Zehn Tipps für mehr IT-Sicherheit

07. August 2017
In einer zunehmend digitalisierten Welt hat IT-Security für die Existenzsicherung von Unternehmen eine zentrale Bedeutung. Sie muss allerdings professionell angegangen werden. In einer zunehmend digitalisierten Welt hat IT-Security für die Existenzsicherung von Unternehmen eine zentrale Bedeutung. Sie muss allerdings professionell angegangen werden.

    Die jüngsten Ereignisse zeigen es: IT-Systeme von Unternehmen sind verletzlich und müssen proaktiv geschützt werden. Doch wie geht dies konkret? Der vorliegende Artikel beschreibt aktuelle Cyberrisiken und zeigt geeignete Massnahmen auf.

    Wie eine aktuelle Studie darlegt, sind Cyberattacken für Schweizer Unternehmen real geworden: 88 Prozent waren in den letzten zwölf Monaten Zielobjekte von Angriffen. Gegenüber dem Vorjahr bedeutet dies eine Zunahme um 34 Prozent. Was waren die Folgen? Bei 56 Prozent der befragten Firmen verursachte die Attacke einen Unterbruch der Geschäftstätigkeit; bei 36 Prozent entstand ein finanzieller Schaden. Die folgenden Ratschläge dienen Unternehmen dazu, ihre IT-Sicherheit zu steigern.

     GIA 2 Cyberattacken Faktor Mensch

    Cyberattacken nehmen zu; der Faktor Mensch als Angriffspunkt steht immer mehr im Fokus. Mit geeigneten Massnahmen lässt sich ein Grundschutz sicherstellen.

    Tipp 1: Upgrade auf eine aktuelle Version des Betriebssystems
    Angreifer setzen ihre Cyberattacken konsequent auf Lücken in Systemen an, die schon lange im Markt sind. Deshalb sollten veraltete, von den Herstellern nicht mehr unterstützte Betriebssysteme ersetzt werden. «Wir raten den Unternehmen, in einem Lifecycle-Management das Upgrade auf eine jeweils aktuelle Version des Betriebssystems zu planen und umzusetzen», sagt Roland Liniger, Sicherheits-Experte und Chief Security Information Officer bei der GIA Informatik AG.

    Tipp 2: Laufende Pflege mittels Patch-Management
    Mit einiger krimineller Energie gelingt es Angreifern auch bei aktuellen Betriebssystemen immer wieder, mögliche Schwachstellen für ihre Attacken zu eruieren. «Deshalb müssen Unternehmen ihre Systeme mittels Patch-Management laufend pflegen – und dies möglichst zeitnah nach dem Erscheinen», weiss Roland Liniger. «Nur so kann ein wirksamer Schutz der IT sichergestellt werden.»

    Tipp 3: Mitarbeiter sensibilisieren
    Mit technischen Mitteln lässt sich ein grundlegender Schutz aufbauen. Als Option dazu nutzen kriminelle Angreifer deshalb ganz gezielt das menschliche Versagen aus. Dabei versuchen sie, via Mitarbeitende eines Unternehmens gezielt an vertrauliche Informationen zu gelangen. Mittels «Social Engineering» (auch: soziale Manipulation) gewinnen sie Angaben aus öffentlich verfügbaren Quellen – wie etwa den Netzwerken Facebook, Xing und Linkedin – und verwenden sie für ihre Zwecke.

    Tipp 4: Passwörter nie weitergeben
    Ebenfalls sehr häufig sind Phishing-Attacken. Hier versuchen die Angreifer, mittels gefälschten E-Mails, Rechnungen oder Webseiten an vertrauliche Daten wie Benutzernamen oder Passwörter zu gelangen. Mit den erschlichenen Angaben manipulieren sie sogleich Daten oder lösen Zahlungen aus.

    Tipp 5: Nicht auf gefälschte CEO-Mails hereinfallen
    Verbreitet sind auch die sogenannten «CEO-Scams». Es wird versucht, im Namen von hochrangigen Managern und mit Hinweis auf eine hohe Dringlichkeit, Mitarbeiter eines Unternehmens zum schnellen Überweisen von Anzahlungen zu manipulieren.

    Tipp 6: Mitarbeiter schulen
    Vor solchen, direkt auf die Benutzer gerichteten Attacken von Internetkriminellen können sich Unternehmen auch durch Aufklärung und Schulung der Mitarbeiter schützen. Hierzu gibt es eine Reihe von Ratschläge:

    • Verhalten Sie sich sehr zurückhaltend mit persönlichen Informationen auf öffentlich zugänglichen Plattformen.
    • Seien Sie misstrauisch, wenn die Sprache (zum Beispiel schlechtes Deutsch) nicht zum Absender passt.
    • Klicken Sie nicht auf Links in E-Mails und öffnen Sie keine Anhänge, wenn Sie den Absender nicht kennen oder die Echtheit bezweifeln.
    • Reagieren Sie nicht auf E-Mails, die Gewinne versprechen oder vor gesperrten Konten warnen.
    • Überprüfen Sie Links in E-Mails vor dem Anklicken. Mit dem Mauszeiger wird die verlinkte Internetadresse angezeigt.

    GIA 2 berwachung

    Eine permanente Überwachung der IT-Systeme ist heute unabdingbar, um Unternehmensdaten erfolgreich zu schützen.

    Tipp 7: Lassen Sie Ihre Geräte nie unbeaufsichtigt
    Die physische Sicherheit der Geräte ist gleich wichtig wie die technische Sicherheit. Roland Liniger: «Melden Sie sich am Gerät ab, wenn Sie den Laptop, das Telefon oder ein Tablet auch nur für kurze Zeit verlassen. Es darf nur mittels Passworteingabe wiederverwendet werden können.»

    Tipp 8: Installieren Sie eine aktuelle Firewall
    Mittels Schadsoftware/Malware versuchen Angreifer, Zugang zu geschützten Systemen und Daten zu erlangen sowie Daten zu verschlüsseln oder zu löschen. Roland Liniger: «In letzter Zeit tritt diese Art von Attacken vermehrt auf.» Nach einer Verschlüsselung werden die Betroffenen mit hohen Lösegeldzahlungen konfrontiert, ohne dabei Gewähr zu haben, ob die Daten nach einer allfälligen Zahlung wieder verwendbar sind. «Es ist deshalb zwingend notwendig, eine aktuelle Firewall mit gültigen Malware-Zertifikaten im Einsatz zu haben und ein Content-Filtering bei den besuchten Webseiten vorzunehmen», weiss Roland Liniger.

    Tipp 9: Schützen Sie Ihren Internetanschluss
    Ebenfalls sollte der Internetanschluss gegenüber einer DDoS (Distributed Denial of Service) geschützt sein. Diese verfolgt das Ziel, den Dienst von verteilten Rechnern aus zu stören respektive zu unterbrechen. «Professionelle Service-Provider bieten diesen Schutz als Standardservice an», so Roland Liniger.

    Tipp 10: Führen Sie Tests durch
    Um die Gefahr eines möglichen Angriffes auf ein Unternehmen besser einschätzen zu können, empfiehlt es sich, periodisch einen «Penetration-Test» durchführen zu lassen. Dabei wird von professionellen, aber «braven» Hackern versucht, auf Firmendaten zuzugreifen. Sie eruieren und dokumentieren dann mögliche Schwachstellen. Roland Liniger: «Räumen Sie dem Backup der Daten inklusive einem Disaster-Recovery-Plan hohe Priorität ein. Nur so kann im Notfall der Betrieb innert nützlicher Frist wieder gestartet und sichergestellt werden.»

    «Unternehmen sollten dem Backup der Daten inklusive einem Disaster-Recovery-Plan hohe Priorität einräumen.» Roland Liniger, Sicherheits-Experte und Chief Security Information Officer bei der GIA Informatik AG

    gia

    Soziale Netzwerke

     

    Fractal Verlag GmbH

      +41 61 683 88 76

      Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!