Cybergangster haben längst nicht mehr nur Großkonzerne im Visier. Durch neuartige Angriffsmethoden werden auch kleinere Firmen immer öfter zum Opfer von Attacken. Um Lösegeld zu erpressen, werden Daten verschlüsselt oder Firmennetzwerke lahmgelegt. Daher sind effektive Schutzmaßahmen gegen Datenklau und Datenmissbrauch auch für kleine und mittlere Unternehmen ein Muss.
So machen Sie sich stark gegen Datenmissbrauch
Wirtschaftlicher Schaden durch Datendiebstahl in Deutschland: Rund 55 Milliarden Euro pro Jahr
Jedes zweite Unternehmen mit 10-99 Mitarbeitern wurde in den letzten 2 Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage.*
*Quelle: Studie „Wirtschaftsschutz in der digitalen Welt“, bitkom 2017
„Mit einer Antiviren-Software allein ist es schon lange nicht mehr getan!“ Das sagt ausgerechnet der Geschäftsführer des Unternehmens, das als erstes Antiviren-Software hergestellt hat.
Im Interview erklärt Dr. Tilman Frosch, Geschäftsführer der G DATA | Advanced Analytics GmbH, worauf Sie beim Thema Datensicherheit unbedingt achten müssen.
G DATA sorgt seit über 30 Jahren für Sicherheit in der digitalen Welt. Genau so lange unterstützt die Firma aus Bochum Unternehmer bei der Sicherheit Ihrer Daten. Für jede Anforderung und jedes Budget gibt es ein passendes Angebot:
Informieren Sie sich jetzt über die Sicherheitskonzepte von G DATA!
Geschäftliche Daten von kleinen und mittleren Unternehmen stehen immer öfter im Fadenkreuz von gezielten Cyberangriffen. Darauf weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig hin. Allerdings wird die Gefahr immer noch von vielen unterschätzt. Die Folge: Zu lockere Sicherheitsvorkehrungen machen Kleinbetriebe und Mittelständler zu lohnenden Angriffszielen für Cyberkriminelle.
Daten können auf unterschiedlichste Art und Weise ausspioniert werden. Das Spektrum reicht von Hackerangriffen mit Spyware-Tools über einfaches Kopieren der Daten auf USB-Sticks bis zum Versenden der Dateien per E-Mail. Selbst althergebrachte Verfahren wie das Abfotografieren oder Kopieren von Dokumenten sollten Sie nicht unterschätzen. Die Angreifer müssen auch nicht unbedingt von außen kommen, wie bei klassischen Hackerangriffen. Ganz im Gegenteil: Ein großer Teil der Attacken, die zum Datenmissbrauch führen, geschieht durch die eigenen Mitarbeiter.
Ihre Mitarbeiter sind zudem nicht nur als aktive Täter ein Sicherheitsrisiko, sondern ermöglichen häufig auch Hackerangriffe von außen durch Unachtsamkeit, Unwissenheit oder Leichtsinn. Sie können bewusst oder unbewusst zum Missbrauch oder Diebstahl Ihrer Daten beitragen. Daher sollten Sie sich beim Thema Datensicherheit nicht ausschließlich auf technische Schutzvorkehrungen vor Hackerattacken und Datenmissbrauch konzentrieren. Vielmehr müssen Sie ein umfassenderes Sicherheitskonzept unter Einbeziehung der Mitarbeiter entwickeln und umsetzen.
Daten sind heutzutage so wertvoll, wie nie. Deshalb werden Cyberkriminelle immer einfallsreicher, um an wertvolle Daten von Unternehmen oder auch Privatpersonen zu gelangen. Derzeit sind die folgenden vier Angriffsmethoden besonders weit verbreitet:
Beim Phishing versuchen Angreifer mit Hilfe von gefälschten E-Mails und Internetseiten an Ihre Zugangsdaten zu gelangen. Darin wird der Empfänger meist zur Eingabe der persönlichen Login-Daten aufgefordert. Phishing-Mails sind im Hinblick auf Design und Layout mittlerweile so professionell, dass man sie als Laie nur schwer als solche erkennt.
