Anzeige

Cloud Sicherheit

Cloud-Sicherheit war bis vor nicht allzu langer Zeit für die meisten Unternehmen zweitrangig. Das hat sich längst geändert, denn auf der Suche nach dem nächsten Ziel machen Cyberkriminelle sich bevorzugt Schwachstellen und Sicherheitslücken bei Cloud-Diensten zunutze. Unternehmen können mit virtuellen privaten Netzwerken und Antivirensystemen zwar eine Menge tun, um Systeme sicherer zu machen.

eme sicherer zu machen.

Einer der kritischsten und gerne übersehenen Aspekte ist allerdings nicht computerbezogen. Tatsächlich gehen 95 % der Cyber-Sicherheitsverletzungen auf menschliches Versagen zurück. Dazu kommt, dass sich die meisten Cyberangriffe, auf kleinere Unternehmen konzentrieren, die sich im Gegensatz zu Großunternehmen keine teuren Sicherheitsteams leisten können. Für diese Firmen ist es nicht ganz leicht eventuelle Schwachstellen aufzufinden. Hier konzentrieren wir uns auf die Top 3 der Sicherheitsbedrohungen und was man dagegen tun kann.

Mitarbeiterschulungen gegen Social Engineering-Angriffe

2019 waren etwa 98 % der Kompromittierungsversuche von Cybersicherheit ein direktes Ergebnis von Social-Engineering-Angriffen oder Betrugsversuchen, bei denen man versucht hat mithilfe menschlicher Emotionen Zugang zu privaten Informationen zu bekommen. Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Trotzdem versuchen die meisten von ihnen, Unternehmensinterna zu schützen, und vertrauenswürdig zu arbeiten. Das klingt zunächst nach einer guten Sache. In Wahrheit aber nutzen Cyberkriminelle genau solche typisch menschlichen Verhaltensweisen, um Social Engineering-Angriffe gegen ihre Opfer (und damit gegen das Unternehmen als Ganzes) einzusetzen. Kriminelle erreichen das beispielsweise, indem sie den Mitarbeiter über eine Social-Media-Plattform kontaktieren und versuchen, ihr Vertrauen zu gewinnen. Und dieses Vertrauen dient schlussendlich dazu, sich Zugang zu Unternehmens- oder Kundendaten zu verschaffen.

Leider kommt es durchaus vor, dass Mitarbeiter sich eines Social-Engineering-Angriffs nicht bewusst sind und ohne es selbst zu bemerken, sensible Informationen an einen Kriminellen weitergeben. Auch wenn Unternehmen über bestimmte Sicherheitsvorkehrungen verfügen, werden Mitarbeiter oft nicht in wirklich geeigneten Cyber-Sicherheitsmaßnahmen geschult. Unternehmen sollten ihre Mitarbeiter trainieren, potenzielle Social Engineering-Angriffe zu erkennen und zu wissen, was sie tun und lassen sollten, wenn es tatsächlich zu einem Angriff kommt. Jeder verfällt nach einiger Zeit wieder in den Alltagstrott. Das spielt Cyberkriminellen in die Hände. Die Hackerangriffe 2013 auf Target, 2014 auf Sony Pictures und 2016 auf die Demokratische Partei sind allesamt Beispiele für Social-Engineering-Angriffe, auf die derzeit satte 98 % aller Netzwerkpenetrationen entfallen. Man kann trotz Wiederholungsgefahr nicht oft genug betonen, wie wichtig Mitarbeiterschulungen und Rezertifizierungen sind.

Virtuelle Verbindungen besser schützen

Unternehmen müssen einen Weg finden, mit ihren Mitarbeitern auch außerhalb ihrer Geschäftsräume sicher zu kommunizieren. Egal, ob auf Reisen oder um den Geschäftsbetrieb während einer Pandemie aufrechtzuerhalten, virtuelle Verbindungen sind für die unternehmerische Nachhaltigkeit unerlässlich.

Während der anfänglichen Lockdown-Phase der COVID-19-Pandemie haben viele Unternehmen bei Telefonkonferenzen auf Zoom gesetzt. Es kam zu etlichen Sicherheitsverletzungen aufgrund von sogenanntem "Zoom Bombing".

Um Zoom-Bombing zu verhindern und Sicherheit beim Remote-Working zu gewährleisten, sollten Mitarbeiter:

  • Sicherstellen, nur die aktuellsten Apps für ihre Geräte zu verwenden
  • eine eindeutige ID und ein Passwort für ihre Anrufe erstellen
  • die Wartezimmerfunktion zu nutzen
  • die Bildschirmfreigabe für andere Benutzer deaktivieren
  • Meetings nach Beginn sperren
  • ein Invite-only Meeting nutzen

Eine Einladung zur Kompromittierung sind Apps, die nicht mit den neuesten Sicherheitsupdates aktualisiert wurden oder das Nutzen nicht gesicherter Internetverbindungen von einem öffentlichen Hotspot aus - was den Datenverkehr Man-in-the-Middle-Angriffen aussetzen kann. Unternehmen sind bei der Kundenkommunikation auf virtuelle Kommunikationskanäle angewiesen, sollten aber neben den technischen Anforderungen beim Thema Sicherheit genauer hinsehen.

