Cookie-Hinweis

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.

Nr. 5254572

Cyber-Sicherheit in Kleinst Klein Unternehmen

Unternehmen werden zunehmend digital. Damit steigt auch die Wahrscheinlichkeit von Cybervorfällen, insbesondere für kleine Unternehmen, die oft keine IT-versierten Mitarbeitenden haben - ganz zu schweigen von eigenen IT-Abteilungen.
GEIGER (Artikelbild)
Cyber-Attacken bergen erhebliche Risiken bis hin zur Existenzgefährdung für kleinere Unternehmen, z.B. durch Erpressung oder Reputationsschäden. Vor diesem Hintergrund ist Cybersecurity ein Thema, dem sich alle Unternehmen stellen müssen. Doch wo fängt man überhaupt an mit Cybersecurity? Was können IT-Laien tun, um sich möglichst sicher zu verhalten?
Im folgenden werden fünf Basics zum Schutz vor Angriffen vorgestellt.

Sicheres Passwortmanagement

Dass „1234“ kein sicheres Passwort ist, dürfte den meisten inzwischen klar sein. Doch wie steht es um Ihre Passwortsicherheit? Nutzen Sie für jeden Dienst ein individuelles Passwort mit mindestens 14 Zeichen? Wechseln Sie Ihre Passwörter regelmäßig? Ein Passwort-Manager hilft Ihnen, sichere Passwörter zu verwalten, sodass Sie diese nicht auswendig kennen müssen.

2-Faktor-Authentifizierung

Bei dieser Authentifizierungsmethode nutzen Sie zusätzlich zu Ihren Login-Daten einen zweiten Faktor (z.B. Ihr Smartphone) zum Login für Online-Services. Dadurch verhindern Sie, dass Dritte auf Ihre Online-Konten zugreifen können, selbst wenn diese ihre Login-Daten kennen.

Phishing E-Mails erkennen

Phishing E-Mails enthalten häufig Links oder Anhänge, die zum Download von Malware führen. Eine weitere beliebte Methode sind Fake-Websites, auf denen z.B. Konto-Daten abgefragt werden. Auch wenn Phishing-Angriffe immer ausgefeilter werden: Deren Erkennen kann gelernt werden, zum Beispiel aus Übungen von Tutorials wie der GEIGER Toolbox.

Backups

Backups sind essentiell für die Wiederherstellung von Daten im Falle einer Cyberattacke. Mit der 3-2-1 Methode sind Sie für alle Fälle gewappnet: 3 Ausführungen des Backups, die auf 2 verschiedenen Speichermedien gespielt werden (z.B. Festplatte und Cloud), darunter 1 Backup, das an einem externen Aufbewahrungsort untergebracht ist.

Regelmäßige Updates

Updates schließen mögliche Sicherheitslücken in einer Software und sollten sobald verfügbar, regelmäßig durchgeführt werden.

GEIGER-Zähler für Cyber-Sicherheit

Auch wenn diese grundlegenden Maßnahmen die Sicherheit erhöhen, so bleibt Cyber-Sicherheit eine beständige Aufgabe und Herausforderung für kleine Unternehmen.
Vor diesem Hintergrund hat das EU-geförderte Projekt GEIGER eine Cybersicherheitslösung für kleine Unternehmen entwickelt, mit der sie sich effektiv vor Angriffen schützen können. Mithilfe einer speziellen Software, der GEIGER Toolbox, können kleine Unternehmen überprüfen, wie hoch ihr Cyber-Sicherheits-Risiko ist. Die Toolbox schlägt dann passgenaue Maßnahmen vor, um die Cybersecurity des Unternehmens zu verbessern. Auch grundlegende Fragen des Datenschutzmanagements werden behandelt und entsprechende Hilfestellungen gegeben. Innerhalb der GEIGER Toolbox können in kurzen Lerneinheiten cyber-sicheres Verhalten geübt werden z.B. durch das Erkennen von Phishing E-Mails

Weitere Angebote zu Cyber-Sicherheit

Mit dem Cyber-Sicherheitsnetzwerk Südlicher Oberrhein bietet die IHK zukünftig ein Forum, das allen Unternehmen aus der Region, gleich welcher Größe, offen steht und eine Plattform bietet, sich zu aktuellen Themen und interessanten Inhalten aus dem Bereich der Cyber- & IT-Sicherheit auszutauschen, das den Teilnehmern aber auch entsprechende Tipps und Handreichungen bereitstellen möchte.
(Autorin: Jessica Peichl, Herausgeber: Nico Faller)

IT-Notfallkoffer für Unternehmen

Ziel dieses IT-Notfallkoffers ist es, bei einem IT-Sicherheitsvorfall „richtig“ vorzugehen (Incident Response). Er kann und soll daher keine abschließende Betrachtung des Themas IT-Sicherheitsvorfall sein und auch nicht in die fachliche Tiefe gehen.

Maßnahmen zur Cyber-Sicherheitslage

In Anbetracht der Situation in der Ukraine bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) fortwährend die Lage mit Bezug zur Informationssicherheit. Weiterhin erkennt das BSI eine abstrakt erhöhte Bedrohungslage für Deutschland. In diesem Artikel erfahren Sie hilfreiche Tipps und Tricks wie Sie den Cyber-Bedrohungen entgegenwirken können. Aufgrund der Wichtigkeit des Themas haben wir zwei Veranstaltungen und geeignete Förderprogramme ganz oben für Sie angebracht.
IHK24 Xing Hintergrundbild 2022

Förderprogramme zu Cyber-Sicherheit

IT – Sicherheit kostet Geld. Am Anfang jeder IT Sicherheitsmaßnahme steht jedoch die Entwicklung eines Sicherheitskonzepts gefolgt von der Auswahl und Bewertung und Kauf der notwendigen Hard- und Software. Der Bund und die Länder bezuschussen zum einen die Beratung, zum anderen die Anschaffung von IT – Sicherheitshard- und Software: Die initiale Beratung, die Entwicklung des Sicherheitskonzepts und die Bewertung und Auswahl von Hard- und Software wird im Programm „godigital“ gefördert. Die Anschaffung von IT- Hard- und Software im Landesprogramm BW „Digitalisierungsprämie +“. Im Programm „godigital“ werden bis zu 30 Beratertage á 1.100 € mit 50% bezuschusst; im Programm „Digitalisierungsprämie +“ die Anschaffung von IT- Hard- und Software mit bis zu 4.000 €.

Basismaßnahmen der Cyber-Sicherheit

Um dieser dynamischen Gefährdungslage zu begegnen, sollten Unternehmen ihre jeweilige digitale Strategie auf IT- und Cyber-Sicherheit ausrichten. Cyber-Sicherheit muss als unabdingbare Voraussetzung für den Unternehmenserfolg verstanden werden und als Teil des Risikomanagements umgesetzt werden. Informationssicherheit ist ein strategisches Thema und damit eine Leitungsaufgabe für das Topmanagement.

Absicherung von Netzübergängen

Die Absicherung von Netzübergängen ist einer der entscheidenden Faktoren für eine wirksame Abwehr von Angriffen aus dem Internet. Auf Grundlage der Netzstrukturaufnahme müssen Abwehrmaßnahmen für alle Netzübergänge sowie die entsprechenden Prozesse geplant und umgesetzt werden.
Identifikation aller Netzübergänge
Netzübergänge bilden einen entscheidenden Faktor zum Schutz vor Angriffen. Wichtig ist dabei die Aufteilung des Netzes in verschiedene Segmente, die sowohl gegeneinander als auch bei der Anbindung an das Internet abgesichert werden müssen.
Dazu sind alle Netzübergänge des Unternehmens im Rahmen einer Netzstrukturaufnahme sowohl im Hinblick auf ihre Anzahl als auch auf die spezifische Art des Übergangs zu identifizieren und zu dokumentieren. Kritisch sind hierbei insbesondere Lösungen, die Schutzmaßnahmen der allgemeinen Netzinfrastruktur umgehen können, etwa:
• individuelle DSL-Zugänge
• UMTS-Datenverbindungen mobiler Geräte
• verschlüsselte Kommunikationswege wie z. B. von IT-Nutzern selbst eingerichtete und genutzte VPN-Verbindungen
Von besonders kritischer Bedeutung sind Zugänge zu Netzen und IT-Systemen für Administratoren, vor allem solche Zugänge, die auch eine Fernwartung/Fernadministration erlauben sowie Anbindungen von Produktivsystemen zu erfassen.
Sicherheitsgateways
Die Zahl an Netzübergängen muss mit einem geeigneten Sicherheitsgateway abgesichert werden, das mindestens über folgende Eigenschaften verfügt:
- Application Level Gateway bzw. Proxy Firewall
- Intrusion Detection (in Bezug auf Vertraulichkeit oder Integrität)
- Intrusion Prevention (in Bezug auf Vertraulichkeit oder Integrität)
- Überprüfung von Datenströmen wie E-Mail, HTTP und FTP auf Schadprogramme
- Möglichkeit für Blacklist- und Whitelist-Lösungen, insbesondere beim Zugriff auf Webseiten
Schnittstellenkontrolle
Eine Umgehung des Sicherheitsgateways ist durch eine technische Schnittstellenkontrolle auf Client-Systemen, Servern oder weiteren IT-Systemen auszuschließen, um beispielsweise Angriffe über externe Speichermedien (z. B. USB-Speichermedien, Digitalkameras oder MP3- Player) abwehren zu können.
Absicherung mobiler Zugänge
Mobile IT-Systeme – wie Smartphones oder Laptops – unterliegen einem sehr hohen Verlust und Diebstahlrisiko. Daher sind die Berechtigungen, mit denen sich Nutzer über ein mobiles IT-System im Netz bewegen können, auf das unbedingt erforderliche Mindestmaß zu beschränken. Berechtigungen auf Dateiservern und Datenbanken sollten immer nur für die tatsächlich benötigte Zeitspanne und eingeschränkt auf den von außerhalb des Unternehmens oder der Behörde benötigten Bereich gewährt werden.

