Risikomanagement Die häufigsten Methoden, mit denen Mitarbeiter gehackt werden

Tipps zur Stärkung der Cyber-Resilience

Folgende Tipps zur Stärkung der Cyber-Resilience gibt Lloyd´s Register Deutschland:

  • Ordnen Sie ein grundlegendes Training zur Informationssicherheit an. Stellen Sie sicher, dass jeder Ihrer Mitarbeiter ein grundlegendes Verständnis hinsichtlich Informationssicherheit und ihrer Bedeutung für das Unternehmen hat. Bestandteil des Trainings sollte die Erläuterung einfacher Vorgehensweisen sein, die in ihren Alltag passen, z.B. die Geräte beim Verlassen des Arbeitsplatzes sperren, niemals fremde USB-Geräte an Laptops anschließen sowie die Identifizierung von Online-Phishing-Aktivitäten. Ein einfaches Mantra zur Bekämpfung von E-Mail-Phishing lautet z. B. „Im Zweifelsfall weg damit!“ („When in doubt, throw it out!“). Schulungen sind wichtig, sollten aber niemals die alleinige Maßnahme gegen substanzielle Cyberrisiken sein.
  • Seien Sie sich bewusst, dass niemand sicher ist. Wenn Sie verstanden haben, dass jeder Mitarbeiter ein potenzielles Angriffsziel darstellt, dann ist das schon die halbe Miete. Helfen Sie Ihren Mitarbeitern, die realen Gefahren eines Cyberangriffs zu erkennen und ernst zu nehmen und fassen Sie diese einfach und verständlich zusammen.
  • Implementieren Sie einen Datensicherungszeitplan. Wenn Sie kritische Daten oft genug und auf externen Netzwerken sichern, sind die Chancen höher, dass im Falle eines Cyberangriffs eine aktuelle Kopie in Reichweite ist und die Daten von der Ursache des Lecks getrennt gehalten werden.
  • Verschlüsseln Sie so viel wie möglich. Das Speichern von Daten in einem verschlüsselten Format ist mittlerweile so einfach wie der Kauf eines vorverschlüsselten USB-Speichergerätes. Auch in vielen Versionen von Windows ist eine Verschlüsselung integriert, und es gibt viele kostenlose Verschlüsselungs-Tools.
  • Passen Sie die Zugriffsberechtigungen der Mitarbeiter an. Nicht selten nimmt ein Hacker eine absichtliche Infiltration vor, indem er als Teilzeitmitarbeiter oder auf einer niedrigen Ebene eingestellt wird. Richten Sie also die Zugriffsberechtigungen an der jeweiligen Ebene aus. Richtet sich der Hackerangriff nun an einen Mitarbeiter mit leitender Funktion, dann kann die Beschränkung seines Einflusses auf andere Teile des Systems dazu beitragen, das Ausmaß des Schadens gering zu halten. Kurz gesagt: Geben Sie Ihren Mitarbeitern lediglich Zugang zu den Systemen und Daten, die sie tatsächlich verwenden bzw. bearbeiten.
  • Geben Sie nie Ihr Passwort weiter. Jeder Mitarbeiter, der auf ein System zugreift, sollte über eindeutige Anmeldeinformationen verfügen. Dieses Vorgehen ermöglicht es nicht nur, die Aktivitäten der Mitarbeiter im Falle einer Sicherheitsverletzung zu überprüfen, sondern ermutigt auch dazu, Passwörter besser zu schützen. Es gibt wirklich keinen Grund, jemand anderem Ihr Passwort zu verraten. Und wenn Sie es doch tun, stellen Sie sicher, dass es so schnell wie möglich geändert wird.
  • Implementieren Sie eine Passwort-Richtlinie. Komplexe Passwörter sind wichtig, führen aber oft dazu, dass Mitarbeiter sie aufschreiben oder in verschiedenen Variationen wiederverwenden. Eine einfache Methode ist es, an einen Satz wie „Thomas ist der beste Papa auf der ganzen Welt“ zu denken und diesen abgekürzt als Passwort zu verwenden -> TidbPadgW!. Ziehen Sie für extrem sensible Systeme stärkere Formen der Authentifizierung wie Biometrie oder MultiFaktor-Authentifizierung in Betracht.
  • Beachten Sie die dunkle Seite der sozialen Medien: Phishing in sozialen Medien kann für Organisationen ein Albtraum sein. Identitätsdiebstahl im Internet hat ernsthafte Konsequenzen und ein einziges gefälschtes Profil kann einen über Jahrzehnte aufgebauten Markenwert zerstören. Implementieren Sie entsprechende Maßnahmen, um die Einhaltung tolerierbarer Sicherheitsschwellen sicherzustellen und vermitteln Sie den Mitarbeitern, wie sie betrügerische Phishing-Versuche auf den verschiedenen Social Media-Kanälen identifizieren können.
  • Installieren Sie Sicherheitssoftware. Dies versteht sich eigentlich von selbst, kann aber nicht oft genug wiederholt werden. Alle digitalen Geräte, einschließlich Tablets und Smartphones, die vertrauliche Informationen enthalten oder die mit anderen Geräten verbunden sind, die diese enthalten, benötigen Sicherheitssoftware. Es gibt online diverse gängige und preiswerte Pakete, die unter anderem Antiviren-, Firewall- und Anti-Spam-Software sowie andere nützliche Technologien enthalten. Diese sollten auf „Auto-Update“ gesetzt werden, um sicherzustellen, dass die Programme ständig und automatisch auf den neuesten Stand gebracht werden. Durch diese Vorgehensweise sorgen Sie dafür, dass Ihre Sicherheitssoftware stets aktuelle Abwehrmechanismen gegen neue Cyber-Bedrohungen und zunehmend fortschrittliche Malware umfasst.
  • Kreuz-Kontamination über persönliche Geräte ist eine reale Gefahr Mitarbeiter, die über ihre privaten Laptops oder Smartphones auf Unternehmenssysteme zugreifen, riskieren eine Kreuz-Kontamination. Wenn Sie Ihren Mitarbeitern erlauben, eigene Geräte für berufsbezogene Aktivitäten zu verwenden, stellen Sie die Sicherheit dieser Geräte durch die Nutzung entsprechender Technologien sicher.
  • Ziehen Sie eine ISO 27001-Zertifizierung in Betracht.
    Unterschätzen Sie nicht den Wert, den eine Fachkraft für Informationssicherheit für Ihr Unternehmen haben kann. Die Kosten für die Einstellung eines Experten werden sich schnell amortisieren. Sie sparen Zeit, Geld und Ärger. Die Frage ist nämlich nicht ob, sondern wann Ihre Organisation zu einer Zielscheibe wird. Unabhängige Third-Party-Anbieter wie LRQA können Sie bei der Entwicklung eines Konzeptes zur Sicherstellung der Netzsicherheit im gesamten Unternehmen unterstützen. Kleine Unternehmen machen einen kostspieligen Fehler, indem sie davon ausgehen, dass ihre Daten im Vergleich zu größeren Organisationen von geringerer Bedeutung sind. Hacker nutzen dies aus, was erklärt, warum kleine Unternehmen so häufig betroffen sind. Mit einem systematischen Ansatz wird Ihre Organisation in der Lage sein, entsprechende Risiken zu antizipieren und zu verhindern, sowie im Falle des Auftretens eines tatsächlichen Problems besser mit diesem umzugehen. Die weitverbreitetste Möglichkeit hierfür ist die ISO 27001-Zertifizierung. Einfach ausgedrückt ist die ISO 27001 die weltweit einheitliche Sprache, wenn es darum geht, informationsbezogene Risiken zu beurteilen, zu bearbeiten und zu managen.