Florian Lenz zeigt auf, welche kostengünstigen und effizienten Maßnahmen Unternehmen ergreifen können, um ihre IT-Sicherheit zu optimieren.
Viele mittelständische Unternehmen seien oft noch der Meinung, dass sie nicht auf dem Radar von Hacker stünden und Cyberkriminalität für sie keine große Rolle spiele. In der Realität sei es jedoch so, dass fast alle Cyberangriffe nicht zielgerichtet auf ein Unternehmen sind. Die Kriminellen agierten nach dem Gießkannenprinzip und hätten meist keine konkreten Ziele. Sie würden einfach abwarten, welche Unternehmen oder Organisation zum Beispiel auf E-Mails mit Phishing-Links reagieren. Dabei könnten Unternehmen mit wenigen kostengünstigen Maßnahmen in ihre IT-Sicherheit investieren und so größeren Schaden abwenden.
IT-Experte Florian Lenz gibt zu bedenken: „Ist das Kind erst in den Brunnen gefallen, sprich wurden Daten abgegriffen, Passwörter geknackt und sensible Informationen von Kunden gehackt, zieht das unweigerlich einen Reputationsschaden nach sich, den sich kein Unternehmen leisten kann.“ Daten seien durch das Internet und die zunehmende Digitalisierung mittlerweile zu einer Währung geworden. Es würden Unsummen gezahlt, um Daten zu erhalten, die beispielsweise das Konsumverhalten oder den finanziellen Status von Menschen zeigen. Hacker seien dabei besonders darauf aus, Massen an Daten zu sammeln. Dabei sei es zweitrangig, woher diese stammen.
„Ich erlebe häufig, dass in Unternehmen nach wie vor sehr nachlässig mit Passwörtern umgegangen wird. Es werden noch immer Nachnamen der User, Zahlreihen wie 12345 oder ähnlich Einfaches genutzt.“, bedauert Florian Lenz. Daher sei es eine der kostengünstigsten Methoden für mehr IT-Sicherheit, einzigartige Passwörter zu verwenden. Geeignet seien vor allem Kombinationen aus Buchstaben, Zahlen und Sonderzeichen, die in keinem Zusammenhang stehen. Im besten Fall würden diese an einem sicheren Ort gespeichert, zum Beispiel mithilfe eines Passwortmanager-Tools. Dabei sollte darauf geachtet werden, dass die Daten nur lokal gespeichert oder in einer eigenen Cloud verschlüsselt werden. „Die Tools nutzen ein einziges, schweres Masterpasswort, das alle anderen Passwörter, die gespeichert sind, schützt. Dadurch können die einzelnen Anwendungen nicht gehackt werden und es sind nicht gleich alle Passwörter gefährdet. Zudem empfiehlt sich, bei jeder Anwendung eine Zwei-Faktoren-Authentifizierung zu aktivieren. Durch das zusätzliche Verschicken eines Codes zum Beispiel per SMS auf das Handy, wird die Anmeldung sicherer und zudem erkennt man direkt, falls jemand versucht, sich einzuloggen, und man kann entsprechende Maßnahmen einleiten. Außerdem sollten Anwendungen und allgemeine Betriebssysteme immer auf dem neuesten Stand gehalten werden, sprich, führen Sie regelmäßige Updates durch, damit Sicherheitslücken geschlossen werden.“, empfiehlt IT-Sicherheits-Unternehmer Florian Lenz.
Auch beim Thema E-Mail warnt Florian Lenz vor Betrügern: „Wir alle kennen die E-Mails, in denen uns mitgeteilt wird, wir hätten etwas gewonnen oder ein uns unbekanntes Familienmitglied hat uns ein Millionenerbe hinterlassen. Mittlerweile sollte bei jedem angekommen sein, dass diese Mails natürlich von Betrügern stammen.“ Doch inzwischen gebe es sehr viel raffiniertere Methoden, mit denen Menschen an sensible Daten gelangen oder einen Virus installieren wollen. Generell gelte, alle im Unternehmen darauf zu sensibilisieren. Komme einem bereits der Absender komisch vor, dann sollte die Mail nicht geöffnet werden. Im Zweifelsfall solle man die E-Mail ignorieren oder telefonisch bei einer bekannten Nummer, die nicht aus der fraglichen E-Mail stammt, nachfragen, besonders wenn die Mail z. B. von einer Bank oder einem bekannten Dienstleister kommen. Sicher sei, dass diese nie per Mail Passwörter oder PIN-Daten einfordern würden. Größere Unternehmen hätten meistens eine gesonderte Abteilung, die E-Mails prüfen. Davon sollte ebenfalls Gebrauch gemacht werden.
Eine weitere Maßnahme, um zu verhindern, dass Daten verlorengehen, sei regelmäßige Backups durchzuführen. Am besten sollten diese verschlüsselt werden, sodass selbst, wenn diese Daten gefunden werden, ein Hacker nichts damit anfangen kann. Daten können auf externen Festplatten oder auf einer Cloud gesichert werden. Konkret zum Thema Sicherheit in der Cloud ließe sich sagen, dass Microsoft zum Beispiel das Microsoft Azure Well-Architected Framework zur Verfügung stellt, welches eine Sammlung von Best Practises enthalte, um sichere, leistungsstarke, widerstandsfähige und effiziente Systeme in der Cloud zu gestalten.
„Dort geht es unter anderem darum, dass Ressourcen nur erstellt werden können, wenn sie gewissen Bedingungen, sogenannten Policies unterliegen. Eine solche kann sein, dass die Ressource in einem deutschen Rechenzentrum gehostet wird. Im Prinzip kann man während des gesamten Designprozesses überlegen, welche Daten wie verarbeitet werden müssen und welche Ressourcen erstellt werden. Zudem kann ein Least Privilage Ansatz verwendet werden – dieses Konzept legt fest, dass so wenige Benutzer wie nötig Zugriff erhalten und nicht zu viele Daten oder Rechte erhalten.“, geht der Experte weiter ins Detail. Im Grunde sorge es dafür, dass jeder Nutzer nur auf das Zugriff erhält, was er unbedingt brauche. Außerdem sei das Absichern der Infrastruktur an sich sehr wichtig. Dazu zähle, dass zum einen Ressourcen nicht zwingend Zugriff auf das Internet brauchen und zum anderen nicht vom Internet auf diese zugegriffen werden muss, wenn es nicht notwendig ist. So werde diese Ressource davor geschützt, ausgenutzt und angegriffen zu werden.
„Zu guter Letzt möchte ich noch auf einen weiteren wichtigen Punkt erwähnen: Um Cyberangriffen vorzubeugen, ist Prävention unverzichtbar. Dazu gehören sichere Systeme ebenso wie ganzheitliche IT-Sicherheitskonzepte, klare Strukturen und organisatorische Maßnahmen sowie Sensibilisierung und Aus- oder Weiterbildung der Mitarbeiter. Diese müssen in regelmäßigen Abständen auf mögliche Bedrohungen und Schutzmaßnahmen auf dem Laufen gehalten werden und auch sonst ein Gefühl dafür entwickeln, dass man mit Social Engineering an Informationen von Mitarbeitern kommt, die man nicht rausgeben sollte.“, resümiert Florian Lenz.