12. Juni 2019
Erhöhen Sie die Cybersicherheit
Es ist mühsam, sich um Cybersicherheit zu kümmern. Tun Sie es trotzdem. Tipps für KMU und Privatpersonen.
Hacker wollen Schadsoftware einschleusen, Daten stehlen, Geheimnisse ausspionieren, Finanztransaktionen auslösen, Mikrofone und Kameras fernsteuern, Tastatureingaben und Diktate mitlesen, Geld erpressen. Mit diesen Methoden wirds versucht – und so können Sie den Gefahren entgegensteuern.
Die Liste ist nicht abschliessend.
Methode 1: betrügerische E-Mails
Schädliche E-Mails sind in der Regel gut erkennbar, wenn man weiss, worauf es zu achten gilt. Doch sie werden raffinierter. Häufig kommen sie zum Schein von seriösen Absendern. Die Zahl schädlicher E-Mails hat stark zugenommen. Und die Attacken werden gezielter, etwa in Form von persönlich formulierten Rechnungen oder Bewerbungen.
Methode 2: schädliche Websites
Hacker betreiben Websites mit schädlichen Programmen oder infizieren seriöse Websites. Dazu ein Hinweis: Wenn eine Website SSL-verschlüsselt ist (erkennbar am https im Browserfeld), heisst dies nur, dass der Transportweg der Information vom Nutzer bis zur Website für Dritte uneinsehbar ist. Die Website kann dennoch mit bösartiger Software verseucht sein.
Methode 3: Social Engineering
Kriminelle oder Spione versuchen, das Opfer zu manipulieren, indem sie unter falscher Identität auftreten, etwa als Geschäftsführer, Kunden, Lieferanten, IT-Supporter oder Polizeibeamte. Das geht zum Beispiel so: Sie erhalten vermeintlich einen Anruf Ihrer Bank. Die Telefonnummer auf dem Display gehört tatsächlich der Bank, ist aber von Betrügern gefälscht. Man habe ein Problem mit dem E-Banking, heisst es vielleicht. Die Bank werde Ihnen eine E-Mail mit weiteren Informationen schicken. Wenn Sie in der E-Mail auf den Link klicken, haben Sie Pech gehabt. Die Täter haben zuerst Ihr Vertrauen gewonnen und dann Schadsoftware verteilt. Eine andere Spielart des Social Engineering ist der CEO-Fraud: Die Buchhaltung wird vom Geschäftsführer angewiesen, Geld auf ein ausländisches Konto zu überweisen. Auftraggeber ist aber nicht der Geschäftsführer, sondern ein Täter, der sich die E-Mail-Adresse des Chefs unter den Nagel gerissen hat. Solche Kontaktaufnahmen kommen auch via SMS zustande. Eine gefälschte SMS lässt sich sogar in die bestehende Konversation anfügen. Zum Social Engineering gehört ebenfalls das Erschleichen von Vertrauen via Social Media. Um einen Social-Engineering-Angriff vorzubereiten, sammeln Täter gezielt Informationen aus öffentlich zugänglichen Quellen, etwa der Website oder Facebook. Fazit: Denken Sie beim Publizieren von Informationen an den Sicherheitsaspekt. Und begegnen Sie jeder Kontaktaufnahme mit angemessener Vorsicht.
Methode 4: Einbruch
Virtuell oder physisch. Beim physischen Einbruch verschaffen sich Kriminelle legal Zugang zur Firma (z.B. Geschäftsbesuch) und lassen dort zum Beispiel einen infizierten Datenträger liegen, etwa einen USB-Stick. Oder sie schenken Ihnen anlässlich Ihrer Geschäftsreise einen infizierten Laptop.
Vom weichen zum harten Ziel
Die herkömmliche Kriminalität, Kriegsführung, Spionage und Überwachung sind längst durch Operationen im Internet ergänzt worden. Wie im analogen Leben gibt es auch im Cyberspace nur beschränkte Sicherheit. «Wer genug Zeit und Geld hat – insbesondere staatliche und kriminelle Organisationen – kann praktisch jedes System knacken», sagt Ivano Somaini, Experte für Cybersicherheit bei Compass Security in Zürich. Mit folgenden Massnahmen machen Sie es dem Gegner schwerer.
