Computer-Sicherheit

Schlagzeilen wie diese finden Sie aktuell immer häufiger:computer 1500929 640

 

  • "Stoßen Sie auf neue Ransomware, die weiß, wo und wie Sie leben"
  • "Spear-Phishing-Kampagne nutzt Windows-Zero-Day-Schwachstelle"
  • "Cyber-Angriffe auf kleine Unternehmen auf dem Vormarsch"

 

Wie diese Schlagzeilen bezeugen, nehmen Ransomware, Phishing und andere Arten von Cyberattacken an Zahl und Raffinesse zu. Um zu vermeiden, dass auch Sie dieser zum Opfer fallen, müssen Sie Maßnahmen zum Schutz Ihres Unternehmens ergreifen, mag es auch so klein sein. Kein Unternehmen ist zu klein, um von Cyber-Kriminellen unbemerkt zu bleiben. Da kleine Unternehmen oft nicht über das Know-how oder die Ressourcen besitzen diese Angriffe abzuwehren, macht es für die Cyber-Kriminellen umso lukrativer genau diese ins Visier zu nehmen.

 

Wahrscheinlich läuft irgendeine Anti-Malware-Software bereits in Ihrem Unternehmen und übernimmt die wesentliche Rolle bei der Erkennung und Blockierung von bekannten Ransomware, Viren und andere Arten von Malware. Das ist jedoch nur eine von mehreren Maßnahmen, die Sie ergreifen müssen, um Ihr Unternehmen gegen Cyber-Attacken zu schützen. Weitere wichtigeren Maßnahmen sind Reduzierung der bekannten Sicherheitslücken, Schulung Ihrer Mitarbeiter und Vorbereitung für das Worst-Case-Szenario.

 

code 820275 640Reduzierung von Sicherheitsrisiken

Sie können es viel schwieriger für Cyberkriminelle machen, Ihre IT-Systeme anzugreifen, wenn Sie die Schwachstellen auflisten und beheben, die tendenziell Cyberkriminelle für Ihre Angriffe nutzen. Hier sind ein paar Ansatzpunkte:

 

Aktualisieren Sie Ihre Software regelmäßig

Cyber-Kriminelle mögen Betriebssysteme und Software, die bekannte Sicherheitslücken aufweisen. Diese Schwachstellen bieten ein offenes Tor, dass es dem Cyberkriminellen erlaubt teilweise durch vorhandene Sicherheitshürden durchzuschlüpfen, um Zugriff auf Ihre Computer-Systeme zu erhalten und bösartigen Code zu installieren. Aktualisieren Sie deshalb Ihre Software regelmäßig mit neu veröffentlichten Patches und beseitigen Sie bekannte Sicherheitslücken. Damit verringern Sie die Anzahl der nutzbaren Einstiegspunkte in Ihre EDV-Systeme.

 

Aktualisieren Sie Ihre Firmware

Computer, Drucker, Router und andere Hardware-Geräte besitzen eine Firmware, eine Art Betriebssystem des Gerätes. Wie o.g. Software kann auch Firmware Schwachstellen haben, die von Cyberkriminellen ausgenutzt werden können. Auch hier gilt: Patchen Sie Ihre Geräte, wenn der Hersteller ein Firmware-Update herausgibt und somit einige Schwachstellen entfernt hat.

 

Erneuern Sie Ihre Software bei Bedarf

Ab einem gewissen Punkt bieten Hersteller keinen Support mehr für ältere Softwaresysteme und Anwendungen. Dies bedeutet meistens, dass sie keine Sicherheits-Updates zur Verfügung stellen. Cyberkriminelle behalten genau den Überblick, wenn Versionen von beliebten Anwendungen ihr Ende des Supports erreichen. Wenn dieser Tag kommt, starten Cyberkriminelle absichtlich neue Angriffe, auf die nicht mehr unterstützte Software. Oft horten diese Malware bis zum End-of-Support-Datum und starten dann ihre Angriffe. Infolgedessen ist Ihr Unternehmen viel anfälliger für Cyber-Attacken, wenn Sie Software ausführen, die vom Hersteller nicht mehr unterstützt wird.

 

Wir unterstützen Sie gerne bei einer Schwachstellenanalyse, um Sicherheitsfragen zu identifizieren, die Ihr Unternehmen anfällig für Cyberattacken macht. Einmal identifiziert, können wir gemeinsam mit Ihnen diese Sicherheitslücken aus dem Weg räumen und reduzieren so Ihr Risiko.

 

Mitarbeiter schulen

Ihre Mitarbeiter können eine wichtige Rolle in der Abwehr von Computerkriminalität einnehmen. Durch die Aufklärung der Mitarbeiter wie Cyber-Kriminelle Cyber-Attacken ausführen, können Mitarbeiter diese Angriffe zu erkennen, anstatt ihnen zum Opfer zu fallen. Phishing, Spear-Phishing und Social Engineering sollte an der Spitze der Liste der Themen stehen.

 

Phishing und Spear-Phishing

Obwohl schon seit mehreren Jahren gängig, sind Phishing-Mails noch eine von Cyber-Kriminellen verwendete Methode, um Zugangsdaten und andere vertrauliche Informationen zu erhalten, die sie dann verwenden, um Daten von Unternehmen und Geld zu stehlen. Obwohl Menschen nun aufgeklärter mit Phishing umgehen, sind die Angriffe durch die wachsende Komplexität der E-Mails immer noch wirksam.

 

Die E-Mails waren meistens leicht zu erkennen, da sie oft zahlreiche Rechtschreibfehler und Grammatikfehler enthalten und/oder fantastische Geschichten zum Inhalt haben, wie Sie hätten im Lotto gewonnen, oder ein nigerianischer Prinz bräuchte Ihre Hilfe. Heutzutage treten Cyber-Kriminelle zunehmend als seriöse Unternehmen auf, Erstellen E-Mails, die fast mit den Echten von diesen Unternehmen gesendeten identisch sind. Dazu kommt, dass Cyberkriminelle oft diese E-Mails mit Ihren Namen und anderen Informationen personalisieren – eine Taktik die als Spear-Phishing bezeichnet wird.

 

Trotz der Komplexität, gibt es gute grundlegende Methoden, um eine E-Mail als Pishing oder Spear-Pishing-Attacke zu identifizieren. Schulen Sie Ihre Mitarbeiter wie z. B.:

email 824310 640

 

  • Eine betrügerische E-Mail-Adresse im Feld "Von". Die E-Mail-Adresse könnte auf den ersten Blick legitim erscheinen. Beispielsweise könnten Cyberkriminelle eine E-Mail-Nachricht mit der Adresse "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." anstelle der echten "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein."-Adresse nutzen.
  • Eine Aufforderung zum Aktualisieren oder überprüfen Ihrer Informationen. Cyber-Kriminelle nutzen gerne E-Mails, die von beliebten legitimen Finanzinstituten (z.B. Banken) kommen und in der aufgefordert wird, Ihre Kontodaten o.ä. zu Aktualisieren oder zu Überprüfen.
  • Ein Gefühl der Dringlichkeit. Ein Gefühl der Dringlichkeit ist meistens eine gemeinsame Taktik in einer Phishing- oder Spear-Phishing-Attacke. Cyberkriminelle informieren Sie erst über ein Problem, die Ihre Aufmerksamkeit erfordert und dann lassen sie Sie wissen, dass es fatalen Folgen auf Sie zukommen, wenn Sie nicht schnell handeln.
  • Eine trügerische URL. Eine betrügerische URL ist eine URL, die mit der tatsächlichen im Text angezeigten und verknüpften Text oder Web-Adresse nicht übereinstimmt. Wenn Sie den Mauszeiger über den Link bewegen, ohne ihn anzuklicken, können Sie feststellen, dass der Link Sie zu einer Webseite in einem für Cyber-Angriffe bekanntem Land führt, obwohl der Text des Linkes Ihnen etwas Anderes mitteilen möchte.
  • Anhänge. Cyber-Kriminelle verwenden E-Mail-Anhänge, um Malware auf Computern zu installieren. Viele verschiedene Arten von Dateien können Schadcode enthalten, einschließlich PDF-Dateien, ZIP-Archive und Microsoft Word-Dokumente.

 

Wenn Sie mit Ihren Mitarbeitern diskutieren, wie Sie Phishing und Spear-Phishing-Angriffe erkennen, betonen Sie bitte, welches Risiko im Zusammenhang mit einem Kli

 

ck eines E-Mail-Link oder Öffnen eines E-Mail-Anhangs besteht, vor allem, wenn diese E-Mail von einer unbekannten Quelle stammt. Auch sollten Sie für Ihre Mitarbeiter klare Regeln aufstellen, was zu tun ist, falls eine als verdächtige E-Mail eingestuft wird (z. B. einfach Löschen, oder Weiterleiten).

 

Social-Engineering

Cyber-Kriminelle versuchen manchmal, von Mitarbeitern, die für sie benötigten Informationen zu erhalten, um in Ihr EDV-System oder Konten zuzugreifen. Dies wird als Social Engineering bezeichnet. Hacker nutzen diese Angriffe, weil das menschliche Verhalten in der Regel einfacher als Sicherheits- und EDV-Systeme zu knacken sind.

 

In der Regel treten Social Engineering-Angriffe per E-Mail (a.k.a. Spear Phishing-Mails) auf, können aber auch telefonisch oder persönlich auftreten. Die Cyberkriminellen geben s

 

ich oft als Mitarbeiter aus, oder sie könnten sich auch als Lieferant, Kunde, oder sogar vertrauenswürdigen Externen (z. B. Feuerwehrleute, Wirtschaftsprüfer) ausgeben.

 

Außerdem lernen Cyber-Kriminelle Ihre „Geschäftssprache“. Im Internet suchen sie gezielt nach Informationen, die sie bei ihrer Tat helfen. Wenn die Cyber-Kriminelle die Begriffe von sich geben, die dem Mitarbeiter gewöhnlich sind, sind die Mitarbeiter eher geneigt dem Cyberkriminellen zu vertrauen. Ohne es zu merken, bieten viele Menschen eine Vielzahl von Informationen über ihr berufliches und privates Leben auf LinkedIn, Facebook und anderen sozialen Netzwerken an.

 

Bei der Diskussion über Social-Engineering mit Ihren Mitarbeitern betonen Sie, wie wichtig es ist, darauf achten, was sie in sozialen Netzwerken posten. Es könnte gefundenes Futter für eine anspruchsvolle Spear-Phishing-Attacke werden. Oder es könnte Cyber-Kriminelle mit den Informationen versorgen, die diese benötigen, um Online-Konten zu hacken. Beispielsweise wenn ein Mitarbeiter Bilder und Geschichten über ihre Lieblingskatze postet, könnten Cyber-Kriminelle versuchen, mit dem Namen der Katze als ein Kennwort oder als Antwort auf die Sicherheitsfrage "Was ist der Name Ihres Lieblingstiers?" Zugriff auf das Konto zu gelangen. Bei einigen Online-Konten ist das alles was man braucht um das Zurücksetzen eines Kennworts zu veranlassen. Wenn Cyber-Kriminelle ein Kontokennwort zurücksetzen können, erhalten sie meist vollen Zugriff auf dieses Konto.

 

Mit diesen Informationen ausgestattet, können Ihre Mitarbeiter eine nicht zu vernachlässigende Rolle gegen den Angriff von Cyberattacken einnehmen.

 

Bereiten Sie das Worst-Case-Szenario vorget me out 1605906 640

Cyberkriminelle ergreifen ständig neue Wege um Unternehmen anzugreifen, so dass trotz aller Bemühungen, Ihr Unternehmen neuesten Cyberangriffen zum Opfer fallen könnte. Dieses ist noch ein weiterer wichtiger Grund, warum Sie unbedingt eine zuverlässige Backup-Strategie Ihrer Daten benötigen.

Obwohl mit den Sicherungskopien Ihrer Daten und Systeme ein Cyberangriff nicht verhindert werden kann, kann es doch eine Absc

 

hwächung des Angriffes bewirken. Beispielsweise müssen Sie nicht das Lösegeld zahlen, welches teilweise bei einem Angriff mit Ransomware gefordert wird, um wieder an Ihre Daten zu gelangen.

Wir helfen Ihnen gerne eine Daten-Backup-Strategie zu entwickeln und zu testen, um sicherzustellen, dass Ihre Daten wiederhergestellt werden können, für den Fall, dass Ihr Unternehmen einem Angriff zum Opfer gefallen ist.

 

Schützen Sie Ihr Unternehmen

Cyberkriminelle entwickeln ständig neue Malware-Programme oder Varianten bestehender Programme. Infolgedessen ist ein ausschließlich auf Anti-Malware-Software aufbauender Schutz für  Ihr Unternehmen riskant, da es eine Weile dauert, bis die Anbieter ihre Anti-Malware-Software zur Verteidigung gegen die neuen Programme aktualisieren.

 

 

Nach Durchführung einer eingehenden Sicherheitsbewertung, können wir andere Maßnahmen empfehlen, die Sie ergreifen können, um Ihr Unternehmen vor Cyber-Kriminellen schützen. Wir können auch helfen, Ihre Mitarbeiter zu Schulen, damit sie Cyber-Attacken erkennen können, statt diesen zum Opfer zu fallen.

Kontaktieren Sie uns einfach, um Ihre Schutzmaßnahmen zu überprüfen oder diese neu aufzubauen.