Datenmissbrauch: Wirksame Maßnahmen gegen Datenklau

Cybergangster haben längst nicht mehr nur Großkonzerne im Visier. Durch neuartige Angriffsmethoden werden auch kleinere Firmen immer öfter zum Opfer von Attacken. Um Lösegeld zu erpressen, werden Daten verschlüsselt oder Firmennetzwerke lahmgelegt. Daher sind effektive Schutzmaßahmen gegen Datenklau und Datenmissbrauch auch für kleine und mittlere Unternehmen ein Muss.

So machen Sie sich stark gegen Datenmissbrauch



Wirtschaftlicher Schaden durch Datendiebstahl in Deutschland: Rund 55 Milliarden Euro pro Jahr

Jedes zweite Unternehmen mit 10-99 Mitarbeitern wurde in den letzten 2 Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage.*

*Quelle: Studie „Wirtschaftsschutz in der digitalen Welt“, bitkom 2017

Experteninterview mit Dr. Tilman Frosch:
Ganzheitliche Sicherheitskonzepte für Unternehmen

„Mit einer Antiviren-Software allein ist es schon lange nicht mehr getan!“ Das sagt ausgerechnet der Geschäftsführer des Unternehmens, das als erstes Antiviren-Software hergestellt hat.

  • Die Bedrohung durch Cyberkriminelle wächst - auch für kleinere Unternehmen.
  • Die Angriffe werden immer komplexer!

Im Interview erklärt Dr. Tilman Frosch, Geschäftsführer der G DATA | Advanced Analytics GmbH, worauf Sie beim Thema Datensicherheit unbedingt achten müssen.

G DATA sorgt seit über 30 Jahren für Sicherheit in der digitalen Welt. Genau so lange unterstützt die Firma aus Bochum Unternehmer bei der Sicherheit Ihrer Daten. Für jede Anforderung und jedes Budget gibt es ein passendes Angebot:

  • IT-Sicherheits-Check für Unternehmen
  • Erste Hilfe bei Sicherheitsvorfällen
  • Mitarbeiterschulungen zu IT-Sicherheit

Informieren Sie sich jetzt über die Sicherheitskonzepte von G DATA!

Gefahren für kleine und mittlere Unternehmen

Geschäftliche Daten von kleinen und mittleren Unternehmen stehen immer öfter im Fadenkreuz von gezielten Cyberangriffen. Darauf weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig hin. Allerdings wird die Gefahr immer noch von vielen unterschätzt. Die Folge: Zu lockere Sicherheitsvorkehrungen machen Kleinbetriebe und Mittelständler zu lohnenden Angriffszielen für Cyberkriminelle.

Daten können auf unterschiedlichste Art und Weise ausspioniert werden. Das Spektrum reicht von Hackerangriffen mit Spyware-Tools über einfaches Kopieren der Daten auf USB-Sticks bis zum Versenden der Dateien per E-Mail. Selbst althergebrachte Verfahren wie das Abfotografieren oder Kopieren von Dokumenten sollten Sie nicht unterschätzen. Die Angreifer müssen auch nicht unbedingt von außen kommen, wie bei klassischen Hackerangriffen. Ganz im Gegenteil: Ein großer Teil der Attacken, die zum Datenmissbrauch führen, geschieht durch die eigenen Mitarbeiter.

Ihre Mitarbeiter sind zudem nicht nur als aktive Täter ein Sicherheitsrisiko, sondern ermöglichen häufig auch Hackerangriffe von außen durch Unachtsamkeit, Unwissenheit oder Leichtsinn. Sie können bewusst oder unbewusst zum Missbrauch oder Diebstahl Ihrer Daten beitragen. Daher sollten Sie sich beim Thema Datensicherheit nicht ausschließlich auf technische Schutzvorkehrungen vor Hackerattacken und Datenmissbrauch konzentrieren. Vielmehr müssen Sie ein umfassenderes Sicherheitskonzept unter Einbeziehung der Mitarbeiter entwickeln und umsetzen.

Die unberechenbaren Angriffsmethoden – so gelangen Kriminelle an Ihre Daten

Daten sind heutzutage so wertvoll, wie nie. Deshalb werden Cyberkriminelle immer einfallsreicher, um an wertvolle Daten von Unternehmen oder auch Privatpersonen zu gelangen. Derzeit sind die folgenden vier Angriffsmethoden besonders weit verbreitet:

1. Phishing

Beim Phishing versuchen Angreifer mit Hilfe von gefälschten E-Mails und Internetseiten an Ihre Zugangsdaten zu gelangen. Darin wird der Empfänger meist zur Eingabe der persönlichen Login-Daten aufgefordert. Phishing-Mails sind im Hinblick auf Design und Layout mittlerweile so professionell, dass man sie als Laie nur schwer als solche erkennt.

Es besteht ein hoher Phishing-Verdacht, wenn…

  • die Absenderadresse fehlerhaft ist (z. B. Telkom statt Telekom).
  • die Anrede unpersönlich ist (z. B. „Sehr geehrter Kunde“).
  • Sie aufgefordert werden Ihre Zugangsdaten zu aktualisieren oder einzugeben.
  • man Ihnen mit Kontosperrung oder anderen Einschränkungen droht, wenn Sie nicht unverzüglich reagieren.

2. Ransomware

Mithilfe sogenannter Ransomware – oder auch Erpressersoftware – bringen Angreifer einen Trojaner in Umlauf. Diese können durch das Öffnen von Anhängen in „verseuchten“ E-Mails oder den Besuch von Webseiten auf Ihren PC gelangen. Der Trojaner verschlüsselt die Daten Ihres PC oder verhindert den Zugriff auf bestimmte Programme.

So können Sie sich vor Ransomware-Angriffen schützen:

  • Öffnen Sie keine Anhänge aus E-Mails, denen Sie nicht trauen.
  • Halten Sie Ihre Antiviren-Software durch Updates aktuell.
  • Erstellen Sie Datensicherungen bzw. Backups, um vor Datenverlusten vorzubeugen

3. Emotet-Trojaner

Emotet-Trojaner stellen eine noch gefährlichere Phishing-Variante dar. Hierbei werden i. d. R. E-Mails von vermeintlich vertrauenswürdigen Personen (z. B. Freunde, Geschäftspartner) verschickt. Diese enthalten schädliche Anhänge. Das Öffnen dieser Anhänge allein ist noch nicht gefährlich. Werden jedoch die Makros in den Dokumenten aktiviert, wird Schadsoftware auf den Computer geladen.

So können Sie sich vor Emotet-Trojanern schützen:

  • Aktivieren Sie keine Makros in E-Mail-Anhängen.
  • Fragen Sie im Zweifel bei Ihren Bekannten nach, ob die E-Mail wirklich von Ihnen kommt.

LEITFADEN

Aktuelle Angriffsmethoden und wie Sie sich davor schützen

Die Angriffe von Cyberkriminellen werden immer ausgefeilter. Von welchen Attacken aktuell die größte Gefahr ausgeht und wie Sie sich davor schützen, zeigt Ihnen dieser Leitfaden.

4. Social Engineering

Beim Social Engineering versucht der Angreifer über den direkten Kontakt zum Betroffenen an vertrauliche Informationen zu gelangen. Der Kontaktierte wird so manipuliert, dass dieser unbewusst persönliche Daten preisgibt. Hier gibt es verschiedene Vorgehensweisen:

1. Der Angreifer gibt sich am Telefon als Systemadministrator aus, der die Zugangsdaten benötigt, um einen vermeintlichen Systemfehler zu beheben.

2. Der Angreifer versucht über gefälschte Benutzerprofile in sozialen Netzwerken das Vertrauen eines Angestellten zu gewinnen, um die gewünschten Informationen zu einem passenden Zeitpunkt abzufragen.

So können Sie sich vor Social Engineering schützen:

  • Hinterfragen Sie Kontaktaufnahmen, bei denen Sie aufgefordert werden Ihre Zugangsdaten preiszugeben. Sie können sicher sein, dass ein Systemadministrator Ihre Daten hat!
  • Sensibilisieren Sie Ihre Mitarbeiter, damit auch diese keine Daten weitergeben – weder telefonisch noch online.

Experten-Chat:
Fragen & Antworten zum Thema Datensicherheit

Experte: Thomas Schirmer, IT-Fachjournalist und Buchautor

Im Live-Chat am 20. März 2019 konnten Sie Ihre Fragen zu den Themen Datensicherheit, Datenverlust und Datenmissbrauch an unseren Experten Thomas Schirmer richten.

