IT-Security
Diese Mitarbeiter gefährden Ihre Sicherheit
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
5. Der neue IT-Entscheider
Unwissenheit schützt vor Schaden nicht: "Hacker agieren oft überraschend raffiniert und informieren sich zunächst online, um dann über Social-Engineering-Taktiken ihr Glück zu versuchen," weiß der Experte. "Neue IT-Administratoren, die noch nicht mit Protokollen und Prozessen vertraut sind, könnten von Cyberkriminellen ins Visier genommen, beziehungsweise in die Falle gelockt werden."
4. Der Ex-Mitarbeiter
"Eine Sicherheitslücke, die so gut wie alle Unternehmen betrifft, ist die Löschung von Zugangsdaten, nachdem Mitarbeiter ausgeschieden sind", so Elliot. "Wer diese Zugänge nicht löscht, geht das Risiko ein, angegriffen zu werden. Die Angriffsfläche so zu reduzieren, gehört zum Einmaleins der IT-Sicherheit."
3. Der Security-Berater
Extern bleibt extern: "Eine ganzheitliche IT-Sicherheitsstrategie erfordert oft auch die Unterstützung von mehreren Security-Anbietern", ist sich Elliot sicher. "Bevor Sie jedoch Zugangsdaten verteilen, sind Sie gut damit beraten, zu überprüfen, wie es eigentlich um die Sicherheit des Anbieters selbst bestellt ist."
2. Die Assistenz der Geschäftsleitung
Kleine Info, große Sache: "In vielen Unternehmen besitzt die Assistenz der Geschäftsleitung umfassende Zugriffsrechte - unter anderem auf Personal- und Finanzdaten. Das macht sie zu einem besonders attraktiven Ziel für kriminelle Hacker."
1. Der CEO
Der Mann oder die Frau an der Spitze, sollte auch auf Ihrer Security-Liste ganz oben stehen: "Das FBI hat den monetären Verlust durch Scams, die gezielt auf das C-Level ausgerichtet waren, für die letzten drei Jahre auf circa 2,3 Milliarden Dollar geschätzt", sagt Elliot. "Diese Art der Angriffe auf die Daten von Geschäftsführern zeigt, dass die kriminellen Hacker auf sämtlichen Hierarchie-Ebenen angreifen."
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten