Wie verletzlich die IT-Systeme von Unternehmen sind, wird durch die sich häufenden Ereignisse immer wieder deutlich vor Augen geführt. Wo die grössten Cyberrisiken lauern und wie man am besten dagegen vorgeht, soll nachfolgend erläutert werden.
Gastbeitrag von Stefan Lerch, Account Manager IT-Services & Outsourcing bei der GIA Informatik
Eine aktuelle Studie legt dar, dass Cyberattacken für Schweizer Unternehmen längst real geworden sind: 88 Prozent der Betriebe sind demnach in den letzten zwölf Monaten Zielobjekte von Angriffen geworden. Gegenüber dem Vorjahr bedeutet dies eine Zunahme um 34 Prozent. Bei 56 Prozent der befragten Firmen verursachte die Attacke einen Unterbruch der Geschäftstätigkeit; bei 36 Prozent entstand ein finanzieller Schaden. Die folgenden Ratschläge sollen dazu dienen, die IT-Sicherheit entsprechend zu steigern.
Tipp 1: Upgrade auf eine aktuelle Version des Betriebssystems
Angreifer setzen ihre Cyberattacken konsequent auf Lücken in Systemen an, die schon lange im Markt sind. Deshalb sollten veraltete, von den Herstellern nicht mehr unterstützte Betriebssysteme ersetzt werden. Den Unternehmen ist anzuraten, in einem Lifecycle-Management das Upgrade auf eine jeweils aktuelle Version des Betriebssystems zu planen und umzusetzen.
Tipp 2: Laufende Pflege mittels Patch-Management
Mit einiger krimineller Energie gelingt es Angreifern auch bei aktuellen Betriebssystemen immer wieder, mögliche Schwachstellen für ihre Attacken zu eruieren. Deshalb sollten Unternehmen ihre Systeme mittels Patch-Management laufend pflegen – und dies möglichst zeitnah nach dem Erscheinen.
Tipp 3: Mitarbeiter sensibilisieren
Mit technischen Mitteln lässt sich ein grundlegender Schutz aufbauen. Als Option dazu nutzen kriminelle Angreifer deshalb ganz gezielt das menschliche Versagen aus. Dabei versuchen sie, via Mitarbeitende eines Unternehmens gezielt an vertrauliche Informationen zu gelangen. Mittels "Social Engineering" (auch: soziale Manipulation) gewinnen sie Angaben aus öffentlich verfügbaren Quellen – wie etwa den Netzwerken Facebook, Xing und Linkedin – und verwenden sie für ihre Zwecke.
Tipp 4: Passwörter nie weitergeben
Ebenfalls sehr häufig sind Phishing-Attacken. Hier versuchen die Angreifer, mittels gefälschten E-Mails, Rechnungen oder Webseiten an vertrauliche Daten wie Benutzernamen oder Passwörter zu gelangen. Mit den erschlichenen Angaben manipulieren sie sogleich Daten oder lösen Zahlungen aus.
Tipp 5: Nicht auf gefälschte CEO-Mails hereinfallen
Verbreitet sind auch die sogenannten "CEO-Scams". Es wird versucht, im Namen von hochrangigen Managern und mit Hinweis auf eine hohe Dringlichkeit, Mitarbeiter eines Unternehmens zum schnellen Überweisen von Anzahlungen zu manipulieren.
Tipp 6: Mitarbeiter schulen
Vor direkt auf die Benutzer gerichteten Attacken von Internetkriminellen können sich Unternehmen auch durch Aufklärung und Schulung der Mitarbeiter schützen. Hierzu gibt es eine Reihe von Ratschläge:
- Sich sehr zurückhaltend mit persönlichen Informationen auf öffentlich zugänglichen Plattformen verhalten.
- Misstrauisch sein, wenn die Sprache (zum Beispiel schlechtes Deutsch) nicht zum Absender passt.
- Nicht auf Links in E-Mails klicken und keine Anhänge öffnen, wenn man den Absender nicht kennt oder die Echtheit bezweifelt.
- Nicht auf E-Mails reagieren, die Gewinne versprechen oder vor gesperrten Konten warnen.
- Links in E-Mails vor dem Anklicken überprüfen. Mit dem Mauszeiger wird die verlinkte Internetadresse angezeigt.
Tipp 7: Geräte nie unbeaufsichtigt lassen
Die physische Sicherheit der Geräte ist gleich wichtig wie die technische Sicherheit. Deshalb sollte man sich vom Gerät stets abmelden, wenn man den Laptop, das Telefon oder ein Tablet auch nur für kurze Zeit verlässt. Es darf nur mittels Passworteingabe wiederverwendet werden können.
Tipp 8: Installieren Sie eine aktuelle Firewall
Mittels Schadsoftware/Malware versuchen Angreifer, Zugang zu geschützten Systemen und Daten zu erlangen sowie Daten zu verschlüsseln oder zu löschen. In letzter Zeit tritt diese Art von Attacken vermehrt auf. Nach einer Verschlüsselung werden die Betroffenen mit hohen Lösegeldzahlungen konfrontiert, ohne dabei Gewähr zu haben, ob die Daten nach einer allfälligen Zahlung wieder verwendbar sind. Es ist deshalb zwingend notwendig, eine aktuelle Firewall mit gültigen Malware-Zertifikaten im Einsatz zu haben und ein Content-Filtering bei den besuchten Webseiten vorzunehmen.
Tipp 9: Internetanschluss schützen
Ebenfalls sollte der Internetanschluss gegenüber einer DDoS (Distributed Denial of Service) geschützt sein. Diese verfolgt das Ziel, den Dienst von verteilten Rechnern aus zu stören respektive zu unterbrechen. Professionelle Service-Provider bieten diesen Schutz als Standardservice an.
Tipp 10: Immer wieder Tests durchführen
Um die Gefahr eines möglichen Angriffes auf ein Unternehmen besser einschätzen zu können, empfiehlt es sich, periodisch einen "Penetration-Test" durchführen zu lassen. Dabei wird von professionellen, aber "braven" Hackern versucht, auf Firmendaten zuzugreifen. Sie eruieren und dokumentieren dann mögliche Schwachstellen. Daher ist dem Backup der Daten inklusive einem Disaster-Recovery-Plan eine hohe Priorität einzuräumen. Nur so kann im Notfall der Betrieb innert nützlicher Frist wieder gestartet und sichergestellt werden.
