30.09.2021

Cyber Security Monat – 5 Tipps zum Thema Cybersicherheit

Die Zahl der Cyberbedrohungen steigt jährlich rasant an. Laut McAfee(1) belief sich die weltweite Schadenssumme im Jahre 2020 auf eine 1 Billion Dollar. Das ist ein Anstieg von über 50 % gegenüber dem Jahr 2018.

Bei Cyberangriffen werden Unternehmen oder Privatpersonen von Hackern oder gar Hackergruppen böswillig über das Internet angegriffen, um Daten, Informationen oder Geld zu erlangen.

Die Kampagne der EU zum europäischen Cybersecurity Monat beleuchtet jährlich im Oktober das Thema Cybersicherheit. Dabei sollen Staaten, Unternehmen und Privatpersonen auf die Gefahren von Cyberkriminalität aufmerksam gemacht werden. Ebenso werden mögliche Massnahmen zum Schutz der Cybersicherheit aufgezeigt. Zu diesem Anlass beleuchten wir die Thematik der Cybersicherheit genauer und zeigen Ihnen für fünf ausgewählte Themen, auf was Sie achten müssen und wie Sie sich schützen können.

Was sind Cyberbedrohungen und Cybersicherheit?

Die Cybersicherheit bezeichnet technische wie auch organisatorische Massnahmen zum Schutz der IT-Infrastruktur und von Daten gegen böswillige Angriffe. Dies beinhaltet unter anderem der Schutz von PCs, Netzwerken, Servern, Smartphones, Smart Devices, aber auch Datenschutz sowie Informationssicherheit.

Es werden drei Arten von Cyberbedrohungen unterschieden:

  • Cyberkriminalität: Angriffe auf Systeme, um Geld zu erlangen oder Geschäftsbetriebe zu unterbrechen.
  • Cyberangriffe: Hierbei handelt es sich meist um politisch motivierte Informationsbeschaffung.
  • Cyberterrorismus: Angriff auf elektronische Systeme zur Verbreitung von Panik und Angst.

Die Angriffsarten sind für alle Bedrohungen gleich. Durch die Verbreitung von Malware (Virus, Trojaner, Spyware, Adware, Ransomware, Botnets) werden PCs und Systeme ausser Betrieb gesetzt oder beschädigt. Bei SQL Injections werden Datenbanken zur Informationsgewinnung gehackt. Mit Phishing wird versucht, an Login- und Finanzdaten zu gelangen sowie persönliche Informationen herauszufinden. Die Man-in-the-Middle-Angriffe fangen Informationen zwischen zwei Beteiligten ab, z. B. einem PC und einem Netzwerk. Bei den Denial-of-Service-Attacken werden Netzwerke oder Server mit Datenverkehr überschwemmt, sodass die befallenen PC-Systeme nicht mehr laufen können und so Unternehmen handlungsunfähig werden. Angriffsziele sind Regierungen, Unternehmen, aber auch Privatpersonen.

Wie können Sie sich als Unternehmen, aber auch als Privatperson, vor Cyberkriminalität schützen? Einerseits gibt es technische Schutzmassnahmen, die man ergreifen muss. Andererseits beeinflusst unser Verhalten massgebend das Risiko, einer Cyberattacke zum Opfer zu fallen oder nicht.

Phishing – was ist es und wie schützen Sie sich

Phishing-E-Mails sind gefälschte E-Mails, womit Hacker versuchen, an Login-Daten, Bank- und Kreditkartendaten oder andere persönliche Informationen zu gelangen. In der Regel ist das Ziel, mit den erlangten Daten an Geld zu kommen oder Zugriff auf Systeme zu erlangen. Die E-Mails sehen oft täuschend echt aus und scheinen von einer legitimen Quelle zu stammen, wie beispielsweise von Ihrer Bank. Mit dringenden Handlungsaufforderungen werden die Nutzer dazu verleitet, auf Links zu klicken und ihre Daten einzugeben.

Daher ist es wichtig, in E-Mails, besonders von unbekannten Absendern, nicht auf Links zu klicken. Seien Sie kritisch, wenn jemand nach Login-Daten fragt. Kein seriöses Unternehmen wird Sie je auffordern, Ihre Zugangsdaten über einen hinterlegten Link anzupassen oder in der Antwort-E-Mail preiszugeben. Seien Sie auch vorsichtig, wenn Sie aufgefordert werden, Ihre Kreditkarten- oder Kontoinformationen anzugeben.

Achten Sie bei den E-Mails und in Links auf Rechtschreibfehler, fehlende oder verdrehte Buchstaben. Auch das sind Hinweise für Phishing.

Malware – was ist es und wie schützen Sie sich

Malware, auch Schadsoftware genannt, ist Software, die Ihren PC, das Smartphone oder ein Tablet beschädigen oder ganz ausser Gefecht setzen kann. Hauptsächlich wird Malware über das Internet verbreitet: beim Surfen, Herunterladen von Software, als E-Mail-Anhang oder über soziale Netzwerke. Auch über USB-Sticks und andere mobile Datenträger kann Malware verteilt werden. Die Motivation ist, wie auch beim Phishing, meist finanzieller Art oder zur Industriespionage. Hacker können aber auch politisch motiviert sein oder den Ruf eines Unternehmens schädigen wollen.

Als Malware gelten Viren, Trojaner, Spyware, Adware, Ransomware, die heute häufig über Botnetze verbreitet werden.

Schutz vor Malware bieten einerseits technische Massnahmen:

  • Halten Sie Ihr Betriebssystem, Software und Apps auf dem neusten Stand und installieren Sie jeweils die neusten Sicherheitspatches.
  • Installieren Sie einen Antivirenschutz.
  • Für Unternehmen empfiehlt es sich, eine Rundum-Schutzsoftware zu verwenden, die in Echtzeit die Daten analysiert und Sicherheitslücken schliesst.

Andererseits müssen auch die Nutzer einen sicheren Umgang pflegen:

  • Öffnen Sie keine E-Mail-Anhänge von unbekannten Absendern und seien Sie auch kritisch, wenn Sie einen Anhang von einem Bekannten nicht erwarten. Falls nötig, fragen Sie beim Absender nach.
  • Klicken Sie auf keine Links, die Ihnen nicht legitim erscheinen. Prüfen Sie Links auf Rechtschreibfehler, fehlende oder ersetzte Buchstaben, wie z. B. wenn ein „O“ durch eine „0“ ersetzt wird.
  • Besuchen Sie nur sichere Internetseiten. Sie erkennen diese am kleinen Sicherheitsschloss neben der URL in der Adresszeile.
  • Gehen Sie nicht über ungesicherte WLAN-Netze ins Internet. Am besten verwenden Sie Ihr Mobiltelefon, um einen persönlichen Hotspot zu generieren.
  • Schützen Sie Ihr privates WLAN mit einem guten Passwort und erstellen Sie für Gäste einen separaten Zugang.
  • Schliessen Sie keine unbekannten Datenträger, USB-Sticks oder Festplatten an Ihren PC an.
  • Laden Sie nur von Ihrem Unternehmen autorisierte Software herunter oder solche, die im offiziellen App-Store angeboten wird.

Social Engineering – was ist es und wie schützen Sie sich

Social Engineering ist eine Methode, bei welcher Betrüger eine Identität vortäuschen, um dadurch an Informationen zu gelangen oder ihre Opfer zu einer bestimmten Handlung zu überzeugen. So können sie sich beispielsweise als Helpdesk Mitarbeitende ausgeben, um das Opfer zur Herausgabe von Login-Daten zu bewegen oder dieses zum Besuch einer verseuchten Internetseite zu überzeugen. Meistens wird mittels Social Engineering versucht, an Login-Daten zu gelangen, Kreditkarten- oder Bankinformationen zu erschleichen oder Zugang zu IT-Systemen zu erwirken. Je mehr Informationen über ein Opfer gesammelt werden können, desto höher sind die Erfolgschancen bei einem «Angriff». Informationen werden mehrheitlich im Internet, z. B. auf den Internetseiten von Unternehmen oder in sozialen Netzwerken gefunden. Aber auch in öffentlichen Registern oder im Telefonbuch.

Wichtig ist, dass Sie nie interne oder vertrauliche Informationen über sich oder Ihr Unternehmen an fremde Personen weitergeben. Passwörter und Zugangsdaten sollten nie weitergegeben werden. Lassen Sie sich weder unter Druck setzen, noch dazu überreden, eine bestimmte Datei herunterzuladen oder eine vorgegebene Internetseite zu besuchen.

Lesen Sie in unserem Blog mehr darüber, wie Sie sich vor Social Engineering schützen können.

Schutz durch sichere Passwörter

Täglich müssen wir für unsere Arbeit oder private Zwecke Passwörter eingeben, um uns in Systemen anmelden zu können. Ein gut gewähltes Passwort ist essenziell, um sich vor Gefahren aus dem Internet schützen zu können.

Werden Passwörter herausgefunden, können Daten manipuliert oder gestohlen werden. Hacker haben spezielle Werkzeuge, mit welchen sie auf einfache Art und Weise Passwörter herausfinden können, sofern diese nicht nach bestimmten Regeln aufgebaut sind.

Um den Schutz zu gewährleisten, muss ein gutes, sicheres und individuelles Passwort für jede Anwendung erstellt werden. Verwenden Sie ein und dasselbe Passwort nie für mehrere Systeme oder Internetseiten und geben Sie Ihre Login-Daten nie an jemand anderes weiter. Ansonsten verlieren die Passwörter ihre Schutzwirkung. Aktivieren Sie zudem immer eine Zwei-Faktor-Authentifizierung, wenn das System dies zulässt. Dies erhöht zusätzlich die Sicherheit.

Beachten Sie bei der Erstellung eines neuen Passwortes folgende Punkte:

  • Es beinhaltet keine persönlichen Informationen wie Name, Geburtsdatum, Kfz-Kennzeichen usw. oder den Benutzernamen.
  • Die aktuelle NIST Empfehlung ist, ein Passwort zu wählen, welches einfach zu merken ist, min. 16 Zeichen enthält und aus min. 4 existierenden Wörtern kombiniert ist. Muss das Passwort kürzer als 16 Zeichen lang sein, sollte es Zahlen, Gross- und Kleinbuchstaben sowie Sonderzeichen enthalten und idealerweise mehr als 12 Zeichen lang sein.
  • Es ist nicht in einem Wörterbuch zu finden oder enthält Zahlen- oder Buchstabenfolgen (Bsp. AAA, 1234, abcd etc.).

Damit Passwörter nicht notiert werden müssen und sich einfacher gemerkt werden können, gibt es folgende Tricks:

  • Akronyme: Den ersten Buchstaben eines jeden Wortes aus einem Satz verwenden.
  • Mehrfachwörter: Mindestens vier zufällige Wörter miteinander kombinieren. Diese können mit Zahlen und/oder Sonderzeichen ergänzt werden.
  • Passwort-Manager: Verwenden Sie einen Passwort-Manager zur Erstellung und Verwaltung von Passwörtern. Die meisten Passwort-Manager können auch mit der Zwei-Faktor-Authentifizierung kombiniert werden. Dadurch müssen Sie sich auch nur ein Passwort merken, anstelle von ganz vielen.

Schutz durch Training und Awareness

Heutzutage ist es wichtiger denn je, dass die Mitarbeitenden auf die Themen der Informationssicherheit geschult werden. Schulungen und Trainings sollten in regelmässigen Abständen erfolgen und idealerweise aufeinander abgestimmt sein.

Die Mitarbeitenden gehören zum wichtigsten Schutzelement, wenn es um Cybersicherheit geht. Nutzen Sie diesen Abwehrmechanismus, in dem Sie Ihre Mitarbeitenden befähigen, die Gefahren im Zusammenhang mit dem Internet zu erkennen und sich richtig zu verhalten.

Der European Cyber Security Month ist eine gute Möglichkeit, die Mitarbeitenden mit einer gezielten Kampagne zum Thema Cybersicherheit zu schulen. Machen Sie virtuelle Spiele, Quizze, E-Learnings oder Veranstaltungen, wo die Mitarbeitenden aktiv und vor Ort teilnehmen können. Auch mit Plakaten, Intranetseiten oder E-Mails kann auf die Thematik aufmerksam gemacht werden.

In unseren Blogbeiträgen erfahren Sie, wie Sie eine Security Awareness-Kampagne planen und erfolgreich umsetzen können und wie Sie das Verhalten der Mitarbeitenden erfolgreich verändern können. Hier gelangen Sie zur Übersicht aller Blogbeiträge.

(1) McAfee (2020): Report - The Hidden Costs of Cybercrime. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-hidden-costs-of-cybercrime.pdf

Inspiration: https://www.kaspersky.de/resource-center/definitions/what-is-cyber-security

label
Blog Artikel
label
Cybersicherheit

Newsletter

Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement:

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.

RSS Feed

Abonnieren Sie unseren RSS Feed

Kategorien

Awareness Kampagne
Awareness Messung
Awareness Strategie und Konzept
E-Learnings/Animationsfilme
Informationssicherheit
Security Awareness DE
TreeSolution News
Trends aus Praxis und Forschung
Veranstaltungen

Suchen

Durchsuchen Sie unsere Internetseite:

Beliebte Beiträge

Neues Schweizer Datenschutzgesetz (nDSG) – was bedeutet das für Unternehmen?
Gemeinsam erfolgreich zum Ziel! 7 Tipps für CISOs und Sicherheitsbeauftragte für eine erfolgreiche Security Awareness im Unternehmen
«Falsches Spiel» Informationssicherheit als Hörbuch.
Informationssicherheit und Umweltschutz? Geht das zusammen?
Mehr Erfolg durch gamifiziertes Lernen
TreeSolution: Der Experte, wenn es um die Schulung von Mitarbeitenden in IT-Sicherheit geht

Verwandte Artikel

16.05.2023
category
Informationssicherheit
label
Blog Artikel
label
Informationssicherheit

Neues Schweizer Datenschutzgesetz (nDSG) – was bedeutet das für Unternehmen?

Ab September 2023 tritt das neue Schweizer Datenschutzgesetz (nDSG) in Kraft. Für Unternehmen gelten strengere Richtlinien. Schulen Sie Ihre Mitarbeitenden jetzt mit unseren aktualisierten Materialien.

...

Ganzer Artikel

07.03.2023
category
Informationssicherheit
label
Blog Artikel
label
Informationssicherheit

Gemeinsam erfolgreich zum Ziel! 7 Tipps für CISOs und Sicherheitsbeauftragte für eine erfolgreiche Security Awareness im Unternehmen

Der Schutz vor Cyberkriminellen erfordert gewisse Massnahmen. Lesen Sie unsere 7 Tipps, auf die Sie als Sicherheitsbeauftragte/r achten sollten, um eine erfolgreiche Sicherheitskultur im Unternehmen einzuführen.

...

Ganzer Artikel

30.11.2022
category
Informationssicherheit
label
Cybersicherheit
label
Sicherheitsbewusstsein

«Falsches Spiel» Informationssicherheit als Hörbuch.

Das Hörbuch «Falsches Spiel» informiert Ihre Mitarbeitenden auf unterhaltsame Weise über Informationssicherheit und bringt so das Thema von Hackerangriffen näher. Die perfekte Ergänzung für Ihre Phishing-Schulungen.

...

Ganzer Artikel

Alle Artikel