Software bewirtschaften
Veraltete Software ist ein Sicherheitsrisiko. Und Smartphone-Apps können Informationen sammeln, die mit der Funktion der App nicht das Geringste zu tun haben. Werfen Sie einen Blick in die Systemeinstellungen. Auf welche Informationen kann zum Beispiel die Taschenlampen-App zugreifen?
- Programme aktuell halten: Firewall, Betriebsprogramme, Browser, Anwenderprogramme, Antivirenprogramme, Plug-ins
- Apps im Smartphone: unnötige Berechtigungen entziehen oder deaktivieren
Schädliche E-Mails abwehren
Misstrauen ist angebracht, wenn eines oder mehrere dieser Kriterien erfüllt sind:
- Sie kennen den Absender nicht.
- Die E-Mail trifft unerwartet ein.
- Sie kennen zwar den Absender, aber der Inhalt der E-Mail ist ungewöhnlich.
- Die Grammatik ist fehlerhaft.
- Sie werden mit attraktiven Versprechen dazu verleitet, auf einen Link zu klicken oder einen Anhang zu öffnen.
- Der Absender droht mit Konsequenzen, falls Sie bestimmte Handlungen nicht ausführen, und er setzt Sie zeitlich unter Druck.
- Sie werden aufgefordert, vertrauliche Daten preiszugeben.
- Die E-Mail fällt beim Adress- und Linktest durch: Fahren Sie mit dem Mauszeiger über die Absenderadresse, ohne sie anzuklicken, dann erscheint häufig der tatsächliche Absender – ist er plausibel? Ebenso verfahren Sie mit etwaigen Links.
Falls eine E-Mail Verdacht erregt: Nie das Attachment öffnen. Nie einen Link anklicken. Löschen Sie dubiose E-Mails sofort oder kontaktieren Sie Ihren IT-Support.
Ein beliebtes Ziel schädlicher E-Mails sind Personalabteilungen – sie müssen Dokumente von Absendern öffnen, die sie nicht kennen. Tipp: Ziehen Sie das Dokument, z.B. das Bewerbungsdossier, auf einen USB-Stick und öffnen Sie es auf einem dedizierten Computer, der nicht am Netz hängt.
Eigene Website schützen
Mit folgenden Massnahmen schützen Sie sowohl ihre eigene Website als auch deren Besucher:
- Einen zuverlässigen Hoster in der Schweiz wählen. Überlassen Sie die Wahl des Hosters nicht allein dem Webdesigner.
- Den Hoster fragen, ob er Angriffsversuche auf die Websites seiner Kunden überwacht.
- Website mit SSL verschlüsseln
- Zeitnah die Software beziehungsweise das CMS aktualisieren
- Die Website von einem Spezialisten auf Malware und Sicherheitslücken prüfen lassen
- Gute Passwortrichtlinien für die Accounts aufstellen
Zusätzlich gibt es Web-Application-Firewalls, die aber «oft nicht ganz günstig sind», sagt Ivano Somaini. Weit günstiger ist eine andere wichtige Massnahme. Ivano Somaini: «Wenn man Codes für eine Website schreibt oder den Code eingekaufter Vorlagen ändert, muss man unbedingt auf die Best Practice bei der Sicherheit achten, sonst baut man eventuell Schwachstellen ein.» Zudem sei es ratsam, den Code alter Websites zu überprüfen. Selbst wenn die Software – zum Beispiel Typo3 oder WordPress – aktuell ist, hat vielleicht der Website-Code gewisse Gefahren nicht berücksichtigt, weil diese Gefahren beim Entwickeln der Website noch nicht bekannt waren.
Verseuchte Websites blockieren
So reduzieren Sie das Risiko, sich beim Surfen auf einer fremden Website eine Schadsoftware einzufangen:
- Eigene Firewall aktivieren
- Browser-Einstellungen möglichst restriktiv handhaben. Vorsicht mit Browser-Plug-ins!
- Browser so einstellen, dass er gefährliche Websites blockiert.
Passwörter geheim halten
Es gibt sie tatsächlich noch: die Passwörter, die auf einem Post-it-Zettel am PC kleben. Wichtige Prinzipien im Umgang mit Zugangscodes:
- Passwörter nur notieren, wenn sie für Unbefugte nicht zugänglich sind: in einem sicheren virtuellen oder physischen Tresor.
- Lange, komplizierte Passwörter wählen, bestehend aus Klein- und Grossbuchstaben, Zahlen und Sonderzeichen. Kurze Passwörter lassen sich mit der Rechenleistung eines Smartphones knacken.
- Für jeden Dienst ein anderes Passwort nutzen
- Passwörter regelmässig wechseln
- Passwörter nie weitergeben oder mailen
- Bei kritischen Systemen eine Zweifaktoren-Authentifizierung einrichten
Bilder mit Bedacht veröffentlichen
Bevor Sie auf Ihrer Website oder auf Social-Media-Plattformen ein Bild veröffentlichen, prüfen Sie, ob darauf Informationen zu erkennen sind, die missbraucht werden könnten. Klassisches Beispiel: sichtbare Passwörter. Doch es gibt auch sicherheitsrelevante Informationen, die weniger offensichtlich sind. Wenn zum Beispiel ein Täter erkennt, welche Drucker in Ihren Büros stehen, kann er sich als Servicemonteur des Herstellers ausgeben und Sie im Rahmen des Social Engineering kontaktieren. Vorsicht gilt auch, wenn ein TV-Sender in Ihren Räumen drehen möchte. Prüfen Sie, was auf dem Film zu sehen sein könnte. Lassen Sie keine Dokumente offen herumliegen. Säubern Sie Informationswände. Eventuell müssen Sie der Filmcrew Restriktionen auferlegen.
Die Rechtsbasis kennen
Unsere Gesellschaft ist überreguliert. Umso wichtiger ist es für ein KMU, die rechtlichen Cyberrisiken zu minimieren.
- Einen Datenschutzbeauftragten einsetzen
- Rechtliche Beratung einholen
- Richtlinien im Umgang mit Daten aufstellen, auch zum Verhalten in den Social Media. Beispiel: Fotos von Mitarbeiterinnen und Mitarbeitern dürfen von Gesetzes wegen nur mit ihrer Zustimmung publiziert werden.
- Den Vertrag mit dem IT-Dienstleister prüfen: Für welche Arbeiten ist er zuständig?
Hardware sicherer machen
Tipps für den Umgang mit der Hardware:
- Nur eigene, bekannte Datenträger benutzen
- Keine privaten Speichermedien an den Geschäftscomputer anschliessen
- Verlorene oder gestohlene Geräte aus der Ferne sperren oder löschen
- Geräte sicher entsorgen, auch Peripheriegeräte wie z.B. Drucker
Cyberversicherung erwägen
Dass ein KMU sich gegen Feuer versichern sollte, leuchtet ein. Anders ist es bei den abstrakten, undurchsichtigen Vorgängen im Cyberspace. Das Risiko ist nur schwer fassbar. Darum verfügen derzeit nur geschätzte fünf Prozent der Schweizer Unternehmen über eine Cyberversicherung. Prüfen Sie, ob Sie einen Teil des Cyberrisikos auf die Versicherung abwälzen wollen. Versichern lassen sich zum Beispiel Kosten für das Wiederherstellen verschlüsselter Daten, Umsatzausfall wegen eines verschlüsselten Computersystems oder Betrugskosten als Folge des Vorspiegelns einer falschen Identität.
Fehlerkultur pflegen
Befürchtet ein Angestellter negative Konsequenzen, wenn er Fehler zugibt, schweigt er lieber. Das ist Gift für das Risikomanagement. «Es wird gefährlich, wenn in der Firma ein Angstklima herrscht», sagt Sicherheitsfachmann Ivano Somaini. «Wer die Cybersicherheit stärken will, braucht eine Feedbackkultur, in der man Lösungen sucht statt Schuldige.» Das bedeutet nicht, dass man Schlendrian akzeptiert. Aber wenn trotz aller Sorgfalt ein Fehler geschieht, muss er bekannt werden, damit er sich nicht wiederholt. Ebenfalls sicherheitsrelevant ist der Umgang mit Kritik: Wer Konflikte und Missstände ignoriert, aussitzt, schönredet, wer Kritik unterdrückt, erhöht das Sicherheitsrisiko.
Abhörschutz prüfen
Je nach Branche, Situation und (internationaler) Konkurrenz ist es empfehlenswert, noch drastischere Massnahmen zu ergreifen. Wenn Betriebsgeheimnisse gestohlen werden, kann Sie das teuer zu stehen kommen. Verhängen Sie zum Beispiel ein Geräteverbot im Sitzungszimmer – inklusive Fernseher. Tauschen Sie Informationen analog aus. Lassen Sie bestimmte Räume von Experten abhörsicher machen. Verschlüsseln Sie punktuell Ihre Kommunikation. Erwägen Sie den Kauf eines Kryptosmartphones.
Sicherheitskonzept erarbeiten
Regeln Sie in einem Sicherheitskonzept, mit welchen Massnahmen Sie die Cybersicherheit stärken wollen. Möchten Sie wissen, welche technischen Aspekte zu berücksichtigen sind? Der Versicherer Allianz Suisse bietet für Unternehmen einen kostenlosen Security Healthcheck nach ISO 27001 an. Konsultieren Sie bei Bedarf auch eine Firma für Cybersicherheit.
Ein Sicherheitskonzept kann folgende Unterkonzepte enthalten:
- Schulungskonzept. Kader und Personal sollten regelmässig geschult werden. Zum Beispiel im Umgang mit den Social Media.
- Back-up-Konzept. Auch Back-ups können von Viren befallen sein. Haben Sie Wiederherstellungstests eingeplant?
- Cloud-Konzept. Darin wird zum Beispiel festgehalten, welche Standorte der Server und welche Hoster aufgrund der Rechtslage erlaubt sind. Beachten Sie auch, dass Sie mit einer Cloud einen Teil der Kontrollkompetenz abgeben und dass Sie griffige Lösungen für die Berechtigungen benötigen. Jede Cloud ist nur so sicher wie die dazugehörigen Zugangsdaten. Nicht zuletzt sollten Sie klären, ob der Cloudanbieter wirklich alle Daten löscht, die Sie löschen wollen.
Denken Sie sich für den Fall, dass es trotz aller Sicherheitsmassnahmen zu einem Cyberschaden kommen sollte Krisenszenarien aus. Was könnte bei uns theoretisch passieren? Wie überbrücken wir die Krise? Und wie kehren wir möglichst schnell zur Normalität zurück? Informieren Sie in Fällen mit mutmasslich kriminellem Hintergrund die Polizei.
Minimalstandard des Bundes
Das Bundesamt für wirtschaftliche Landesversorgung (BWL) präsentiert auf seiner Website einen Minimalstandard für den Schutz gegen Informations- und Kommunikationsrisiken. Dieser Standard ist nicht obligatorisch, sondern eine Empfehlung. Er richtet sich primär an die Betreiber von kritischer Infrastruktur. Zu ihnen gehören die Behörden und die Organisationen für die öffentliche Sicherheit (z.B. Rettungsdienste) und Sektoren wie Chemie, Energie, Finanzen, Informatik, Lebensmittel, Medien, Medizin, Telekommunikation, Trinkwasser, Verkehr oder Versicherungen. Das BWL betont aber, der Minimalstandard sei grundsätzlich für jedes Unternehmen hilfreich, das Widerstand gegen Cyberangriffe leisten wolle.