Cyberangriffe? Nein danke! - Mit diesen Maßnahmen können Sie sich schützen.

In jüngster Vergangenheit hört und liest man es immer öfter: „Firma XY von einem großen Cyberangriff betroffen." Laut einer Umfrage die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt hat, entsteht ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Inzwischen leidet auch der Mittelstand immer mehr unter den Angriffen. Die Cyberkriminellen werden immer raffinierter, kreativer und vor allem skrupelloser. Sie scheuen schon lange nicht mehr vor ethischen Prinzipien zurück und probieren mit erpresserischen Mitteln, den meisten Schaden zu verursachen und damit den größten Profit herauszuschlagen. Es ist wichtiger denn je, seine Benutzerdaten zu schützen. Ein Login mit Benutzernamen und Passwort reicht deshalb heutzutage schon lange nicht mehr aus. In unserem Blogbeitrag erfahren Sie, wie Sie mit IT-Awareness und IT-Security Maßnahmen sich und Ihre Mitarbeiter:innen schützen können.

Zwei-Faktor-Lösungen bringen hierbei eine essenziell wichtige weitere Ebene der Absicherung mit sich und sollten in naher Zukunft nicht mehr wegzudenken sein. Doch auch die beste technische Absicherung reicht manchmal nicht aus: Sensibilisierung und Schulung der Anwender:innen wird genauso wichtig wie technischen Maßnahmen. Die IT-Sicherheit ist meist nur so gut wie der Mensch, der die Systeme bedient. Anwender:innen dürfen aus diesem Grund jedoch nicht als Sicherheitslücke betrachtet, sondern als Abwehrmaßnahmen gegen Cyber-Angriffe integriert werden. Die Anwender:innen sind also nicht Teil des Problems, sondern als „Sicherheits-Faktor-Mensch“ Teil der Lösung. Dabei gilt es, die Schnittstelle zwischen den Anwender:innen und den IT-Sicherheitsmaßnahmen besser zu gestalten.

 

Doch was genau ist eine Zwei-Faktor-Authentisierung und wie funktioniert sie?

Üblicherweise nutzen User zum Login einen Benutzernamen und ein Passwort. Sofern diese richtig eingegeben werden, erhält der User Zugang zu den gewünschten Inhalten. Mit dem Einsatz einer Zwei-Faktor-Authentisierung wird dem Prozess eine zweite Sicherheitsstufe hinzugefügt. Bei erfolgreicher Eingabe von Benutzernamen und Passwort wird ein weiterer Faktor abgefragt. So kann verhindert werden, dass Dritte, die in den Besitz des Passworts gelangen, Zugang zur jeweiligen Anwendung erhalten. Wichtig ist hierbei, dass der zweite Faktor aus einer anderen Kategorie stammt, d.h. kein weiteres Passwort ist, sondern z.B. eine TAN/Token-Nummer, eine Hardware Token (USB-Stick) oder ein biometrisches Merkmal wie ein Fingerabdruck ist.

Die Zwei-Faktor-Authentisierung gibt es in zahlreichen Varianten. Unterschieden werden im Allgemeinen drei Kategorien bzw. Authentifizierungsfaktoren:

  • Merkmal: Hier werden einzigartige erfasste körperliche Merkmale überprüft, wie z.B. Fingerabdruck, Gesicht, Venenmuster der Hand und die Retina. Diese biometrischen Merkmale sind normalerweise nicht geheim, sodass eine Lebenderkennung notwendig ist.
  • Wissen: Diese Klassifizierung beinhaltet ein bestimmtes Wissen, das nur der:die Anwender:in besitzt. Dies können beispielsweise Antworten auf vorher festgelegte Fragen sein. Des Weiteren gehören PINs oder Passwörter zu dieser Kategorie. Es werden sogenannte OTP (One-Time-Password) zeit - oder ereignisgesteuert, neu generiert. Auch die Übermittlung eines einmaligen Bestätigungscodes via SMS ist möglich. Des Weiteren werden kryptographische Token (Hardwarekomponente zur Identifizierung und Authentifizierung von Usern) eingesetzt.
  • Besitz: Dem:der Anwender:in gehört ein Gegenstand, wie z.B. eine Bankkarte, ein Handy oder ein Token, der für eine Authentifizierung mit sich geführt werden muss.


Vielen Anwender:innen ist die Zwei-Faktor-Authentisierung möglicherweise bereits aus Online-Banking Portalen bekannt. Eine Zwei-Faktor-Authentisierung kann dank spezieller Tools an einen Großteil der Dienste, Anwendungen und Webportale angebunden werden.

 

Sensibilisierung und Schulung von Anwendern:innen

Ein wichtiger Anhaltspunkt, um seine Anwender:innen für IT-Sicherheitsthemen zu sensibilisieren, ist die Art, die Inhalte an die Mitarbeiter:innen heranzubringen. Jede:r Mitarbeiter:in hat ein unterschiedliches Grundverständnis und auch Vorkenntnisse. Hierbei muss darauf geachtet werden, weder über- noch unterfordernde Sensibilisierungen anzubieten. Praktische Beispiele oder Analogien können helfen, die theoretischen Inhalte zu veranschaulichen. Ein Verweis auf die destruktiven Folgen vergangener Cyberangriffe auf bekannte Firmen können die Ernsthaftigkeit des Themas deutlich machen.

Den Anwender:innen sollte auf keinen Fall das Gefühl gegeben werden, dass das Melden von möglicherweise verdächtigen E-Mails oder Anrufen zu vermehrtem Aufwand bei der prüfenden IT führt oder gar Konsequenzen drohen, falls einem ein Fehler unterlaufen ist. Vielmehr sollte dies als positiver Beitrag zur IT-Sicherheit anerkannt werden. Im Unternehmen bestehende Prozesse sollten dahingehend angepasst werden, dass stets bekannt ist, an welche Instanzen sich im Falle von unklaren Vorkommnissen gemacht werden kann.

Bei den heutzutage täuschend echt aussehenden E-Mails kann es leider viel zu oft im Trubel des Alltags vorkommen, dass man auf einen betrügerischen Link oder Button klickt. Wichtig ist hier, den Mitarbeiter:innen Vertrauen zu vermitteln, das ihnen keine arbeitsrechtlichen oder sonstigen Konsequenzen drohen, sondern sie sich vertrauensvoll an z.B. die IT Abteilung wenden können. Nur so können gestartete Angriffe evtl. noch schnell genug gestoppt werden. Hier zählt jede Sekunde, denn die gestarteten Programme sind äußerst schnell, um z.B. die Daten zu verschlüsseln.

Noch schwieriger ist es, wenn die Programme sich nach dem Start tarnen und auf Aktivierung warten. Hier fällt es in der Regel ohne den Hinweis des Anwenders viel zu spät bzw. gar nicht auf. Viele Programme schlummern, bis sie durch Control Server von außen aktiviert werden und sperren dann sozusagen die Haustür auf und lassen die Angreifer unbemerkt herein.

Man muss sich auch von dem Gedanken verabschieden, dass IT-Sicherheit heutzutage nebenher mit erledigt werden kann. Auch ist es ein Irrglaube, dass ausschließlich große Firmen betroffen sind. Derartige Angriffe laufen automatisiert und ohne großen menschlichen Aufwand. Heutzutage können bereits fertig entwickelte Bots im Darknet als Service angemietet werden. Das Schlagwort hierfür ist RaaS (Ransomware-as-a-Service¹). Hiermit können sich derart Motivierte einfach einen lukrativen Nebenerwerb aufbauen. Durch diesen angebotenen Service fallen auch Hemmschwellen, da die Erpressungen von anderen durchgeführt werden. Auch werden inzwischen Schulungen angeboten, in denen gezeigt wird, wie man diese Angriffe durchführt.

 

Fazit

Die Erkenntnis, welche dramatischen Folgen ein erfolgreicher Angriff haben kann, ist längst da. Unternehmen müssen unbedingt für effektive Sicherheitssysteme und -prozesse sorgen um nicht Opfer der Cyberangriffe zu werden.

Sie möchten eine Zwei-Faktor-Authentifizierung in Ihrem Firmenumfeld integrieren oder mehr Informationen über die Vorteile und Wichtigkeit einer solchen Lösung erhalten? Kontaktieren Sie uns gerne unter der Telefonnummer +49 89 248835012 oder der E-Mail-Adresse IT-Angebote@dps-bs.de. Wir beantworten Ihnen gerne all Ihre Fragen oder beraten Sie zu unseren Angeboten. Mehr Informationen zum Thema IT-Betreuungen finden Sie hier.

 

Quelle: ¹ https://www.security-insider.de/der-neue-trend-aus-dem-darknet-a-1026701/

zur Übersicht

Cookie Einstellungen

Notwendig

Statistik

Komfort

Personalisierung

Notwendig

Notwendig

Diese Cookies sind für den Betrieb der Seite unbedingt notwendig und ermöglichen beispielsweise sicherheitsrelevante Funktionalitäten.

Statistik

Komfort

Personalisierung

Wir verwenden Cookies, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Dazu zählen Cookies, die für den Betrieb der Seite und für die Steuerung unserer kommerziellen Unternehmensziele notwendig sind, sowie solche, die lediglich zu anonymen Statistikzwecken, für Komforteinstellungen oder zur Anzeige personalisierter Inhalte genutzt werden. Sie können selbst entscheiden, welche Kategorien Sie zulassen möchten. Bitte beachten Sie, dass auf Basis Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen. Weitere Informationen finden Sie in unseren Datenschutzhinweisen und auf Impressum Seite.