Durchblick im Gefahren-Dschungel
Im Dschungel der digitalen Gefahren braucht es mehr als nur eine Taschenlampe. Cybersicherheit muss zu einer unternehmerischen Kernkompetenz werden.
Der globalen IT-Welt geschuldet sind es primär englische Fachbegriffe, die beim Thema Cybersicherheit, respektive Gefahrenquellen, genutzt werden: KI-basierte Phishing-Angriffe, Credential Stuffing, Web-Scraping, Skewing, DDoS und DNS-Scrubbing, und so weiter mehr. Da löst schon das Einlesen Kopfschmerz aus, mindestens, wenn man sich mit und in der virtuellen Daten- und Kommunikationswelt nicht auskennt. Und das geschieht in kleineren Betrieben häufig. Denn da gibt es weder Sicherheitschef noch IT-Verantwortliche, diese Dienste werden meist an externe Fachleute und Agenturen ausgelagert oder man «wurstelt» sich so günstig es geht durch die Thematik. Beide Vorgehen haben auch Nachteile: Externe Agenturen behalten ihr Fachwissen für sich und kreieren damit Abhängigkeit. Und «selber wursteln» birgt eben solche oben genannten Gefahren, über die man einfach zu wenig weiss und sich dementsprechend nicht schützen kann.
Gefahrenquellen
Um die Dimensionen zu erahnen, hier eine kurze Zusammenfassung der angesprochenen Bedrohungen: Unter dem Begriff Phishing (kommt von «fishing»), versteht man Versuche, sich über gefälschte E-Mails oder Webseiten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel der Betrüger ist, Internet-Nutzer zu bewegen, übers Einloggen in gefälschte Werbewelten einzutreten und dort gegebenenfalls vertrauliche Daten wie Passwörter oder Benutzernamen zu hinterlassen.
Credential Stuffing ist ein automatisierter und häufig sich wiederholender Cyberangriff, bei dem Hacker mithilfe von Bots (kommt vom englischen Wort «robot») weitgehend automatisiert versuchen, auf Hintergrund-Daten einer Website zuzugreifen. Das ist teilweise legal und erwünscht, damit Suchmaschinen, die angeforderten Informationen identifizieren und publizieren können. Aber gibt auch schädliche Methoden des auch Web Scrapings genannten Prozesses: Daten werden missbraucht, verfälscht oder dem Darknet zugeführt.
Dazu passen auch Skewing-Attacken, das englische Verb to skew bedeutet verzerren. Da versuchen Angreifer, die via Web-Analysedaten erhaltenen Informationen und Statistiken, beispielsweise von Google Analytics, zu verfälschen. Es geht also nicht um Datendiebstahl, sondern darum, dass die Ziel-Unternehmen wegen der manipulierten Daten zu falschen Geschäftsentscheidungen verleitet werden. Und letztlich DDoS; es steht für Distributed Denial of Service (wörtlich bedeutet es verteilte Dienstverweigerung) und beschreibt Cyberangriffe, die mittels künstlicher und sich wiederholender Anfragen Ausfälle von Webseiten herbeiführen. Dagegen arbeiten sogenannte Scrubbing Services, die solchen schädlichen Traffic identifizieren und die Überlastung der Systeme verhindern. Und dies sind bei weitem nicht alle Gefahren. Wie kann man sich als Klein- und Mittelständiges Unternehmen dagegen wehren?
Grössere Taschenlampe
Der erste Schritt heisst näher und genauer hinschauen, denn der Diebstahl oder Missbrauch von firmeninternen digitalen Informationen ist mittlerweile der am häufigsten gemeldete Betrug geworden, weit intensiver als physischer Diebstahl. Egal also, ob eine Firma Cloud Computing eingeführt hat oder nur zwei, drei E-Mails pro Woche verschickt, Cybersicherheit ist auch für Kleinstbetriebe eine Kernkompetenz geworden. Die Schlüsselaufgabe für jeden verantwortlichen Manager heisst deshalb, eine Sicherheitskultur zu schaffen.
Schritt 1 wurde in M&Q schon mehrmals angesprochen: unabhängig davon, zu welcher Generation man gehört: Man muss sich einlesen und mit dem Thema auseinandersetzen. Das bedeutet nicht, dass ein Vorgesetzter alles verstehen oder beherrschen muss, sondern dass er einen Überblick über das Thema hat, über die externen und internen Einflüsse, die Chancen und Herausforderungen, und allenfalls budgetmässige Elemente. Wenn dann im Team jüngere und digitalaffinere Menschen gewisse Aufgaben übernehmen, dann ist das völlig in Ordnung. Aber der Chef muss das grosse Ganze kennen.
Sicherheitskultur
Als erste Massnahme muss man sein System sauber halten. Das erfordert regelmässige Säuberung von alten Daten, neueste Sicherheitssoftware sowie das Installieren von Softwareupdates, sobald diese verfügbar sind. Antivirensoftware sollte so eingerichtet sein, dass sie nach jedem Update automatisch einen Scan durchführt. Und dazu passt auch die Notwendigkeit, alle Firmendaten mindestens wöchentlich zu sichern und extern abzulegen. Die wichtigsten Dokumente beinhalten Personalakten, Finanzdateien und Debitoren- und Kreditorenbuchhaltung; dann auch Textverarbeitungsdokumente. Wer das nicht tut, handelt letztlich grob fahrlässig.
Mit dem durchs Einlesen erhaltenen Grundverständnis muss ein Vorgesetzter heute in der Lage sein, die grundlegenden Sicherheitspraktiken und -richtlinien für den Betrieb und die Mitarbeitenden festzulegen. Dazu gehören klar definierte Zutrittsrechte zum System und zu Daten, sichere Passwörter, Richtlinien zur Nutzung des Internets (auch in der Freizeit, die man im Büro verbringt), und Verhaltensregeln betreffend Firmendaten und Kundeninformationen.
Zugänge überwachen
Ziemlich unterschätzt: auch private Mobilgeräte können erhebliche Sicherheitsprobleme verursachen, insbesondere wenn sie vertrauliche Informationen enthalten oder auf das Unternehmensnetzwerk zugreifen können. Mitarbeitende sollen solche Geräte mittels Passwort schützen, die Daten verschlüsseln oder Sicherheits-Apps installieren. Gleiches gilt für die Laptops, die leicht gestohlen oder verloren werden können. Jeder Angestellte sollte ein separates Benutzerkonto haben; und die entsprechenden Passwörter sollten nur durch fachmännisches IT-Personal zugeteilt werden.
Potenzieller Unruheherd kann auch das firmeninterne WLAN-Netzwerk sein. Es soll verschlüsselt sein, nur mit Passwort zugängig, und mittels Router so eingerichtet, dass der Netzwerkname (SSID, der sogenannte Service Set Identifier) nicht übertragen wird.
So oder so sind sämtliche Passwörter potenzielle Angriffsbereiche: Sie müssen also, erstens, komplex kreiert werden. Das heisst mindestens acht Zeichen lang sein und aus vier verschiedenen Zeichenarten (Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen) bestehen. Zweitens sollten die heiklen Passwörter alle drei Monate verändert werden, auch diejenigen der privaten Geräte der Mitarbeitenden. Und drittens gibt es für sensible Daten die Möglichkeit einer Multi-Faktor-Authentifizierung, die neben dem Passwort noch weitere Informationen erfordert. Gewisse Banken, beispielsweise, bieten ihren Kunden solche Dienstleistungen an.
Cybersicherheit ist Kernkompetenz – und diese kann man nur mit einer starken Taschenlampe richtig ausleuchten.
Autor
Daniel Tschudy ist Publizist, Referent und Berater im Hospitality-Sektor. Er befasst sich aber auch mit anderen Themen rund um die neuen Dimensionen des globalen Zusammenarbeitens.
