Daten- und Passwortsicherheit schlüssig organisieren

Das Thema IT-Sicherheit gewinnt weiter an Bedeutung. Der Schaden aus erfolgreichen Angriffen kann enorm sein, sowohl finanziell als auch für die eigene ­Reputation. Wer das vermeiden will, braucht sowohl technische als auch organisatorische Massnahmen: Die technischen stellen die IT-Grundsicherung her, während die organisatorischen für bessere Prozesse sorgen.

Wesentliche Herausforderungen

Nachfolgend einige wesentliche Angriffspunkte und Bedrohungsszenarien:

Schadsoftware im E-Mail-Anhang

Das häufigste Einfallstor für Cy­beran­griffe ist weiterhin die E-Mail. Die kann beispielsweise Schadsoftware in ­einem zunächst harmlos wirkenden Anhang ­enthalten. Hier nehmen vor allem «Ran­somware»-Attacken zu: Sie verschlüsseln alle erreichbaren Datenträger und erst nach Zahlung einer bestimmten Summe sind sie wieder verfügbar. We­niger offensichtliche Angriffe sind eben­so weiterhin eine Bedrohung, wie ein «Keylogger», der heimlich Tastatureingaben aufzeichnet. Aktuelle Virenscanner sind eine wesent­liche Gegenmassnahme. Sie können aber nur bekannte Schädlinge und Angriffsmuster erkennen. Deshalb sind weitere Schutzvorrichtungen sinnvoll. Dazu ­gehört es, die Mitarbeiter auf die Gefahren durch E-Mail-Anhänge hinzuweisen, klare Regeln aufzustellen und von extern kommende Nachrichten zusätzlich zu kennzeichnen. Mitarbeiter mit regelmäs­sigem Kontakt zu unbekannten Mailabsendern wie in der Personalabteilung, Buchhaltung oder im Sales müssen hier besonders aufmerksam sein. Ihre Rechner sollten nach Möglichkeit keinen unmittelbaren Zugriff auf sensible Daten und Systeme haben und von anderen ­Bereichen des ­Unternehmens abgetrennt sein. Zudem braucht es eine passende Backup-Strategie, um im Fall der Fälle ­einen älteren Stand wiederherstellen zu können.

Phishing und Spear Phishing

Beim «Phishing» versuchen die Angreifer, Zugangsdaten abzugreifen. Dazu versenden sie täuschend echt aussehende E-Mails mit bekannten Absendern wie Paypal, Google, Apple und anderen. Eine solche Nachricht kann zudem scheinbar von einem bekannten Kontakt kommen. Durch einen Klick in der E-Mail landet das Opfer auf einer gefälschten Website, die Benutzername und Passwort an die Angreifer weiterleitet. Eine Gegenmassnahme: Mitarbeiter sollten grundsätzlich keine Links in solchen E-Mails anklicken. Eine Suchmaschine zu nutzen, um zum Beispiel den Login für das Google-Konto zu finden, kann ebenfalls unsicher sein: Schliesslich könnte im Hintergrund bereits eine andere Schadsoftware dafür sorgen, dass man auf eine Phishing-Website geleitet wird. Stattdessen sollten sie selbst den Browser öffnen und die betreffende Adresse manuell eingeben. «Spear Phishing» wiederum ist eine ausgefeiltere Variante: Hier senden die Angreifer nicht massenhaft dieselbe ­E-Mail aus, sondern haben gezielt eine ­Person ins Visier genommen. Dadurch können sie den Phishing-Versuch indivi­dualisieren und so besonders glaubwürdig und schwer erkennbar machen.

Social Engineering

Die Angriffsmethode des «Social Engineering» nutzt menschliche Schwächen aus. Angreifer geben beispielsweise vor, ein Kunde zu sein, ein Verwandter eines Kollegen oder ein Vorgesetzter. Das Opfer wird mit allerlei Tricks dazu gebracht, Sicherheitsmassnahmen beiseitezulassen und sensible Daten wie Zugangsinfor­mationen herauszugeben. Dazu arbeiten die Cyberkriminellen oftmals mit künstlichem Zeitdruck oder appellieren an die Hilfsbereitschaft. Eine Gegenmassnahme ist es, klare Abläufe für die Herausgabe von Informationen und Daten zu schaffen. Über anonyme Kanäle (zum Beispiel Te­lefon oder E-Mail) sollten grundsätzlich keine vertraulichen Informationen weitergegeben werden, empfiehlt unter anderem das Nationale Zentrum für Cybersicherheit (NCSC). In besonders wichtigen Fällen sollte eine zweite Person zustimmen. 

Umgang mit Software, Hardware und Diensten

Allen Mitarbeitern eines Unternehmens muss klar sein, dass sie nur offiziell frei­gegebene Werkzeuge wie Software, Hardware und Services nutzen dürfen. An­dernfalls ist das nicht nur problematisch für die Compliance, wenn beispielsweise Kunden­daten bei ungeeigneten Services gespeichert sind. Sondern ebenso für die IT-­Sicherheit, wenn die Mitarbeiter hier nicht genügend Vorsicht walten lassen. Eine Gegenmassnahme ist es, gegenüber der Belegschaft deutlich zu machen, warum nur bestimmte Dienste und Werkzeuge zum Einsatz kommen. Zudem sollten Mitarbeiter einen Feedback-Kanal ­haben, um Wünsche und Ideen zu besseren digitalen Arbeitsmitteln mitzuteilen.

Sicherheit der Website

Die eigene Website sollte vor allem dann gut abgesichert sein, wenn dort Infor­mationen zu Kunden, Bestellungen oder gar Zahlungen abgespeichert sind. Hier gibt es eine erhöhte Sorgfaltspflicht. Und das nicht nur aus rein rechtlicher Sicht, denn der Gesichtsverlust durch einen ­erfolgreichen Hack der Website kann ­erheblich sein. Aber auch sonst ist eine Unternehmenswebsite ein mögliches Angriffsziel und Einfallstor. Deshalb sollte das Content-Management-System immer auf dem aktuellen Stand gehalten werden. Dazu gehören nicht zuletzt alle Zusatzfunktionen, die über Erweiterungen («Plugins») bereitgestellt werden. Aus­serdem ist abzuwägen, welche Infor­­mationen auf der Website (oder auch im ­Social Web) öffentlich zur Verfügung ­gestellt werden, da sie das oben erklärte Social Engineering erleichtern können.

Herausforderungen beim Homeoffice

Eine besondere Herausforderung in ­Sachen IT Security ist das Homeoffice. Schliesslich sind die Mitarbeiter hier selbst dafür verantwortlich, ihr Arbeitsumfeld sicher zu gestalten. Entsprechend sollten sie dafür sensibilisiert und geschult sein. Das heimische WLAN ist mit einem guten Passwort abzusichern und alle wichtigen Geräte im Netzwerk wie der Router müssen stets auf dem aktuells­ten Stand sein. Daten auf Laptops, ­Tablets oder USB-Stick müssen per Ver­schlüs­selung geschützt werden. Idea­lerweise sind dienstliche Geräte bei Nichtbe­nutzung eingeschlossen. Darüber hinaus ­benötigen die Mitarbeiter eine sichere Verbindung ins firmeneigene Netz. Hierfür wird ein Virtual Private Network (VPN) benötigt.

Weitere mögliche Angriffsflächen

Darüber hinaus gibt es Schwachstellen bei der IT-Sicherheit, die nicht so offensichtlich sind oder sich erst mit der Zeit einschleichen. Dazu gehören ausufernde Zugriffsrechte: Mitarbeiter kommen und gehen, andere wechseln die Aufgabenstellung oder ein Auszubildender lernt die Arbeit in verschiedenen Abteilungen kennen. Hier muss sichergestellt sein, dass sich solche Berechtigungen und ­Zugangsdaten nicht nur vergeben, sondern ebenso einfach wieder entziehen lassen. Wichtig ist es zudem, auf die Datensicherheit bei externen Partnern zu achten. So mancher erfolgreiche Angriff auf ein ­Unternehmen kam indirekt über einen Dienstleister. Ein solcher Drittanbieter sollte also ebenfalls auf die eigene IT-Sicherheit achten und zudem nur auf jene Daten Zugriff bekommen, die für die Aufgabenerfüllung zwingend benötigt werden. Auch diese Berechtigungen sollten hinterher wieder entzogen werden.

Schutzmassnahmen

Bei all diesen möglichen Angriffsszenarien ist es wichtig, im Hinterkopf zu behalten: Cyberkriminelle gehen bei besonders lohnenswerten Zielen indirekt vor. Sind die wertvollen Kundendaten beispielsweise gut geschützt, suchen sie weiter, bis sie einen möglichen Ansatzpunkt gefunden haben. Der kann sich an einer ganz anderen Stelle im Unternehmen oder sogar extern finden. Deshalb ist es wichtig, dass alle Mitarbeiter die Relevanz der IT-Sicherheit verinnerlichen, über mögliche Angriffstechniken informiert sind und wissen, wie sie sich verhalten sollen. Klare Abläufe und Regelungen sind daher entscheidend. Dazu gehört, wie oben bereits erwähnt, wie mit externen E-Mails umgegangen wird oder an wen und unter welchen Umständen Informationen herausgegeben werden dürfen. Idealerweise werden Schulungen durch unangekündigte Tests ergänzt, die einen Angriff durch Phishing oder Social Engineering simulieren.

Zu den grundlegenden Sicherheitsmassnahmen gehören zudem sichere Passwörter. Sie sollten mindestens zwölf Zeichen lang sein sowie Sonderzeichen, Zahlen, Gross- und Kleinbuchstaben enthalten. Hier gilt: Je länger, desto besser. Des Weiteren sollten Passwörter nur einmal genutzt werden und keine Wörter beinhalten, die sich im Lexikon finden. Zu so­genannten Sicherheitsfragen geben Sie idealerweise falsche oder komplexe Antworten, die nur Sie kennen können. Stellen Sie darüber hinaus sicher, dass Sie als Ersatz-E-Mail-Adresse für die «Passwort vergessen»-Funktion eine nutzen, die nur für diesen Zweck eingerichtet wurde und sonst nirgends verwendet wird. Um alle Tipps zu beherzigen, ist ein Passwortmanager, wie ihn DSwiss anbietet, hier eine willkommene und sichere Hilfe. Eine Zwei-Faktoren-Authentifizierung, zum Beispiel mit einer zusätzlichen SMS bei der Anmeldung, erhöht das Sicherheitsniveau weiter.  Und zu guter Letzt gibt es das Gebot der «Datensparsamkeit»: Demnach sollte man nur solche Informationen erheben und speichern, die tatsächlich benötigt werden. Denn was gar nicht erst erfasst wird, kann auch nicht in einem Hack ­abgegriffen werden.

Schlussbemerkung

Bei alledem gilt: Selbst die besten tech­nischen und organisatorischen Mass­nahmen garantieren keinen hundert­prozentigen Schutz. Deshalb sollte ausserdem klar sein, was im Fall der Fälle passiert. Wen können Mitarbeiter fragen, wenn sie eine verdächtige E-Mail bekommen? Wem geben sie Bescheid, falls sie zum ­Opfer geworden sind? Wie wird mit einem Sicherheitsvorfall umgegangen? Empfohlen wird hier zum Beispiel vom NCSC ein Incident-Response-Plan, der das Vorgehen genau festhält. Dessen Wirksamkeit sollte regelmässig geprüft werden.