Immer mehr Unternehmen werden Opfer von Hackerangriffen. Experten schätzen den weltweit entstandenen Gesamtschaden durch Cyber-Attacken allein im vergangenen Jahr 2019 auf über sechs Milliarden US-Dollar.
Die Corona-Pandemie hat die Entwicklung noch einmal beschleunigt: Gemäß Interpol ist die Zahl der Hackerangriffe im Corona-Jahr 2020 um etwa ein Drittel gestiegen. Auch private Internetnutzer stehen immer häufiger im Fadenkreuz der Hacker.
Hackerangriffe: Erhöhte Gefahrenlage im privaten Bereich
Bei Unternehmen haben es die Hacker häufig auf interne Informationen - Stichwort: Wirtschaftsspionage - abgesehen. Auch das komplette Lahmlegen des Betriebs durch das Heraufbeschwören von IT-Ausfällen steht hoch im Kurs.
Im privaten Sektor interessieren sich die Angreifer meist für persönliche Daten. Mit diesen werden, teilweise von den Opfern vollkommen unbemerkt, Fake-Profile auf dubiosen Webseiten, aber auch bekannten Social-Media-Kanälen, angelegt.
Auch nach Kreditkartendaten oder kompletten Identitäten lecken sich die Kriminellen die “Langfinger”.
Firewall kaum ausreichend
Schon immer gehörte eine anständige IT-Security-Software zur Standardausstattung vieler privater PCs. Doch weder Antivirenprogramme noch die Windows-interne oder Routern wie der Fritz!Box integrierten Firewalls reichen tatsächlich aus, um die eigenen Daten zu schützen.
Während man früher Dokumente, Bilder und andere Daten primär lokal auf seinem Computer gespeichert hat, hat sich das digitale Leben längst in die Cloud verlagert. Das ist prinzipiell nicht schlecht: Bei einem durch den Ausfall der lokalen Festplatte verursachten Datenverlust, sind die online in der Cloud gespeicherten Daten nach wie vor zugänglich. Ein klarer Vorteil. Auch verteiltes Arbeiten über Lösungen wie Office 365 oder Microsoft Teams wäre ohne “die Cloud” nicht möglich.
Es bringt also nicht viel, ausschließlich sein Endgerät vor Angriffen zu schützen, wenn die möglicherweise sensiblen Daten und Informationen (auch) auf Cloud-Servern irgendwo in Übersee liegen.
Mindestens genauso wichtig wie der Endgeräteschutz ist, die online verfügbaren Benutzerkonten durch sichere Passwörter und wenn möglich eine Zwei-Faktor-Authentifizierung zu sichern.
Zeitgleich sollte man sich genau überlegen, wie viele und welche Informationen man extern bei Cloud-Diensten “hinterlegt” oder gar auf Social-Media-Profilen wie Facebook, Twitter oder Instagram öffentlich macht.
“Neuland” Home-Office als Sicherheitsrisiko
Das Home-Office ist eine Art “halbprivater” Bereich und für viele Unternehmen und Arbeitnehmer*innen Neuland. Dementsprechend werden Sicherheitsrisiken oft falsch eingeschätzt - mit fatalen Folgen für unternehmensbezogene und personenbezogene Daten. Letztere stehen gemäß DSGVO und BDSG(-neu) unter besonderem Schutz. Bei Datenschutzverstößen drohen saftige Bußgelder.
Dienstrechner und VPNs
Im Idealfall werden vom Unternehmen separate und entsprechend ausgestattete PCs bzw. Laptops bereitgestellt. Auch die Zugriffsmöglichkeiten auf Cloud-Dienste wie die virtuelle Telefonanlage des Unternehmens, Office-Programme oder CRM-Software (CRM = Customer Relationship Management) sind entsprechend abzusichern. Eine verschlüsselte VPN Verbindung (VPN = Virtual Private Network) zwischen Home-Office und Firmennetzwerk sollte Pflicht sein.
IT-Security-Beratung förderfähig
Unternehmen, die in puncto IT-Sicherheit (im Home-Office) noch nicht umfassend aufgestellt sind, sollten eine professionelle IT-Security-Beratung in Betracht ziehen. Diese wird im Rahmen des Programms “go-digital” vom Bundesministerium für Wirtschaft (BMWi) mit bis zu 50 % auf einen maximalen Beratertagesatz von 1.100 Euro gefördert. Die Förderung ist auf maximal 30 Tage pro Halbjahr begrenzt.
Zertifizierte Experten beraten nicht nur hinsichtlich der sicheren Ausgestaltung von Home-Office-Plätzen, sondern analysieren mit sog. Penetrationstests und Security Audits auch das aktuelle Gefahrenpotenzial der bestehenden IT-Infrastruktur.
Konkrete Maßnahmen: IT-Security Tipps
Was kann man tun, um Benutzerkonten, Endgeräte und damit wichtige Daten nachhaltig vor dem Zugriff Unbefugter zu schützen?
Sichere Passwörter nutzen
Ein sicheres Passwort besteht aus mindestens 8 Zeichen - gemischt aus willkürlich aneinandergereihten Großbuchstaben, Kleinbuchstaben und Sonderzeichen. Eigennamen und Wörter, die einen Sinn ergeben, sind als Kennwort ungeeignet. Auch bei simplen Zahlenreihen und Tastaturfolgen haben Hacker leichtes Spiel.
Zwei-Faktor-Authentifizierung verwenden
Bei der Zwei-Faktor-Authentifizierung benötigt man neben dem Benutzernamen und Kennwort noch einen weiteren “Schlüssel”, bevor man Zugriff auf einen Account erhält. Das kann beispielsweise eine SMS-TAN oder der persönliche Fingerabdruck sein. Üblich sind auch über spezielle 2FA-Apps wie den Google Authenticator generierte Codes.
Autofill-Funktion aktivieren
Die Autofill-Funktion ermöglicht das Anmelden in Benutzerkonten ohne Eingabe der Zugangsdaten. Die meisten Passwort-Manager verfügen eine solche Funktion. Spezielle Lösungen für Unternehmen bieten zudem die Möglichkeit, Zugänge zentral durch einen Administrator zu verwalten. Einzelne Mitarbeiter*innen können so für Konten “freigeschaltet” werden - kennen müssen diese das Passwort nicht.
Die Autofill-Funktion schützt ferner vor “Keyloggern”. Dabei handelt es sich um bösartige Software (teilweise auch Hardware), mit der Hacker Tastatureingaben mitlesen bzw. aufzeichnen.
E-Mails hinterfragen
Beim sog. Phishing versuchen Angreifer, sich über gefälschte Webseiten oder E-Mail-Absender das Vertrauen der Zielpersonen zu erschleichen. Bevor man Anhänge öffnet, Links anklickt oder gar irgendwo seine Zugangsdaten eingibt, empfehlen Experten des BSI (Bundesamt für Sicherheit in der Informationstechnik), sich drei Fragen zu stellen: Kenne ich den Absender, macht ein Anhang oder Link hier überhaupt Sinn und ist der Betreff nachvollziehbar?
Backups erstellen
Ein Backup - also eine Datensicherung - sollte regelmäßig und bestenfalls an verschiedenen “Orten” durchgeführt werden. In der Praxis haben sich Kombinationen aus Cloud-Backups und Datensicherungen auf externen Datenträgern bewährt.
Öffentliche Netzwerke meiden
Ungesicherte öffentliche WLAN Netzwerke sind das reinste Eldorado für Cyberkriminelle. Über Sniffing-Tools versuchen die Angreifer den Datenverkehr zwischen Endgerät (z.B. Laptop oder Smartphone) abzufangen.
Mit den Online-Bankgeschäften oder dem Teams-Chat über sensible, möglicherweise die Arbeitsstelle betreffende Informationen, sollte man lieber warten, bis man wieder zu Hause oder im Büro ist.
VPN einrichten
Besonders sicher (auch in öffentlichen Netzwerken) ist der Datenaustausch über ein Virtual Private Network (kurz: VPN). Dabei wird der ein- und ausgehenden Datenverkehr, einfach ausgedrückt, verschlüsselt. Mit einer VPN-Software oder -App für Computer und / oder Smartphone ist das Ganze recht schnell und einfach gelöst.
