Sechs IT-Security-Tipps

Cyberkriminelle kennen die gängigen und aktuellen Sicherheitslücken, beispielsweise auf E-Mail Servern, und suchen gezielt nach Systemen, die diese noch nicht geschlossen haben. Rund jedes fünfte Unternehmen hatte im vergangenen Jahr einen oder mehrere gravierende Sicherheitsvorfälle, wie der eco – Verband der Internetwirtschaft schreibt. Bei rund 20 Prozent dieser Vorfälle hätten die Cyberkriminellen Trojaner-Software eingesetzt, um Lösegeld von Firmen zu erpressen, damit verschlüsselte Dateien wieder freigegeben werden.

Sicherheit aller IT-Systeme checken

«Werden Anwendungen und Daten von Erpressungstrojanern, sogenannter Ransomware, verschlüsselt und sogar Kundendaten gestohlen, dann erleiden Unternehmen einen herben Reputationsverlust. Im schlimmsten Fall kann die Situation existenzbedrohend sein», sagt Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter Mitgliederservices im eco – Verband der Internetwirtschaft. «Unternehmen müssen sich jederzeit maximal absichern und im Fall der Fälle schnell reagieren können.» IT-Verantwortliche sollten regelmässig, besonders in der Urlaubszeit, die Sicherheit aller IT-Systeme checken und die Kollegen und Kolleginnen schulen und sensibilisieren. Konkret gibt der eco – Verband der Internetwirtschaft e. V. dafür sechs Tipps:

1. Halten Sie alle Systeme jederzeit auf dem neuesten Stand. Machen Sie dazu eine Bestandsaufnahme der eingesetzten Software und Systeme: Was wird wo genutzt? Welche Systeme laufen aktuell und welche wurden ausser Betrieb genommen? Legen Sie Prozesse für regelmässige Updates und für Notfallpatches fest und üben Sie diese mit Ihren Mitarbeiter:innen ein.
2. Sammeln Sie proaktiv Informationen zu möglichen Schwachstellen, etwa vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und CERT-Bund. Bewerten Sie Risiken und klassifizieren Sie diese entsprechend: Welche Services sind für mein Unternehmen am wichtigsten, welche Auswirkungen haben Schwachstellen für mein Geschäft?
3. Planen Sie Ihre Reaktion auf eine eventuelle Krise oder Notfall im Vorfeld. Fast jedes dritte Unternehmen (31 Prozent) hat noch keinen Notfallplan festgelegt, um entsprechend reagieren zu können. Holen Sie das so schnell wie möglich nach und briefen Sie die Mitarbeitenden entsprechend, um Schäden für Organisationen, Unternehmen oder Einzelpersonen zu begrenzen oder abzuwenden.
4. Sensibilisieren Sie Ihre Belegschaft regelmässig hinsichtlich der Cybergefahren, die beispielsweise durch Phishing-Attacken drohen. Klären Sie die Mitarbeitenden regelmässig auf und bauen Sie entsprechende Kompetenzen auf, damit Ihre Kollegen im Zweifelsfall richtig reagieren. Mit regelmässigen Schulungen halten Sie diese Security-Awareness und das Bewusstsein für die Cybergefahren in der Unternehmenskultur hoch.
5. Nutzen Sie starke Passwörter entsprechend der Empfehlung des BSI: Wählen Sie Passwortlängen von mindestens acht Zeichen, verwenden Sie Gross- und Kleinbuchstaben sowie Sonderzeichen und Ziffern. Passwörter sollten nicht notiert, sondern nur verschlüsselt auf dem Rechner gespeichert werden. Tipp: Eselsbrücken können helfen, sich kryptische Passwörter zu merken.
6. Machen Sie regelmässige Backups, die schützen Sie und Ihr Unternehmen vor Datenverlust, beispielsweise bei Ransomware-Vorfällen und Hardware-Schäden. Anwendungen für Computer, Tablets und Smartphones machen die Sicherung für jeden in kurzer Zeit möglich – beispielsweise über Cloudlösungen oder externe Gerätespeicher. Die Datensicherung des Computers und der mobilen Geräte sollte wie das tägliche Zähneputzen zu einem unverzichtbaren Ritual werden.

Quelle: eco – Verband der Internetwirtschaft 

Weitere Themen:

• 10 Impulse zur Cybersicherheitspolitik
• Suissedigital erweitert seinen Cyber-Security-Check
• IT-Security: Unterschätzte Gefahren