Schutz vor Cybergefahren-Netzwerk-Wissensdatenbank

Acht nützliche Tipps für die Informationssicherheit im KMU

Forschung & Dienstleistung,

Information & Cyber Security, Privacy

Acht nützliche Tipps für die Informationssicherheit im KMU

Cyber-Attacken nehmen zu und auch Schweizer KMU sind betroffen. Mit unseren 8 Tipps können Sie die Sicherheit effektiv und kostengünstig verbessern.

Tipp 1: Verantwortlichkeiten zuteilen

Von Yasmin Billeter

Bestimmen Sie einen IT-Verantwortlichen oder eine IT-Verantwortliche sowie dessen Stellvertretung. Delegieren Sie der verantwortlichen Person alle Sicherheitsaufgaben und lassen Sie sich regelmässig über die Informationssicherheit in Ihrem Unternehmen informieren.

Tipp 2: Mitarbeitende schulen

Alle Mitarbeitenden erhalten die IT-Benutzerrichtlinien und besuchen eine Basisausbildung zum Umgang mit Passwörtern, Internet, E-Mail und den Arbeitsmitteln. Thematisieren Sie die Informationssicherheit immer wieder und organisieren Sie ein- bis zweimal jährlich Sensibilisierungsaktionen. Regeln werden nur ernst genommen, wenn sich auch Vorgesetzte daranhalten – gehen Sie also mit gutem Vorbild voran.

Tipp 3: Daten sichern

Nicht nur Hacker und Viren bedrohen Ihre Geschäftsdaten. Auch Gefahren wie Feuer und Wasser können die IT-Infrastruktur zerstören. Erstellen Sie deshalb täglich (mindestens wöchentlich) ein Backup auf mobile Datenträger und überprüfen Sie regelmässig ob sich die Daten wiederherstellen lassen. Sicherungskopien sind nur sicher, wenn sie in einem anderen Gebäude aufbewahrt werden als die Originale.

Tipp 4: Antivirus-Programm aktuell halten

Damit Ihr Netzwerk zuverlässig vor Viren und anderen schädlichen Programmen geschützt ist, muss das Antivirus-Programm auf sämtlichen Servern und Arbeitsstationen installiert und regelmässig aktualisiert werden. Führen Sie wöchentlich «Virenscans» durch, damit allfällig eingeschleppte Viren entdeckt und eliminiert werden können.

Tipp 5: Eine Firewall ist ein Muss

Sorgen Sie dafür, dass der Internetzugang nur über die installierte Firewall erfolgen kann. Für kleinere Unternehmen eignen sich besonders Firewalls, die neben Sperren von unerlaubtem Datenverkehr beispielsweise auch den Inhalt von erlaubtem Datenverkehr auf Malware überprüfen.

Wenn Sie in Ihrem Unternehmen ein Wireless-LAN einsetzen, muss dieses mit einer starken Verschlüsselung geschützt und darf nur für eigene Computer zugänglich sein. Ein Wireless-LAN für Kunden und Dritte muss vom Firmennetz getrennt sein.

Tipp 6: Software aktualisieren

Da Computerprogramme Fehler haben, werden diese für Angriffe ausgenutzt. Die Hersteller bieten deshalb immer wieder Software-Aktualisierungen an. Testen Sie neue Programmversionen vor dem produktiven Einsatz, aber sorgen Sie dafür, dass Sie diese zeitnah installieren werden.

Falls kein unabhängiges Testsystem zur Verfügung steht, erstellen Sie vor dem Change ein Backup, damit Sie allenfalls den alten Zustand wiederherstellen können.

Tipp 7: Starke Passwörter verwenden

Verwenden Sie mindestens 10 Zeichen lange Passwörter die aus Buchstaben (gross und klein), Zahlen und Sonderzeichen bestehen. Man kann sich auch einen geheimen Satz merken. «Letzten Sommer waren wir zu zweit in Berlin!» ergibt beispielsweise das starke Passwort: «LSwwz2iB!».

Standardpasswörter bei Geräten, Betriebssystemen und Anwendungsprogrammen müssen sofort geändert werden. Passwörter ungeschützt aufzuschreiben ist verboten.

Tipp 8: Daten klassifizieren

Deklarieren Sie alle Firmen-Informationen als «intern». Besonders schützenswerte Informationen sind «vertraulich» und öffentlich zugängliche Informationen sind «öffentlich». Darauf aufbauend sollen die Zugriffsrechte soweit eingeschränkt werden, wie sie für die Wahrnehmung der Aufgaben erforderlich sind («need to now»-Prinzip).

Veröffentlich am 1. Dezember 2017

Bilden Sie sich weiter: Die Hochschule Luzern bietet zahlreiche Weiterbildungen im Bereich Information & Cyber Security | Privacy an. Holen Sie sich einen Bachelor in Information & Cyber Security: Mit dem Studium Information & Cyber Security erwerben Sie das notwendige Fachwissen, um Unternehmen und Verwaltungen vor Hacker-Angriffen zu schützen und mit einer sicheren IT-Infrastruktur auszustatten. Über den Informatik-Blog: Hier erhalten Sie Tipps und Neuigkeiten aus der Welt der IT. Wir porträtieren Menschen und schreiben über Technologien, welche die Hochschule Luzern – Informatik mitprägen. Abonnieren Sie jetzt unseren Blog und bleiben Sie informiert.

VPN-Tunnel: Mehr Sicherheit für Unternehmen

Mit den moderneren Computerviren wurde die Kehrseite der Digitalisierung immer deutlicher. Ein effektiver und umfassender Schutz ist unerlässlich. Vor allem dann, wenn es gilt, sensible Inhalte vor unberechtigten Zugriffen zu schützen. Zudem sind Tracker mittlerweile in der Lage, jeden Schritt durch das World Wide Web nachzuverfolgen. Ein VPN-Tunnel kann hier helfen. Und dann ist da noch das allseits bekannte Phishing. Für Gewerbetreibende und Freiberufler sind solche Angriffe ein Albtraum. Eine Erhebung zeigt nun, dass dieser Albtraum bereits für mehr als dreiviertel der Unternehmen Wahrheit geworden ist.

Daten abgreifen: Tracking verrät Verhalten im Netz

Es klingt nach dem Auszug aus einem Spionage-Thriller, doch längst ist es Alltag. Mit der IP-Adresse jedes Internetnutzers lassen sich dessen Schritte durch das Netz rekonstruieren. Das bedeutet, für so anonym, wie wir das Internet halten, ist es gar nicht. Von Unternehmen und Privatpersonen kann so ein detailliertes Profil erstellt werden. Die Daten zeigen unter anderem:

Wo wurde X oder Y heruntergeladen

Wo wurde auf Nachrichten zugegriffen

Wo wurden Mails abgerufen

Wo wird eingekauft

Was für Inhalte wurden vermehrt geklickt

uvm.

Es gibt allerdings eine Möglichkeit, die verhindert, dass Tracker eine IP-Adresse schnell identifizieren. Unmöglich wird es dadurch nicht, doch erschwert es die Identifikation ungemein.

Die Lösung: Der VPN-Tunnel

Ein VPN-Tunnel funktioniert wie eine Umleitung auf der Straße. Über einen alternativen Weg werden die Nutzenden zu ihrem Ziel geführt. Der VPN verschleiert dabei die ursprüngliche IP-Adresse und stellt eine Alternative von einem externen Server bereit. Zwischen Nutzer und dem Internet ist also ein VPN-Server geschaltet, der die Anonymität gewährleistet. Einen Vergleich solcher Dienstleister leistet das Portal Hier werden verschiedene Anbieter gegenübergestellt und in einem Ranking aufgelistet.

DDoS-Attacken

DDos-Attacken sind geplante Angriffe auf ein Netzwerk. Genauer: Websites. Dabei wird automatisiert auf dieselbe Seite zugegriffen. Durch einen Botnet geschieht dies unzählige Male, wodurch die jeweilige Seite dann zusammenbricht und nicht mehr aufgerufen werden kann. Daher rührt auch die Bezeichnung dieses Cyberangriffs: Distributed Denial of Service – deutsch: Aufgeteilte Verweigerung eines Dienstes.

Die Lösung: VPN-Tunnel für private Nutzende

Für die Websites großer Unternehmen ist immer noch eine Rücksprache mit dem Web-Host am effektivsten, um die Maßnahmen zur Vermeidung derartiger Angriffe zu verbessern. Privatpersonen können sich dagegen mit einem VPN-Tunnel schützen. Denn eine DDoS-Attacke kann nur mit einer bekannten IP-Adresse durchgeführt werden und nicht, wenn nur die des VPN-Servers bekannt ist.

State of the Phish-Report: Der Mensch als Risikofaktor

Mit dem State of the Phish-Report erhebt das Unternehmen Proofpoint jährlich die Situation für Unternehmen rund um diese verbreitete Form der Cyberattacke: Phishing. Im Jahr 2021 konnte bei einer Befragung von verschiedenen Unternehmen ein starker Anstieg der Inzidenz festgestellt werden. Konkret: Es kam zu mehr erfolgreichen Phishing-Attacken. Michael Heuer von Proofpoint berichtet.

„Im Vergleich zum Vorjahr erlebten die Umfrageteilnehmer 2021 einen deutlichen Anstieg gezielter Angriffe, doch unsere Analyse zeigt auch, dass das Wissen um wichtige Begriffe aus der Cybersicherheit wie Phishing, Malware, Smishing und Vishing erheblich abgenommen hat […]. Dieser Mangel hinsichtlich des Sicherheitsbewusstseins sowie das laxe Verhalten vieler Mitarbeiter bergen ein großes Risiko für Unternehmen und deren Erfolg auf dem Markt.“

(Quelle: abgerufen am 06.10.2022; gekürzt)

Mehr als 80 Prozent der Unternehmen wurden Opfer

Der Bericht zeigt, dass mehr als 80 Prozent der befragten Unternehmen nicht nur Phishing-Angriffen ausgesetzt waren, sondern auch erfolgreich von den Betrügern hereingelegt werden konnten. Es ist also einmal mehr von bedeutendem Interesse, Antiviren sowie Malware-Scanner und VPN-Tunnel an den richtigen Stellen einzusetzen und die eigenen Mitarbeiter für den Umgang mit Phishing-Attacken zu sensibilisieren.

Die Lösung

Sensibilisierung ist ein wichtiger Teil, der für die Sicherheit bezüglich des Phishings sorgen kann. Das Funktionsprinzip einer solchen Attacke ist immer dasselbe: Unter Vorgabe, ein echtes Unternehmen zu sein, fordern die Betrüger eine bestimmte Summe.

Wie Heuer oben bereits beschrieben hat, gilt es, die eigenen Mitarbeiter dafür zu schulen, eine solche Email zu identifizieren. Emails sind immer noch der häufigste Weg, auf dem Phishing-Angriffe realisiert werden. Manche VPN-Anbieter stellen auch für Phishing eine Lösung bereit.

Abschließend: VPN durch Pandemie immer wichtiger

Obwohl bereits vor der Corona-Pandemie ein erhöhter Bedarf an VPN-Tunneln bestand, haben Home-Office und Home-Schooling den Bedarf weiter gesteigert. Schulen und Unternehmen setzen mit VPN-Verbindungen auf die hervorragende Sicherheit. Auf diese Weise können die Daten, die von Schülern und Mitarbeiter im heimischen Netzwerk verarbeitet werden, nicht ohne weiteres von außen abgegriffen werden.

Besonders wirkungsvoll wird diese Maßnahme dann, wenn der Mitarbeiter mit dem VPN-Tunnel das Netzwerk des Unternehmens nutzen kann. Um dies einzurichten, benötigt der Computer im Home-Office einen VPN-Client. Das Unternehmen muss dann den entsprechenden Server bereitstellen, auf den der Mitarbeiter mit diesem Client zugreifen kann.

7. Oktober 2022

Schutz vor Cybergefahren

Cybersicherheit ist ein zentrales Tätigkeitsfeld moderner Gefahrenabwehr. Entlang ihres verfassungsmäßigen Auftrags tragen die Länder besondere Verantwortung für deren Gewährleistung. Bayern zeichnet sich von jeher durch ein hohes Maß an innerer Sicherheit aus. Das Internet darf dabei kein rechtsfreier Raum sein. Auch im Cyberraum hat der Staat eine Schutzpflicht gegenüber den Menschen. Diesem Leitbild folgend hat Innenminister Joachim Herrmann deshalb bereits 2013 eine umfassende Strategie für Cybersicherheit in Bayern auf den Weg gebracht und in der Regierungserklärung „Bayern digital - Sicherheit im Internet“ vorgestellt. Sie definiert fünf Handlungsfelder:

Mit Blick auf die sich dynamisch entwickelnde Bedrohungslage im Cyberraum wird die Bayerische Cybersicherheitsstrategie ständig weiterentwickelt. Neben umfangreichen Präventionsangeboten (Beratung/Sensibilisierung) durch bestehende Organisationseinheiten, erfolgt die Umsetzung der aus der Cybersicherheitsstrategie abgeleiteten Maßnahmen regelmäßig durch strukturelle Ergänzungen der jeweiligen Aufbauorganisation. Zur Stärkung der Resilienz gegen Cyberangriffe hat Bayern in den vergangenen Jahren eine am Bedarf orientierte, schlagkräftige Cybersicherheitsarchitektur aufgebaut.

Cybersicherheit durch Koordination und Vernetzung

Um einen besseren Schutz vor Cyberbedrohungen zu erreichen, sollen alle Schutzpotenziale – ob im Bereich der Prävention, bei staatlichen und kommunalen Stellen oder in der Wirtschaft – mobilisiert, koordiniert und miteinander vernetzt werden. Um alle Akteure auf die Bewältigung dieser Herausforderung auszurichten und miteinander zu vernetzen, hat das Bayerische Staatsministerium des Innern, für Bau und Verkehr ein eigenes Sachgebiet „Cybersicherheit“ geschaffen. Seine Aufgabe ist es, alle strategischen Belange der Cybersicherheit im Ministerium, mit den Ressorts der Staatsregierung, sowie mit den Partnern in Verwaltung, Wirtschaft und Wissenschaft zu koordinieren und die Entwicklung von Lösungsansätzen und -strategien voranzutreiben.

Um diesen Gedanken der Vernetzung mit Leben zu erfüllen, wurde der „Ressortkreis Strategie für Cybersicherheit“ initiiert, der seit November 2013 regelmäßig im Innenministerium zusammen kommt. Bereits im Rahmen dieser Auftaktveranstaltung haben alle Beteiligten Impulse für eine innovative, vertrauensvolle und offene Zusammenarbeit gesetzt. Der Ressortkreis wird nicht zuletzt dazu beitragen, das von Wirtschaft und Politik zu Recht eingeforderte Lagebild zur Cybersicherheit zu ermöglichen und somit einen dauerhaften übergreifenden Wissenstransfer der einzelnen Ressorts zu etablieren.

Schon lange ist bekannt, dass Kriminelle die technischen Möglichkeiten, die das Internet bietet dafür zu nutzen, Unternehmen und Privatpersonen gezielt zu schädigen – sei es durch Ransomwareangriffe (Verschlüsselungstrojaner), das Einbinden privater Rechner in sogenannte Bot-Netze oder das betrügerische „Abgreifen“ persönlicher Daten. Zudem hat die Debatte um das mögliche Ausspähen privater Daten durch ausländische Nachrichtendienste vor Augen geführt, dass auch Bürgerinnen und Bürger von Datenspionage betroffen sein können. Der Staat ist daher nicht nur gefragt, wenn es um den Schutz seiner eigenen IT-Systeme geht. Auch gegenüber den Bürgerinnen und Bürgern steht der Staat als Garant für Sicherheit im Cyberraum in der Verantwortung. Denn in Bayern leben, heißt sicher leben!

Cybersicherheit durch Sensibilisierung und Information

Die Broschüre „Bayern im Netz - aber sicher!" informiert über Risiken und Gefahren aus dem Cyberraum. Sie beschreibt die Gefährdungslage durch Cyberangriffe und Cyberkriminalität und stellt verbreitete Angriffsmethoden der Cyberkriminellen vor. Zudem werden die Schutzmaßnahmen des Freistaates Bayern, insbesondere zur Bekämpfung der Cyberkriminalität und zum Schutz der Wirtschaft vor Cyberspionage und -sabotage erläutert und Ansprechpartner für staatliche Hilfen benannt. Abgerundet wird das Informationsangebot mit praktischen Sicherheitstipps für Privatanwender und Hinweisen, wie die Informationssicherheit in Unternehmen verbessert werden kann.

Cybersicherheit ist unstreitig einer der Schlüsselfaktoren der digitalen Transformation und eine wichtige gesamtgesellschaftliche Aufgabe. Vor allem Cyberkriminalität ist schon längst keine abstrakte Gefahr mehr, sondern zur alltäglichen Bedrohung von Staat, Kommunen und Wirtschaft, aber auch der Bürgerinnen und Bürger geworden. Wie der Bericht zur Cybersicherheit in Bayern aufzeigt, bleiben wir mit einer steigenden Bedrohungslage konfrontiert. Wir dürfen uns deshalb nicht auf dem bereits Erreichten ausruhen, sondern sind gemeinsam gefordert, die Resilienz unserer Wirtschaft, Gesellschaft und Verwaltung gegen Cyberangriffe zu verbessern, um ein höchstmögliches Schutzniveau in der Cybersicherheit zu erreichen.

Der Bericht zeichnet ein allgemeines Lagebild zur Cybersicherheit in Bayern, beschreibt die vordringlichen Phänomene im Berichtszeitraum und informiert zu den daraus resultierenden Maßnahmen der mit Cybersicherheit befassten Stellen in den Geschäftsbereichen von StMI und StMFH. Er schließt mit einer Prognose zur weiteren Entwicklung der Bedrohungslage sowie einem Ausblick zur Lageentwicklung im Zusammenhang mit dem Krieg in der Ukraine.