In den letzten Jahren hat die durch Covid-19 verursachte Verlagerung zur Remote-Arbeit in Verbindung mit der digitalen Transformation vieler Organisationen neue Möglichkeiten für Cyberkriminelle geschaffen. Deshalb ist es für alle Unternehmen, ob groß oder klein, wichtig, die wichtigsten Bedrohungen für die Cybersicherheit und die Sicherheit von Webseiten zu kennen, damit sie Maßnahmen zum Schutz ergreifen können. Lesen Sie weiter, um mehr zu erfahren.
Cybersicherheitsrisiko Nr. 1 für Unternehmen: Ransomware
Berichten zufolge wurden 80 % der Unternehmen weltweit im Jahr 2021 in irgendeiner Form von Ransomware angegriffen. Ransomware ist eine Software, die Benutzer von ihren Computern aussperrt oder den Zugriff auf Daten durch Verschlüsselung der Informationen einschränkt. Der Benutzer muss einen speziellen Schlüsselcode eingeben, um den Zugang wiederherzustellen, und der Hacker gibt den Schlüssel nur heraus, wenn das Lösegeld bezahlt wird. Die bösartigste Ransomware löscht alle Benutzerdaten, selbst wenn das Lösegeld bezahlt wird.
Viele Inhaber kleiner oder mittlerer Unternehmen glauben, sie seien kleine Fische in einem Ozean von Firmenwalen, die für Kriminelle viel attraktiver sind. Sie lesen von hochkarätigen Cyberangriffen auf große Unternehmen und fühlen sich im Vergleich dazu sicher, aber große Unternehmen haben auf die harte Tour gelernt, ihren Schutz vor Cyberangriffen zu verstärken und ihre Verteidigung gegen zukünftige Angriffe zu härten.
Für Cyberkriminelle ist es daher einfacher, kleine und mittlere Unternehmen ins Visier zu nehmen, die oft nur über minimalen Schutz verfügen und nicht wissen, wie sie den Datendiebstahl von ihren Computern verhindern können. Passwörter und Informationen wie Bankkontodaten, Wohnadressen und sogar Sozialversicherungsnummern sind zu erbeuten. Mit diesen Informationen können Cyber-Diebe Gelder abziehen, Identitäten stehlen und Cyber-Angriffe auf Unternehmen und sogar Regierungen starten.
Wie sich Unternehmen vor Ransomware schützen können
Mehrschichtige Sicherheitsmaßnahmen: Um das Risiko von Ransomware zu verringern, sollten Sie einen mehrschichtigen Ansatz für die Cybersicherheit wählen. Das bedeutet, dass Sie eine Vielzahl von Sicherheitstools in Kombination miteinander verwenden. Verwenden Sie zum Beispiel auf jedem Gerät ein hochwertiges Antivirenprogramm und halten Sie es auf dem neuesten Stand, installieren Sie eine Firewall und verwenden Sie Spamfilter und Cloud Data Loss Prevention. Die Verwendung einer Kombination von Tools bedeutet, dass bei einem Ausfall eines Tools andere als Backup zur Verfügung stehen.
Sichern Sie Ihre Daten: Stellen Sie sicher, dass Ihr Unternehmen über ein vollständiges Offline-Backup Ihres Systems verfügt, das aktuell und vom Hauptnetzwerk getrennt ist. So können Sie auf Ihre Daten zugreifen, selbst wenn Ihr Unternehmen erpresst wird. Testen Sie Ihr Backup regelmäßig, um sicherzustellen, dass es funktioniert, wenn Sie es brauchen.
Überprüfen Sie Ihre BYOD-Richtlinie: Mit der Verlagerung zur Remote-Arbeit verwenden Mitarbeiter manchmal ihre eigenen Laptops oder mobilen Geräte, um zu arbeiten und auf das Unternehmensnetzwerk zuzugreifen. Dies birgt Risiken, da auf diesen Geräten möglicherweise keine geeignete Antiviren- oder andere Sicherheitssoftware installiert ist. Wenn Mitarbeiter unterwegs arbeiten, können sie auf öffentliche WLAN-Netzwerke zugreifen, die nicht sicher sind. Um dem entgegenzuwirken, können Sie den Netzwerkzugang auf unternehmenseigene Geräte beschränken und von den Mitarbeitern verlangen, dass sie über ein Virtuelles Privates Netzwerk (VPN) auf das Netzwerk zugreifen.
Cybersicherheitsrisiko Nr. 2 für Unternehmen: Phishing
Phishing ist eine weitere bedeutende Cyber-Bedrohung für Unternehmen. Unter Phishing versteht man den Versuch, über gefälschte E-Mails, die wie echte E-Mails aussehen, oder manchmal auch über gefälschte Webseiten an sensible Informationen wie Benutzernamen, Kennwörter und Kreditkartendaten zu gelangen. Traditionell wurden Phishing-Betrügereien per E-Mail durchgeführt. In den letzten Jahren wurden jedoch immer mehr Phishing-Betrügereien per Textnachricht (bekannt als Smishing) und Telefonanruf (bekannt als Vishing) durchgeführt.
Der Begriff Spear-Phishing bezieht sich auf Phishing-Versuche, die auf eine bestimmte Person oder ein Unternehmen abzielen. Cyberkriminelle nutzen Social-Engineering-Techniken, um Nachrichten an ihre Ziele zu personalisieren, so dass sie den Anschein erwecken, es handele sich um legitime E-Mails von bekannten Kontakten. Sie nutzen verschiedene Online-Informationsquellen – wie soziale Medien oder Webseiten von Unternehmen – um ein Profil ihrer Zielpersonen zu erstellen. Sie könnten sogar ein Unternehmen anrufen und sich als Kunde ausgeben, um Bankdaten zu erhalten usw.
Gefälschte E-Mails gehen oft direkt an den Kundenbetreuer eines Unternehmens mit der Aufforderung, Geld auf das Bankkonto eines Kunden zu überweisen. In der E-Mail finden Sie die Bankdaten und Überweisungsdetails. Ahnungslose Manager haben Beträge von einigen Tausend Dollar bis zu einigen Millionen Dollar auf die Konten von Cyberkriminellen überwiesen.
Wie sich Unternehmen vor Phishing schützen können
Denken Sie an Ihren digitalen Fußabdruck: Denken Sie an die Informationen, die Ihr Unternehmen online öffentlich zugänglich macht – also an Ihren digitalen Fußabdruck – und daran, wie dies Ihre Mitarbeiter für diese Art von Verbrechen anfällig machen könnte. Wenn Sie beispielsweise alle Ihre leitenden Mitarbeiter mit Links zu ihrem LinkedIn-Profil sowie ihren E-Mail-Adressen und Telefonnummern auflisten, erhöht sich das Risiko, ein Phishing-Ziel zu werden. (Sie können hier mehr über die Datenschutzbedenken bei LinkedIn lesen.)
Verwenden Sie E-Mail-Filter: Ein E-Mail-Filter allein garantiert noch nicht, dass Sie keine Phishing-E-Mails erhalten, aber er erhöht Ihren Schutz. E-Mail-Anbieter bieten eine Reihe von Spam- und Junk-Mail-Filtern an. Es lohnt sich also, den Markt zu erkunden, bevor Sie den richtigen Anbieter für sich auswählen.
Verwenden Sie ein Antivirenprogramm: Ein umfassendes und aktuelles Virenschutzprogramm, das auf jedem Gerät installiert ist, schützt Ihr Unternehmen vor Phishing-Angriffen und einer Reihe anderer Cyber-Bedrohungen. Ein Antivirenprogramm mit Anti-Phishing-Funktionen scannt die Anhänge von E-Mails, um zu prüfen, ob sie riskant sind.
Seien Sie wachsam: Achten Sie auf die verräterischen Anzeichen von Phishing. Beispielsweise ist es unwahrscheinlich, dass eine E-Mail von Ihrer Bank, in der Sie aufgefordert werden, Ihre persönlichen Daten zu aktualisieren, Rechtschreib- und Grammatikfehler enthält. Wenn eine E-Mail versucht, ein Gefühl der Dringlichkeit zu erzeugen – zum Beispiel, indem sie Ihnen mitteilt, dass Ihr Konto gehackt wurde und sofort zurückgesetzt werden muss – dann könnte dies ein Warnzeichen sein. Wenn eine Nachricht eine URL enthält, fahren Sie mit der Maus über die URL, um zu prüfen, ob sie zur richtigen Seite führt. Es ist auch wichtig, dass die URL ein SSL-Zertifikat hat und mit HTTPS beginnt. Wenn Sie eine E-Mail von einem unbekannten Absender erhalten, sollten Sie die darin enthaltenen Anhänge nicht öffnen.
Cybersicherheitsrisiko Nr. 3 für Unternehmen: Schwache Passwörter
Ein weiteres erhebliches IT-Sicherheitsrisiko für Unternehmen besteht darin, dass Mitarbeiter Passwörter verwenden, die schwach sind und leicht erraten werden können. Die Verwendung schwacher oder leicht zu erratender Passwörter oder die Verwendung derselben Passwörter für mehrere Konten kann dazu führen, dass sensible Daten oder Finanzinformationen befallen werden. Kleine Unternehmen sind besonders gefährdet, wenn Mitarbeiter schwache Passwörter verwenden, weil sie weniger über die Sicherheitsrisiken im Internet wissen. Durchschnittlich 19 % der Mitarbeiter in Unternehmen verwenden leicht zu erratende Passwörter oder teilen Passwörter für mehrere Konten.
Hacker schreiben Programme, die Wörterbücher mit Millionen von Passwörtern verwenden, um sich gewaltsam Zugang zu den IT-Systemen von Privatpersonen und Unternehmen zu verschaffen. Diese Angriffe werden Brute-Force-Angriffe genannt und haben eine hohe Erfolgsquote beim Einbruch in Computer. Sobald ein Hacker den Schlüssel zu einer Softwareanwendung gefunden hat, ist die Wahrscheinlichkeit hoch, dass er mit demselben Passwort auch Zugang zu anderen Konten erhält.
Wie sich Unternehmen vor schwachen Passwörtern schützen können
Führen Sie eine starke und technisch durchgesetzte Passwortrichtlinie ein: Ein sicheres Passwort besteht aus mindestens 15 Zeichen, darunter eine Mischung aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Benutzer sollten einfache Zahlenfolgen wie „12345“ oder Namen von Ehepartnern, Kindern oder Haustieren in einem Passwort vermeiden, da ein Hacker diese Informationen leicht über soziale Medien erhalten kann. Einige Unternehmen verlangen von ihren Mitarbeitern, dass sie ihre Login-Passwörter mindestens alle 90 Tage ändern.
Verwenden Sie einen Passwort-Manager: Ihre Mitarbeiter sollten in Erwägung ziehen, einen Passwort-Manager zu verwenden, um lange, komplexe Passwörter zu erstellen und zu verwalten, die in die Anmeldeseiten von Anwendungen eingefügt werden können.
Aktivieren Sie die Multifaktor-Authentifizierung: Die Multifaktor-Authentifizierung (MFA) sorgt dafür, dass Benutzer mehr als nur ein Passwort benötigen, um Zugang zu Geschäftskonten zu erhalten. Dies beinhaltet zusätzliche Verifizierungsschritte, wie z. B. die Übermittlung eines Passcodes an ein mobiles Gerät. Diese zusätzliche Sicherheitsebene verhindert, dass Angreifer auf Geschäftskonten zugreifen können, selbst wenn sie ein Passwort richtig erraten.
Ändern Sie die Standard-Passwörter: Ein häufiger Fehler ist es, die Standardpasswörter der Hersteller von Smartphones, Laptops und anderen IT-Geräten nicht zu ändern. Ändern Sie alle Standardpasswörter, bevor Sie die Geräte an Ihre Mitarbeiter verteilen. Überprüfen Sie regelmäßig Geräte und Software, um unveränderte Standardpasswörter zu erkennen.
Cybersicherheitsrisiko Nr. 4 für Unternehmen: Mobile Geräte
Unternehmen stellen ihren Mitarbeitern oft Smartphones, Laptops und Tablets zur Verfügung, um flexibles und mobiles Arbeiten zu ermöglichen. Daher sind mehr Daten als je zuvor auf Tablets und Smartphones gespeichert. Diese Geräte sind genauso leistungsfähig wie herkömmliche Computer und benötigen – da sie mobil sind und daher die Sicherheit des Büros und des Hauses verlassen – sogar noch mehr Schutz als Desktop-Geräte. Doch in vielen Unternehmen sind die meisten mobilen Endgeräte immer noch nicht vor Bedrohungen wie Phishing, Malware und Mobile-OS-Exploits geschützt – was sie zu einem der größten Risiken für die Cybersicherheit macht.
Wie Unternehmen mobile Geräte schützen können
Schalten Sie den Passwortschutz ein: Verwenden Sie eine komplexe PIN oder ein komplexes Passwort, um zu verhindern, dass ein durchschnittlicher Krimineller auf Ihr Telefon zugreifen kann. Viele Geräte verfügen jetzt über eine Fingerabdruck- oder Gesichtserkennung, um Ihr Gerät zu sperren, so dass Sie weniger auf Passwörter angewiesen sind. Diese Funktionen sind nicht immer standardmäßig aktiviert. Überprüfen Sie daher, ob sie eingeschaltet sind.
Stellen Sie sicher, dass verlorene oder gestohlene Geräte aufgespürt, gesperrt oder gelöscht werden können: Wenn ein Gerät eines Mitarbeiters verloren geht oder gestohlen wird, sollten Sie es nicht nur aufspüren, sondern auch alles darauf Befindliche aus der Ferne löschen können. Passwörter können Diebe für eine kurze Zeit abschrecken, aber die Möglichkeit, alle wertvollen Informationen von dem Gerät zu löschen, bevor sie eine Chance haben, sie zu sehen, verhindert das Risiko. Vergewissern Sie sich immer, dass diese Funktion auf allen mobilen Geräten Ihrer Mitarbeiter aktiviert ist.
Sichern Sie die Daten: Genauso wie Sie Ihre Computerdaten regelmäßig sichern, sollten Sie auch die Daten auf den mobilen Geräten Ihres Unternehmens sichern. Wenn ein Gerät verloren geht oder gestohlen wird, ist es beruhigend zu wissen, dass Ihre wertvollen Daten sicher sind und wiederhergestellt werden können.
Halten Sie Geräte und Apps auf dem neuesten Stand: Stellen Sie sicher, dass Sie die neuesten Versionen von Software und Apps haben, damit Sie von den neuesten Sicherheitsupdates profitieren können.
Erstellen Sie eine Richtlinie für mobile Sicherheit: Bevor ein Mitarbeiter beginnt, von einem mobilen Gerät aus zu arbeiten, sollten Sie eine Richtlinie für die akzeptable Nutzung im Einklang mit den gesetzlichen Bestimmungen aufstellen. Eine Anleitung, was zu tun ist, wenn ein Gerät verloren geht oder gestohlen wird, sorgt dafür, dass die Mitarbeiter wissen, wie sie zu handeln haben, und dies hoffentlich auch umgehend tun werden. Bitten Sie Ihre Mitarbeiter, ein Exemplar der Richtlinie zu lesen und zu unterschreiben, bevor sie ein mobiles Gerät für die Arbeit verwenden, um zu zeigen, dass sie sich der Risiken bewusst sind und wissen, wie sie sich schützen können.
Daten immer verschlüsseln: Die Verschlüsselung von Geschäftshandys ist unerlässlich. Die Verschlüsselung von Mobilgeräten funktioniert, weil die auf Ihrem Telefon gespeicherten Daten in eine unlesbare Form umgewandelt werden. Ähnlich wie beim Passwortschutz für Telefone müssen Benutzer die Verschlüsselungs-PIN oder das Passwort eingeben, um die Daten zu entschlüsseln. Moderne Smartphones sind in der Regel mit einem Passwortschutz und einer Verschlüsselung ausgestattet, wobei einige sicherer sind als andere. Bei Android zum Beispiel werden Sie beim Erstellen Ihres Passcodes aufgefordert, die Verschlüsselung als Option zu aktivieren. Aktivieren Sie die Verschlüsselung auf allen physischen Geräten und unterstützen Sie dies bei Bedarf mit Datenverschlüsselungssoftware.
Cybersicherheitsrisiko Nr. 5 für Unternehmen: Menschliches Versagen
Laut einer Studie von IBM aus dem Jahr 2021 ist menschliches Versagen für 95 % der Verstöße gegen die Cybersicherheit verantwortlich. Mit anderen Worten: Unbeabsichtigte Handlungen – oder das Fehlen von Handlungen – ermöglichen Verstöße. Oft handelt es sich dabei um einfache Fehler wie das Anklicken verdächtiger E-Mail-Anhänge, den Besuch fragwürdiger Webseiten oder die Verwendung schwacher Passwörter oder desselben Passworts für mehrere Konten (und daher gibt es eine erhebliche Überschneidung mit anderen in diesem Artikel beschriebenen Risiken, da menschliches Versagen oft der rote Faden ist). Im Grunde genommen nutzen Cyberkriminelle menschliche Schwächen aus.
Wie sich Unternehmen vor menschlichem Versagen schützen können
Schulungen anbieten: Die meisten menschlichen Fehler sind die Folge davon, dass die Mitarbeiter die Risiken nicht kennen. Sie können menschliches Versagen durch wirksame Schulungen zum Thema Cybersicherheit reduzieren. Dazu gehört auch, dass Sie Ihre Mitarbeiter über die Risiken des Social Engineering aufklären. Ziel sollte es sein, das Bewusstsein für die Bedrohungen der Cybersicherheit für Unternehmen zu schärfen, damit Sie eine gute IT-Etikette einführen können. Mitarbeiterschulungen, ein regelmäßiger E-Mail- oder Intranet-Newsletter oder Einführungskurse am Arbeitsplatz sind hilfreich.
Reduzieren Sie die Anzahl der Passwörter: Eine strenge Passwortrichtlinie ist zwar unerlässlich, aber der beste Weg, um menschliche Fehler zu vermeiden, ist, die Anzahl der Passwörter von vornherein zu reduzieren. Dies kann durch die Verwendung von Passwortmanagern – mit aktivierter Multi-Faktor-Authentifizierung, um die Sicherheit zu erhöhen – und durch den Wechsel zu Geräten mit biometrischer Authentifizierung wie Fingerabdruck-ID erreicht werden.
Kleinere Unternehmen können besonders anfällig für Online-Sicherheitsrisiken sein
Kleinere und mittlere Unternehmen können besonders anfällig für Bedrohungen der Cybersicherheit sein. Der Grund dafür ist:
- Sie glauben oft nicht, dass sie ins Visier genommen werden und sind daher nicht vorbereitet.
- Sie können veraltete Systeme oder einen Mangel an Sicherheitsprotokollen und Schulungen haben, wodurch sie leichter zu hacken sind.
- Es ist unwahrscheinlich, dass sie über große, engagierte IT-Teams verfügen, die über die neuesten IT-Sicherheitsrisiken und Sicherheitsprobleme auf der Webseite auf dem Laufenden bleiben können.
Bewerten Sie das Cybersicherheitsrisiko für Ihr Unternehmen
Um die größten Bedrohungen für die Cybersicherheit Ihres Unternehmens zu ermitteln, sollten Sie zunächst eine Bewertung Ihrer aktuellen Sicherheitssysteme vornehmen. Erstellen Sie eine Inventarliste der Geräte, einschließlich aller Software und Hardware. Erstellen Sie eine Liste der Orte, an denen Daten gespeichert sind und wer Zugriff darauf hat. Bewahren Sie diese Informationen sicher auf und schränken Sie ein, wer sie einsehen kann. Führen Sie eine Bewertung Ihrer aktuellen Sicherheitssysteme durch, um mögliche Schwachstellen zu ermitteln. Eine Unternehmensrisikobewertung hilft Ihnen, Ihr Unternehmen zu schützen.
Abgesehen von den in diesem Artikel beschriebenen Tipps sollten Sie noch zwei weitere Praktiken zur Cybersicherheit beachten:
- Erstellen Sie einen Plan für Cyberangriffe: Seien Sie für den Ernstfall vorbereitet. Sie möchten Ihr Unternehmen, Ihre Mitarbeiter und Ihre Kunden im Falle eines Angriffs bestmöglich schützen. Daher sollten Sie einen Plan aufstellen, der detailliert beschreibt, was Sie im schlimmsten Fall tun werden.
- Bleiben Sie informiert über die neuesten Cyber-Bedrohungen für Ihr Unternehmen: Wenn Sie über die neuesten Bedrohungen der Cybersicherheit und deren Entwicklung informiert sind, können Sie einen Überblick behalten und sich am besten schützen.
Schließlich ist die Endpoint Security ein entscheidender Aspekt bei der Bewältigung von Bedrohungen der Cybersicherheit für Unternehmen. Ein Endpunkt bezieht sich auf jedes Gerät, das mit Ihrem Netzwerk verbunden ist – einschließlich Laptops, Desktops, Smartphones, Drucker, Server und so weiter. Unter Endpoint Security versteht man den Schutz von Endpunkten, die zu Arbeitszwecken verwendet werden, vor Bedrohungen der Cybersicherheit. Cloud-basierte Endpoint Security Software ist ideal für kleine und mittelständische Unternehmen, da sie weniger interne Ressourcen für die Verwaltung benötigt und weniger Verpflichtungen im Vorfeld eingeht, dafür aber eine kontinuierliche Überwachung und die Möglichkeit bietet, Ihre Endpunkte von überall aus zu überwachen.
Lesen Sie hier mehr über die Endpoint Security-Lösungen von Kaspersky.
Kaspersky Endpoint Security erhielt drei AV-TEST-Auszeichnungen für die beste Leistung, den besten Schutz und die beste Benutzerfreundlichkeit für ein Endpoint Security-Produkt für Unternehmen im Jahr 2021. In allen Tests zeigte Kaspersky Endpoint Security hervorragende Leistung, Schutz und Benutzerfreundlichkeit für Unternehmen.
Verwandte Artikel und Links:
- Was sind IoT und IoT-Sicherheit?
- Threat Intelligence
- Was sind Advanced Persistent Threats (APT) und wie lassen sie sich erkennen?
- Was ist Endpoint Security?
Verwandte Produkte: