USB-Stick auf Tastatur

Treffen Sie entsprechende Gegenmaßnahmen.

Cyber-Risiken erkennen und vorbeugen

Cyber Risiken erkennen und vorbeugen

Laut dem „Risk-Barometer 2019“ gehören Cyber-Vorfälle mit 37% zu den größten Geschäftsrisiken.

Nach einer Befragung des Forsa-Instituts waren in 2018 30% mittelständischer Firmen Opfer von Cyber-Angriffen, 11% sogar mehrfach. In der Studie „IT-Sicherheit in Deutschland 2018“ sind die größten Cyber-Risiken zusammengefasst:

  • 37% falsche Benutzung und mangelndes Bewusstsein der Anwender
  • 34% ungesicherte oder mangelhaft gesicherte Endgeräte
  • 31% Malware, Phishing, Social-Engineering, DOS-Angriffe etc.
  • 28% vorsätzliches Anwenderfehlverhalten
  • 23% Vernetzung von Geräten und Anwendungen

Cyber-Risiken nehmen zu und können für jedes Unternehmen gefährlich werden. Deshalb ist es notwendig, dass sich Unternehmer immer wieder mit möglichen Störfällen befassen und entsprechende Gegenmaßnahmen treffen.

Unsere Infos unterstützen Sie dabei.

Sprechen Sie auch mit Ihrem Zurich Versicherungspartner. Er berät Sie gern zum Thema Cyber-Versicherung.
  • Sicheres Passwort verwenden

    Nur ein sicheres Passwort schützt vor einem Identitäts-Diebstahl.

    • Je länger das Passwort, umso sicherer.
    • Empfohlen wird eine Passwortlänge mit mindestens 16 Zeichen. Zu verwenden sind große und kleine Buchstaben, Ziffern und Sonderzeichen.
    • Keinesfalls bekannte Namen oder Zahlen z. B. von Familienangehörigen oder Geburtsdaten benutzen.
    • Das Passwort sollte nicht in Wörterbüchern vorkommen oder aus bekannten Wiederholungs- bzw. Tastaturmustern bestehen.
    • Sicherer ist, für jedes Benutzerkonto ein eigenes Passwort zu bestimmen. Immer wieder werden von Servern passwortgeschützter Dienste die Passwörter gestohlen.
    • Mindestens einmal im Jahr Passwörter für wichtige Zugänge ändern.
    • Log-in-Daten nicht im Browser speichern.
    • Einen Passwort-Manager (Computerprogramm) zu installieren, kann sinnvoll sein.
  • Passwortkonzept für das Unternehmen ausarbeiten
    • Wichtig ist: Nur Nutzer mit einem Berechtigungsnachweis dürfen auf Daten zugreifen.
    • Von Herstellern voreingestellte Passwörter müssen durch die eigene IT geändert werden.
    • Alle beteiligten Mitarbeiterinnen und Mitarbeiter sind im Umgang mit sicheren Passwörtern zu schulen.
    • Jeder Arbeitsplatzrechner ist beim Verlassen mit Bildschirmschoner und Kennwort zu sichern.
    • Vertrauliche Daten und gefährdete Systeme besonders schützen
    • Mobile Datenträger benötigen eigene technische und organisatorische Maßnahmen.
    • Beim Versand per Mail sind vertrauliche Daten immer zu verschlüsseln.
  • Auf gefährliche Emails achten

    75% der kriminellen Hacker nutzen elektronische Nachrichten für ihre Angriffe. Deshalb gilt hier absolute Vorsicht:

    • Ist der E-Mail-Versender bekannt? Werden Kontaktdaten angeboten? Sind diese verifizierbar? Wird eine Nachricht erwartet? Passen die im Mail beschriebenen Aussagen und Fakten zusammen?
    • In keinem Fall auf Links klicken, deren Herkunft und Ziel nicht hundertprozentig bekannt und vertrauenswürdig sind.
    • Schadsoftware wird besonders oft in angehängten Dateien versteckt. Nur Anhänge öffnen, die erwartet werden und deren Absender man kennt.
    • Das eigene Mailprogramm ist so einzustellen, dass Bilder und Anhänge nicht automatisch heruntergeladen werden.
  • So läuft ein Angriff ab
    • Die Täter sind Kleinkriminelle, Profi-Hacker und Staaten.
    • Know-how soll abgezogen, Geschäftsdaten entwendet, die Infrastruktur lahm gelegt, das Unternehmen geschädigt oder erpresst werden.
    • Die größte Gruppe sind professionelle Cyber-Kriminelle, gut organisiert und kapitalkräftig mit dem Ziel, Unternehmenswissen zu stehlen.
    • Diese Profi-Hacker wollen langfristig verdienen. Zum Beispiel indem sie die Daten dazu verwenden, das Duplikat eines Produkts herzustellen und als eigenes Produkt zu verkaufen. Oder sie verkaufen das Firmen-Know-how einfach an den Meistbietenden.
    • Hacker verschaffen sich Zugang über eine oder mehrere Schwachstellen.
    • Die Malware sucht nach weiteren Zugangsmöglichkeiten und Sicherheitslücken im Netzwerk des Unternehmens. Sie kommuniziert mit C&C-Websites mit dem Ziel, weitere Befehle oder Schadcodes zu erhalten.
    • Eine das Netzwerk-System infiltrierte Malware versucht, sich zusätzliche „Einfalltore“ zu verschaffen. Mit dem Ziel, die Cyber-Attacke auch dann fortzusetzen, wenn die ursprüngliche Schwachstelle geschlossen ist.
    • Abgerufene Daten werden auf einem Empfangs-Server gesammelt.
  • Sicherheitskonzept erarbeiten
    • Im Mittelpunkt jedes Sicherheitskonzepts stehen leistungsfähige Anti-Malware-Programme (Virenschutz, Firewall).
    • Den sicheren Umgang mit der Informationstechnik im Unternehmen regeln. Die Mitarbeiterinnen und Mitarbeiter sensibilisieren. Wer darf z. B. auf welche Programme, Geräte und Daten zugreifen? Wann dürfen fremde Datenträger eingesetzt werden? Wie müssen Passwörter beschaffen sein?
    • Den Wert und die Bedeutung von Informationen auf Firmenrechnern und Mobilgeräten bewusst machen. Deutlich ansprechen, dass leichtfertiger Umgang z. B. mit E-Mails die Existenz des Unternehmens gefährden kann.
    • Server und andere wichtige Geräte in einem Raum unterbringen, der gegen Einbruch gesichert ist und von Besuchern nicht betreten werden kann. Eine unabhängige Stromversorgung sichert mögliche Energieschwankungen und Stromausfälle ab.
    • Betriebssysteme, E-Mail-Programme, Office-Pakete und Browser immer auf dem neuesten Stand halten. Verantwortliche Personen für Neuinstallationen und Updates bestimmen.
    • Eine immer aktuelle Antiviren-Software mit Malware-Erkennung bereithalten. Smartphones und Tablets mit absichern.
    • Software, die in elektronischen Geräten eingebettet ist (Firmware) für Internet-Router, Drucker, Telefonanlagen und andere vernetzte Teile immer auf den neuesten Stand bringen. Passwörter, die von Herstellern voreingestellt sind, durch eigene ersetzen.
    • Daten aller wichtigen Laufwerke regelmäßig sichern. Ein aktuelles Backup vom Firmennetz getrennt und sicher aufbewahren. Backups regelmäßig auf Funktionsfähigkeit testen.
    • Alle Datenbanken, Netzwerke, Server, Lieferanten-Management-Programme am besten rund um die Uhr überwachen. Mit Monitoring-Programmen ist dies möglich. Im Notfall wird der Systemadministrator per SMS benachrichtigt.
    • Ein Handlungsschema für den Umgang mit Sicherheitsnotfällen festlegen. Verantwortliche Personen dafür benennen.
    • Die Netzwerke der einzelnen Abteilungen wenn immer möglich getrennt halten. Ggf. durch interne Firewalls abschotten.
    • Den Einsatz ungeprüfter Wechseldatenträger, z. B. USB-Sticks, verbieten.
    • Bei immer mehr Unternehmen sind Homeoffice und Arbeit unterwegs ein Standard. Auch dafür sind Strategien für die Sicherheit zu entwickeln. Es wird empfohlen, Kommunikation über sichere VPN-Verbindungen möglich zu machen, mobile Endgeräte zu verschlüsseln und sicherzustellen, dass die-se Geräte nicht für Private Zwecke genutzt werden.
    • Mitarbeiterinnen und Mitarbeiter regelmäßig schulen und für die Risiken sensibilisieren.
  • Notfallplan aufstellen

    Folgende Informationen ganz klassisch auf Papier festhalten:

    • Welche Person im Unternehmen ist für einen Notfall zuständig und koordiniert die Maßnahmen? Wer ist als Vertretung verantwortlich?
    • Wer ist über welche Vorfälle zu informieren?
    • Welche technischen Maßnahmen sind genau zu ergreifen?
    • Welche Systeme werden in welcher Reihenfolge wieder hergestellt?
    • Wer darf auf welche Daten und Anwendungen zugreifen? Wo sind die Zugangsdaten hinterlegt?
    • Wo befinden sich die Sicherungsdateien? Wo liegen die Lizenzen der Anwendungen?
    • Mit welcher Methode wurden die Daten gesichert? Was ist zu beachten, wenn die Daten wieder hergestellt sind?
    • Wo befinden sich Ersatzgeräte?
    • Kann im Notfall auf externe Dienstleister zurückgegriffen werden? Sind bestimmte Leistungen vertraglich vereinbart? Wo sind die Kontaktdaten?
    • Ist eine Datenschutzverletzung den zuständigen Aufsichtsbehörden zu melden? Auch dann, wenn ein Dritter Daten gestohlen hat, trägt das Unternehmen die Verantwortung dafür. Beweise sind zu sammeln und zu sichern.
    • Alle Daten sind so aufzubereiten, dass sie ggf. für Rechtsstreitigkeiten, Versicherungsmeldungen sowie die Benachrichtigung von Kunden zu verwenden sind.
  • Erste Maßnahmen nach der Cyber-Attacke
    • Infizierte Geräte vom Netz trennen.
    • Alle Backups vom Netz nehmen.
    • Eine Cyber-Attacke nicht nur als IT-Angelegenheit betrachten.
    • Ein Untersuchungsteam bilden aus den Fachbereichen Recht, Versicherung, Compliance, Informationssicherheit, Betriebswirtschaft, Öffentlichkeitsarbeit und Personalwesen.