Abwehr von Schadprogrammen

Die gestaffelte Verteidigung von Angriffen unter dem Einsatz von Schadprogrammen (Viren, Würmer und Trojanische Pferde) muss über eine große Zahl von Systemen verteilt werden. Der eigentliche Client als Arbeitsplatzsystem ist dabei die letzte Verteidigungslinie.
Insbesondere sind Schutzprogramme gegen Schadsoftware auf folgenden Systemen durchgängig einzusetzen:
• Sicherheitsgateway
• E-Mail-Server
• Dateiserver
• mobile und stationäre Arbeitsplatzsysteme
Bei der Auswahl von Schutzprogrammen sollte Bezug auf Vertraulichkeit oder Integrität darauf geachtet werden, dass mehrere Lösungen unterschiedlicher Anbieter eingesetzt werden.

Sichere Interaktion mit dem Internet

Alle Vorgänge, bei denen Daten und Dienste aus dem Internet abgefragt und verarbeitet werden, sind mit geeigneten Maßnahmen abzusichern.
Sicherer Browser
Eine der aus Sicherheitssicht kritischsten Komponenten auf einem IT-System bildet der Internet-Browser. Daher sollte ein besonderes Augenmerk auf dessen Absicherung gelegt werden. In jedem Fall sollte der Browser bereits im Hinblick auf den Speicherschutz seiner eigenen und der von ihm geladenen Komponenten sowie auf die Abschottung besonders gefährdeter Codestellen durch eine Sandbox über starke Sicherheitseigenschaften verfügen.
Zusätzlich sollte der Browser durch eine schützende Umgebung gegen Angriffe aus dem Internet abgeschirmt werden, z. B. durch die Minimierung von Ausführungsrechten oder mithilfe des Einsatzes von Virtualisierungssoftware.
Sichere E-Mail-Anwendungen
Im Vergleich zu Browsern können E-Mail-Anwendungen oftmals nicht ähnlich streng von kritischen Daten getrennt werden, da über sie u. a. kritische Daten ausgetauscht werden müssen.
Zur Realisierung dieses Austauschs müssen die kritischen Daten aus einer sicheren Dateiablage in die E-Mail-Anwendung überführt werden, damit sie von dort weiter versandt werden können. Daher muss die E-Mail-Anwendung über einen Zugriff auf solche kritischen Daten verfügen und kann nicht vollständig abgeschottet werden. Die Abwehr von Angriffen über E-Mails und insbesondere E-Mail-Anhänge erfordert eine zentrale Untersuchung des eingehenden E-Mail-Verkehrs auf Schadprogramme. In Bezug auf Verfügbarkeit von E-Mail ist eine zentrale Filterung von Spam-Nachrichten einzurichten, die sich dynamisch an neue Spam-Wellen anpasst. Ebenfalls kann auf eine Ende-zu-Ende-Verschlüsselung zurückgegriffen werden wie z.B. DE-Mail. Um die Angriffsfläche weiter zu reduzieren kann gegebenenfalls auf eine dezidierte clientseitige E-Mail-Software verzichtet werden und vielmehr eine Webmail-Umgebung im Browser genutzt werden.
Sichere Darstellung von Dokumenten
So gut wie alle Arbeitsabläufe in Unternehmen erfordern eine Darstellung und Bearbeitung von Dokumenten. Für die Darstellung von Dokumenten aus externen Quellen, insbesondere von solchen, die per E-Mail von Personen außerhalb der eigenen Organisation oder als Download aus dem Internet auf dem lokalen System gespeichert worden sind, sollte eine sichere Darstellungsoption verwendet werden. Beispiele sind die „Geschützte Ansicht“ in Microsoft Office oder der „Geschützte Modus“ ab Adobe Reader X. Darüber hinaus können die Darstellungskomponenten durch Applikationsvirtualisierung noch stärker abgesichert werden.

Logdatenerfassung und -auswertung

Oftmals bleiben Sicherheitsvorfälle unerkannt, weil kurzfristig kein sichtbarer oder offensichtlicher Schaden eintritt. Daher ist es notwendig, ebenfalls Verfahren zur Aufdeckung von nicht offensichtlichen Sicherheitsvorfällen und langfristig angelegten Angriffen zu entwickeln. Eine zentrale Rolle spielt hierbei die regelmäßige Auswertung von Logdaten. Wichtige Quellen für Logdaten sind in jedem Fall das Sicherheitsgateway und die eingesetzten Betriebssysteme.
Weitere wichtige Hinweise auf Angriffsversuche liefern Informationen zu anormalen Verhaltensmustern von IT-Systemen, vor allem Daten in Zusammenhang mit Systemabstürzen. Entwickler von Schadsoftware sind in der Regel nicht in der Lage, diese vollkommen zuverlässig auf allen Zielsystemen zur Ausführung zu bringen. Einer der wichtigsten Maßnahmen dabei ist eine regelmäßige Erstellung von Backups, die im Ernstfall auch tatsächlich wieder zurückgespielt werden können.

Sicherheit von Cloud-Diensten

In dieser Übersicht finden Sie - ohne Anspruch auf Vollständigkeit - einführende Informationen rund um die Sicherheit von Cloud-Diensten.
IHK24 Xing Hintergrundbild 2022

Allgemeines

Cloud Computing bietet zahlreiche Potenziale hinsichtlich Flexibilität, Kostenvorteilen und weiteren Faktoren. Die Einsatzmöglichkeiten reichen von einfachen Datentransfers über die Datensicherung in der Cloud bis zur Nutzung von Software as a Service, wo Software und IT-Infrastruktur von einem externen IT-Dienstleister betrieben werden. Auf diese Weise können je nach Konstellation beispielsweise Kosten gesenkt werden, indem weniger lokale IT-Ressourcen benötigt werden.
Über die reine IT-Infrastruktur hinaus bildet die Cloud aber auch die Basis für ganz neue Prozessgestaltungen oder Geschäftsmodelle. Ein typisches Beispiel sind Collaboration Tools, also Anwendungen welche die gemeinsame Zusammenarbeit verschiedenster Akteure an bestimmten "in der Cloud" gespeicherten Daten beziehungsweise Projekten ermöglichen. Weitere Beispiele finden sich etwa in Form schnellerer Bildverarbeitung im medizinischen Bereich, der effizienteren Auftragsbearbeitung in der Landwirtschaft oder in der Logistik - den Einsatzmöglichkeiten sind letztlich kaum Grenzen gesetzt.
Mit der Nutzung von Cloud-Diensten sind (wie bei jeder IT-Anwendung oder -Infrastruktur) verschiedene Fragestellungen hinsichtlich der Sicherheit verbunden. Diese umfassen neben technischen und organisatorischen Aspekten auch rechtliche Themen wie etwa den Schutz personenbezogener Daten. In der öffentlichen Diskussion reicht die Bandbreite der Einschätzungen zur Cloud-Sicherheit von pauschaler Ablehnung bis zur Überlegung, dass ein einzelnes Unternehmen nur unter größtem Aufwand das hohe Sicherheitsniveau eines spezialisierten Cloud-Anbieters erreichen kann.

Cloud-Sicherheit und Standards

Hinsichtlich der Compliance-Anforderungen an Cloud-Lösungen kommen als gesetzliche Grundlagen unter anderem die DSGVO, das Bundesdatenschutzgesetz oder Buchführungsgrundsätze gemäß HGB in Frage. Dementsprechend wird von Cloud-Anbietern auch eine fortlaufende Beobachtung und Umsetzung bestehender sowie geänderter gesetzlicher Anforderungen gefordert.
In den vergangenen Jahren haben sich auf dieser Grundlage verschiedene Ansätze entwickelt, welche Sicherheitsanforderungen an Cloud-Dienste beziehungsweise -Anbieter im Detail bestehen. Die typischen Anforderungen reichen von der Einhaltung grundlegender IT-Sicherheitsstandards wie der ISO/IEC 2700x-Reihe über die Nutzung von Verschlüsselungsverfahren nach Stand der Technik bis zum Schutz beispielsweise vor DDoS-Angriffen, um die Verfügbarkeit sicherzustellen.
Die Grundidee hinter entsprechenden Standards besteht einerseits in der Definition eines Stands der Technik, auf welchen in verschiedensten gesetzlichen Grundlagen Bezug genommen wird und der damit als Maßstab hinsichtlich Haftungsfragen oder Bußgeld-Entscheidungen relevant sein kann. Andererseits können Standards bei Bedarf auch vertraglich zwischen Anbieter und Anwender vereinbart werden, was insbesondere bei Projekten im B2B-Bereich üblich ist.

Labels und Zertifizierung

In Bereichen von der Produktqualität bis zu Bio-Lebensmitteln existieren zahlreiche Zertifizierungen und Labels, welche das kundenseitige Vertrauen in bestimmte Produkte steigern sollen. Diese werden in den meisten Fällen durch privatwirtschaftliche Organisationen auf Basis vorab definierter Anforderungskataloge vergeben. Auch hinsichtlich der Sicherheit von Cloud-Diensten existieren entsprechende Angebote.
Insbesondere im Bereich von Cloud-Services sind die Sicherheitsanforderungen jedoch vergleichsweise umfangreich und komplex. In Zusammenhang mit Labels sollte daher beachtet werden, dass Anbieter oder Dienste ohne ein bestimmtes Label nicht automatisch "unsicher" sind. Ein Label kann ein erstes Indiz sein, die tatsächlichen Sicherheitsanforderungen und -maßnahmen bedürfen bei allen über Standardanwendungen hinausgehenden Cloud-Projekten jedoch einer tiefgehenden Analyse im Einzelfall.
Insofern sind die jeweiligen Standards und Anforderungskataloge in mehrfacher Hinsicht nutzbar, zum Beispiel:
  • Für Cloud-Anbieter als Basis für eine Umsetzung und Dokumentation von Sicherheitsmaßnahmen nach Stand der Technik
  • Als Grundlage für eine entsprechende Zertifizierung beziehungsweise den Erhalt eines Labels als Cloud-Anbieter
  • Unabhängig von Labels im Sinne einer Checkliste für die Berücksichtigung von Sicherheitsaspekten im Rahmen von Cloud-Projekten (etwa durch vertragliche Berücksichtigung bestimmter Anforderungen oder Standards)

Einen Überblick über verschiedene Zertifizierungssysteme und Label finden Sie auf der ENISA-Website sowie auf der Website der Trusted Cloud Initiative.
Eine umfangreiche Liste verschiedenster Sicherheitsmaßnahmen enthält insbesondere der Anforderungskatalog Cloud Computing des BSI (C5: Cloud Computing Compliance Controls Catalogue). Dort sind auch Verweise auf zahlreiche gesetzliche Grundlagen sowie weitere nationale und internationale Standards aufgeführt.

Der Weg in die Cloud

Wie jedes IT-Projekt erfordert auch die Nutzung von Cloud-Diensten eine fundierte Analyse der konkreten Anforderungen an Funktionalität, Sicherheit, Verfügbarkeit und weiteren Faktoren im Einzelfall. In der Regel werden daher erfahrene Dienstleister eingeschaltet, die auf Basis einer umfassenden Beratung die weitere Umsetzung konzipieren. Hierbei werden auch die individuellen Sicherheitsanforderungen berücksichtigt.
Ein mögliches Ergebnis sind beispielsweise Hybrid Cloud Lösungen, bei denen Private und Public Cloud kombiniert werden. Dadurch können je nach Bedarf unterschiedliche Sicherheitsniveaus umgesetzt werden, so dass für den "unkritischen" Datenbestand die Vorteile der Public Cloud nutzbar werden, während kritische Daten und Prozesse in den lokalen Ressourcen verbleiben. Damit verbunden ist möglicherweise jedoch ein höherer organisatorischer Aufwand, was wiederum die Notwendigkeit einer systematischen Herangehensweise an Cloud-Projekte unter Einbeziehung entsprechender Experten unterstreicht.
Über unsere Firmendatenbank finden Sie eine Reihe entsprechender Anbieter und Dienstleister in der Region. Für Fragen zu diesem Thema stehen wir zudem gerne jederzeit auch persönlich zur Verfügung.

Cyberwehr für Unternehmen wird landesweit ausgebaut

Die Cyberwehr Baden-Württemberg wurde als zentrale Anlaufstelle für kleine und mittlere Unternehmen im Falle eines IT-Sicherheitsvorfalls ins Leben gerufen. Nach der erfolgreichen Pilotphase ist die Cyberwehr ab sofort auch landesweit kostenlos über die Hotline erreichbar. Das Ministerium für Inneres, Digitalisierung und Migration unterstützt und fördert das Projekt bis Ende 2021.
Ab sofort erweitert die Cyberwehr Baden-Württemberg den Pilotbetrieb ihrer kostenlosen Hotline und macht diese nun auch landesweit für alle kleinen und mittleren Unternehmen aus Baden-Württemberg verfügbar.
Bei allen Formen von ungewöhnlichen Aktivitäten auf Computern oder Servern können sich die Unternehmen jederzeit rund um die Uhr an die kostenlose Hotline 0800-292379347 beziehungsweise 0800-CYBERWEHR wenden.
Die Vorfälle werden dann von einem Mitarbeiter der Cyberwehr vertraulich entgegengenommen und gemeinsam mit einem IT-Sicherheitsexperten analysiert. Auf Basis dessen werden dann schnellstmöglich sinnvolle Schritte für das weitere Vorgehen geklärt.
Grundsätzlich gilt, dass die Gespräche zwischen Cyberwehr und Betroffenen vertraulich behandelt werden. Informationen oder Daten werden nicht an Dritte weitergegeben. Liegt der Verdacht einer Straftat vor, so rät die Cyberwehr zur Anzeige, übermittelt Informationen aber nur mit dem Einverständnis des Betroffenen an die Ermittlungsbehörden.
Bei Bedarf und nach Abklärung der möglichen Handlungsoptionen vermittelt die Cyberwehr überdies ein IT-Sicherheitsteam, um auch weitere Hilfe unmittelbar vor Ort anbieten zu können. Die anfallenden Kosten für diesen Service vor Ort werden vorab mit den Unternehmen besprochen.
Das Projekt wird von einem Konsortium bestehend aus FZI Forschungszentrum Informatik, DIZ | Digitales Innovationszentrum, CyberForum e.V. und der Secorvo Security Consulting GmbH umgesetzt.
Weitere Informationen: http://www.cyberwehr-bw.de

Wirtschaftsspionage

Wirtschaftsspionage ist eine ernstzunehmende und dennoch in der Praxis oft unterschätzte Gefahr in unserer globalisierten, vernetzten Welt.
IHK24 Xing Hintergrundbild 2022 (1)
Spionageaktivitäten fremder Staaten richten sich auch gegen Wirtschaft, Wissenschaft und Forschung. Der potenzielle Schaden ist enorm: Der ungewollte Abfluss von Know-How gefährdet unmittelbar den wirtschaftlichen Erfolg von Unternehmen, aber mittelbar auch die Wettbewerbsfähigkeit und Stabilität unserer Volkswirtschaft.
Deutschland braucht starke Unternehmen, innovative und kreative Wissenschaftler und Forscher. Sie sind die Basis für unseren wirtschaftlichen Erfolg. Know-How-Schutz ist daher eine essentielle und unabdingbare Voraussetzung für jedes Unternehmen und eine Aufgabe, bei der die Verfassungsschutzbehörden von Bund und Ländern einen wertvollen Beitrag leisten können.
Prävention durch Sensibilisierung ist eine der wichtigsten Maßnahmen gegen Wirtschaftsspionage. Sie hilft, eventuelle Spionageaktivitäten bereits im Vorfeld zu erkennen und abzuwehren. Ein umfassendes Schutzkonzept darf allerdings nicht auf Sensibilisierung beschränkt bleiben. Darüber hinaus müssen auch Vorkehrungen für den Schadensfall getroffen werden.
Diese Broschüre (nicht barrierefrei, PDF-Datei · 1033 KB)vom Bundesamt für Verfassungsschutz informiert und unterstützt Sie bei den notwendigen Schritten hin zu einem wirksamen Schutzkonzept.

E-Mail ID-Check des HPI

Immer wieder kommt es vor, dass Hacker in Datenbanken von Online-Diensten oder Unternehmen einbrechen und so Zugangsdaten von Nutzern entwenden.
Wer überprüfen möchte, ob die eigene E-Mail-Adresse kompromittiert ist, kann den kostenlosen Identity Leak Checker des Hasso-Plattner-Instituts (HPI) nutzen. Nach Eingabe der E-Mail-Adresse sendet der Dienst eine E-Mail an diese Adresse. Die Antwortmails sind zur Sicherheit digital signiert.
Außerdem wird detailliert angezeigt, ob neben der E-Mail-Adresse und dem Passwort auch persönliche Daten wie Vor- und Nachname, Geburtsdatum, Adresse oder Bankverbindung unter den Daten sind. Die im Identity Leak Checker eingegebenen E-Mail-Adressen werden nicht im Klartext gespeichert, sondern mit einem kryptographischen Verfahren verschlüsselt. So können sie vor Missbrauch geschützt werden.
Meldet der Identity Leak Checker ein positives Ergebnis, sind die Daten kompromittiert und für Dritte einsehbar. In diesem Fall sollte das Passwort geändert werden. Eine wichtige Regel ist, für jeden Dienst ein anderes Passwort zu verwenden. Wer sich nicht für jeden Dienst ein Passwort ausdenken will oder kann, verwendet am besten einen Passwortmanager.
(Autor Nico Faller)

Hilfe bei Verschlüsselungstrojaner

Verschlüsselungstrojaner sind die am meisten im Einsatz befindlichen Schadprogramme von Cyberkriminellen. Die Programme „verschlüsseln“ die Dateien (zum Beispiel ein Word Dokument) des Systems, dadurch können diese nicht mehr mit dem regulären Programm (zum Beispiel Word) geöffnet werden.
XING Event Titelbild 984 x 311 px (1)
Ziel der Kriminellen ist es, ein Lösegeld für die Entschlüsselung Ihrer Daten zu erpressen. Einfallstore für derartige Schadprogramme sind E-Mail-Anhänge und Webseiten. Jedoch unterlaufen den Programmierern der Schadsoftware bisweilen Fehler, sodass eventuell Entschlüsselung der Daten ohne die Zahlung eines Lösegeldes möglich ist.
Auf der Webseite (Link)kann nachgeprüft werden, ob eine kostenlose Entschlüsselung möglich ist. Hierzu ist entweder die Lösegeldforderung, eine verschlüsselte Datei oder die E-Mail-Adresse des Erpressers zur Verfügung zu stellen. Nach der Analyse zeigt das Tool auf, ob es eine alternative Möglichkeit zur Entschlüsselung gibt.
Um sich vor Erpressungsversuchen zu schützen empfiehlt es sich eine regelmäßige Datensicherung vorzunehmen und diese auch auf Funktionalität zu prüfen.

Das 1x1 der IT-Sicherheit

Für Unternehmen ist Arbeitsmittel Nummer eins der Computer: Vom Schriftverkehr über die Produktionsplanung, Konstruktion, Kundendaten bis hin zur Maschinensteuerung und Buchhaltung ist er das „Schweizer Taschenmesser“ des Büroalltags.
XING Event Titelbild 984 x 311 px
Die Vernetzung und das Internet bringen einen weiteren Freiheitsgrad: E-Mail, Onlinebanking, Datenaustausch mit Kunden, Anbindung des Vertriebs etc.
Den Zustand, wenn die IT nicht funktioniert, ist bekannt: Es läuft im Unternehmen nur schleppend oder gar nicht. Das moderne Unternehmen ist vom Computer abhängig.
Die Technologie eröffnet nicht nur den Unternehmen neue Möglichkeiten, sondern auch Kriminellen. Diese lassen sich grob in drei Gruppen einteilen:
  • „Hacktivisten“, die politisch motivierte Straftaten begehen, in dem sie Kundenlisten von Unternehmen oder die interne Unternehmenskommunikation öffentlich verfügbar machen. Ziel dieser Gruppe ist es, dem öffentlichen Ansehen des Unternehmens zu schaden. Sie haben keine finanziellen Interessen.
  • „Hacker & Hackergruppen“, welche sich auf die Entwicklung von Schadsoftware und das Ausspähen von Informationen spezialisiert haben. Diese arbeiten im Verborgenen, werden von Auftraggebern auf spezifische Ziele angesetzt und verfügen über eine gute technische und finanzielle Ausstattung.
  • Den Großteil machen jedoch die „Cyberkriminellen“ aus. Diese Gruppe hat mit ihren Taten zum Ziel, Kapital für ihren Lebensunterhalt zu erwirtschaften. Die Täter sind durch das Internet in Foren organisiert, es gibt Programmierer, welche Schadsoftware entwickeln, Adress- und Datenhändler, Personen, die digitale Zahlungsmittel in Geld umtauschen und sonstige, dem für die Begehung von IT- Straftaten notwendigen Dienstleistungen anbieten.
Der Schutz vor diesen Gruppen ist abhängig vom eingesetzten Kapital. Der finanzielle Aufwand, welcher zum Schutz vor Hacktivisten und Hackergruppen geleistet werden müsste, übersteigt in vielen Fällen den Nutzen, den die Sicherheitsmaßnahmen bringen. Diese Gruppen studieren ihre Ziele, sammeln alle vorhandenen Informationen zum Unternehmen und entwickeln spezielle, auf das Ziel abgestimmte Schadsoftware. Eine Erkennung der Aktivitäten im eigenen IT Netzwerk ist sehr schwer möglich. Oftmals fällt ein Angriff erst nach sehr langer Zeit auf, zum Beispiel auf einer Messe, wenn der Wettbewerber die eigene Entwicklung präsentiert oder die Kundendaten im Internet zur Verfügung gestellt werden. Diese Angriffe sind jedoch selten, da der finanzielle Aufwand für einen Auftraggeber sehr hoch ist.
Cyberkriminelle agieren großflächig: Spam- Emails und Homepages mit Schadcode sind die meistgenutzten Angriffswege. Daher sind Cyberkriminelle die für Unternehmen gefährlichste Gruppe: Die Vielzahl der Angriffe richtet sich grundsätzlich gegen Privatpersonen, aber auch immer mehr gegen Unternehmen: Emails von Paypal, Amazon, Banken sollen den Empfänger dazu verleiten, seine Kontodaten oder sein Zugang zu bestätigen. Dabei ist die Qualität der gefälschten Emails mit den Jahren kontinuierlich gestiegen, eine Fälschung ist mitunter nicht mehr zu erkennen. Im günstigsten Fall ist der Kontozugang ab nun nicht mehr unter der eigenen Kontrolle und es werden Buchungen oder Bestellungen durchgeführt. Ungünstig ist, wenn zusätzlich Schadsoftware über eine Sicherheitslücke unbemerkt installiert wird. Ab diesem Zeitpunkt ist der Computer für Angreifer offen.
Dabei greifen die Kriminellen gerne auf sogenannte Exploit-Kits zurück: Dies sind für Laien bedienbare Softwaresysteme, die das gesamte Management für den Anwender übernehmen: Die Installation von Hintertüren, Tastaturrecorder, Programme zur Manipulation von Bank- oder Bezahldienstleisterportalen und Verschlüsselungsprogrammen.
Grundsätzlich ist der Cyberkriminelle bemüht, mit möglichst wenig Aufwand seinen Gewinn zu maximieren. Die in der Vergangenheit stark ausgebaute Technik der Übernahme fremder Bankkonten nimmt kontinuierlich ab - zu groß ist der Aufwand geworden um die Sicherheitsmaßnahmen der Banken, so zum Beispiel das SMS-TAN Verfahren, zu überlisten, gleichwohl es am Markt entsprechende Software gibt.
Ein aktuell (Ende 2015) wachsender Markt ist die Erpressung: Die Unternehmensdaten werden mit einem aktuell nicht entschlüsselbaren Verfahren verschlüsselt und der Anwender danach darüber informiert. Erst nach Zahlung eines Lösegeldes wird dem Opfer ein Programm sowie ein Schlüssel zur Verfügung gestellt.
Offizielle Stellen, wie das Bundesamt für Informationssicherheit, das Bundeskriminalamt oder der Verfassungsschutz empfehlen nicht zu zahlen. Anhand der Vielzahl der neuen Versionen und der Portierung der Programme für andere Betriebssysteme ist jedoch davon auszugehen, dass viele Geschädigte das Lösegeld bezahlen. Die Unternehmensdaten sind in der digitalen Welt die neuen „Kronjuwelen“.
Wer bezahlt macht sich angreifbar: Die Kriminellen wissen nun, dass das Opfer bereit ist, zu zahlen: Es passiert immer häufiger, dass das Lösegeld steigt oder dass nach der Zahlung kurz darauf wieder verschlüsselt werden.
Es gibt keinen 100 prozentigen Schutz. Jedes komplexe System, ob nun Automobil oder eben IT System ist angreifbar. Einzig der Aufwand, den ein Cyberkrimineller auf sich nehmen muss, um ein System erfolgreich zu kompromittieren, ist entscheidend über den Erfolg oder Misserfolg seiner Attacke. Ein aktuelles System, ein Virenschutzprogramm und ein paar kleine Anpassungen erhöhen den Schutz des IT Systems und erhöhen erheblich den Aufwand für die Angreifer.

Tipps:
  1. Beim Erhalt einer E-Mail eines Anbieters (Online Shop, Bank etc.) nicht auf den in der Mail enthaltenen Link klicken - Öffnen Sie die Homepage des Anbieters und loggen Sie sich dort ein.
  2. Richten Sie sich für jeden Zugang ein eigenes E-Mail Konto ein: Der Erhalt einer zum Beispiel Sparkassen- Mail auf der Mailadresse der Volksbank führt grundsätzlich zu Ihrer Aufmerksamkeit - und zur Erkennung von falschen E-Mails.
    Beispiele:
    - bankname@firmendomain.de: Die „einfachste“ Variante, könnte jedoch von Email- Adressgeneratoren erzeugt werden.
    - banknameXX@firmendomain.de: Die Wahrscheinlichkeit, dass ein Adressgenerator eine Mailadresse mit zusätzlichen Zeichen, gekennzeichnet im Beispiel „XX“, erzeugt, ist sehr gering.
  3. Nutzen Sie die Zugangs- Email Adressen nur zur Kommunikation mit ihrem Anbieter. Solange niemand die Mailadresse kennt, kann sie auch nicht angeschrieben werden.
  4. Spielen Sie Updates für das Betriebssystem und die Anwendungsprogramme (Office, Acrobat und Systemprogramme (Flash, Silverlight) ein, so können verwundbare Stellen abgesichert werden.
  5. Erstellen Sie regelmäßig eine Sicherungskopie Ihrer Unternehmensdaten: Jeden Tag der Woche, wöchentlich und monatlich. So können Sie den Datenverlust minimieren. Schadsoftware „lebt“ davon, nicht erkannt zu werden. In der Regel wird eine neue Schadsoftware von einem Anti-Viren Programm innerhalb von zwei Tagen erkannt.
  6. Trennen Sie die Sicherungskopie- Laufwerke physisch von Ihrem IT System. Eine Sicherungskopie nutzt Ihnen nichts, wenn diese auch verschlüsselt oder anderweitig beschädigt wird.
  7. Wenn Sie eine Mail erhalten haben, bei der Sie sich nicht sicher sind, ob der Anhang vertrauenswürdig ist, nutzen Sie eine Sandbox, zum Beispiel: http://www.sandboxie.com/
  8. Installieren und konfigurieren Sie eine Firewall: Ein Schadprogramm, welches „nach hause telefonieren“ möchte, um weitere Instruktionen zu erhalten, und das nicht kann, verhindert weitere Schäden.
  9. Rechtemanagement: Wenn jeder auf alle Daten zugreifen kann, können auch alle die Daten verändern. Kann der PC der Buchhaltung nur auf die Buchhaltungsdaten zugreifen, sind im Schadensfall die Daten der Konstruktion nicht betroffen.
  10. Deinstallieren Sie ungenutzte oder vorinstallierte Programme, die Sie nicht benötigen. Damit reduzieren Sie die möglichen Angriffswege.
  11. Richten Sie auf den Computern Anwender-Profile (Benutzer) ein. Ein Computer, welcher im Administrator- Profil genutzt wird, darf alles mit den darauf gespeicherten Daten tun. Ein Benutzer- Profil nicht.
  12. Passwörter: Aktuell (Stand Ende 2015) sind mindestens 10 Zeichen, gemischt aus Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Auch die regelmäßige Änderung, alle 6- 12 Wochen ist Pflicht.
  13. Für jedes Programm und jeden (online-) Zugang ein eigenes Passwort. Überall das gleiche Passwort öffnet viele „Türen“.
  14. Ein Passwort- Manager (z.B. KeePass, Empfehlung des BSI) erleichtert das Verwalten von vielen sicheren Passwörtern. Sie müssen sich nur noch ein Passwort merken.