Alle Fragen und die Antworten unseres Experten finden Sie in diesem PDF:

10 konkrete Maßnahmen gegen Datenmissbrauch

Am Anfang einer Sicherheitsstrategie steht die Frage, welche Daten in welchem Ausmaß geschützt werden müssen. Nicht alle Daten sind gleich wichtig und daher gibt es auch unterschiedliche Schutzniveaus. Bei personenbezogenen Daten müssen Sie zudem die speziellen Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) beachten und diese durch geeignete Maßnahmen vor Missbrauch schützen.

1. Zugriffsrechte

Um Datenmissbrauch zu verhindern, sollte der Personenkreis, der Zugriff auf bestimmte Daten hat, immer so klein wie möglich gehalten werden. Zugriffsrechte auf Daten sollten Sie daher nur denjenigen Mitarbeitern einräumen, die sie tatsächlich benötigen. Wichtig ist auch, dass Sie einmal vergebene Zugriffsrechte wieder aufheben, wenn diese Voraussetzung nicht mehr gegeben ist. Um einen Überblick über die Rechtevergabe zu behalten, kann eine Namensliste hilfreich sein. 

CHECKLISTE

Maßnahmen zum Schutz personenbezogener Daten

Personenbezogene Daten unterliegen durch die DSGVO einem besonderen Schutz. Diese Maßnahmen können Sie ergreifen, um Ihre Daten wirksam vor Missbrauch zu schützen.

2. Speichermöglichkeiten

Schränken Sie bei sensiblen Daten die Speichermöglichkeiten ein. Zum Beispiel können Sie ausschließlich eine Speicherung auf gut gesicherten Servern erlauben, während das Speichern auf dem Arbeitsplatzrechner untersagt wird.

3. USB-Sticks

Über USB-Sticks kann Schadsoftware eindringen oder Daten können unerlaubt darauf kopiert werden. Um das zu verhindern, ist es empfehlenswert, entsprechende IT-Sicherheitsvorkehrungen zu treffen, wie z. B. den Anschluss solcher Wechseldatenträger zu blockieren.

4. Verschlüsselung

Sensible Daten sollten nach Möglichkeit nur verschlüsselt gespeichert werden. Moderne Betriebssysteme bringen bereits Lösungen zu einer Komplettverschlüsselung mit, wie z. B. BitLocker in Windows. Besonders wichtig ist die Verschlüsselung der Daten bei mobilen Geräten und Datenträgern. Denn hier besteht zusätzlich die Gefahr, dass diese Hardware unterwegs verloren geht und damit auch die Daten in fremde Hände geraten. Schützen Sie diese Daten daher in jedem Fall! Nutzen Sie bei Smartphones die Gerätesperre und bei Notebooks die Festplattenverschlüsselung. Auch USB-Sticks bzw. externe Festplatten sollten Sie nur mit Hardwareverschlüsselung verwenden.

5. Passwörter

Verwenden Sie nur sichere Passwörter. Diese müssen ausreichend lang sein und möglichst aus einem Mix aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen. Einfache Zeichenfolgen, Namen oder sonstige Begriffe bieten keinen ausreichenden Schutz. Wer keine Lust hat, sich Passwörter auszudenken, kann sich Hilfe von Passwort-Generatoren im Internet holen (z. B. www.passwort-generator.com). Auf gar keinen Fall darf ein und dasselbe Passwort für mehrere Zwecke verwendet werden. Wir empfehlen Ihnen einen Passwort-Manager zur Verwaltung Ihrer Passwörter einzusetzen.

6. Zwei-Faktor-Authentifizierung

Einen besseren Schutz als einfache Passwörter bietet die Zwei-Faktor-Authentifizierung. Bei dieser wird zusätzlich zum regulären Passwort noch ein weiteres Legitimationsmerkmal überprüft. Beispielsweise ein per SMS oder per App oder Hardware-Token generiertes Einmal-Passwort.

7. Backups

Denken Sie daran, regelmäßig und in angemessen kurzen Zeitabständen Datensicherungen durchzuführen. Ein solches Backup kann zwar Malware-Attacken nicht verhindern, wohl aber daraus resultierende Datenverluste vermeiden. Weitere Informationen dazu finden Sie auf der Themenseite Datenverlust.

8. Umfassendes Schutzkonzept

Neben PC und anderen Rechnern können auch auf Druckern oder Multifunktionsgeräten relevante Daten gespeichert sein. Diese Geräte müssen daher ebenfalls in ein Schutzkonzept einbezogen werden.

