Anzeige

Cyber Security

Bei vielen Unternehmen und Organisationen stieß die Pandemie Digitalisierungsprozesse an, die zuvor in dieser Geschwindigkeit undenkbar schienen. Neben raschen Lerneffekten und Fortschritten brachte diese Transformation große Herausforderungen für die IT-Teams mit sich.

Eine Cloud-Migration zu stemmen und dabei die Leistungsfähigkeit der IT-Infrastruktur für eine ortsunabhängig arbeitende Belegschaft aufrechtzuerhalten, ist für sich genommen ein Kraftakt. Dabei die IT-Sicherheit nicht zu vernachlässigen, ist gleichzeitig eine Notwendigkeit. Technische Abwehrsysteme sind aber nur so gut, wie die Aufmerksamkeit der Mitarbeiter. Viel zu oft wurden vermeintliche Selbstverständlichkeiten angesichts akuter Erfordernisse missachtet, beispielsweise mit Ausnahmen beim Netzwerkzugang per VPN.

Während zahlreiche Arbeitnehmerinnen und Arbeitnehmer immer noch im Home Office arbeiten, zwingt die zweite Welle der Pandemie viele andere wieder dorthin zurück. Genauso wie die Hygiene-Regeln im Alltag, sind auch für die IT-Sicherheit wichtige Routinen zwingend einzuhalten. Unabhängig davon, ob Remote-Arbeit langjährige Praxis ist oder eine neue Erfahrung, sollten diese fünf Schritte zum Schutz von Mitarbeiter- und Kundendaten immer beachtet werden:

1. Multi-Faktor-Authentifizierung (MFA) 

Schwache oder wiederverwendete Passwörter sind oft das schwächste Glied der Verteidigungslinie, das Angreifer gerne ausnutzen. Im Zuge der Weiterentwicklung der Sicherheitslandschaft hat sich die Multi-Faktor-Authentifizierung (MFA) als eine der besten Möglichkeiten zum Schutz von Geschäfts- und Kundendaten erwiesen. Indem Nutzer während des Anmeldevorgangs zwei oder mehr "Faktoren" eingeben müssen, um ihre Identität nachzuweisen, reduziert MFA die Wahrscheinlichkeit eines unberechtigten Zugriffs drastisch, selbst wenn das Passwort eines Nutzers gestohlen wird.

Der Zugriff auf Salesforce-Produkte mit aktivierter MFA erfordert beispielsweise mindestens zwei Varianten von Faktoren - eine Kombination aus Benutzername und Kennwort und einer Verifizierungsmethode, die der Nutzer in seinem Besitz hat. Dabei werden mehrere Arten von Verifizierungsmethoden für MFA unterstützt, von der mobilen Salesforce Authenticator-Anwendung bis hin zu Yubico's YubiKey und Google's Titan Security Key. Wenn die Cloud-Migration an Fahrt gewinnt, ist MFA als Teil einer Defense-in-depth-Strategy ein entscheidender Erfolgsfaktor. Dabei handelt es sich um einen Sicherheitsansatz, bei dem mehrere Ebenen von Kontrollmechanismen über ein IT-Netzwerk “geschichtet” werden. So werden Daten entsprechend ihrer Sensibilität geschützt und die Sicherheit bei Ausfällen einzelner Kontrollinstanzen weiter aufrechterhalten. 

2. Firmengeräte laufend patchen

 Das Patchen von Firmengeräten ist ein einfacher, effektiver und unmittelbarer Weg, um gegen bekannte Schwachstellen immun zu werden. Es führt zu einer deutlich verbesserten Widerstandsfähigkeit gegen gängige Cyber-Angriffsszenarien wie Ransomware (Lösegeldforderungen). Durch das Patchen erhalten Unternehmensgeräte zudem automatisch notwendige neue Funktionen und veraltete werden entfernt. Nicht zuletzt werden Leistungsprobleme behoben und damit die Performance verbessert. Mitarbeiter sollten dazu angehalten werden, auch ihre persönlichen Geräte zu patchen – besonders in Bring your own Device (BYOD) Umgebungen.

3. Mitarbeiter für Phishing-Angriffe sensibilisieren

Während Phishing-Attacken nichts Neues sind, hat die Covid-19-Krise Cyberkriminellen neue Angriffsflächen geboten. Die anfängliche Verwirrung um die Beantragung von Finanzhilfen und andere Regierungsprogramme wurde vielfach ausgenutzt, um persönliche Daten zu stehlen. Auch Unternehmen waren davon betroffen - entweder durch den Verlust von Produktivität oder, noch schlimmer, durch gestohlene Geschäftsdaten.

Pishing ist ein Beispiel dafür, in welchem Maße die IT-Sicherheit von aufmerksamen Mitarbeiterinnen und Mitarbeitern abhängt. Sicherheitsbewusste Nutzer sind die wichtigste Verteidigung gegen Phishing-E-Mails und Vishing-Anrufe. CISOs und IT-Führungskräfte sollten in ihren Organisationen beispielsweise in Leitfäden darüber aufklären, wie mögliche Angriffe erkannt werden können:

  • Ist die Betreffzeile leer oder ungewöhnlich?
  • Ist der Absender bekannt?
  • Wirkt der Anhang verdächtig?
  • Ist die E-Mail sprachlich schlecht geschrieben?
  • Ersucht die Nachricht um sofortige, dringende Aufmerksamkeit oder um Geld?
  • Erfolgt der Anruf von einer bekannten Telefonnummer aus? 

4. Remote Netzwerkzugang nur per VPN gestatten

Laptops und Smartphones verbinden sich mit unterschiedlichen (und manchmal zufälligen) Stufen von Sicherheitskontrollen mit dem Internet. Indem Mitarbeiter im Home Office verpflichtet werden, ein Virtual Private Network (VPN) für den Zugriff auf Geschäftsdaten zu verwenden, können IT-Teams die Bedingungen für das Senden oder Empfangen sensibler Informationen über ansonsten öffentliche Verbindungen vorgeben.

5. Virtuelle-Meetings richtig absichern

 Mit Videokonferenzen auf einem Allzeithoch ist es wichtiger denn je, die Sicherheitseinstellungen innerhalb der Webkonferenz-Plattform im Blick zu haben. So sind die integrierten Sicherheitsfunktionen einer Plattform - wie virtuelle Meeting-Räume, Passwörter und Screen-Sharing-Berechtigungen - ein grundlegender und kritischer Schritt, um unbefugten Zugriff auf Meetings zu verhindern. Eindeutige Passwörter und Zugriffslinks für Meetings erhöhen das Sicherheitsniveau genauso wie die Deaktivierung nicht benötigter "Beta"-Funktionen wie File-Sharing oder Livestreaming. 

Der Faktor Mensch ist für die Eindämmung der Pandemie genauso zentral, wie für die Gewährleistung der IT-Sicherheit. Um menschliche Fehler zu minimieren, kommt es entscheidend auf eine gute Kommunikation und umfassende Sensibilisierung der Mitarbeiter an.

Jim Alkove, Chief Trust Officer bei Salesforce, www.salesforce.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Security Awareness
Okt 28, 2020

Security-Awareness sorgt für mehr IT-Sicherheit

Der Oktober steht im Zeichen der Cybersicherheit: Europa feiert den „European…
Home_Office
Okt 27, 2020

Mehrheit gegen Recht auf Homeoffice

Die Pläne des Bundesarbeitsministeriums für ein Recht auf Homeoffice stoßen in der…
Phishing
Okt 27, 2020

Fünf Mythen von simulierten Phishing-Nachrichten

Der Nutzen von Cybersecurity-Awareness, insbesondere von Phishing-Simulationen, wird…

Weitere Artikel

Cloud Security

Securepoint bietet Backup-Lösung in der deutschen Cloud

Der IT-Sicherheitshersteller Securepoint hat zum 01. Dezember 2020 den Start einer cloudbasierten Datensicherung angekündigt, die von Systemhäusern einfach in ihre Services integriert werden kann.
Cybersecurity

Synopsys zum Bitkom-Leitfaden zur Software-Sicherheit

Der Branchenverband Bitkom hat kürzlich einen neuen Leitfaden zum Thema Softwaresicherheit verfasst. „Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind.
Cybersecurity

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7 Millionen Euro – mit steigender Tendenz. Die meisten Unternehmen haben die Zeichen der Zeit erkannt und investieren vermehrt in Hardware, Software und Services zur…
Cyber Security

Richtiger Umgang mit einem IT-Sicherheitsvorfall

Sicherheitsvorfälle können schwerwiegende Auswirkungen auf Unternehmen haben und hohe organisatorische und finanzielle Schäden verursachen. Um die Auswirkung zu minimieren, sind gute Prozesse und Verfahren zur schnellen und effizienten Behandlung zwingend…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!