7 Sofortmaßnahmen zum Schutz vor Cyber-Attacken

Um sich vor Cyber-Attacken sinnvoll zu schützen, bedarf es einer Mischung aus technischen und nicht-technischen Lösungen. Aber auch schon kleine Maßnahmen können das Sicherheitsniveau unverzüglich steigern.

1. Umgang mit Fehlern verbessern

Fehler passieren. Sie können allerdings nicht behoben werden, wenn sie verheimlicht werden. Daher ist es empfehlenswert eine offene Unternehmenskultur zu pflegen, in der Fehler wertfrei besprochen werden und eine schnelle Lösung gefunden werden kann.

Dies betrifft in diesem Fall besonders Fehlverhalten, welches durch Social Engineering ausgelöst wurde. Denn Social Engineering hat es sogar explizit zum Ziel Menschen zu Handlungen zu bringen, die Sie im Normalfall niemals tun würden. Und Social Engineers sind richtig gut darin. Auch der bestens geschulte Mitarbeiter kann hierbei zum Opfer werden.

Wenn Sicherheitsvorfälle, wie ein erfolgreicher CEO-Fraud oder eine per E-Mail versendete und versehentlich geöffnete Ransomware schnell bekannt werden, dann können größere Schäden noch behoben werden. Überweisungen können von der Bank gestoppt werden oder betroffene Systeme werden vom Netzwerk genommen bzw. isoliert. Bei Sicherheitsvorfällen gilt: je schneller zielgerichtet vorgegangen wird, umso besser!

Hat ein Mitarbeiter Sanktionen oder öffentliches an den Pranger stellen zu befürchten, so ist er eher verleitet Fehler nicht zu melden.

Wie Sie eine offene Fehlerkultur angehen können, können Sie hier nachlesen:

Fehlerkultur in Unternehmen: Bitte nicht den Kopf in den Sand stecken!

2. Mitarbeiter als stärkstes Glied der Security-Kette betrachten

Häufig werden Mitarbeiter als schwächstes Glied der Cyber Security-Kette bezeichnet. Dabei ist das Gegenteil der Fall:

Sind Ihre Mitarbeiter nachhaltig geschult und sensibilisiert für die Risiken bei Ihrer täglichen Arbeit, dann sind sie Ihre erste Verteidigungsfront gegen Cyber-Attacken.

Wie Sie Ihre Mitarbeiter zielgerichtet schulen, können Sie in unserem on Demand WebcastSecurity Awareness: Mit Trainings nachhaltige Erfolge erzielen“ erfahren. Diesen können Sie ganz flexibel anschauen. Wenn Sie danach noch Fragen haben, können Sie anschließend am 01. Juli 2019 an unserer Live-FAQ-Session mit Götz Weinmann teilnehmen.

3. Bleiben Sie skeptisch

Unerwartete Links in Mails; Anrufe vom angeblichen Chef mit der Bitte um eine sofortige, geheime, hohe Überweisung; infizierte E-Mail-Anhänge: von vielen Angriffsmethoden hat man schon mindestens einmal in den Medien gehört. Sie sind daher trotzdem kein „alter Hut“. Die Angriffe werden immer perfider und schwerer zu durchschauen. Mittlerweile haben es Hacker sogar schon geschafft, sich in bestehende E-Mail-Konversationen einzuschleusen und unter fremden Namen Links zu verseuchten Webseiten zu versenden. Bleiben Sie daher skeptisch und hinterfragen Sie Dinge lieber einmal zu viel, als einmal zu wenig.

4. Passwortrichtlinien neu gestalten

Tipps, die sich auf Passwörter beziehen, hören und lesen Sie sicher öfter. Und das hat einen Grund: Passwörter sind doof, aber wichtig! Sie sind lang, schwer zu merken und man hat viel zu viele. Die gute Nachricht: Sie können es sich und Ihren Mitarbeitern leichter machen!

Passwörter müssen nicht komplex sein. Die drei wichtigsten Aspekte, denen Ihre Passwörter unterliegen sollten sind Länge (idealerweise 12 Zeichen), Unauffindbarkeit in Wörterbüchern und einmalige Nutzung. Sprich, ein Passwort, wie Sommer2019?! ist zwar lang genug, aber trotzdem nicht sicher. Es gibt verschiedene Datenbanken mit schwachen Passwörter, gegen die Sie Ihre Passwörter automatisiert prüfen lassen können.

Mit Aspekt drei „einmalige Nutzung“ landen wir bei unserem nächsten Tipp:

5. Passwort-Management-System einrichten

Wenn Ihre Passwörter lang genug und nicht im Wörterbuch auffindbar sind, sind sie vermutlich relativ schwer zu merken. Und je mehr Passwörter Sie brauchen, umso schwerer wird es. Das verleitet dazu, ein Passwort mehrfach zu verwenden. Riskant wird das, wenn einer Ihrer Accounts kompromittiert wird und der Login für andere Accounts somit auch bekannt ist. Denn E-Mail-Adresse und Nutzername variieren noch seltener als Passwörter. Werden dann auch noch Passwörter sowohl bei privaten als auch bei beruflichen Accounts mehrfach verwendet, kann es schnell kritisch werden.

Der Versuchung der doppelten Nutzung können Sie entgegenwirken, indem Sie ein Passwort-Management-System benutzen. Diese gibt es auch für den Business-Einsatz. Einen Vergleich finden Sie hier:

Professionelle Passwort-Management-Systeme für Unternehmen – Was bietet der Markt?

6. Software-Updates regelmäßig einspielen

Um kritische Sicherheitslücken in Software zu schließen, ist es unerlässlich, regelmäßig Software-Updates einzuspielen. Spätestens sobald Sicherheitslücken bekannt sind und vom Hersteller ein Patch zur Verfügung gestellt wird, wissen auch mögliche Angreifer über die Sicherheitslücken Bescheid. Das heißt ungepatchte Systeme sind ab diesem Zeitpunkt stark gefährdet und das Risiko steigt weiter, weil Angreifer mit Analyse des Patch noch mehr Details und Angriffsvektoren identifizieren können.

Leider dauert es momentan noch durchschnittlich 100-120 Tage, bis ein Patch installiert wurde.

Mit Hilfe von Penetrationstests und Schwachstellen-Scans können kritische Systeme geprüft, eine regelmäßige Risikoeinschätzung abgegeben und somit die Erkennungs- und Reaktionszeiträume auf ein Minimum reduziert werden.

Den regelmäßigen Schwachstellen gibt es sogar als gemanagte Variante:

Was ist eigentlich ein Vulnerability Scan?

7. Automatisierung

Zugegeben, dieser Tipp gilt nicht ganz als „Sofort“-Maßnahme, aber die zum Teil täglich erscheinenden Software-Updates, Patches und Aktualisierungen können Sie auch automatisiert einspielen lassen und damit Ihre Admins und Kollegen unterstützen. Dafür gibt es zahlreiche Client Management Tools, die diese Aufgabe übernehmen. Einen Vergleich einiger Systeme, die es momentan am Markt gibt, inklusive einem Überblick über den Ablauf der Einführung eines solchen Systems im Unternehmen, finden Sie hier:

Automatisierte Softwareverteilung und Patch-Management für Windows-Clients

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *