Mit den Home-Office-Tätigkeiten während der Pandemie ist die Gefahr von Sicherheitsvorfällen angestiegen. Unternehmen sollten auf ein Höchstmaß an IT-Sicherheit setzen: Gerade, wenn sie langfristig an der dezentralen Arbeitsweise festhalten wollen und diese als Teil ihrer neuen Normalität sehen. Wir haben mit den IT-Sicherheitsexperten aus unserem Cyber Defense Operation Center (CDOC) über prominente Fehler bei der Cybersicherheit im Geschäftsalltag sowie die Notwendigkeit eines strategischen Vorgehens zur Erhöhung der IT-Resilienz gesprochen:
Cybersicherheit im Geschäftsalltag: Warum ist das oft so schwierig?
Diese Frage haben wir unseren IT-Sicherheitsexperten gestellt, die sich im Cyber Defense Operation Center, kurz CDOC , tagtäglich mit der Überwachung und Abwehr von Cyberangriffen befassen und Unternehmen verschiedenster Branchen in Sicherheitsfragen beraten. Ihrer Meinung nach ist die Cybersicherheit im Geschäftsalltag deshalb ein wunder Punkt, weil vielerorts noch kein professionelles IT-Risikomanagement verfolgt wird. Die digitale Sicherheit ist weniger sichtbar als die physische, was zur Folge hat, dass viele Unternehmen in diesem wichtigen Bereich nach wie vor Nachholbedarf haben. Entscheider sind vor die Aufgabe gestellt, die Informationssicherheit unternehmensweit auszubreiten und Mitarbeitende mit dem notwendigen Wissen auszustatten. Dies sei auch deshalb wichtig, weil zahlreiche vertrauliche Daten und Unternehmensgeheimnisse, die früher physisch vorlagen und etwa im Safe gelagert wurden, inzwischen digitalisiert wurden und einer neuen Absicherung bedürfen. Hinzu kommt, dass es sich für viele Unternehmen als Herausforderung erweist, ihren Mitarbeitenden im Zuge des mobilen Arbeitens ein technisches Sicherheitsumfeld zu bieten. Im Home-Office lässt sich deutlich schwerer nachvollziehen, wie Mitarbeitende hinsichtlich der notwendigen Cybersicherheit agieren und ob vielleicht bereits geltende IT-Sicherheitsrichtlinien eingehalten werden. So passieren mitunter gravierende Fehler im Geschäftsalltag, durch die sich die Angriffsfläche vergrößert und der unberechtigte Zugriff auf unternehmenskritische Assets ermöglicht wird. Daher sollte die IT-Sicherheit im Rahmen eines Risikomanagementprozesses strategisch von der Geschäftsleitung geplant und konsequent umgesetzt werden. Hierbei gilt es sämtliche Mitarbeitende einzubeziehen, sie zu schulen und von der Bedeutung der IT-Sicherheit für den nachhaltigen Unternehmenserfolg zu überzeugen.
Cyberrisiken: Diese 6 Fehler sollten Sie im Geschäftsalltag vermeiden
Um Geschäftsbelange möglichst schnell und effizient voranzubringen, greifen Mitarbeitende mitunter zu nicht ausreichend gesicherten Tools oder gehen aus Unwissenheit unachtsam mit vertraulichen Daten um. Unsere IT-Sicherheitsexperten haben prominente Fehler im Geschäftsalltag von Unternehmen zusammengestellt. Diese gehen auf eine fehlende IT-Risikobewertung sowie mangelnde IT-Sicherheitsmaßnahmen von Unternehmen zurück:
1. Phishing-E-Mails unbedacht öffnen
Zwischen zwei Terminen schnell die neuen E-Mails lesen und dabei unbedacht auf einen verseuchten Link klicken und vertrauliche Daten preisgeben. Phishing, sprich das Angeln nach sensiblen Informationen, ist eine beliebte Hackermethode, auf die schon tausende Mitarbeitende hereingefallen sind. Mit gravierenden Folgen: Kommt es durch das Fehlverhalten zu einem Cyberangriff, entstehen nicht selten Schäden in Millionenhöhe. Ganz zu schweigen von dem Reputationsschaden infolge von Compliance-Verstößen. Dabei werden die Vorgehensweisen von Betrügern immer gewiefter. Waren Phishing-Mails früher leicht durch Grammatikfehler oder Übersetzungsfehler auszumachen, wenden sich Cyberkriminelle heute etwa mit Spear Phishing an einzelne Angestellte oder kleine Mitarbeitergruppen, um diese individuell anzusprechen.
Lösung: Security Awareness erhöhen
Unternehmen sollten kontinuierlich Schulungen zur Erhöhung der Security Awareness durchführen, um die gesamte Belegschaft über gängige Hackermethoden wie das Phishing aufzuklären. Dadurch werden selbst technikscheue Mitarbeitende auf menschenbasierte Angriffe vorbereitet und zur Abwehr befähigt. Wichtig sind Security Awareness Trainings auch deshalb, weil sie zu den aktuellen ISO-Standards zählen und eine wichtige Grundlage für angestrebte Sicherheitszertifizierungen darstellen.
2. Firmeninformationen via Telefon weitergeben (Vishing)
Ergänzend zu fingierten E-Mails, SMS oder Nachrichten über soziale Kanäle stellen Betrugsversuche per Sprachanruf (Vishing) eine reale Gefährdung für die IT-Sicherheit von Unternehmen dar. Das sogenannte Vishing setzt sich aus den Begriffen Phishing und Voicecall zusammen und umschreibt das Vorhaben von Cyberkriminellen, vertrauliche Informationen zu stehlen. Dafür sprechen sie Mitarbeitende auf der emotionalen Ebene an und setzen sie massiv unter Druck. Wenngleich die Methode an altmodischen Trickbetrug erinnert, ist das Vorgehen zeitgemäß – unter anderem werden neue Technologien wie automatische Stimmsimulation genutzt.
Fragt also beispielsweise ein Bankangestellter am Telefon nicht-öffentliche Informationen ab, sollten diese keinesfalls herausgegeben werden. Die Daten können von Hackern dafür genutzt werden, sich durch den Datenverkauf oder die Umleitung von Finanztransaktionen selbst zu bereichern.
Lösung: Gezielte IT-Security Schulungen zur Abwehr
Wie beim Phishing und anderen Hackertaktiken im Bereich des Social Engineering sorgen IT-Sicherheitstrainings auch im Hinblick auf Vishing für ein wachsendes Bewusstsein der Mitarbeitenden. Misstrauen ist besser als Naivität: Sollte unklar sein, wer der Gegenüber am Telefon ist und ob sensible Daten an diese Person weitergegeben werden dürfen, gilt es sich abzusichern und Auffälligkeiten an den internen IT-Sicherheitsexperten zu melden.
Wichtig ist auch zu wissen, dass ein möglicher Rückruf – wenn überhaupt – über eine zentrale und unabhängig recherchierte Telefonnummer erfolgen sollte. Nie jedoch über die Nummer, die der Gegenüber angibt. Denn kriminelle Hacker sind mit dem sogenannten Spoofing imstande, Anrufe unter einer vorgetäuschten Telefonnummer zu tätigen.
3. Ungesichert auf Firmennetzwerk zugreifen
Wenn Mitarbeitende von außerhalb auf Informationen wie Geschäfts- und Kundendaten, Konstruktionspläne oder Rechnungen zugreifen, sollte dies stets über eine gesicherte Serververbindung geschehen. Ist der Internetverkehr der Belegschaft unzureichend geschützt, haben professionelle Hacker ein leichtes Spiel, in das Firmennetzwerk einzudringen, die Kommunikation mitzulesen sowie sensible Daten zu stehlen bzw. zu verändern. Unternehmen verstoßen im Falle eines solchen Datendiebstahls gegen die Datenschutz-Grundverordnung, womit auch hier Strafen drohen.
Lösung: Sicherer Datenverkehr über VPN
Mit einem virtuellen privaten Netzwerk, kurz VPN, sorgen Unternehmen dafür, dass sich ihre Mitarbeitenden sicher aus dem Home-Office mit dem Firmennetzwerk verbinden und ihren Internetverkehr verschlüsseln. So können sensible Daten nicht ohne weiteres mitgelesen oder verändert werden. Um sicherzugehen, dass die Belegschaft den angestrebten Zugang durchgehend nutzt, sollte das virtuelle private Netzwerk flächendeckend durch die IT eingeführt werden und sich mit dem Start eines jeden Firmenrechners eine sichere Serververbindung aufbauen. Dadurch erhalten Mitarbeitende ein sicheres und sorgenfreies Paket für ihre Arbeit und können sich ortsunabhängig auf ihre Kernkompetenzen konzentrieren.
4. E-Mails und vertrauliche Dokumente unverschlüsselt verschicken
Werden E-Mails an Kollegen oder Kunden unverschlüsselt sowie darin enthaltene vertrauliche Dokumente ohne digitale Signatur verschickt, besteht das Risiko, dass etwa Rechnungen abgefangen, editiert und in veränderter Form weiterverschickt werden. So sind Cyberkriminelle beispielsweise in der Lage, in den Dateien vorliegende Kontodaten auszutauschen, Zahlungen umzulenken und Hundertausende von Euro zu ergaunern. Denn der Versand fingierter Dateien erfolgt zumindest augenscheinlich über die Firmen-E-Mails des betroffenen Unternehmens, da diese (wie die oben genannte Telefonnummer) vorgetäuscht werden können, wenn keine Sicherheitsvorkehrungen getroffen werden. So fällt der Betrug meist erst auf, wenn bereits ein Schaden eingetreten ist.
Lösung: E-Mail-Verschlüsselung und Einführung digitaler Signaturen
Die Verschlüsselung von E-Mails ist zentral zu regeln: Unternehmen stellen damit sicher, dass verschickte Informationen vertraulich behandelt werden und E-Mails tatsächlich nur von den eigenen Mitarbeitenden verschickt und empfangen werden.
Durch die Einführung digitaler Signaturen schützen sich Unternehmen weiterhin vor Hackern: Vergleichbar mit einem herkömmlichen Siegel stellt diese Technik die Identität der Kommunikationsakteure sowie die Integrität der Inhalte sicher.
5. Zu simple Passwörter verwenden
Einfache Kombinationen wie „Hallo“ oder „123456“ sind laut dem BSI nach wie vor weit verbreitet, weil es vielen Menschen bzw. Mitarbeitenden schwerfällt, sich komplexe Passwortkombinationen zu merken. Dabei sind sicherere Passwörter ein wichtiger Schritt zu mehr Datensicherheit, weil sie Cyberkriminellen den unberechtigten Zugriff auf Unternehmensinterna erschweren.
Lösung: Passwort-Richtlinien einführen, Passwort-Manager nutzen
Unternehmen sollten ihren Mitarbeitenden klare Richtlinien für die Passwortgestaltung vorgeben, um initial für gewisse Sicherheitsstandards zu sorgen. Geeignete Passwortkombinationen beinhalten mindestens zehn Zeichen und kombinieren Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen. Je nach Unternehmenswert wird in einer internen Passwort-Policy auch vorgegeben, wie oft Passwörter geändert werden sollten – etwa alle 30, 60 oder 90 Tage.
Bei der Erstellung und Verwaltung verschiedener und stetig wechselnder komplexer Passwörter unterstützen seriöse Passwort-Manager wie KeePassX. Diese sorgen dank Verschlüsselung und einem zentralen Masterpasswort für die sichere Verwahrung verschiedener Benutzernamen und automatisch generierter Passwörter. Für hochsensible Informationen kann in dem Passwort-Manager zudem eine Zwei-Faktor-Authentifizierung genutzt werden. Hierbei wird beispielsweise ein Bestätigungscode an ein zweites Endgerät wie das Mobiltelefon gesendet, um den Login final freizugeben.
6. Private Endgeräte unkontrolliert für berufliche Zwecke nutzen
Die verstärkte Remote-Arbeit während der Pandemie hat den Einsatz privater Endgeräte wie Smartphones, Tablets oder Laptops für berufliche Zwecke bestärkt. Oftmals sind es die Mitarbeitenden selbst, die das Arbeiten mit eigenen leistungsfähigen Geräten vorziehen. Daraus ergeben sich neue Risiken und Aufgaben für die Cybersicherheit. Neben Folgen wie Datenverlust und Hackerangriffen drohen beispielsweise rechtliche Konsequenzen, wenn Unternehmen gegen die geltende Datenschutz-Grundverordnung (DSGVO) verstoßen. Doch es gibt Möglichkeiten, berufliche Daten verlässlich von anderen zu trennen und Firmendaten bei Bedarf auch von den Endgeräten zu entfernen, wenn Mitarbeitende das Unternehmen verlassen sollten.
Lösung: BYOD, CYOD oder COPE einführen
Das Bring your own Device-Modell, kurz BYOD, sieht vor, dass Mitarbeitende unter Einhaltung definierter Richtlinien ihre privaten Geräte für arbeitsbezogene Aktivitäten nutzen dürfen. Um die Rahmenbedingungen in Übereinstimmung mit IT-Sicherheitsanforderungen und Compliance-Vorgaben festzulegen, bietet sich der Einsatz eines professionellen Mobile Device Managements (MDM) an. Ziel sollte es sein, berufliche und private Daten entsprechend einer vom Arbeitgeber vorgegebenen Infrastruktur klar voneinander zu trennen und Zugriffe auf das Firmennetzwerk nur über gesicherte Schnittstellen zu erlauben.
BYOD ist aber nur eine Möglichkeit die Unternehmen umsetzen können – und hat den Nachteil, dass Mitarbeitende womöglich unterschiedliche und teilweise stark veraltete Geräte nutzen, die unter Umständen nicht mehr durch die MDM-Plattform verwaltet werden können. Für den Geschäftsalltag wäre daher auch eine Choose your own Device-Richtlinie (CYOD) denkbar. Dabei kann der Mitarbeitende aus einer gewissen Auswahl an Geräten wählen, die er für das mobile Arbeiten nutzen möchte. Diese Geräte können durch das MDM verwaltet werden. Je nach Umsetzung werden sie entweder von den Mitarbeitenden selbst gekauft, die die Geräte dann natürlich auch privat nutzen dürfen, oder sie werden von dem Unternehmen für die rein berufliche Nutzung (COPE-Ansatz) angeschafft.
IT-Sicherheit strategisch planen und implementieren
Die beschriebenen Fehler lassen durch einen erfolgreich implementierten IT-Risikomanagementprozess vermeiden. Entscheider sollten wissen, welche Unternehmenswerte besonders schützenswert sind und eine Bewertung der größten Cyberrisiken vornehmen, auf deren Basis gezielte Gegenmaßnahmen eingeleitet werden.
Um Mitarbeitende von dem Sinn und Zweck verstärkter Cyber Security zu überzeugen, bedarf es zudem eines öffentlichen Bekenntnisses der Geschäftsleitung. Ziel sollte es sein, die eigene Belegschaft vollumfänglich bei allen IT-Sicherheitsfragen zu unterstützen und sie kontinuierlich zu schulen. Damit Mitarbeitende die Intentionen krimineller Hacker kennen und auf aktuelle Angriffsmethoden vorbereitet sind.
Die Optimierung der IT-Sicherheit ist gerade dann besonders wichtig, wenn das Home-Office fester Bestandteil der neuen Unternehmensrealität bleiben soll. Laut einer Umfrage des BSI planen knapp sechs von zehn der befragten Unternehmen (58 Prozent), das Arbeiten von zuhause auch nach der Pandemie aufrechtzuerhalten oder auszuweiten. Indes wächst der Druck von außen: Cyberversicherungen erwarten zunehmend Zertifikate und die Einhaltung festgelegter Richtlinien, um Unternehmen gegen Cyberrisiken versichern zu können.
Grundlegende Informationen und konkrete Praxistipps zur Optimierung der eigenen IT-Sicherheit liefert das IT-Grundschutz-Kompendium des BSI. Darüber hinaus unterstützen erfahrene IT-Security-Dienstleister wie die DGC bei der Etablierung zielführender Maßnahmen für den Rundumschutz.
Sie wollen wissen, wie Ihr Unternehmen umfassend gegen Cyberrisiken abgesichert werden kann? Vereinbaren Sie gleich einen Termin mit uns. Wir beraten Sie gerne.
