Die Digitalisierung hat weit reichende Auswirkung und verändert Geschäftsmodelle signifikant. Es gibt längst vollständig digital betriebene Unternehmen. Mit der veränderten Arbeitsweise haben sich auch die Ansprüche an die Sicherheit gewandelt. Woran sollten Betriebe mit digitalen Geschäftsmodellen denken? Der Beitrag gibt Tipps für mehr Sicherheit.
Hardware besser absichern
Computer nehmen eine immer wichtigere Rolle ein. Bei digitalen Geschäftsmodellen sind sie von zentraler Bedeutung. Sie sind ohne Computer, Laptop oder Smartphone praktisch nicht handlungsfähig, weil sie keinen Zugriff auf ihre Daten haben, nicht erreichbar sind oder selbst niemanden erreichen können. Eine maßgeschneiderte Versicherung der genutzten Endgeräte ist deshalb eine wesentliche Säule digitaler Geschäftsmodelle. Beispiel: Eine Smartphone- oder Laptopversicherung springt nicht nur bei Displayschäden oder Flüssigkeitsschäden ein. Sie hilft auch bei Diebstahl, Feuerschäden oder Bedienungsfehlern. Dieselbe Absicherung sollte auch für fest installierte Büroelektronik abgeschlossen werden.
Die Hardware alleine zu schützen ist aber zu kurz gedacht. Es geht letztlich um Firmendaten, die zum Teil auf dem Gerät, zum Teil in einer Cloud irgendwo im Netz lagern.
Cybercrime: Vorbeugen ist wichtig
Dass Datendiebstahl als gesellschaftliches Phänomen irgendwo zwischen Spaß und Verbrechen eingeordnet wurde, ist noch gar nicht lange her. Doch inzwischen hat sich Cybercrime zu einem Wachstumsmarkt entwickelt – im negativen Sinne. Das BKA stellt in seinem Lagebericht von November 2019 fest, dass die Polizei rund 87.000 Fälle von Cybercrime im Jahr 2018 verfolgt hat. Damit blickt sie auf ein Wachstum von einem Prozent zu 2017. Straftaten über das Internet kommen hinzu. Das sind weitere 5 %, in Zahlen ausgedrückt fast 272.000.
Da immer mehr Daten digital vorhanden sind, wächst das Gesamtaufkommen krimineller Machenschaften. Computer und Smartphones sind gleichermaßen betroffen, denn die immer cleverer werdenden Täter machen keinen Unterschied. Das gilt zum Beispiel für Pishing-Versuche. Um sich vor Datenverlust und Datenmissbrauch oder gar vor erpresserischen Aktivitäten zu schützen ist es unerlässlich, Geräte mit Schutzsoftware auszustatten und weitere vorbeugende Maßnahmen zu ergreifen.
Eine Cybercrimeversicherung ist dazu geeignet, Firmen vor den Folgen von IT-Attacken zu beschützen. Hacker-Angriffe durch Malware oder Ransomware können dazu führen, dass ein Betrieb komplett stillsteht und digitale Geschäftsaktivitäten zum Erliegen kommen. In der Folge ergeben sich Kosten durch Stillstand-Zeiten. Die Cybercrime-Versicherung springt in diesen Fällen ein und übernimmt die Kosten. Erweiterte Policen tragen auch die Aufwendungen, die für die Datenwiederherstellung oder eine nötige Rechtsberatung verursacht werden. Damit es gar nicht so weit kommt, sollten Betreiber von digitalen Geschäftsmodellen – wir nahezu jeder Betrieb, der online arbeitet – grundlegende Schutzmaßnahmen ergreifen.
Tipps zum Schutz vor Internetkriminalität
Unternehmen sollten sich zuerst bei der Allianz für Cybersicherheit informieren und beispielsweise den Cyber-Sicherheits-Check nutzen. Daneben finden sich auf der Website stets aktuelle Meldungen zu akuten Gefährdungen. Gleichzeitig werden Tipps zum Schutz genannt sowie Handlungsempfehlungen gegeben, wie sich Betriebe verhalten können, wenn das I.T.-System bereits infiziert wurde. Unabhängig von diesen konkreten und für Betriebe unerlässlichen Informationspflichten ist es ratsam, die Mitarbeiter zu sensibilisieren und einen Basisschutz für Computer, Tablets und Smartphones in der Firma zu errichten.
Sicherer Grundkonfiguration internetfähiger Endgeräte wie Smartphones und Laptops
Zum Basisschutz von Smartphones und Laptops gehören die Sicherheitseinstellungen im Gerät. Diese können von Hersteller zu Hersteller variieren. Auf einem Gerät sollten Apps und Betriebssystem stets aktuell gehalten werden. Die automatische Einrichtung zur Installation verfügbarer Updates ist unverzichtbar, denn viele Angriffe kommen über bekannte Sicherheitslücken auf die Geräte.
Quellen prüfen
Nicht jede App, die auf einem Gerät ist, wird tatsächlich benötigt. Mitarbeiter sollten dazu angehalten werden ausschließlich notwendige Apps zu installieren und davon abzusehen, überflüssige auf dem Gerät zu belassen. Die Quellen müssen vertrauenswürdig sein und im Einzelfall sind die Zugriffsberechtigungen zu prüfen. Besonders kritisch sind Apps, die ohne jeden nachvollziehbaren Grund Zugriffsrechte auf Kontaktdaten, Kamera, Standortdaten oder Telefonstatus fordern. Besteht die Möglichkeit diese Zugriffsrechte zu negieren, sollte das geschehen. Im Zweifel ist es besser, die spezielle App nicht zu installieren und nach Alternativen zu suchen.
Achtung: Bei automatischer Aktualisierung sollten die Zugriffsberechtigungen generell überprüft werden. Insofern ist es nötig im Einzelfall abzuwägen, ob ein bislang nicht gewährter Zugriff zwangsweise bewilligt wird, weil man mit der App lange vertraut ist. Auch hier gilt, im Zweifel eine andere App zu wählen.
Sperrcodes und Passwörter stets aktiv nutzen
SIM/USIM-PIN und Bildschirmsperre am Telefon und ggf. am Laptop sollten stets aktiv sein. Besonders sensible Banking-Apps oder Abrechnungs-Apps sollten einen entsprechenden Passwortschutz aufweisen. Voreingestellte Codes sind generell zu überschreiben. Falls als Bildschirmsperre lediglich eine Muster abgefragt wird, sollten Mitarbeiter regelmäßig das Display reinigen, damit die Verlaufsspuren des Fingers über die Oberfläche nicht zur Falle werden.
Nur nötige Schnittstellen aktivieren
WLAN, Bluetooth oder NFC – Jede Schnittstelle ist eine potenzielle Tür für Cyberkriminelle. Nach Möglichkeit sollte auch die GPS-Funktion nicht eingeschaltet sein, da dadurch die Positionsbestimmung ungenauer wird. Das BKA rät sogar dazu, Metadaten aus Fotos zu löschen und nicht preiszugeben, an welchem Ort welche Bilder aufgenommen wurden. Falls Mitarbeiter ihr mobiles Gerät an einen Rechner anschließen müssen, muss dieser Rechner vertrauenswürdig sein, denn über USB kann Malware übertragen werden.
Mit dem Smartphone zu navigieren ist zwar praktisch, aber nicht sicher.
Öffentliche Hotspots meiden
So praktisch sie sind, so gefährlich sind sie: Öffentliche Hotspots in einem Café oder im Flughafen sind oft unverschlüsselt. Wenn in einem öffentlichen Netz gesurft wird, dann am besten nur auf Seiten, die mit https starten. Dabei handelt es sich um eine gesicherte Verbindung. Für die Nutzung von Online Banking ist ein virtuelles privates Netzwerk (VPN) die beste Möglichkeit. In der Regel bieten aktuelle Router-Modelle diese Option an. Steht sie nicht zur Verfügung, ist es ratsam die Banking-Aufgabe später in sicherer Umgebung zu erledigen.
Verschlüsselte Datenübertragung nutzen
Die Entwickler von Apple sind den konsequenten Weg gegangen, Betriebssysteme und Geräte Hardware-gestützt zu verschlüsseln. Die Technik, die sie dazu verwenden, nennt sich File Data Protection. Damit wird es möglich, auch Daten im Flash-Speicher eines mobilen Endgeräts verschlüsselt abzulegen und somit vor Missbrauch zu bewahren. Werden die Daten in einer Cloud abgelegt, sollte eine entsprechende Software, wie zum Beispiel Sophos Mobile Encryption oder Boxcryptor zum Einsatz kommen, um die Daten vom mobilen Gerät nicht unverschlüsselt in einen externen Speicher zu senden.