Die Attacken von Cyberkriminellen sind heute höchst professionell in ihren Versuchen, die Eingangstore Ihrer Firma zu überwinden. Dabei sind die Motive meist von der Aussicht auf das schnelle Geld getrieben, wie dies bei der Erpressung infolge Verschlüsselung (Ransomware), bei der Manipulation von Überweisungen (CEO-Fraud) oder bei Wirtschafts- bzw. Industriespionage der Fall ist. In allen Fällen werden Informationen über das Unternehmen selbst oder einzelne Personen des Unternehmens benötigt.
Schulung und Sensibilisierung
Haben Sie sich bereits mit dem Thema Cyber-Security auseinandergesetzt, werden Sie bemerkt haben, dass die heutige Sicherheitsstrategie wesentlich besser ausgebaut und somit für Hacker schwieriger zu überwältigen ist, dies ist hoffentlich bei Ihnen auch so geschehen. Von außen über die Firewall in das Unternehmen zu gelangen ist schwieriger geworden, da die wesentlichen Ports (in der Regel) geschlossen sind, der Hacker kommt deshalb eher von von innen. Nein, nicht die Mitarbeiter werden zu Hackern, sondern es reicht eine Unachtsamkeit bei der Email-Bearbeitung oder einer unbedachten Informationsweitergabe z.B. per Telefon oder Chat und der Angreifer kann sich im Unternehmen "frei" bewegen.
Sie erkennen, es handelt sich hierbei um ein wahnsinnig großes Risiko, wenn Mitarbeiter zum einen keine oder wenig Weiterbildung erfahren und zum andern auf bestimmte Themen nicht sensibilisiert sind. Beides ist heute unerlässlich in einem notwendigerweise cybersicher geführten Unternehmen. Das entsprechende hierfür ausgesprochen gebotene Mitarbeiterverhalten wird Awareness genannt, jeder Mitarbeiter soll ein Verständnis für die grundlegenden Prozesse der Cybersicherheit haben.
Weitere Themen, die Ihnen sicherlich bekannt sind, sollen an dieser Stelle zur Erinnerung und zur Aufbereitung einer eigenen Checkliste angesprochen werden:
Netzwerksicherheit
Produkte, Lösungen und Dienstleistungen zum Schutz von Unternehmensinfrastrukturen sollen so gut wie möglich abgesichert sein (Konfiguration von Firewalls, angepasste Zugangsregeln, ...)
Datenklassifizierung
Einige Daten sind für Ihr Unternehmen wichtiger als andere, möglicherweise sind das schon die Kronjuwelen (geheimes Material, Patente, Forschungsergebnisse, ...), welche einen besonderen Schutzbedarf genießen sollten. Bei einer separaten Backupbehandlung dieser Daten hat Ihr Unternehmen einen entscheidenden Vorteil gegenüber einer kompletten Datenverschlüsselung.
Datenbackup
Sicherlich können Sie es nicht mehr hören! Dennoch passiert es immer wieder, dass das aktuellste, vollständige, funktionstüchtige und schadsoftwarefreie Backup nun doch schon 6 Monate zurückliegt. Sie haben ein versionssicheres Backup, haben Sie auch an Desaster-Recovery (System-Wiederherstellung) gedacht? Halten Sie auch ein Offline-Backup (Brandsicherung) in verschiedenen Versionen bereit?
Schutzsoftware
Virenschutz durch Antivirensoftware ist heute die absolute Basis der Absicherung vor Schadsoftware. Sinnvollerweise sollte kein Wildwuchs an unterschiedlichen Virensystemen Einkehr gehalten haben, sondern eine zentral gemanagte Virenlösung eines etablierten Anbieters, die regelmäßig mit Updates versorgt werden kann.
Konfiguration, Updates und Patches
Falsch konfigurierte Systeme (Password, Ports, Testzugänge, ...), nicht upgedatete Systeme und eine nicht aktuell gepatchte Software bieten eine hohe Einfallsbereitschaft für Hacker-Attacken, die mit einigen Handgriffen beseitigt werden können.
Zugriffsrechte
Das Arbeiten könnte so einfach sein, wenn wir nicht die eingeforderte Sicherheit berücksichtigen müssten - das war einmal und bleiben damit die Innovation und der Gründergeist auf der Strecke? Heute ist es durch das digitale Zusammenarbeiten unerlässlich die Zugriffsrechte so eng wie möglich zu gestallten. Jeder darf nur auf den Datenbestand zugreifen, den er zur Erfüllung seiner Aufgabe benötigt (Vermeidung von Datenabflüssen, Begrenzung möglicher Attacken). An dieser Stelle verweise ich auf meinen Beitrag "LAPS, nichts zum Essen", in welchem innerhalb einer Domäne eine automatische Passwort-Generierung Hacker-Attacken zum Scheitern verurteilen lassen kann.