9. Klare Regeln

Geben Sie klare, verbindliche Sicherheitsregeln vor, beispielsweise zu Passwörtern, zur Nutzung von Mobilgeräten oder den Umgang mit E-Mails. Schon bei der Einstellung neuer Mitarbeiter können Sie dafür sorgen, dass diese von Anfang an im Sinne Ihrer Datensicherheitsstrategie arbeiten.

10. Sensibilisierung der Mitarbeiter

Sensibilisieren Sie Ihre Mitarbeiter für die Themen Datenschutz und Datensicherheit. Denn auch bei Hackerangriffen ist die größte Schwachstelle meist der Mensch, da oftmals Schadprogramme auf aktives Mitwirken von Personen angewiesen sind (z. B. Öffnen von Dateianhängen).

Ihre Daten einfach sicher - mit der neuen Lexware Sicherheitszentrale

Informationen aus der Buchhaltung und Kundendaten sind besonders schützenswert. Daher unterstützen wir Sie beim Schutz dieser Daten vor Verlust oder Missbrauch – mit der Lexware Sicherheitszentrale! Direkt in unsere Software-Lösungen integriert, bündelt sie starke Funktionen rund um Ihre Datensicherheit in einem zentralen Cockpit.

So haben Sie den Sicherheitsstatus Ihrer Firmendaten immer im Blick! Wie das funktioniert, sehen Sie in diesem Video.

Sicherheitstipps für Windows-Nutzer

Für Windows-Rechner sollten Sie folgende Sicherheitsregeln beachten, um das Risiko von Malware-Angriffen möglichst gering zu halten:

  • Regelmäßige Updates: Halten Sie das Betriebssystem über das automatische Windows-Update stets auf dem aktuellen Stand. Kontrollieren Sie, ob diese Funktion aktiviert ist und holen Sie es ggf. nach. Nutzen Sie bei allen Anwendungen die angebotenen Auto-Updates oder kontrollieren Sie regelmäßig, ob sicherheitsrelevante Updates vorliegen und führen Sie diese unverzüglich durch.
  • Achtung: "Windows 7"-Nutzer sollten dringend umsteigen! Der Support für Windows 7 endet am 14. Januar 2020. Danach sind weder technische Unterstützung noch Softwareupdates verfügbar. Microsoft empfieht daher, rechtzeitig auf die aktuelle Version Windows 10 umzusteigen.
  • Virenschutz: Verwenden Sie ein aktuelles Antivirenprogramm wie den Windows Defender.
  • Nutzerrechte einschränken: Auf den Arbeitsplatz-Rechnern sollten keine Administrator-Konten eingerichtet sein. Vielmehr sollten die Anwender nur mit eingeschränkten Nutzerrechten arbeiten. Dies mindert die Risiken, die von eingeschleusten Schadprogrammen ausgehen.
  • Benutzerkonten: Erhöhen Sie die standardmäßig vorgegebene Stufe in der Benutzerkontensteuerung (UAC) von Mittel auf Hoch.
  • Sichere Programmausführung: Zum besseren Schutz vor Schadprogrammen können Sie über die Software Restriction Policies (SRP) von Windows das Ausführen von Dateien außerhalb des Windows-Ordners blockieren, sodass ausschließlich unbedenkliche Programme ausgeführt werden.
  • Makros blockieren: In Windows-Office-Anwendungen sollten Sie nach Möglichkeit das Ausführen von Makros blockieren. Das ist über die Einstellungen der Programme (Optionen – Trust Center-Einstellungen) oder über Gruppenrichtlinien möglich. Diesen Übertragungsweg nutzt auch der derzeit gefürchtete Emotet-Trojaner.

Fazit - So schützen Sie sich vor Datenmissbrauch

Unternehmensdaten sind zahlreichen Gefahren ausgesetzt. Die Methoden von Cyberkriminellen werden dabei immer ausgefeilter. Einen vollständigen Schutz gegen Datenklau und Datenmissbrauch wird es wahrscheinlich leider nie geben. Doch wenn Sie Firewalls und Anti-Virenprogramme einsetzen und zusätzlich die vorgestellten Maßnahmen umsetzen, haben Sie schon viel getan.

Informieren Sie sich auch auf unseren weiteren Themenseiten rund um die Datensicherheit in Unternehmen, um Ihre Firmendaten effektiv zu schützen: