Expertentipps zu Cybersecurity für Selbständige und KMUs
Artikelübersicht:
- Cybersicherheit: Was sind die häufigsten Fehler?
- Cyber-Risiko mobile Geräte
- Cybersicherheit: Basics für Selbständige
- Remote arbeiten und Cybersicherheit
- Cyber-Risiko Ransomware
- Schwachstellen in Software und Betriebssystemen als Cyber-Risiko
- Cybersecurity für Unternehmen: Sicherheitsrisiken identifizieren
- Cybercrime-Angriffsszenarien erkennen
- Wie reagiere ich im Fall einer Cyberattacke?
Dominik Münsterer sprach mit uns auch im Video-Interview über nützliche Tipps für mehr Cybersicherheit für dein Business und warum Backups so wichtig sind:
Cybersicherheit: Was sind die häufigsten Fehler?
exali:
Was sind deiner Erfahrung nach die häufigsten Fehler, die Unternehmen beim Thema Cybersicherheit machen?
Dominik Münsterer:
Das Risiko zu unterschätzen und sich mit dem Thema Cybersicherheit nicht ausreichend zu beschäftigen. Oftmals herrscht der Gedanke „Wieso sollte mich jemand Hacken wollen? Bei mir gibt’s nichts zu holen“ vor. Das ist aber ein Trugschluss, denn die Gefahr einer Cyber-Attacke betrifft ausnahmslos jede:n und das zeigt sich leider mittlerweile täglich.
Cyber-Risiko mobile Geräte
exali:
Stichwort Fehler: Das auch Smartphones Computer sind, scheint sich immer noch nicht ganz herumgesprochen zu haben. Welche Sicherheitsmassnahmen empfiehlst du für mobile Geräte wie Smartphones oder Tablets?
Dominik Münsterer:
Ganz genau, Smartphones und Tablets können ebenfalls ein grosses Einfallstor in das Unternehmen sein. Mit folgenden drei Massnahmen kann man sein Risiko bereits enorm reduzieren:
Verwendung einer sicheren PIN:
Das ist der wohl trivialste Punkt: Die Verwendung einer sicheren PIN – und zwar eine, die man nicht zusätzlich nutzt, zum Beispiel beim Fahrradschloss oder der Kreditkarte. Ich empfehle mindestens 8 Zahlen oder noch besser, ein Passwort aus Gross- und Kleinbuchstaben und Zahlen/Sonderzeichen. Denn was viele nicht wissen: Beim iPhone oder iPad reicht allein die PIN aus, um die Apple ID zu klauen und das Passwort zu ändern. Damit können Angreifer:innen dann bereits auf alle E-Mails, Dokumente, Bilder, Notizen und so weiter zugreifen.
Regelmässige Updates wichtiger Apps
Sehr schützenswerte Informationen wie Authenticator Apps oder Zugänge zu Cloudservices wie etwa OneDrive oder GoogleDrive sind oft durch das Smartphone zugänglich. Deshalb ist es wichtig, die regelmässigen Updates, die Hersteller:innen anbieten, auch schnellstmöglich zu installieren. Das beugt Angriffen vor, die Schwachstellen im Betriebssystem ausnutzen.
Apps auf die notwendigsten beschränken
Zwar werden alle Apps in den App Stores von Apple und Google immer überprüft, dennoch tauchen doch immer wieder einmal schädliche Apps auf. Mein Tipp: Die Apps auf das Notwendigste beschränken und nur Apps von vertrauenswürdigen Hersteller:innen herunterladen, insbesondere für sicherheitsrelevante Apps wie Authenticator, Mail oder Passwortmanager.
Ausserdem sollte man fremden Geräten nicht vertrauen, das heisst: Nutzen Sie keine fremden PCs oder Ladestellen zum Laden per USB. Passt man hier nicht auf, können Angreifer:innen sehr einfach alle Daten abgreifen. Bei einem neueren Smartphone ist der Speicher auch standardmässig verschlüsselt – ist das nicht der Fall, sollte man die Einstellung definitiv aktivieren.
DeltaSecure ist auf Lösungen zur Abwehr von Cyberangriffen für Unternehmen jeder Art und Grösse spezialisiert. Zu den Leistungen des Dienstleisters gehört nicht nur der Schutz der Infrastruktur der Unternehmen, sondern auch die kontinuierliche Überwachung und Analyse der Systeme.
Mehr zum Angebot von DeltaSecure finden Sie auch unter: deltasecure.de
Cybersicherheit: Basics für Selbständige
exali:
Egal ob Freelancer oder Unternehmen: Was sind aus deiner Sicht die absoluten Basics, die alle Selbständigen in Bezug auf Cybersicherheit umsetzen sollten?
Dominik Münsterer:
Cybersicherheit ist ein sehr komplexes Thema und die Massnahmen sollten sich am Risiko und den individuellen Möglichkeiten orientieren. Die folgenden drei Massnahmen verringern das Risiko von Cyberangriffen bereits um ein Vielfaches:
2-Faktor-Authentifizierung:
2-Faktor-Authentifizierung (auch 2FA oder MFA genannt) ist ein Konzept, wonach die Authentifizierung nur dann erfolgt, wenn Nutzer:innen sich über mehrere Prinzipien authentifizieren können. Das kann etwa ein Passwort und der Besitz eines bestimmten Smartphones sein. Da Angreifer:innen für eine Anmeldung nun nicht nur das Passwort sondern auch das Smartphone der Nutzer:innen benötigen, sind Angriffe aus der Ferne viel schwieriger. Empfehlenswert ist die Nutzung von sogenannten Authenticator Apps, die mittlerweile von fast allen grossen Plattformen angeboten werden. Hierbei bekommen Nutzer:innen nach der Passworteingabe einen Code am Smartphone angezeigt, der eine Minute gültig ist und der zusätzlich eingeben werden muss. 2FA sollte mindestens für sicherheitskritische Plattformen wie Microsoft 365, Amazon, Google, PayPal etc. aktiviert werden.
Nutzung von Passwortmanagern und sichere Passwörter:
Einem extrem hohen Risiko setzt man sich aus, wenn man das gleiche Passwort bei mehreren Anmeldungen nutzt. Angreifer:innen müssen nun nur noch einen Dienst knacken und erhalten Zugang zur gesamten Infrastruktur. Stattdessen empfiehlt es sich, einen Passwortmanager wie zum Beispiel Bitwarden zu verwenden, welcher als eine Art „Passwort-Tresor“ funktioniert und einem für jeden Dienst sichere Passwörter generiert. So ein Passwort kann z.B. so aussehen: v^5X^s4e#nz7FPEkV4ne
Nutzt man ausserdem die dazugehörige App am Smartphone und die Erweiterung im Browser, hat man überall Zugriff auf die Zugänge und kann das Passwort automatisch und viel schneller eingeben lassen. Da der Passwortmanager einem nur Kennwörter vorschlägt, wenn die korrekte Seite geöffnet ist, verringert sich ausserdem das Risiko von Phishing. Ein grossartiges Tool, das auch auf Smartphone oder unterwegs funktioniert ist zum Beispiel Bitwarden. Der klassische Passwortmanager KeePass ist ebenfalls sehr sicher, aber etwas benutzerunfreundlicher.
Awareness
Wenn alle technischen Massnahmen scheitern, ist man auf den Menschen angewiesen. Um Kompromittierungen zu verhindern, sollte man sich angewöhnen immer auf mindestens folgende Dinge zu achten:
- Stimmt die E-Mail-Adresse der Absenderin oder des Absenders auch mit dem angegebenen Namen überein (eine E-Mail von Dominik Münsterer sollte nicht von max.mustermann@gmail.com kommen)
- Kenne ich die Absender:innen dieser E-Mail?
- Habe ich diese E-Mail erwartet und ergibt der Kontext Sinn?
- Ist der Link in der URL-Leiste oben tatsächlich von Microsoft, Paypal etc. oder sieht die URL komisch aus?
- Kenne ich die Seite, von der ich eine Datei herunterlade und ist diese vertrauenswürdig?
Remote arbeiten und Cybersicherheit
exali:
Besonders Freelancer:innen arbeiten ja gerne remote – gibt es hier zusätzliche Cyber-Risiken, die ich im Blick haben sollte?
Dominik Münsterer:
Sobald man ein eigenes Netzwerk betreibt, sollte man natürlich sofort ein Augenmerk auf dessen Sicherheit legen. Insbesondere in Bezug auf offene Ports nach aussen und den Zugang zum Netzwerk (zum Beispiel über VPN + 2FA). Ein Backupping-Konzept gehört dann natürlich auch dazu, um Daten wiederherstellen zu können, die verloren gehen. Wird ein eigenes Netzwerk betrieben sollten Security Basics wie ein Intrusion Detection/Prevention System eingesetzt werden, um zumindest auffällige Angriffe gleich zu erkennen/verhindern. Oft haben Firewalls bereits solche Funktionalität.
Starten sollte man mit einer Risikoanalyse, in der man den Schutzbedarf des jeweiligen Systems beziehungsweise Netzwerks hinsichtlich der folgenden Faktoren bewertet: Vertraulichkeit/Integrität/Verfügbarkeit. So lässt sich feststellen, welche Risiken und welcher Impact für welches System existieren.
Cyber-Risiko Ransomware
exali:
Das BSI identifiziert Ransomware als das grösste Cyber-Risiko für Unternehmen: Siehst du das genauso und was macht Ransomware so gefährlich?
Dominik Münsterer:
Ransomware ist definitiv eines der grössten Risiken im Cyberbereich. Nicht zuletzt auch deswegen, weil sich Ransomware vom „klassischen“ Verschlüsselungstrojaner zu ausgefeilter Malware entwickelt hat. Diese fokussiert sich nicht mehr nur auf das Verschlüsseln von Daten, sondern wendet auch weitere Taktiken wie beispielsweise das Exfiltrieren von sensiblen Informationen oder das Zerstören von essentiellen Daten an. Das zeigt sich ja auch anhand der jüngsten Fälle wie der Autozulieferer Continental, bei dem 40 Terrabyte an Daten bei einer Ransomware-Attacke entwendet wurden oder den 60 Gigabyte Daten die im Darkweb angeboten wurden und angeblich von einer Cyberattacke auf die Deutsche Bank stammen.
Schwachstellen in Software und Betriebssystemen als Cyber-Risiko
exali:
Cyberattacken können ja auch über Sicherheitslücken in Software oder Betriebssystemen erfolgen – gibt es eine Möglichkeit – abgesehen von regelmässigen Updates – wie ich mich gegen so etwas absichern kann?
Dominik Münsterer:
Ja, Softwareschwachstellen sind ein grosser Angriffsvektor, der leider für kleine und mittelständische Unternehmen enorm schwer in den Griff zu kriegen ist. Um hier ein hohes Level an Sicherheit zu schaffen, muss von verschiedenen Stellen an das Problem herangegangen werden:
- Patch- und Schwachstellen-Management: Es muss regelmässig überprüft werden, ob eingesetzte Software auf aktuellem Stand ist und Schwachstellen hat, die ausgenutzt werden können.
- Penetrationstests: Es muss regelmässig getestet werden, ob Angreifer:innen durch verschiedene Massnahmen Zugang zu Systemen erlangen kann – das macht dann quasi ein:e Hacker:in mit guten Absichten.
- Security Monitoring: Es muss durchgängig also 24/7 an 365 Tagen im Jahr überprüft werden, ob verdächtige Aktionen auf PCs, Servern und Netzwerken stattfinden und unsichere Protokolle oder Ports genutzt werden. Wird so etwas festgestellt, müssen kompetente Sicherheitsexperten und Sicherheitsexpertinnen analysieren, wie es zu dem Vorfall kam und welches Risiko nun besteht.
Eben gerade weil KMUs mit diesem Sicherheitsrisiko kämpfen, bieten wir bei DeltaSecure alle diese Serviceleistungen als Teil unseres Rundum-Sorglos-Pakets an.
Cybersecurity für Unternehmen: Sicherheitsrisiken identifizieren
exali:
In Bezug auf Cybercrime liest man immer wieder die Aussage: Sobald technische Geräte wie PC oder Smartphone verwendet werden, sind 100 Prozent Cybersicherheit nicht möglich. Ist das aus Ihrer Sicht richtig oder gibt es Möglichkeiten, ein System absolut sicher zu machen?
Dominik Münsterer:
Ja das ist richtig, kein System ist einhundert Prozent sicher. Denn wenn dieses nützlich sein soll, muss es auf irgendeine Art und Weise von Menschen zugänglich gemacht und genutzt werden, was Möglichkeiten zum Angriff bietet.
Potenzielle Sicherheitsrisiken existieren überall und die Kunst ist es:
1.Das Risiko zu identifizieren, also zu verstehen, dass das Risiko existiert
2.Das Risiko zu bewerten, also festzustellen, wie hoch die Eintrittswahrscheinlichkeit
und das Ausmass im Eintrittsfall ist
3.Das Risiko zu mitigieren, also Massnahmen zu treffen, die das Risiko verhindern
Um die identifizierten Risiken zu minimieren, können dann wie oben erwähnt Massnahmen wie beispielsweise die Nutzung von 2FA, VPN-Zugriff, Backup-Konzept etc. zum Einsatz kommen.
Businessrisiko Cybercrime: So können Sie sich absichern
Eine Cyberattacke hat mehrere Auswirkungen: Zum einen der Schaden, der Ihrem Business entsteht wie eine Geschäftsunterbrechung, ein Reputationsschaden, sowie hohe Kosten für die Reparatur oder Wiederherstellung Ihrer beschädigten Systeme, Programme oder Daten. Zum anderen ist da aber auch der mögliche Schaden, der Ihren Kundinnen und Kunden durch die Cyberattacke auf Ihr Business entsteht.
Berufshaftpflicht: Absicherung gegen Cyber-Drittschäden
Wenn Ihren Kundinnen und Kunden oder Auftraggeber:innen durch einen Cyber-Angriff auf Ihr Business ein Schaden entsteht, handelt es sich um einen Cyber-Drittschaden. Diese Art von Schaden ist generell durch die Berufshaftpflichtversicherung über exali abgesichert.
Cyber-Risiken absichern mit der Cyber-Versicherung
Die Schäden, die Ihrem Business durch eine Cyber-Attacke entstehen, nennen sich Cyber-Eigenschaden. Um diese Art von Schäden abzusichern, bietet exali mehrere Möglichkeiten:
Datenschutz- & Cyber-Eigenschaden-Deckung (DCD)
Der Zusatzbaustein Datenschutz- & Cyber-Eigenschaden-Deckung (DCD) lässt sich zu allen Berufshaftpflichtversicherungen über exali dazu buchen und sichert Sie Ihr Business gegen die unkalkulierbaren Risiken von Hackerangriffen, Cyber-Erpressung, D(d)oS-Attacken oder sonstiger Cyberkriminalität ab. Das Besondere: Neben den Kosten für die Reparatur oder Wiederherstellung Ihrer IT-Systeme, Programme oder Daten, übernimmt der Versicherer auch die Kosten für PR- und Krisenmanagement, spezialisierte Anwältinnen beziehungsweise Anwälte, sowie Computer-Forensik-Spezialist:innen.
Cyber-Versicherung
Die Cyber-Versicherung richtet sich vor allem an kleine und mittelständische Unternehmen und sichert im Basis-Schutz Cyber-Eigenschäden wie verschlüsselte oder beschädigte IT-Systeme, Programme oder Daten ab. Das Besondere: Die sofortige Notfallhilfe, bei denen Ihnen der Versicherer im Falle eines Cyberangriffs eine IT-Expertin beziehungsweise einen IT-Experten zur Seite stellt, um Massnahmen zur Begrenzung und Behebung des entstandenen Schadens einzuleiten. Zudem lässt sich die Cyber-Versicherung mit fünf Zusatzbausteinen individuell an Ihr Business anpassen.
Cybercrime-Angriffsszenarien erkennen
exali:
Bei Deltasecure bietet ihr ja Cybersecurity-Lösungen für Unternehmen, mal provokant gefragt: Wie stellt ihr sicher, dass diese auch funktionieren?
Dominik Münsterer:
Um Cyberangriffe verhindern zu können, muss man verstehen, wie diese funktionieren. Meine Kolleginnen beziehungsweise Kollegen und ich bringen Erfahrungen mit, die wir täglich bei vielen Unternehmen sammeln konnten. Darunter waren beispielsweise auch hochgefährdete Unternehmen wie die Commerzbank und die KfW Bankengruppe.
Da wir Angriffe nicht ausschliesslich an einem bestimmten Virus, sondern über die gesamte Angriffs-Kette erkennen, detektieren wie auch neuartige Angriffe bei denen einzelne Taktiken abgeändert wurden.
Dazu ein konkretes Fallbeispiel: Ein:e Benutzer:in erhält eine bösartige E-Mail und öffnet die im Anhang befindliche Excel-Datei, die ein Makro beinhaltet. Über dieses Makro wird dann Malware aus dem Internet heruntergeladen, die sich auf dem System persistiert und drei Monate später Daten exfiltriert und verschlüsselt.
Da wir alle verfügbaren Informationen von E-Mail-Server, Firewall, Intrusion Detection System, PCs etc. nutzen, stellen wir alle durchgeführten Taktiken sehr schnell fest:
- Verdächtige E-Mail mit Anhang
- Öffnen des Anhangs, welcher aus einer E-Mail stammt
- DNS und Netzwerkanfragen von Excel Makro
- Schreiben einer Datei, die aus dem Internet heruntergeladen wurde
- Öffnen dieser Datei
- Persistieren der Malware im System und Kommunikation mit Server im Internet
- Verschlüsselung von Daten
Dies ist natürlich nur ein Beispiel von sehr vielen Taktiken, zeigt aber auf, dass Angriffe immer bestimmten Schemas folgen, die sich aufteilen lassen und bei denen man Zusammenhänge feststellen kann. Über die verschiedenen Taktiken von Cyberkriminellen halten wir uns natürlich stetig auf dem Laufenden und testen auch Angriffsszenarien, um festzustellen, ob wir bestimmte Arten erkannt hätten – das bisher mit sehr zufriedenstellenden Ergebnissen.
Wie reagiere ich im Fall einer Cyberattacke?
exali:
Wie sollte ich reagieren, wenn ich Opfer einer Cyberattacke werde?
Dominik Münsterer:
Der erste Schritt sollte immer sein, sich einen Überblick zu verschaffen: Also zu verstehen was vorgefallen ist und wie gross das Ausmass der Attacke ist. Hat man hierbei Probleme, sollte ein Expertenteam wie wir beauftragt werden, um das festzustellen. Im Optimalfall existiert bereits ein sogenannter Emergency Response beziehungsweise Business Continuity Management Plan, in welchem man sich zuvor Gedanken gemacht hat, wie man unter welchen Voraussetzungen handeln sollte.
Der anschliessende Schritt sollte die Kommunikation mit betroffenen Parteien sein. Das können Kundinnen und Kunden, Lieferant:innen oder Behörden sein, bei denen man sich aufgrund von beispielsweise exfiltrierten personenbezogenen Daten melden sollte oder muss.
Im letzten Schritt sollte man feststellen, was zum erfolgreichen Angriff geführt hat und wie man ihn in Zukunft verhindern kann. Ein guter Schritt ist hier, aber durchaus auf vor einem Angriff, die Einführung eines Informationssicherheitsmanagementsystems (ISMS) um Struktur für Informationssicherheit im Unternehmen zu schaffen.
Vielen Dank für dieses interessante und ausführliche Interview!
Dominik Münsterer ist Geschäftsführer der DeltaSecure GmbH und blickt auf weitreichende Erfahrung in der Cyber Security zurück, die er in der Beratung und Entwicklung von zivilen und militärischen Security Lösungen von KMU bis Grosskonzern täglich sammelt. Er ist ausserdem zertifizierter ISO27001 Lead Auditor für Informationssicherheit.
Mehr zu DeltaSecure finden Sie auch hier: deltasecure.de