Anzeige

Cyber Security

Bei vielen Unternehmen und Organisationen stieß die Pandemie Digitalisierungsprozesse an, die zuvor in dieser Geschwindigkeit undenkbar schienen. Neben raschen Lerneffekten und Fortschritten brachte diese Transformation große Herausforderungen für die IT-Teams mit sich.

Eine Cloud-Migration zu stemmen und dabei die Leistungsfähigkeit der IT-Infrastruktur für eine ortsunabhängig arbeitende Belegschaft aufrechtzuerhalten, ist für sich genommen ein Kraftakt. Dabei die IT-Sicherheit nicht zu vernachlässigen, ist gleichzeitig eine Notwendigkeit. Technische Abwehrsysteme sind aber nur so gut, wie die Aufmerksamkeit der Mitarbeiter. Viel zu oft wurden vermeintliche Selbstverständlichkeiten angesichts akuter Erfordernisse missachtet, beispielsweise mit Ausnahmen beim Netzwerkzugang per VPN.

Während zahlreiche Arbeitnehmerinnen und Arbeitnehmer immer noch im Home Office arbeiten, zwingt die zweite Welle der Pandemie viele andere wieder dorthin zurück. Genauso wie die Hygiene-Regeln im Alltag, sind auch für die IT-Sicherheit wichtige Routinen zwingend einzuhalten. Unabhängig davon, ob Remote-Arbeit langjährige Praxis ist oder eine neue Erfahrung, sollten diese fünf Schritte zum Schutz von Mitarbeiter- und Kundendaten immer beachtet werden:

1. Multi-Faktor-Authentifizierung (MFA) 

Schwache oder wiederverwendete Passwörter sind oft das schwächste Glied der Verteidigungslinie, das Angreifer gerne ausnutzen. Im Zuge der Weiterentwicklung der Sicherheitslandschaft hat sich die Multi-Faktor-Authentifizierung (MFA) als eine der besten Möglichkeiten zum Schutz von Geschäfts- und Kundendaten erwiesen. Indem Nutzer während des Anmeldevorgangs zwei oder mehr "Faktoren" eingeben müssen, um ihre Identität nachzuweisen, reduziert MFA die Wahrscheinlichkeit eines unberechtigten Zugriffs drastisch, selbst wenn das Passwort eines Nutzers gestohlen wird.

Der Zugriff auf Salesforce-Produkte mit aktivierter MFA erfordert beispielsweise mindestens zwei Varianten von Faktoren - eine Kombination aus Benutzername und Kennwort und einer Verifizierungsmethode, die der Nutzer in seinem Besitz hat. Dabei werden mehrere Arten von Verifizierungsmethoden für MFA unterstützt, von der mobilen Salesforce Authenticator-Anwendung bis hin zu Yubico's YubiKey und Google's Titan Security Key. Wenn die Cloud-Migration an Fahrt gewinnt, ist MFA als Teil einer Defense-in-depth-Strategy ein entscheidender Erfolgsfaktor. Dabei handelt es sich um einen Sicherheitsansatz, bei dem mehrere Ebenen von Kontrollmechanismen über ein IT-Netzwerk “geschichtet” werden. So werden Daten entsprechend ihrer Sensibilität geschützt und die Sicherheit bei Ausfällen einzelner Kontrollinstanzen weiter aufrechterhalten. 

2. Firmengeräte laufend patchen

 Das Patchen von Firmengeräten ist ein einfacher, effektiver und unmittelbarer Weg, um gegen bekannte Schwachstellen immun zu werden. Es führt zu einer deutlich verbesserten Widerstandsfähigkeit gegen gängige Cyber-Angriffsszenarien wie Ransomware (Lösegeldforderungen). Durch das Patchen erhalten Unternehmensgeräte zudem automatisch notwendige neue Funktionen und veraltete werden entfernt. Nicht zuletzt werden Leistungsprobleme behoben und damit die Performance verbessert. Mitarbeiter sollten dazu angehalten werden, auch ihre persönlichen Geräte zu patchen – besonders in Bring your own Device (BYOD) Umgebungen.

3. Mitarbeiter für Phishing-Angriffe sensibilisieren

Während Phishing-Attacken nichts Neues sind, hat die Covid-19-Krise Cyberkriminellen neue Angriffsflächen geboten. Die anfängliche Verwirrung um die Beantragung von Finanzhilfen und andere Regierungsprogramme wurde vielfach ausgenutzt, um persönliche Daten zu stehlen. Auch Unternehmen waren davon betroffen - entweder durch den Verlust von Produktivität oder, noch schlimmer, durch gestohlene Geschäftsdaten.

Pishing ist ein Beispiel dafür, in welchem Maße die IT-Sicherheit von aufmerksamen Mitarbeiterinnen und Mitarbeitern abhängt. Sicherheitsbewusste Nutzer sind die wichtigste Verteidigung gegen Phishing-E-Mails und Vishing-Anrufe. CISOs und IT-Führungskräfte sollten in ihren Organisationen beispielsweise in Leitfäden darüber aufklären, wie mögliche Angriffe erkannt werden können:

  • Ist die Betreffzeile leer oder ungewöhnlich?
  • Ist der Absender bekannt?
  • Wirkt der Anhang verdächtig?
  • Ist die E-Mail sprachlich schlecht geschrieben?
  • Ersucht die Nachricht um sofortige, dringende Aufmerksamkeit oder um Geld?
  • Erfolgt der Anruf von einer bekannten Telefonnummer aus? 

4. Remote Netzwerkzugang nur per VPN gestatten

Laptops und Smartphones verbinden sich mit unterschiedlichen (und manchmal zufälligen) Stufen von Sicherheitskontrollen mit dem Internet. Indem Mitarbeiter im Home Office verpflichtet werden, ein Virtual Private Network (VPN) für den Zugriff auf Geschäftsdaten zu verwenden, können IT-Teams die Bedingungen für das Senden oder Empfangen sensibler Informationen über ansonsten öffentliche Verbindungen vorgeben.

5. Virtuelle-Meetings richtig absichern

 Mit Videokonferenzen auf einem Allzeithoch ist es wichtiger denn je, die Sicherheitseinstellungen innerhalb der Webkonferenz-Plattform im Blick zu haben. So sind die integrierten Sicherheitsfunktionen einer Plattform - wie virtuelle Meeting-Räume, Passwörter und Screen-Sharing-Berechtigungen - ein grundlegender und kritischer Schritt, um unbefugten Zugriff auf Meetings zu verhindern. Eindeutige Passwörter und Zugriffslinks für Meetings erhöhen das Sicherheitsniveau genauso wie die Deaktivierung nicht benötigter "Beta"-Funktionen wie File-Sharing oder Livestreaming. 

Der Faktor Mensch ist für die Eindämmung der Pandemie genauso zentral, wie für die Gewährleistung der IT-Sicherheit. Um menschliche Fehler zu minimieren, kommt es entscheidend auf eine gute Kommunikation und umfassende Sensibilisierung der Mitarbeiter an.

Jim Alkove, Chief Trust Officer bei Salesforce, www.salesforce.com


Artikel zu diesem Thema

Security Awareness
Okt 28, 2020

Security-Awareness sorgt für mehr IT-Sicherheit

Der Oktober steht im Zeichen der Cybersicherheit: Europa feiert den „European…
Home_Office
Okt 27, 2020

Mehrheit gegen Recht auf Homeoffice

Die Pläne des Bundesarbeitsministeriums für ein Recht auf Homeoffice stoßen in der…
Phishing
Okt 27, 2020

Fünf Mythen von simulierten Phishing-Nachrichten

Der Nutzen von Cybersecurity-Awareness, insbesondere von Phishing-Simulationen, wird…

Weitere Artikel

Endpoint Security

Warum Endpoint-Schutz auch bei Offline-Systemen notwendig ist

In Teilen der IT-Welt dominiert die Meinung, dass einige Systeme keinen Endpoint-Schutz benötigen. Diese Einschätzung ist häufig für solche Geräte anzutreffen, die isoliert und nicht mit dem Internet verbunden sind oder keine wichtigen Daten oder Programme…
Produktion

IT-Security - Digitalisierung - Mobile Office – für jede Branche die richtige Lösung für den Netzwerkschutz

Der Wandel der Arbeitswelt, der sich durch mobiles Arbeiten sowie in der fortschreitenden Digitalisierung, dem Internet of Things sowie dem Auslagern verschiedener Dienste in die Cloud immer weiter beschleunigt, sind Gründe dafür, dass Unternehmen in Bezug…
Cloud Identity

Cloud-Identitäten - ungenutzt und ungeschützt

Knapp die Hälfte aller Cloud-Identitäten werden nicht mehr genutzt – und stellen so ein enormes Risiko für die Datensicherheit von Unternehmen dar. Dies ist eines der Ergebnisse des 2021 SaaS Risk Report des Cloud Research Teams von Varonis Systems.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.