Es besteht ein hoher Phishing-Verdacht, wenn…
Mithilfe sogenannter Ransomware – oder auch Erpressersoftware – bringen Angreifer einen Trojaner in Umlauf. Diese können durch das Öffnen von Anhängen in „verseuchten“ E-Mails oder den Besuch von Webseiten auf Ihren PC gelangen. Der Trojaner verschlüsselt die Daten Ihres PC oder verhindert den Zugriff auf bestimmte Programme.
So können Sie sich vor Ransomware-Angriffen schützen:
Emotet-Trojaner stellen eine noch gefährlichere Phishing-Variante dar. Hierbei werden i. d. R. E-Mails von vermeintlich vertrauenswürdigen Personen (z. B. Freunde, Geschäftspartner) verschickt. Diese enthalten schädliche Anhänge. Das Öffnen dieser Anhänge allein ist noch nicht gefährlich. Werden jedoch die Makros in den Dokumenten aktiviert, wird Schadsoftware auf den Computer geladen.
So können Sie sich vor Emotet-Trojanern schützen:
Beim Social Engineering versucht der Angreifer über den direkten Kontakt zum Betroffenen an vertrauliche Informationen zu gelangen. Der Kontaktierte wird so manipuliert, dass dieser unbewusst persönliche Daten preisgibt. Hier gibt es verschiedene Vorgehensweisen:
1. Der Angreifer gibt sich am Telefon als Systemadministrator aus, der die Zugangsdaten benötigt, um einen vermeintlichen Systemfehler zu beheben.
2. Der Angreifer versucht über gefälschte Benutzerprofile in sozialen Netzwerken das Vertrauen eines Angestellten zu gewinnen, um die gewünschten Informationen zu einem passenden Zeitpunkt abzufragen.
So können Sie sich vor Social Engineering schützen:
Experte: Thomas Schirmer, IT-Fachjournalist und Buchautor
Im Live-Chat am 20. März 2019 konnten Sie Ihre Fragen zu den Themen Datensicherheit, Datenverlust und Datenmissbrauch an unseren Experten Thomas Schirmer richten.
Alle Fragen und die Antworten unseres Experten finden Sie in diesem PDF:
Am Anfang einer Sicherheitsstrategie steht die Frage, welche Daten in welchem Ausmaß geschützt werden müssen. Nicht alle Daten sind gleich wichtig und daher gibt es auch unterschiedliche Schutzniveaus. Bei personenbezogenen Daten müssen Sie zudem die speziellen Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) beachten und diese durch geeignete Maßnahmen vor Missbrauch schützen.
Um Datenmissbrauch zu verhindern, sollte der Personenkreis, der Zugriff auf bestimmte Daten hat, immer so klein wie möglich gehalten werden. Zugriffsrechte auf Daten sollten Sie daher nur denjenigen Mitarbeitern einräumen, die sie tatsächlich benötigen. Wichtig ist auch, dass Sie einmal vergebene Zugriffsrechte wieder aufheben, wenn diese Voraussetzung nicht mehr gegeben ist. Um einen Überblick über die Rechtevergabe zu behalten, kann eine Namensliste hilfreich sein.
Schränken Sie bei sensiblen Daten die Speichermöglichkeiten ein. Zum Beispiel können Sie ausschließlich eine Speicherung auf gut gesicherten Servern erlauben, während das Speichern auf dem Arbeitsplatzrechner untersagt wird.
Über USB-Sticks kann Schadsoftware eindringen oder Daten können unerlaubt darauf kopiert werden. Um das zu verhindern, ist es empfehlenswert, entsprechende IT-Sicherheitsvorkehrungen zu treffen, wie z. B. den Anschluss solcher Wechseldatenträger zu blockieren.
Sensible Daten sollten nach Möglichkeit nur verschlüsselt gespeichert werden. Moderne Betriebssysteme bringen bereits Lösungen zu einer Komplettverschlüsselung mit, wie z. B. BitLocker in Windows. Besonders wichtig ist die Verschlüsselung der Daten bei mobilen Geräten und Datenträgern. Denn hier besteht zusätzlich die Gefahr, dass diese Hardware unterwegs verloren geht und damit auch die Daten in fremde Hände geraten. Schützen Sie diese Daten daher in jedem Fall! Nutzen Sie bei Smartphones die Gerätesperre und bei Notebooks die Festplattenverschlüsselung. Auch USB-Sticks bzw. externe Festplatten sollten Sie nur mit Hardwareverschlüsselung verwenden.
Verwenden Sie nur sichere Passwörter. Diese müssen ausreichend lang sein und möglichst aus einem Mix aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen. Einfache Zeichenfolgen, Namen oder sonstige Begriffe bieten keinen ausreichenden Schutz. Wer keine Lust hat, sich Passwörter auszudenken, kann sich Hilfe von Passwort-Generatoren im Internet holen (z. B. www.passwort-generator.com). Auf gar keinen Fall darf ein und dasselbe Passwort für mehrere Zwecke verwendet werden. Wir empfehlen Ihnen einen Passwort-Manager zur Verwaltung Ihrer Passwörter einzusetzen.
Einen besseren Schutz als einfache Passwörter bietet die Zwei-Faktor-Authentifizierung. Bei dieser wird zusätzlich zum regulären Passwort noch ein weiteres Legitimationsmerkmal überprüft. Beispielsweise ein per SMS oder per App oder Hardware-Token generiertes Einmal-Passwort.
Denken Sie daran, regelmäßig und in angemessen kurzen Zeitabständen Datensicherungen durchzuführen. Ein solches Backup kann zwar Malware-Attacken nicht verhindern, wohl aber daraus resultierende Datenverluste vermeiden. Weitere Informationen dazu finden Sie auf der Themenseite Datenverlust.
Neben PC und anderen Rechnern können auch auf Druckern oder Multifunktionsgeräten relevante Daten gespeichert sein. Diese Geräte müssen daher ebenfalls in ein Schutzkonzept einbezogen werden.
Geben Sie klare, verbindliche Sicherheitsregeln vor, beispielsweise zu Passwörtern, zur Nutzung von Mobilgeräten oder den Umgang mit E-Mails. Schon bei der Einstellung neuer Mitarbeiter können Sie dafür sorgen, dass diese von Anfang an im Sinne Ihrer Datensicherheitsstrategie arbeiten.
Sensibilisieren Sie Ihre Mitarbeiter für die Themen Datenschutz und Datensicherheit. Denn auch bei Hackerangriffen ist die größte Schwachstelle meist der Mensch, da oftmals Schadprogramme auf aktives Mitwirken von Personen angewiesen sind (z. B. Öffnen von Dateianhängen).
Informationen aus der Buchhaltung und Kundendaten sind besonders schützenswert. Daher unterstützen wir Sie beim Schutz dieser Daten vor Verlust oder Missbrauch – mit der Lexware Sicherheitszentrale! Direkt in unsere Software-Lösungen integriert, bündelt sie starke Funktionen rund um Ihre Datensicherheit in einem zentralen Cockpit.
So haben Sie den Sicherheitsstatus Ihrer Firmendaten immer im Blick! Wie das funktioniert, sehen Sie in diesem Video.
Für Windows-Rechner sollten Sie folgende Sicherheitsregeln beachten, um das Risiko von Malware-Angriffen möglichst gering zu halten:
Unternehmensdaten sind zahlreichen Gefahren ausgesetzt. Die Methoden von Cyberkriminellen werden dabei immer ausgefeilter. Einen vollständigen Schutz gegen Datenklau und Datenmissbrauch wird es wahrscheinlich leider nie geben. Doch wenn Sie Firewalls und Anti-Virenprogramme einsetzen und zusätzlich die vorgestellten Maßnahmen umsetzen, haben Sie schon viel getan.
Informieren Sie sich auch auf unseren weiteren Themenseiten rund um die Datensicherheit in Unternehmen, um Ihre Firmendaten effektiv zu schützen:
