Die Folgen eines Cyberangriffs können verheerend sein. Es kann nicht nur die Industrie und die Behörden, sondern auch kleine KMUs oder Privatpersonen treffen. Eine kurze Analyse und wertvolle Tipps von Michel Rodriguez, IT-Verantwortlicher der Richemont Fachschule.
In der EU beläuft sich der finanzielle Schaden durch Cyberkriminalität auf rund 250 Milliarden Euro. Die Anzahl der Fälle von Cyberkriminalität hat sich in den letzten Jahren exponentiell vervielfacht. Es handelt sich nicht nur um Einzeltäter. Auch die organisierte Kriminalität hat das Internet für sich entdeckt. Heute kann es jede und jeden treffen. Es sind nicht mehr nur Einzelfälle, die ausschliesslich diejenigen betreffen, welche im Internet Risiken eingehen.
Fast 50 % E-Mail-Angriffe
Fast die Hälfte (47 %) der bisher gemeldeten Sicherheitsverletzungen im Jahr 2020 betrafen E-Mail-Angriffe. Das ist ein Anstieg von 42 % im Vergleich zu 2019, ein Trend, der sich voraussichtlich fortsetzen wird. Tatsache ist, dass die meisten Unternehmen eine robustere Schulung und Sensibilisierung der Endbenutzer benötigen. Hinter diesen Zahlen stecken unzählige, nervenaufreibende, zeitintensive und kostspielige Geschichten – diese würden wir alle gerne zurückstellen …
«Fast 50 % der bisher gemeldeten Sicherheitsverletzungen im Jahr 2020 betrafen E-Mail-Angriffe. Das ist ein Anstieg von 42 % im Vergleich zu 2019.»
Nachfolgend ein paar Denkanstösse und Tipps:
Menschliches Versagen ist die Ursache für 90 % der Datenverletzungen.
Unabhängig davon, ob sie von zu Hause aus, in einem Café oder innerhalb von ihrem Unternehmen arbeiten, sollten alle Mitarbeitenden über das nötige Grundwissen verfügen, um Cyber-Sicherheitsbedrohungen zu erkennen und zu vermeiden.
Die Mitarbeitenden benötigen Geräterichtlinien für das Herunterladen von Apps sowie Programmen und müssen sich bewusst sein, dass die IT-Abteilung ihre Geräte (einschliesslich Mobiltelefone) auf gefährliche Aktivitäten überwachen kann.
Stellen Sie Richtlinien zur Aktualisierung von Antiviren- und Anti-Malware-Programmen auf Geräten bereit, die für die Arbeit genutzt werden, und erklären Sie, dass diese Programme ohne die Updates nicht mehr so effektiv sind.
Weisen Sie die Mitarbeitenden an, bei Dateianhängen von unbekannten Absendern ausserhalb des Unternehmens vorsichtig zu sein.
Informieren Sie alle Mitarbeitenden über gängige Phishing-Betrügereien, die in Ihrer Branche im Umlauf sind.
Weisen Sie die Mitarbeitenden an, keine Dateien von unbekannten Seiten herunterzuladen.
Stellen Sie sicher, dass Ihre Mitarbeitenden wissen, wie sie sichere URLs identifizieren, ihren Browser aktualisieren und Browser-Plugins von Drittanbietern vermeiden können.
Stellen Sie sicher, dass die Mitarbeitenden Kenntnis haben, an wen sie sich wenden und welche Massnahmen sie ergreifen müssen, wenn sie glauben, dass ihr Gerät kompromittiert wurde, unabhängig vom Standort.
Und schliesslich sollten Sie bedenken, dass eine vollständige Sensibilisierung und Einhaltung der Richtlinien einen Kulturwandel in Ihrem Unternehmen erfordern kann – und das bedeutet, dass die oberste Führungsebene dafür eintreten muss.
Best Practices fürs Homeoffice
Seit Ausbruch der Pandemie im Frühling 2020 ist Homeoffice Alltag im Berufsleben. Die Verantwortlichen hatten alle Hände voll zu tun, damit so viele Mitarbeitende wie möglich von zu Hause aus arbeiten können. Jetzt ist es an der Zeit sicherzustellen, dass alle technischen Vorkehrnungen (Best Practices) getroffen sind.
Hier noch weitere Tipps im Zusammenhang mit dem Homeoffice:
Phishing E-Mails sind Top-Methoden für Cyber-Kriminelle. Die Remote-Arbeit hängt stark von E-Mails ab. Schulen Sie Ihre Mitarbeitenden darin, Phishing-Betrug zu erkennen und Netzwerksicherheit zu erhöhen, beispielsweise durch das Verwenden von sicheren Passwörter.
«Richten Sie eine Multi-Faktor-Authentifizierung ein, um die Abhängigkeit von Passwörtern zu vermeiden und die Wahrscheinlichkeit des Erratens von Passwörtern zu verringern.»
Führen Sie eine Zugriffsüberprüfung durch, um sicherzustellen, dass alle Mitarbeitenden nur die Mindestzugriffsrechte haben, die sie für die Ausführung ihrer Aufgaben benötigen. Das Entfernen übermässiger Berechtigungen oder veralteter und stagnierender Konten reduziert die Bedrohungsfläche Ihres Unternehmens.
Richten Sie eine Multi-Faktor-Authentifizierung ein, um die Abhängigkeit von Passwörtern zu vermeiden und die Wahrscheinlichkeit des Erratens von Passwörtern zu verringern.
Schliesslich sollten Sie sich bewusst sein, dass der heutige Arbeitsplatz anders ausssieht als vor der Pandemie. Der Arbeitsplatz der Zukunft wird wahrscheinlich auf lange Sicht teilweise dezentralisiert bleiben. Daher ist ein robustes Cybersecurity-Programm für dezentrale Arbeitsplätze jetzt ein wichtiges Element, das möglicherweise eine grössere Anzahl von IT-Mitarbeitenden – je nach Grösse des Unternehmens – oder die Unterstützung durch einen Managed-IT-Anbieter erfordert.