- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Im Visier der Angreifer


SMB versus Großunternehmen? Ist das noch die Frage, wenn praktisch jedes Unternehmen potenziell Opfer einer Datenschutzverletzung werden kann?
Thesen, warum Mitarbeiter jedes Unternehmens im Fokus von Hackern sind, welche Fehler und Risiken es Cyberkriminellen einfacher machen und welche Regeln man beherzigen sollte

Von Fred Touchette, Security Analyst bei AppRiver, Spezialist für E-Mail- und Web-Sicherheit

(17.09.15) - Ist das noch die Frage, wenn praktisch jedes Unternehmen potenziell Opfer einer Datenschutzverletzung werden kann? Selbst großen Handelsketten mit bekanntermaßen hohem Sicherheitslevel wie Target oder Home Depot in den USA ist es so ergangen. Der Hauptunterschied liegt darin, dass Konzerne typischerweise ein deutlich höheres Budget und mehr Ressourcen für IT-Sicherheit einsetzen können. Mittelständischen und kleinen Unternehmen fehlt es nicht selten an allem: an entsprechendem Personal in einer IT-Abteilung, an Budget oder auch am Spezial-Know-how um Technologien und IT-Sicherheitsmaßnahmen abzugleichen und umzusetzen.

Technologie hat Grenzen – Der Faktor Mensch
Zu einer vollständigen IT-Sicherheitsstrategie gehört es zwingend dazu, den Faktor Mensch einzuziehen. Geschulte Mitarbeiter, die entsprechend wachsam sind, werden automatisch zu einem Teil des IT-Sicherheitsteams. Sonst bleibt der Mensch selbst die größte Schwachstelle im System. Eine Schwachstelle, die keine noch so wirksame Strategie beheben kann.

Im Fokus der Hacker: (Ihre) Mitarbeiter

Fünf Thesen, warum das so ist
>>
Der großflächige Einsatz von IT-Sicherheitstechnologien wie Intrusion Detection, die Überwachung des Netzwerks und Firewalls haben es Angreifern erheblich schwerer gemacht auf den klassischen Wegen in ein Netzwerk einzudringen.
>> Mitarbeiter denken nicht die ganze Zeit und bei allem, was sie tun an IT-Sicherheit. Sie sind schließlich keine Experten auf dem Gebiet.
>> Aus dieser Perspektive betrachtet haben Mitarbeiter eine ganze Reihe schlechter Angewohnheiten: Sie öffnen verdächtige E-Mails, sie tauschen Meme und Karten auf elektronischen Wegen aus, sie verwenden unsichere Passwörter oder sie "vergessen" sich abzumelden.
>> Mitarbeiter (wie Menschen allgemein) möchten kooperieren und einem Anrufer beispielsweise weiterhelfen.
>> Social Engineering kostet selten mehr als einen Anruf.

7 typische Risiken und Fehler
>> Risiko E-Mail -
Scammer können sich darauf verlassen, dass Mitarbeiter auf überzeugende oder neugierig machende Anhänge klicken. Das passiert immer wieder, unabhängig davon wie verdächtig das Ganze auch aussehen mag.

>> Risiko Passwörter - Zur gängigen, schlechten Praxis in Sachen Passwörter gehört es, kurze oder/und leicht zu erratende Passwörter auszuwählen, Passwörter an wenig geeigneten Stellen zu notieren und aufzubewahren oder ein Mal gewählte Passwörter nicht häufig genug zu ändern, Nutzer verwenden identische Passwörter für unterschiedliche Konten, melden sich nicht ordnungsgemäß ab oder verzichten darauf ihren Rechner zu sperren, wenn sie den Arbeitsplatz verlassen.

>> Risiko Der Wunsch höflich zu sein – Höfliche und dienstleistungsorientierte Mitarbeiter, die dazu tendieren jeden Kundenwunsch zu erfüllen, sind in aller Regel auch eine leichte Beute, um vertrauliche Daten und Informationen abzuziehen.

>> Risiko Mobiles Arbeiten von unterwegs – Der allzeit bereite mobile Mitarbeiter vernachlässigt nicht selten, sein IT-Equipment ausreichend zu schützen und gestattet unter Umständen unbefugten Zugriff, beispielsweise auf vertrauliche Unternehmensdaten oder Informationen zur Identifikation.

>> Risiko Physische Sicherheit – Computer-Arbeitsplätze werden nicht gesperrt, Schreibtischschubladen bleiben unverschlossen oder ganze Büros und Gebäude sind nicht ausreichend gesichert.

>> Risiko Surfen im Web – Mit jeder Sekunde, die ein Mitarbeiter online verbringt, und mit jeder Website, die er besucht, steigt die Wahrscheinlichkeit für irgendeine Art von Datenschutzverletzung, Bedrohung oder Hackerangriff.

>> Risiko Ignoranz – Und gar nicht so selten werden Sicherheitsvorkehrungen und entsprechende Tools ignoriert, umgangen oder abgeschaltet. Aus den verschiedensten Gründen.

5 Anzeichen, dass es schon passiert ist...
>> Ungewöhnlich langsame Internetverbindungen
>> Unüblich langsam arbeitende Computer - nicht selten ein Anzeichen, dass sich eine Malware oder ein Virus auf dem entsprechenden Rechner eingenistet hat.
>> Gesperrte Konten deuten unter Umständen auf eine Brute-Force-Attacke hin oder ein Konto ist bereits gehackt, und der Angreifer hat das Passwort geändert.
>> Jede Art von Anomalien im lokalen Netzwerk – wenn keine Wartung durchgeführt oder Veränderungen angekündigt worden sind, können diese Anzeichen auf ein Hardware-Problem oder eine potenzielle Datenschutzverletzung hinweisen.
>> Pop-Ups oder Webseiten laden nicht – ein Zeichen für einen Virus oder eine Malware auf dem betreffenden Rechner.

7 Sicherheitstipps
Unglücklicherweise gibt es kein Wundermittel, das hundertprozentige Sicherheit vor einem Angriff garantiert. Es ist also sinnvoll verschiedene Methoden und Technologien miteinander zu kombinieren, um wenigstens einen möglichst hohen Sicherheitslevel zu erreichen.

>> Setzen Sie auf Schulungen und halten Sie Ihre Mitarbeiter dazu an, selbst wachsam zu sein. Formulieren Sie entsprechende Richtlinien wie mit Kundendaten und sensiblen Informationen umzugehen ist und wie man sie schützen kann.
>> Versuchen Sie das Netzwerk und die einzelnen Rechner so clean wie möglich zu halten. Ein Sicherheitsansatz mit unterschiedlichen Layern macht das leichter.
>> Setzen Sie in jedem Fall entsprechende Firewall-Lösungen ein.
>> Führen Sie regelmäßige Datensicherungen durch.
>> Erziehen Sie Ihre Mitarbeiter dazu sichere Passwörter zu verwenden, für jedes Konto ein anderes. Und stellen Sie sicher, dass diese Passwörter häufig gewechselt werden.
>> Mitarbeiter sollten grundsätzlich nur auf die Daten und Systeme zugreifen können, die sie für ihre Tätigkeit wirklich brauchen.
>> Und Mitarbeiter sollten nicht ohne Erlaubnis Software auf ihrem Computer installieren dürfen.
(AppRiver: ra)

AppRiver: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Zehn praktische Tipps für mehr IT-Sicherheit

    F5 Networks hat aus weltweiten Analysen aktueller Cybergefahren zehn praktische Tipps für Unternehmen entwickelt. Damit können sie ihren IT-Sicherheitsansatz verbessern. Die Vorschläge wurden gemeinsam mit aktuellen Erkenntnissen im Whitepaper "Entmystifizierung der Bedrohungslandschaft" veröffentlicht. Beim Thema Sicherheit gibt es nach wie vor viele Mythen. Doch Unternehmen sollten ihre Entscheidungen nur auf Basis harter Fakten treffen. Zum Beispiel zielen heute 72 Prozent der Angriffe auf Benutzeridentitäten und Anwendungen. Trotzdem werden nur 10 Prozent des IT-Sicherheitsbudgets für deren Schutz ausgegeben. Ebenfalls unterschätzt wird weiterhin die Gefahr durch interne Mitarbeiter. Laut Fortune würde jeder fünfte Arbeitnehmer seine persönlichen Firmenpasswörter verkaufen, davon fast die Hälfte für weniger als 1.000 Dollar.

  • Sicherheitskriterium auf einer gefälschten Seite

    Phishing mit internationalen Domain-Namen nimmt trotz verbesserter Sicherheitskonzepte und ausgerollter Updates gegen Homograph-Angriffe der Browserhersteller nicht ab. Christian Heutger macht auf ein weiteres Problem aufmerksam: "Für ihre modernen Phishing-Kampagnen registrieren Angreifer gültige SSL-Zertifikate für ihre gefälschten Webseiten. Nutzer, die auf einer gefälschten Website landen, gehen somit von einer legitimen Seite aus", warnt der IT-Sicherheitsexperte und Geschäftsführer der PSW Group. Internationalisierte Domain-Namen enthalten Umlaute, diakritische Zeichen oder Buchstaben aus anderen Alphabeten als dem lateinischen. Somit können in Domains auch kyrillische, chinesische oder arabische Zeichen verwendet werden. Diese als Unicode-Methode bezeichnete Praxis liefert Cyberkriminellen die Basis für ihre Phishing-Kampagnen: Bestimmte Buchstaben sehen in verschiedenen Zeichensätzen ähnlich aus wie Unicode. Für die meisten User hierzulande unterscheiden sich diese Zeichen auf den ersten Blick nicht von den richtigen. Diesen Umstand nutzen Angreifer aus: Um ihre Opfer auf gefälschte Webseiten zu locken, registrieren Cyberkriminelle Domains mit identisch erscheinenden Zeichen. Die vorgetäuschte Website sieht der legitimen verdächtig ähnlich, die registrierte Domain jedoch ist eine andere.

  • Perspektive eines tatsächlichen Angreifers

    Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Blue Frost Security zeigt, was einen echten Penetrationstest ausmacht und was das so genannte "Redteam-Testing" bedeutet. Je nach Anwendungsfall sind entweder Teile oder der gesamte Umfang des Testszenarios erforderlich. Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status-quo der IT-Sicherheit im Unternehmen festzustellen. Ziel ist die Identifizierung von Schwachstellen bzw. Sicherheitslücken und die Optimierung der IT/TK-Infrastruktur. Ein automatisierter Sicherheitsscan wird oft als Penetrationstest deklariert, ist aber keiner. Blue Frost Security hat die fünf Stufen eines professionellen Penetrationstests zusammengefasst.

  • Verwendung von Webcams & internetfähigen Geräte

    Die mit dem Internet verbundene Kamera einer Niederländerin fing plötzlich an, mit ihr zu sprechen. Geschockt nahm sie den Dialog mit dem Hacker auf und veröffentlichte ihn. Damit sich dieser Schreckmoment nicht wiederholt, gibt Sophos drei bewährte IoT-Tipps. "Bonjour Madame!" - geschockt beschreibt die Gefühlslage von Rilana H. vielleicht am besten, als ihre WiFi-fähige Kamera sie aus dem Nichts heraus beim Hausputz begrüßt. Ein Hacker hatte die Kontrolle über das IoT-Gerät übernommen, das die Niederländerin vor ein paar Monaten bei einer lokalen Discounterkette günstig erstanden hatte. Sie packte die Kamera in die Box zurück, erzählte ihrer Freundin am Abend davon und wollte den Spieß umdrehen: Sie stellte die Kamera wieder auf, mit Blick auf die Wand gerichtet, und filmte mit ihrem Handy, wie der Hacker erneut Kontakt aufnahm. Den Dialog veröffentlichte sie vor kurzem auf Facebook.

  • Mehrarbeit für Domaininhaber in Grenzen

    Seit 8. September ist die Sicherheit von SSL/TLS-Zertifikaten durch das Verfahren Certification Authority Authorization (CAA) weiter erhöht worden. Da der Anwender nun selbst im DNS eine oder mehrere Zertifizierungsstellen (CA) definiert, die SSL /TLS-Zertifikate für die eigenen Domains ausstellen darf. "Das SSL-/TLS-Zertifikat wird nun nicht nur an einen festgelegten Host, sondern auch an eine festgelegte Zertifizierungsstelle gebunden. Dem Zertifikatsmissbrauch wird damit ein weiterer Riegel vorgeschoben. Und dank diverser Tools hält sich auch das Mehr an Arbeit für Domaininhaber in Grenzen", begrüßt Christian Heutger, Geschäftsführer der PSW Group diesen Schritt.