschiedene Zeichenfolgen verwendet und so weiter. Verwenden Sie gegebenenfalls einen Passwort-Manager, um sicherzustellen, dass Sie Ihre Passwörter nicht vergessen.

6. Halten Sie sämtliche Software auf dem neuesten Stand

Hacker sind ständig auf der Suche nach Schwachstellen in Software-Anwendungen eines Unternehmens. Das kann so simpel sein wie die Suche nach einem Weg in ein Windows-Netzwerk. Die Softwareunternehmen arbeiten daran, zeitnah Patches und Updates zu schaffen, die solche Sicherheitslücken beseitigen. Daher ist es wichtig, Software unbedingt zu aktualisieren, sobald ein Update verfügbar ist.

7. Halten Sie eine Sicherungskopie aller Daten bereit

Sicherungskopien von Daten sorgen dafür, dass nach einem Datenverlust oder -diebstahl Dateien wiederhergestellt werden können. Sie sollten Ihre Daten immer an einem anderen Ort sichern, sodass Hacker keinen Zugang zu beiden Bereichen haben. Sie sollten zusätzlich ein regelmäßiges Backup Ihrer Daten durchführen.

8. Sichern Sie Ihre Internet-Verbindung mit einer Firewall

Firewalls sind dazu gedacht, unbefugten Zugang zu einem privaten Netzwerk zu verhindern. Sie können eine Reihe von Regeln für Ihre Firewall aufstellen, sodass sie „weiß“, wem sie Zugang gewähren und wen sie blockieren soll. Eine gute Firewall sollte eingehende und ausgehende Daten überwachen.

Schaffen Sie eine Kultur der Cybersicherheit am Arbeitsplatz

9. Etablieren Sie eine „Bring Your Own Device“-Richtlinie für mobil arbeitende Mitarbeiter

Einige Unternehmen erlauben ihren Mitarbeitern, ihre eigenen Mobilgeräte auch für geschäftliche Aufgaben zu verwenden. Das steigert zwar die Produktivität und Effizienz, aber es macht Unternehmen für Angriffe anfällig. Handys können gehackt und als Zugang zu Ihrem Unternehmensnetzwerk verwendet werden. Eine BYOD-Richtlinie hilft, Mitarbeiter dahingehend zu schulen wie Sie das Risiko eines Angriffs am besten verringern.

10. Entwerfen Sie eine Incident-Response-Strategie

Mit einer Incident-Response-Strategie kann Ihr Unternehmen sich im Falle eines Angriffs einen gewissen Vorsprung sichern. Sie können nie 100 %-ig sicher sein. Daher ist es besser, einen Plan für den Fall zu haben, dass Sie Opfer eines Cyberangriffs werden. Dann sind Sie in der Lage schnell zu reagieren und gegebenenfalls zu verhindern, dass Angreifer an sensible Daten gelangen. Unter Umständen gewinnen Sie Zeit, um die Öffentlichkeit oder Kunden zu alarmieren, wenn der Angriff größer als erwartet ausfällt. Stellen Sie sicher, dass eine bestimmte Person für den Response-Plan verantwortlich ist.

11. Passwort-Unterweisung für Mitarbeiter

Alle Mitarbeiter sollten in der Verwendung von Passwörtern geschult sein. Dazu gehört u.a.:

  • Sicherstellen, dass Mitarbeiter keine Passwörter notieren (und so einem Diebstahl Vorschub leisten)
  • Sicherstellen, dass Mitarbeiter Passwörter nicht über Online-Kommunikation weitergeben, solange die Kommunikation nicht verschlüsselt abläuft.
  • Starke Passwörter nutzen und einen Passwort-Manager des Unternehmens verwenden.
  • Sicherstellen, dass Mitarbeiter nicht dieselben Passwörter für mehrere Anwendungen oder gemeinsam für die private und betriebliche Verwendung benutzen.

12. Stellen Sie sicher, dass Mitarbeiter bei der Suche im Web auf das „s“ in HTTPs achten

Mitarbeiter werden das Netzwerk nutzen, um gelegentlich Websites zu besuchen oder sich bei Diensten anzumelden, entweder privat oder geschäftlich. Bevor Sie irgendwelche Daten senden, sollten sie immer auf das Sicherheitsschloss und HTTPS in der Adresszeile achten. Ist die Website ungeschützt, sollten sie keine Daten eingeben.

Hinweis: Es ist wichtig, Mitarbeiter im Hinblick auf Phishing-Websites zu unterweisen (siehe Tipp 15). Es gab Fälle von Phishing-Websites, die Domain Validated (DV) SSL-Zertifikate verwendet haben, damit ihre Websites "echter" und "vertrauenswürdiger" wirken.

13. Ermöglichen Sie sichere E-Mail-Kommunikation und bieten Sie Schulungen an, um die Gefahr von Phishing-Angriffen zu verringern

E-Mail bleibt nach wie vor ein nicht zu unterschätzender Schwachpunkt beim Thema Cybersicherheit. Dabei sind Datenverlust/Datenschutzverletzungen und Phishing-Angriffe zwei der wichtigeren Bedrohungen. Sie sollten nach einer E-Mail-Sicherheitslösung suchen, die Nachrichten bei der Übertragung und im Ruhemodus verschlüsseln kann. Sie sollte den Ursprung der Nachricht verifizieren können, sodass es für Mitarbeiter einfach ist, gefälschte E-Mails als solche zu erkennen und nicht auf Phishing hereinzufallen. Benutzerfreundlichkeit spielt ebenfalls eine wichtige Rolle.

14. Ermutigen Sie Führungskräfte, eine Kultur der Cyber-sicherheit vorzuleben

Bei allen unternehmensweiten Strategien sollten Führungskräfte die Ersten sein die Veränderungen umsetzen und ein entsprechendes Verhalten vorleben. Dann wird der Rest des Unternehmens folgen.

15. Simulieren Sie Phishing, damit Mitarbeiter aufmerksam bleiben

Simulieren Sie Phishing in Ihrem Unternehmen, um die Mitarbeiter zu sensibilisieren. Am besten vor und nach einer Schulung, um potenzielle Veränderungen messbar zu machen.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren