Cyber Risk Versicherung
Schutz vor Cyber-Risiken 

Die­sen IT-Schutz soll­ten alle Unter­neh­men haben

Wer die Tür nicht abschließt ist nicht gegen Diebstahl gesichert und ohne Brandmelder bekommt
man keine Feuerversicherung. Genau so verhält es sich mit einer Cyberversicherung. 
Auch dafür braucht es ein Mindestmaß an Eigenvorsorge. 

Die nachfolgenden zehn Sicherheitsstandards sollten selbst die kleinsten Unternehmen einhalten. 
100 prozentige Sicherheit im Netz gibt es nicht. Doch das sollte niemanden dazu verleiten gleich zu resignieren. Die meisten Angriffe lassen sich schon mit einfachen Schutzmechanismen abwehren oder die Auswirkungen spürbar begrenzen. 



Generell gilt: Je sensibler Daten sind, desto besser sollten sie geschützt sein.



Zehn Sicherheitsstandards, die Unternehmen einhalten sollten


1. Anti­vi­ren­pro­gramm auf dem neues­ten Stand hal­ten

Er gehört eigentlich zur Standardausstattung jedes Computers: Ein Virenscanner, der die Festplatte immer wieder nach Schadsoftware durchsucht. Gerade in Betrieben, in denen mehrere Personen an einem Computer oder in einem Netzwerk arbeiten, ist ein solches Anti-Viren-Programm absolute Pflicht. Während für Privatanwender viele gute und auch kostenlose Programme zur Verfügung stehen, müssen Betriebe in der Regel dafür bezahlen. Doch auch hier gibt es Lösungen für kleinere Unternehmen, die weniger als fünf Euro im Monat kosten und einen verlässlichen Schutz bieten.

Enorm wichtig ist zudem, die Programme auf dem aktuellsten Stand zu halten. Die meisten Antivirenprogramme aktualisieren sich automatisch über das Internet. Diese Funktion sollte in keinem Fall abgeschaltet werden, denn nur wenn der Virenscanner auf dem aktuellsten Stand ist, kann er auch die neusten Schädlinge erkennen.


2. Wöchent­li­che Daten­si­che­rung machen

Wenn ein Ransomware-Trojaner zuschlägt und Ihre Dateien verschlüsselt, sind die Daten unwiederbringlich verloren – es sei denn, sie wurden vor dem Angriff noch gesichert. Deshalb sollte jeder Betrieb es als Standard sehen, regelmäßig Backups durchzuführen. Experten empfehlen daher, mindestens einmal pro Woche eine Sicherungskopie zu machen. Grundsätzlich gilt: Je öfter Sie Ihre Daten sichern, desto besser.


3. Upda­tes und Sicher­heits­pat­ches schnell ein­spie­len

Die ständige Aufforderung von Betriebssystemen oder Programmen ein Update einzuspielen ist nervig jedoch verbergen sich dahinter oft sogenannte Sicherheitspatches, also Versionen einer Software, in der eine Sicherheitslücke geschlossen wurde. Wie wichtig solche Updates sind, zeigte die Angriffswelle mit der WannaCry-Schadsoftware im Mai 2017, bei der mehr als 230.000 Windows-Computer in über 100 Ländern betroffen waren. WannaCry nutzte dabei eine Sicherheitslücke, die bereits bekannt war. Schon zwei Monate zuvor hatte Microsoft ein Sicherheitspatch herausgegeben. Wer dieses rechtzeitig installiert hatte, war gegen den Angriff immun.

Betriebssysteme laden in der Regel automatisch die aktuellen Updates herunter und installieren diese von alleine. Diese Update-Funktion sollte auf keinen Fall deaktiviert werden. Zudem müssen die Rechner danach auch regelmäßig heruntergefahren und neu gestartet werden. Ansonsten können die Updates nicht installiert werden.

Auch die einzelnen Programme oder Plugins können Sicherheitslücken enthalten. Deshalb sollten auch für Programme und Plugins die aktuellen Versionen eingespielt werden. Auch hier gibt es mittlerweile bei vielen Programmen eine automatische Update-Funktion.

Vor einem Update sollte allerdings immer eine Datensicherung gemacht werden, da ein Update manchmal auch zu technischen Problemen führen kann.


4. Fir­men-Ser­ver mit Fire­wall sichern

Eine Firewall funktioniert wie eine strenge Grenzkontrolle: Nur mit gültigen Ein- und Ausreisepapieren dürfen Datenpakete vom eigenen geschlossenen Netzwerk ins offene Internet und umgekehrt. Solch einen Schutz sollte unbedingt jeder Server haben, um die zahllosen Angriffe aus dem Netz abzuwehren. Auch eine Software zur Sicherheitsüberwachung (Security Monitoring) oder zur Erkennung von Eindringlingen (Intrusion Detection) sind gute Maßnahmen, um die Sicherheit des eigenen Netzwerks zu stärken.


5. IT-Admi­nis­tra­to­ren­zu­gänge ein­rich­ten und spar­sam nut­zen

Wer seinen Computer einrichtet, sollte in jedem Fall ein Administratorprofil mit gesondertem Kennwort einrichten und dieses Profil nur dann benutzen, wenn neue Programme eingerichtet oder das Betriebssystem konfiguriert werden. Für die alltägliche Arbeit sollte immer nur ein Zugang mit weit weniger Zugriffsrechten genutzt werden. Der einfache Hintergrund: Fängt sich ein Benutzer mit einem einfachen Zugang ohne umfassende Zugriffsrechte einen Virus ein, kann dieser häufig nur begrenzten Schaden anrichten, selbst wenn der Schädling die Kontrolle übernimmt – ohne Administratorenkennwort kann sich ein Virus viel weniger ausbreiten.


6. Indi­vi­du­elle Mit­ar­bei­ter­zu­gänge ein­rich­ten

Jeder Mitarbeiter sollte einen eigenen Benutzeraccount mit eigenem Passwort bekommen. So können Administratoren genau definieren, welche Berechtigungen ein Mitarbeiter haben soll und welche nicht. Zudem kann bei einem Angriff über einzelnen Nutzeraccounts besser nachvollzogen werden, wie ein Eindringling in das Netzwerk gelangen konnte. Viele Betriebe nutzen nur einen Zugang pro Computer, der dann als Sammelzugang verwendet wird. Sammelaccounts sind ein potenziell einfaches Einfallstor, da so nicht kontrolliert werden kann, wann und wie die Passwörter weitergegeben werden. Ehemalige Mitarbeiter hätten so z. B. auch weiterhin Zugang zu den Daten, wenn solche Passwörter nicht regelmäßig geändert werden.


7. Kom­plexe Pass­wör­ter erzwin­gen

Einfach zu erratende Passwörter sind eines der häufigsten Zugangspunkte für Angreifer. Trotzdem sind die meisten Menschen dabei immer noch erstaunlich unkreativ: Das häufigste Passwort weltweit ist „123456“, gefolgt von „password“ und „12345678“, wie aus einer Liste der Sicherheitsfirma Splash Data hervorgeht. Um es Hackern nicht zu leicht zu machen, sollte es einen Mindeststandard für Passwörter geben.

Diese sollten beispielsweise eine bestimmte Passwortlänge (zum Beispiel mindestens acht Zeichen) vorschreiben oder die Nutzer dazu verpflichten, mindestens eine Zahl oder ein Sonderzeichen für ihr Passwort zu verwenden. Das Bundesamt für Sicherheit in der Informationstechnik gibt folgende Empfehlungen:

  • Das Passwort sollte mindestens acht Zeichen lang sein, je länger desto besser.
  • Das Passwort sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten sollten nicht verwendet werden. Auch in Wörterbüchern sollte das Passwort nicht 1:1 vorkommen.
  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht qwertz, asdfgh oder 1234abcd.
  • Ein einfaches Passwort allein um eine Ziffer oder ein Sonderzeichen wie $ ! ? oder # zu verwenden, ist auch nicht empfehlenswert.

Ein Administrator kann solche Passwortbedingungen technisch erzwingen: Vergisst ein Mitarbeiter bei der Anpassung des Passworts das geforderte Sonderzeichen, kann er sein Passwort nicht erstellen.

Auch eine sogenannte Zwei-Faktor-Identifizierung bei kritischen Zugängen sollte erwogen werden: Dies bedeutet, dass neben der Eingabe eines einzelnen Kennworts zusätzlich noch ein weiterer Identifizierungsweg benötigt wird, zum Beispiel über das Handy oder eine Chipkarte. Die bekannteste Zwei-Faktor-Identifizierung ist wohl das MobileTAN-Verfahren beim Online-Banking (mTAN). So müssen sich Bankkunden mit ihrem persönlichen Passwort einloggen, zusätzlich wird eine Transaktionsnummer per SMS ans Handy geschickt.


8. Mobil­ge­räte sichern

Immer häufiger werden Firmendaten auf Mobilgeräten wie Smartphones, Tablets oder Laptops auch außerhalb des Betriebes beim Kunden oder im Homeoffice genutzt. Für die Arbeit bietet das viele Vorteile und Flexibilität. Doch was, wenn der Laptop im Zug vergessen oder das Smartphone aus der Tasche gestohlen wird. Wenn diese Geräte nicht geschützt sind, können Diebe schnell und einfach Passwörter oder sensible Firmendaten abfischen. Deshalb sollten unbedingt mobile Datenträger vollverschlüsselt und mithilfe eines Passworts geschützt sein. Darüber hinaus sollten die Daten auf Handys oder Laptops aus der Ferne gelöscht werden können.


9. Mani­pu­la­tio­nen der Siche­rungs­ko­pie ver­hin­dern

Backups sind die Rückversicherung für den Fall gelöschter und manipulierter Daten. Die Datensicherung sollte daher physisch getrennt vom Server aufbewahrt werden. Denn ist zum Beispiel eine externe Festplatte noch per Kabel mit dem Server verbunden, kann ein Computerschädling auch darauf zugreifen. Besser: Eine Festplatte nutzen, die sich nach dem Backup vom System abziehen lässt. Gesonderte Authentifizierungsstufen und ein entsprechendes Rechtemanagement sollten zudem die versehentliche oder absichtliche Manipulation gesicherter Daten ausschließen.

Experten raten sogar zur 3-2-1-Regel: Drei Kopien aller kritischer Daten sollten auf mindestens zwei unterschiedlichen Medien liegen – auf der Festplatte etwa, der CD oder im Cloudspeicher. Und mindestens eine Kopie sollte außerhalb des Unternehmens gelagert werden – um zu verhindern, dass zum Beispiel ein Brand im Büro oder eine Überflutung alle Datenträger vernichtet.


10. Daten der Siche­rungs­ko­pie tes­ten

Von Zeit zu Zeit sollten Betriebe prüfen, ob sie mithilfe der Sicherheitskopien ihre Daten auch tatsächlich wiederherstellen können. So stellen sie sicher, dass bei der Sicherungskopie keine Datenquelle fehlt und die Wiederherstellung tatsächlich funktioniert. Denn der Notfall ist der schlechteste Zeitpunkt um festzustellen, dass eine Sicherungskopie fehlerhaft ist.





E-Mail
Anruf
Karte
Infos