30.09.2020
Berufsalltag
Viren, Hacker und Co.: So gelingt Datensicherheit in Ihrem Betrieb
Viele Handwerksbetriebe wägen sich beim Thema Cyber-Kriminalität in Sicherheit. Doch jüngere Vorfälle zeigen, dass vor allem sie zunehmend Opfer von Angriffen aus dem Internet werden. Diese vier Punkte sollten Sie in Ihrem Betrieb beachten, um sich zukünftig besser davor zu schützen.
Handwerksbetriebe sind für Kriminelle im Internet nicht interessant? Das ist ein großer Trugschluss, warnt der Zentralverband des Deutschen Handwerks (ZDH). Viele Unternehmen sind in puncto IT-Sicherheit nicht auf dem neuesten Stand und daher ein leichtes Opfer für Viren, Trojaner, Hacker und Co.. Eine Studie des Wissenschaftlichen Instituts für Infrastruktur und Kommunikationsdienste (WIK) zeigt, dass 80 Prozent aller Handwerksbetriebe bereits mit IT-Sicherheitsproblemen zu kämpfen hatten – auch, weil viele Betriebe (60 Prozent) diesem Thema kaum Bedeutung beimessen.
Keylogger, Ransomeware, und Trojaner sind Fremdwörter für Sie? In unserem untenstehenden Glossar finden Sie die wichtigsten Begriffe aus der Welt der Cyber-Kriminalität schnell und einfach erklärt. Scrollen Sie einfach zum Seitenende.
Mit dem Aufkommen immer neuer Malware und Ransomware nimmt die Bedrohung durch Cyber-Kriminalität für klein- und mittelständische Betriebe währenddessen immer weiter zu: In jüngster Vergangenheit sorgten die Erpresser-Software „WannaCry“ und der Trojaner „Emotet“ für Verunsicherung bei kleinen und mittelständischen Betrieben. Dabei wurde deutlich, dass auch sie sich mit dem Schutz unternehmenswichtiger Daten auseinandersetzen müssen. In unserer Checkliste zeigen wir Ihnen, wie das auch in Ihrem Betrieb klappen kann.
Eines vorweg: Die folgenden Tipps können zwar dazu beitragen, bestehende Sicherheitslücken in Ihrem Betrieb zu schließen. Wenn Sie Ihre IT-Infrastruktur jedoch umfangreich schützen wollen, empfiehlt sich die Beauftragung eines Spezialisten, der für Ihren Betrieb ein individuelles Sicherheitskonzept entwickelt. Hilfe finden Sie auch beim Kompetenzzentrum für IT-Sicherheit im Handwerk sowie bei der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie.
Sicherheits-Programme installieren und aktualisieren
Zur Standardausstattung eines jeden Rechners sollte ein guter Virenscanner gehören. Dieser überwacht Ihre E-Mails, Programme, Dokumente und Internetaktivitäten und ermittelt, ob sich Ihr PC bereits mit Viren, Trojanern, Malware und Co. infiziert hat. Im Bedarfsfall löscht er gefährliche Programme oder Dateien auf Ihrem PC. Dasselbe gilt auch für Ihre Firewall, also das System, das Ihren Datenverkehr analysiert, Ihre IT vor Angriffen schützt und Unbefugten den Zugriff auf Ihr Gerät verweigert.
Zudem sollten Sie einen Phishing-Schutz und einen Spamfilter installieren. So können Sie nicht nur sichergehen, dass sich nicht heimlich Viren, Würmer oder trojanische Pferde auf Ihr Gerät einschleusen; Sie ersparen sich auch zusätzlichen Arbeitsaufwand beim Aussortieren unerwünschter Mails.
- Virenprogramme und Firewall auf allen Geräten installieren und aktivieren
- Alle Anwendungen (auch Ihr Betriebssystem) regelmäßig durch Updates aktualisieren
- Spamfilter und Phishing-Schutz aktivieren und Spam-Mails ungelesen löschen
Kolleginnen und Kollegen sensibilisieren
Die größte Sicherheitslücke in Ihrer IT-Sicherheit ist jedoch nicht der veraltete Virenscanner oder das zurückliegende Programm-Update, sondern sehr wahrscheinlich: der Mensch. Durch unachtsames Anklicken und Weiterleiten von Kettenbriefen und Hoax-Mails können sich Keylogger, Trojaner und Ransomeware rasend schnell im Unternehmens-Netzwerk verbreiten und einschleusen.
Phishing-Mails können verleiten, sensible Firmenkennungen durch täuschend echte Anmeldeformulare für Onlinebanking und Co. weiterzugeben. Aggressive Viren und Ransomeware, die das gesamte Netzwerk befallen, können im schlimmsten Fall sogar dafür sorgen, dass Sie alle Festplatten formatieren müssen und sensible Firmendaten verloren gehen. Schulen und sensibilisieren Sie daher Ihre Mitarbeiterinnen und Mitarbeiter für die tägliche Arbeit im Mailverkehr.
- E-Mails, Links und Anhänge von unbekannten Absendern niemals öffnen (insbesondere bei Datei-Endungen wie „bat“, „com“ „exe“ oder „vbs“)
- Werden Sie in einer E-Mail aufgefordert, sich bei einem Onlinedienst anzumelden oder andere über ein vermeintliches Virus im Netzwerk zu informieren? Vorsicht: Möglicherweise handelt es sich um eine Phishing- oder Hoax-Mail!
- Schickt Ihnen ein bekannter Kontakt eine kryptische E-Mail mit auffällig gehäuften Rechtschreibfehlern? Öffnen Sie den Anhang nicht! Es könnte sich dabei um eine versteckten Keylogger, Spy- oder Ransomeware handeln!
Damit sich eine Schadsoftware im Zweifelsfall nicht auf alle Geräte und Systeme ausbreiten kann, sollten Sie weitere Sicherheitsmaßnahmen ergreifen:
- Nur Sie oder der Systemadministrator sollten die Möglichkeit haben, Betriebs- und Anwendungsprogramme zu installieren oder zu ändern
- Jeder Mitarbeiter und jede Mitarbeiterin sollte einen eigenen passwortgeschützten Zugang haben. Diesen können Sie beispielsweise in der Windows-Benutzersteuerung anlegen
- Mitarbeiterinnen und Mitarbeiter sollten nur auf Festplatten oder Ordner zugreifen können, die für ihre Arbeit wirklich wichtig sind
Sichere Passwörter verwenden und aktualisieren
Viele Deutsche verwenden noch immer viel zu einfache Passwörter. Dabei haben Hacker deutlich weniger Erfolgschancen, wenn Nutzerinnen und Nutzer sichere und einmalige Passwörter verwenden, um Netzwerke, Geräte, Festplatten, Mail-Accounts oder Dokumente zu schützen. Damit sich auch Ihr Passwort nicht so leicht knacken lässt, sollte es möglichst lang und komplex sein. Allgemein gilt hierbei:
- Nutzen Sie mehr als 15 Zeichen aus allen Zeichenklassen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)
- Aktualisieren Sie Ihre Passwörter in regelmäßigen Abständen (Sicherheitsexpertinnen und -experten empfehlen einmal im Jahr)
- Verwenden Sie keine gleichen oder ähnlichen Passwörter bei verschiedenen Diensten
- Benutzen Sie keine Wörter aus dem Wörterbuch
- Notieren Sie Ihre Passwörter nicht auf einem Zettel
- Speichern Sie Ihre Passwörter niemals auf unverschlüsselten Geräten
Wenn Sie viele Passwörter verwalten müssen, können Sie hierfür auch einen Passwort-Manager nutzen. Hier werden alle Kennwörter verschlüsselt abgespeichert. Um darauf zugreifen zu können, müssen Sie sich nur ein einziges Master-Passwort merken. Durch regelmäßiges Synchronisieren stehen Ihnen Ihre Passwörter auch auf anderen Firmengeräten wie Smartphones und Tablets zur Verfügung. Darüber hinaus speichern viele Passwort-Manager die passende Nutzerkennung gleich mit ab und füllen alle Felder bei der Anmeldung automatisch aus.
Regelmäßig Backups erstellen
Der Verlust sensibler Firmendaten und Kundinnen- und Kundeninformationen kann den Betrieb teuer zu stehen kommen. Mit einem regelmäßig Backup aller wichtigen Daten sorgen Sie dafür, dass Ihre Daten auch nach einem Angriff durch Hacker oder Schadsoftware erhalten bleiben – dies gilt sowohl für Ihren PC als auch für alle anderen mobilen Endgeräte wie Smartphones oder Tablets. Bei Letzteren haben Sie die Möglichkeit, Onlinespeicherdienste wie Google Drive (Android) oder iCloud (Apple) für Ihre Sicherheitskopien zu nutzen.
Daten sind geschützt – auch vor physischem Schaden
Durch regelmäßige Updates schützen Sie Ihre Daten nicht nur vor virtuellen, sondern auch vor physischen Gefahren wie Feuer, Hochwasser oder Überspannung sowie Diebstahl oder den Verlust eines Gerätes. Für die beiden letzten Fälle sollten Sie außerdem eine sichere Gerätesperre einrichten und Speichermedien zusätzlich verschlüsseln.
Cloud oder Festplatte? Ihre Backupstrategie ist gefragt
Für ein Backup auf Ihrem PC können Sie entweder eine Sicherungskopie auf einer externen Festplatte erstellen oder Ihre Daten in einer Cloud speichern, also auf einem externen Server, auf den Sie über das Internet zugreifen können. Je wichtiger und sensibler Ihre Daten sind, desto eher lohnt sich eine mehrstufige Backup-Strategie, bei der Sie Ihre Daten in mehrfacher Ausführung sowohl innerhalb Ihres Unternehmens (etwa auf einer Festplatte) als auch außerhalb (etwa auf einem geschützten Server) sichern. IT-Dienstleister stellen hierfür verschiedene Backup-Systeme in unterschiedlichen Sicherheitsabstufungen zur Verfügung.
Keylogger, Phishing, WannaCry – die wichtigsten Begriffe rund um Cyber-Kriminalität:
Schadprogramm in Form eines Banking-Trojaners (siehe Trojanrt), der als Spam-Mail auf den Computer gelangt. Emotet dringt in fremde Geräte ein und breitet sich aus, um sensible Daten auszuspähen (siehe Keylogger). Dabei kann es sich vor gängigen Virenprogramme verstecken.
Eine gefälschte Warnung vor einem Computervirus, die sich meist per E-Mail im internen Unternehmensnetzwerk wie ein Kettenbrief verbreitet und andere Empfänger ebenfalls zum Weiterleiten auffordert.
Software oder Hardware, die die Tastatureingaben eines Nutzers oder einer Nutzerin auf dem Rechner überwacht und protokolliert und so vertrauliche Daten und/oder Passwörter ausspäht.
Gefälschte E-Mails oder Nachrichten, die durch eine täuschend echte Oberfläche auf gefälschte Internetseiten verweisen, die Banken, Onlineshops oder andere Onlinedienste imitieren, um Benutzerkennungen und Passwörter abzugreifen.
Erpressungssoftware, die Dateien verschlüsselt oder den Startbildschirm sperrt, sodass kein Zugriff auf den Computer möglich ist. Der Nutzer oder die Nutzerin wird aufgefordert, Lösegeld zu bezahlen, um den Computer wieder entsperren zu lassen.
Software, die sich meist unbemerkt installiert, um Aktivitäten auf dem Rechner oder im Internet auszuspionieren und aufzuzeichnen (z. B. Keylogger). Diese Informationen können an Dritte weitergegeben und für deren Zwecke missbraucht werden
Computerprogramm, das sich unbemerkt installiert, um Daten auszuspähen (siehe Spyware) oder Schaden anzurichten (siehe Ransomeware). Meist sind Trojaner als nützliches Programm getarnt, die dann jedoch Passwörter aufzeichnen (siehe Keylogger) oder heimlich sogenannte Backdoor-Programme installieren, die über das Internet gesteuert werden können.