Wechselmedien
Die Neugierte plagt einen immer wieder, was könnte Interessantes auf dem gefundenem USB-Stick stehen - und schon ist der Rechner infiziert und greift in dem Augenblick bereits schon auf andere Rechner zu. Auch sind externe Datenträger in der Lage bereits mehrere Terabytes zu speichern - dem Datenabfluss sind keine Grenzen gesetzt. Ob Innentäter oder ohne Absicht, ein unverschlüsselter verlorener Datenträger (auch Laptop, Tablett, Smartphone, ...) mit personenbezogenen Daten ist bei der Datenschutzaufsichtsbehörde meldepflichtig, die hiernach über Sanktionen entscheidet.
Homeoffice
Die Sicherheits-Policy des Unternehmens ist im Homeoffice in der Regel noch nicht angekommen, es herrscht dort immer noch ein Provisorium. Klare Regeln gekoppelt mit den notwendigen technischen Maßnahmen sollten die neuen Gefahren im Homeoffice unterbinden können (nur Firmengeräte, keine private Nutzung, VPN-Zugang, sicheren und stabilen DSL-Zugang).
Sicherheitsniveau
Die Bestimmung des Sicherheitsniveaus hängt von den technischen Möglichkeiten ab. Empfehlenswert sind umfassende Penetrationstests von Anbietern mit der Abdeckung umfangreicher Sicherheitsbereiche. Will man einen Vergleich mit ähnlich gelagerten Unternehmen in Branche und Größe durchführen, kann auf standardisierte und validierte Analysen mit anschließenden Managementberichten zurück gegriffen werden.
Notfallplan
Sicherheit durch Vorsorge - gut zu wissen, dass ein Notfallplan zur Verfügung steht. Ein Notfallplan kann zwar die Attacke nicht verhindern, ist aber in der Lage den Wiederanlauf Ihres Unternehmens zu beschleunigen. Wir widmen uns einem eigenen Bereich, in welchem das Thema Notfall eingehender beleuchtet wird.
Cyberversicherung
Eine Versicherung gegen Schäden infolge Hackerangriffe dient innerhalb einer Risikoanalyse als die Absicherung des Restrisikos, als des Risikos, welches nicht durch andere Maßnahmen beseitigt oder zumindest reduziert werden kann. Auch die Versicherungen legen Wert darauf, dass gewisse Bedingungen erfüllt werden. Der Abschluss einer solchen Versicherung ist nicht nur empfehlenswert sondern auch zur Absicherung der Verantwortlichkeit gegenüber dem Unternehmen unerlässlich.
In allen diesen aufgezeigten Punkten möchten wir Sie bei der Verbesserung Ihrer Cybersicherheit individuell unterstützen und zwar mit Maßnahmen, die wir mit Ihnen im Vorfeld besprechen und gemeinsam durchführen.
Die Attacken von Cyberkriminellen sind heute höchst professionell in ihren Versuchen, die Eingangstore Ihrer Firma zu überwinden. Dabei sind die Motive meist von der Aussicht auf das schnelle Geld getrieben, wie dies bei der Erpressung infolge Verschlüsselung (Ransomware), bei der Manipulation von Überweisungen (CEO-Fraud) oder bei Wirtschafts- bzw. Industriespionage der Fall ist. In allen Fällen werden Informationen über das Unternehmen selbst oder einzelne Personen des Unternehmens benötigt.
Schulung und Sensibilisierung
Haben Sie sich bereits mit dem Thema Cyber-Security auseinandergesetzt, werden Sie bemerkt haben, dass die heutige Sicherheitsstrategie wesentlich besser ausgebaut und somit für Hacker schwieriger zu überwältigen ist, dies ist hoffentlich bei Ihnen auch so geschehen. Von außen über die Firewall in das Unternehmen zu gelangen ist schwieriger geworden, da die wesentlichen Ports (in der Regel) geschlossen sind, der Hacker kommt deshalb eher von von innen. Nein, nicht die Mitarbeiter werden zu Hackern, sondern es reicht eine Unachtsamkeit bei der Email-Bearbeitung oder einer unbedachten Informationsweitergabe z.B. per Telefon oder Chat und der Angreifer kann sich im Unternehmen "frei" bewegen.
Sie erkennen, es handelt sich hierbei um ein wahnsinnig großes Risiko, wenn Mitarbeiter zum einen keine oder wenig Weiterbildung erfahren und zum andern auf bestimmte Themen nicht sensibilisiert sind. Beides ist heute unerlässlich in einem notwendigerweise cybersicher geführten Unternehmen. Das entsprechende hierfür ausgesprochen gebotene Mitarbeiterverhalten wird Awareness genannt, jeder Mitarbeiter soll ein Verständnis für die grundlegenden Prozesse der Cybersicherheit haben.
Weitere Themen, die Ihnen sicherlich bekannt sind, sollen an dieser Stelle zur Erinnerung und zur Aufbereitung einer eigenen Checkliste angesprochen werden:
Netzwerksicherheit
Produkte, Lösungen und Dienstleistungen zum Schutz von Unternehmensinfrastrukturen sollen so gut wie möglich abgesichert sein (Konfiguration von Firewalls, angepasste Zugangsregeln, ...)
Datenklassifizierung
Einige Daten sind für Ihr Unternehmen wichtiger als andere, möglicherweise sind das schon die Kronjuwelen (geheimes Material, Patente, Forschungsergebnisse, ...), welche einen besonderen Schutzbedarf genießen sollten. Bei einer separaten Backupbehandlung dieser Daten hat Ihr Unternehmen einen entscheidenden Vorteil gegenüber einer kompletten Datenverschlüsselung.
Datenbackup
Sicherlich können Sie es nicht mehr hören! Dennoch passiert es immer wieder, dass das aktuellste, vollständige, funktionstüchtige und schadsoftwarefreie Backup nun doch schon 6 Monate zurückliegt. Sie haben ein versionssicheres Backup, haben Sie auch an Desaster-Recovery (System-Wiederherstellung) gedacht? Halten Sie auch ein Offline-Backup (Brandsicherung) in verschiedenen Versionen bereit?
Schutzsoftware
Virenschutz durch Antivirensoftware ist heute die absolute Basis der Absicherung vor Schadsoftware. Sinnvollerweise sollte kein Wildwuchs an unterschiedlichen Virensystemen Einkehr gehalten haben, sondern eine zentral gemanagte Virenlösung eines etablierten Anbieters, die regelmäßig mit Updates versorgt werden kann.
Konfiguration, Updates und Patches
Falsch konfigurierte Systeme (Password, Ports, Testzugänge, ...), nicht upgedatete Systeme und eine nicht aktuell gepatchte Software bieten eine hohe Einfallsbereitschaft für Hacker-Attacken, die mit einigen Handgriffen beseitigt werden können.
Zugriffsrechte
Das Arbeiten könnte so einfach sein, wenn wir nicht die eingeforderte Sicherheit berücksichtigen müssten - das war einmal und bleiben damit die Innovation und der Gründergeist auf der Strecke? Heute ist es durch das digitale Zusammenarbeiten unerlässlich die Zugriffsrechte so eng wie möglich zu gestallten. Jeder darf nur auf den Datenbestand zugreifen, den er zur Erfüllung seiner Aufgabe benötigt (Vermeidung von Datenabflüssen, Begrenzung möglicher Attacken). An dieser Stelle verweise ich auf meinen Beitrag "LAPS, nichts zum Essen", in welchem innerhalb einer Domäne eine automatische Passwort-Generierung Hacker-Attacken zum Scheitern verurteilen lassen kann.
Wechselmedien
Die Neugierte plagt einen immer wieder, was könnte Interessantes auf dem gefundenem USB-Stick stehen - und schon ist der Rechner infiziert und greift in dem Augenblick bereits schon auf andere Rechner zu. Auch sind externe Datenträger in der Lage bereits mehrere Terabytes zu speichern - dem Datenabfluss sind keine Grenzen gesetzt. Ob Innentäter oder ohne Absicht, ein unverschlüsselter verlorener Datenträger (auch Laptop, Tablett, Smartphone, ...) mit personenbezogenen Daten ist bei der Datenschutzaufsichtsbehörde meldepflichtig, die hiernach über Sanktionen entscheidet.
Homeoffice
Die Sicherheits-Policy des Unternehmens ist im Homeoffice in der Regel noch nicht angekommen, es herrscht dort immer noch ein Provisorium. Klare Regeln gekoppelt mit den notwendigen technischen Maßnahmen sollten die neuen Gefahren im Homeoffice unterbinden können (nur Firmengeräte, keine private Nutzung, VPN-Zugang, sicheren und stabilen DSL-Zugang).
Sicherheitsniveau
Die Bestimmung des Sicherheitsniveaus hängt von den technischen Möglichkeiten ab. Empfehlenswert sind umfassende Penetrationstests von Anbietern mit der Abdeckung umfangreicher Sicherheitsbereiche. Will man einen Vergleich mit ähnlich gelagerten Unternehmen in Branche und Größe durchführen, kann auf standardisierte und validierte Analysen mit anschließenden Managementberichten zurück gegriffen werden.
Notfallplan
Sicherheit durch Vorsorge - gut zu wissen, dass ein Notfallplan zur Verfügung steht. Ein Notfallplan kann zwar die Attacke nicht verhindern, ist aber in der Lage den Wiederanlauf Ihres Unternehmens zu beschleunigen. Wir widmen uns einem eigenen Bereich, in welchem das Thema Notfall eingehender beleuchtet wird.
Cyberversicherung
Eine Versicherung gegen Schäden infolge Hackerangriffe dient innerhalb einer Risikoanalyse als die Absicherung des Restrisikos, als des Risikos, welches nicht durch andere Maßnahmen beseitigt oder zumindest reduziert werden kann. Auch die Versicherungen legen Wert darauf, dass gewisse Bedingungen erfüllt werden. Der Abschluss einer solchen Versicherung ist nicht nur empfehlenswert sondern auch zur Absicherung der Verantwortlichkeit gegenüber dem Unternehmen unerlässlich.
In allen diesen aufgezeigten Punkten möchten wir Sie bei der Verbesserung Ihrer Cybersicherheit individuell unterstützen und zwar mit Maßnahmen, die wir mit Ihnen im Vorfeld besprechen und gemeinsam durchführen.
