Haftpflicht, Recht & Sachwerte

IT-Sicherheit für KMU – Risiken kennen

Grosse Konzerne verlieren für Hacker und Trickbetrüger an Attraktivität. Denn diese wissen aus Erfahrung oder dank ihrer IT-Spezialisten, wie Geschäftsdaten zu schützen sind.

So schützen Sie Ihren Betrieb

Wegen mangelnder Schutzvorkehrungen nehmen Cyberkriminelle zunehmend kleine Unternehmen ins Visier

kmu_cyber_data_security

Cyberkriminelle haben es vermehrt auf kleine Unternehmen abgesehen. Der Grund: Den meisten KMU fehlt das Know-how, um sich vor Gefahren aus dem Netz zu schützen. Deshalb sind sie aktuell einem grösseren Risiko ausgesetzt. Um Sie und Ihre Mitarbeitenden für Cybergefahren zu sensibilisieren, werden im Folgenden die wichtigsten Begriffe erläutert und präventive Richtlinien aufgezeigt.

Social Engineering

Social Engineering ist eine Methode zum Ausspionieren von vertraulichen Informationen. Angriffsziel ist dabei immer der Mensch. Mit Hilfe von Social Engineering nutzen Trickbetrüger die Hilfsbereitschaft oder Gutgläubigkeit von anderen Personen aus, um so an sensible Daten zu gelangen.

Mögliche Szenarien

Social Engineering kann sowohl im direkten Gespräch als auch via E-Mail oder am Telefon praktiziert werden. Die folgenden Szenarien können auf Social Engineering hindeuten:

  • In einer E-Mail fordert ein Vorgesetzter Zugang zu einem geschützten Bereich.
  • Ihr Gesprächspartner droht und besteht auf die hohe Dringlichkeit seines Anliegens.
  • Ihr Gesprächspartner fordert Sie auf, Reglemente ausnahmsweise zu umgehen.

Wie gehe ich damit um?

  • Geben Sie keine Informationen weiter, sofern Sie sich nicht sicher sind, mit wem Sie sich unterhalten.
  • Verlangen Sie bei Anfragen den Mitarbeiter- oder Besucherausweis.
  • Erfolgt der Angriff per Telefon, fragen Sie nach einer konkreten Nummer, um zurückzurufen.
  • Behalten Sie im Hinterkopf, dass Sie den «Social Engineer» nicht verscheuchen, sondern identifizieren und so von weiteren Attacken abhalten wollen.

Phishing

Das Wort «Phishing» setzt sich aus den englischen Wörtern «Password», «Harvesting» und «Fishing» zusammen.

Phishing ist eine Form des Social Engineering. Dabei wird versucht, über gefälschte Websites, E-Mails oder Kurznachrichten an persönliche Daten zu gelangen.

phishing_vorlage_d

Erkennungsmerkmale (rote Boxen) von oben nach unten:

  1. Der angegebene Absender hat zwei E-Mail-Adressen, wobei die zweite überhaupt nicht wie die eines Facebook-Mitarbeiters aussieht.
  2. Das Logo von Facebook fehlt. Zudem ist die E-Mail nicht im gewohnten Facebook-Look formatiert.
  3. Der angegebene Link zu Facebook hat ein «o» zu viel. Auch zeigt der Link keinerlei Anzeichen dafür, dass er den User auf eine Login- oder Entsperrungsseite weiterleitet.
  4. Eine gewisse Dringlichkeit wird angedeutet. Im gleichen Satz wird auch eine Drohung in Form der Account-Löschung ausgesprochen.
  5. Typische Disclaimer und Datenschutzbemerkungen fehlen. Mit Disclaimern will sich der Absender für den Fall eines Datenmissbrauchs absichern. Bei seriösen Unternehmen sind solche Angaben Standard. Umso verdächtiger, wenn sie fehlen.

Phishing-Mail – ja oder nein?
Phishing-Mails sind nicht immer eindeutig identifizierbar. Bei Verdacht können Sie Folgendes tun:

  • E-Mail löschen. Bei einer wichtigen E-Mail wird sich der Absender nochmals melden.
  • Manuell (nicht über den Link in der E-Mail) den Status des Profils oder des Services überprüfen.
  • Den Kundensupport des Absenders anrufen und nach Informationen fragen. Die Nummer des Kundensupports eines Serviceanbieters findet man meistens sehr schnell über Google.
GettyImages-913017342

Ransomware

Das Wort «ransom» bedeutet «Lösegeld». Der Begriff bezeichnet Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff auf Daten, deren Nutzung oder den Zugriff auf das gesamte Computersystem verhindern kann. Für die Entschlüsselung oder Freigabe wird ein Lösegeld gefordert.

Schutz vor Ransomware
Ransomware verbreitet sich hauptsächlich via E-Mail. Auch hier spielen Unwissenheit und Gedankenlosigkeit eine Schlüsselrolle – 45 Prozent aller Internetnutzer klicken auf Links von unbekannten Absendern. Folgende Massnahmen helfen, diese Art der Erpressung zu vermeiden:

  • Lassen Sie Anhänge von unbekannten Absendern unbedingt von Ihrem Virenschutz überprüfen.
  • Vorsicht bei USB-Sticks und portablen Festplatten. Vor allem, wenn Sie den vorherigen Benutzer des Speichermediums nicht kennen und nicht wissen, was sich auf dem Medium befindet.
  • Halten Sie Ihre Systeme immer aktuell. Softwarerevisionen bringen oft eine höhere Informationssicherheit mit sich. Auch Antivirusprogramme sollten regelmässig aktualisiert werden.
  • Erstellen Sie regelmässig Sicherheitskopien Ihrer Daten.

Ich werde erpresst – was nun?
Zahlen Sie den verlangten Betrag nicht! Oft wird anschliessend nur noch mehr verlangt, und Ihre Daten werden nicht entschlüsselt. Ausserdem ist es ratsam, Hilfe von Fachleuten beizuziehen. Mit der Cyber-Versicherung der Basler steht Ihnen im Ernstfall ein Netzwerk an Spezialisten zur Verfügung. Dies kann in einer Stresssituation eine grosse Entlastung bedeuten.

Umgang mit Passwörtern
Passwörter müssen regelmässig geändert werden. Dabei ist es wichtig, nicht nur eine Zahl oder einen Buchstaben auszutauschen, sondern sich ein komplett neues Passwort auszudenken.

Checkliste Passwortsicherheit

  • Das Passwort sollte mindestens acht Zeichen lang sein
  • Klein- und Grossbuchstaben, Zahlen und Sonderzeichen kombinieren
  • Keine im Wörterbuch aufgelisteten Buchstabenfolgen verwenden
  • Immer ein noch nie zuvor verwendetes Passwort wählen

Passwort erstellen – so geht’s
Formulieren Sie einen leicht einzuprägenden Satz. Anfangsbuchstaben und Zahlen ergeben dass neue Passwort. Tauschen Sie zusätzlich noch die Satzzeichen mit einem Sonderzeichen aus – und schon haben Sie ein sicheres Passwort.

Beispielsatz: Mein Sohn ist im Februar 1994 geboren. Er ist dieses Jahr 24 geworden.

Passwort: MSiiF94g$EidJ24g

Darüber hinaus ist die Zwei-Faktor-Authentifikation eine einfache Art, die Sicherheit eines Accounts zu steigern. Dabei wird bei der ersten Anmeldung eine SMS an die registrierte Handynummer des Benutzers gesendet, die einen temporären Zahlencode für die finale Anmeldung enthält.

Sicherheitsbeauftragte bestimmen
Informationssicherheit liegt in der Verantwortung jedes Mitarbeitenden. Dennoch sollten Sie eine verantwortliche Person sowie eine Stellvertretung bestimmen. Die Aufgabe dieses «Sicherheitsbeauftragten» ist es, Sie und Ihr Team regelmässig zu informieren und bei Fragen, Unsicherheiten und konkreten Vorfällen als Anlaufstelle zu dienen.

Back-ups erstellen
Nicht nur im Falle eines Cyberangriffs können sensible Daten verloren gehen. Ein Feuer oder ein Wasserschaden kann genauso zu Datenverlusten führen. Erstellen Sie deshalb regelmässig Sicherheitskopien. Wichtig ist, dass Sie die Back-ups an einem anderen Ort aufbewahren als die originalen Datenträger.

Programme aktuell halten
Betriebssysteme und Programme sind nicht fehlerfrei. Genau diese Lücken nutzen die Autoren von Schadsoftware, um auf Computer oder Smartphones zuzugreifen. Installieren Sie deshalb regelmässig Service- und Sicherheitsupdates für Ihr Betriebssystem und Ihre Programme. Mit diesen «Patches» werden Fehler und Lücken geschlossen.

«have i been pwned?»
Der Webservice «have i been pwned?» sammelt und analysiert sogenannte Data-Dumps, welche von Hackern nach einer Datenplünderung ins Internet gestellt werden. Der Service bietet Userinnen und Usern die Möglichkeit, nach eigenen, offenliegenden Daten zu suchen. Ebenso kann man nach veröffentlichten Passwörtern suchen.

Staatliche Unterstützung
Seit 2010 bietet der Staat die Melde- und Analysestelle Informationssicherung an. Dort erhalten Sie Informationen über aktuelle Gefahren und Massnahmen sowie ein Meldeformular für Vorfälle bei Privatpersonen und KMU.

(Quelle: Baloise Digitale Pfadfinder)

Erfahren Sie mehr zum Thema – im Interview mit unserem IT Security Manager Marcello Bellini.

Cyberangriff: Schützen Sie Ihren Betrieb

Das könnte Sie interessieren:

Zur Magazin Übersicht
Haben Sie eine Frage? Top