Sichere Cloud-basierte Speicher- und Kollaborationslösungen

Zusätzlich brauchen Unternehmen jetzt zuverlässige und vertrauenswürdige Speicher- und Kollaborationslösungen für ihre verteilt oder remote arbeitende Belegschaft. Cloud-basierte Lösungen für das Signieren von Unternehmensdokumenten erleichtern es, Workflows auch außerhalb der üblichen Büroumgebung beizubehalten.

Wenn es um Speicherlösungen geht, gehören Google Drive, DropBox und OneDrive zu den vertrauenswürdigsten Anbietern für Unternehmen weltweit. Das liegt daran, dass sie viel in die Entwicklung internetbasierter Schnittstellen investiert haben. Sie erlauben es, mit jedem Gerät von überall aus zu arbeiten und gleichzeitig Zugriff auf alle wichtigen Dokumente und Dateien zu haben. Diese Dienste sind zudem mehr als einfache Speicher und bieten Komplettlösungen für eine produktive Zusammenarbeit. Dieselben Dienste sind jedoch alles andere als nicht angreifbar. Dropbox wurde bereits mehrmals gehackt, wobei die persönlichen Daten von mehr als 68 Millionen Nutzern offengelegt wurden. Inzwischen sind die Sicherheitsprobleme weitgehend behoben und die Lösung zählt zu einer der sichersten auf dem Markt.

Obwohl Cloud-basierte Software für die meisten Unternehmen hervorragend funktioniert, werden viele vertrauliche Informationen nach wie vor ungeschützt über unverschlüsselte Verbindungen übertragen - und nicht jede Cloud-Lösung verwendet denselben Level an Sicherheitsmaßnahmen. Stellen Sie sicher, dass die von Ihrem Unternehmen gewählte Lösung die aktuellen Protokolle verwendet und sich auf gesicherte Verbindungen und Dateiverschlüsselung konzentriert, um Angriffe zu verhindern, die Kunden und Unternehmen gefährden.

Fazit

Hacking-Versuche finden nachweislich alle 39 Sekunden statt. Unternehmen können es sich schlicht nicht leisten, Sicherheitsprotokolle und -implementierungen für die Cloud zu ignorieren. Mitarbeiter für die richtigen Sicherheitsmaßnahmen bei der Remote-Arbeit zu sensibilisieren,  gesicherte virtuelle Verbindungen zu nutzen und die in der Cloud verteilten Dokumente mit Dateiverschlüsselung abzusichern, das sind wirksame Methoden zum Datenschutz.

Sam Bocetta, Gastautor bei GlobalSign, www.globalsign.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cybercrime
Jun 25, 2020

Social-Engineering-Methoden bei 50 % der untersuchten Angriffe

Unternehmen stellen sich zunehmend der digitalen Transformation. Prozesse werden vernetzt…
Cyber-Kriminalität und Industrie 4.0
Jun 18, 2020

Cyber-Kriminalität und Industrie 4.0

Das produzierende Gewerbe bildet die Grundlage der deutschen Wirtschaft – und ist gerade…
Mythen und Fakten
Mai 14, 2020

Sieben verbreitete Cybersecurity-Mythen

Mythen sind eigentlich vor allem eins: unterhaltsam. Allerdings gibt es auch gefährliche…

Weitere Artikel

Cyber Security

IT-Sicherheit im Pandemiejahr: Auf den richtigen Fokus kommt es an!

Vielen war es klar, jetzt ist es quantifiziert: Die Zahl der erfolgreichen Cyberattacken auf Unternehmen ist in diesem Jahr auf 78 Prozent und damit deutlich im Vergleich zu 2018, gestiegen. Das zeigt die aktuelle IDC-Studie zum Thema IT Sicherheit 2020. Im…
Authentifizierung

Airlock erweitert IAM um eigene Zwei-Faktor-Authentifizierung

Die Schweizer Sicherheitsplattform der Ergon Informatik AG, der Airlock Secure Access Hub, erhält das Update 7.3 für das Customer Identity and Access Management (IAM). Dieses implementiert eine integrierte Zwei-Faktor-Authentifizierung (2FA), um die…
Passwort-Eingabe

Passwort-Richtlinien - Schutz oder Risiko ?

Während sich das BSI von lang gehegten Passwortregeln wie der Angabe einer exakten Mindestlänge verabschiedet, stellen sich Unternehmen sowie Sicherheitsexperten die Frage: „Wann schaden Passwort-Richtlinien mehr als sie nützen?“ Wenn es um die sichere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!