Cloud-Sicherheit war bis vor nicht allzu langer Zeit für die meisten Unternehmen zweitrangig. Das hat sich längst geändert, denn auf der Suche nach dem nächsten Ziel machen Cyberkriminelle sich bevorzugt Schwachstellen und Sicherheitslücken bei Cloud-Diensten zunutze. Unternehmen können mit virtuellen privaten Netzwerken und Antivirensystemen zwar eine Menge tun, um Systeme sicherer zu machen.
Einer der kritischsten und gerne übersehenen Aspekte ist allerdings nicht computerbezogen. Tatsächlich gehen 95 % der Cyber-Sicherheitsverletzungen auf menschliches Versagen zurück. Dazu kommt, dass sich die meisten Cyberangriffe, auf kleinere Unternehmen konzentrieren, die sich im Gegensatz zu Großunternehmen keine teuren Sicherheitsteams leisten können. Für diese Firmen ist es nicht ganz leicht eventuelle Schwachstellen aufzufinden. Hier konzentrieren wir uns auf die Top 3 der Sicherheitsbedrohungen und was man dagegen tun kann.
Mitarbeiterschulungen gegen Social Engineering-Angriffe
2019 waren etwa 98 % der Kompromittierungsversuche von Cybersicherheit ein direktes Ergebnis von Social-Engineering-Angriffen oder Betrugsversuchen, bei denen man versucht hat mithilfe menschlicher Emotionen Zugang zu privaten Informationen zu bekommen. Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Trotzdem versuchen die meisten von ihnen, Unternehmensinterna zu schützen, und vertrauenswürdig zu arbeiten. Das klingt zunächst nach einer guten Sache. In Wahrheit aber nutzen Cyberkriminelle genau solche typisch menschlichen Verhaltensweisen, um Social Engineering-Angriffe gegen ihre Opfer (und damit gegen das Unternehmen als Ganzes) einzusetzen. Kriminelle erreichen das beispielsweise, indem sie den Mitarbeiter über eine Social-Media-Plattform kontaktieren und versuchen, ihr Vertrauen zu gewinnen. Und dieses Vertrauen dient schlussendlich dazu, sich Zugang zu Unternehmens- oder Kundendaten zu verschaffen.
Leider kommt es durchaus vor, dass Mitarbeiter sich eines Social-Engineering-Angriffs nicht bewusst sind und ohne es selbst zu bemerken, sensible Informationen an einen Kriminellen weitergeben. Auch wenn Unternehmen über bestimmte Sicherheitsvorkehrungen verfügen, werden Mitarbeiter oft nicht in wirklich geeigneten Cyber-Sicherheitsmaßnahmen geschult. Unternehmen sollten ihre Mitarbeiter trainieren, potenzielle Social Engineering-Angriffe zu erkennen und zu wissen, was sie tun und lassen sollten, wenn es tatsächlich zu einem Angriff kommt. Jeder verfällt nach einiger Zeit wieder in den Alltagstrott. Das spielt Cyberkriminellen in die Hände. Die Hackerangriffe 2013 auf Target, 2014 auf Sony Pictures und 2016 auf die Demokratische Partei sind allesamt Beispiele für Social-Engineering-Angriffe, auf die derzeit satte 98 % aller Netzwerkpenetrationen entfallen. Man kann trotz Wiederholungsgefahr nicht oft genug betonen, wie wichtig Mitarbeiterschulungen und Rezertifizierungen sind.
Virtuelle Verbindungen besser schützen
Unternehmen müssen einen Weg finden, mit ihren Mitarbeitern auch außerhalb ihrer Geschäftsräume sicher zu kommunizieren. Egal, ob auf Reisen oder um den Geschäftsbetrieb während einer Pandemie aufrechtzuerhalten, virtuelle Verbindungen sind für die unternehmerische Nachhaltigkeit unerlässlich.
Während der anfänglichen Lockdown-Phase der COVID-19-Pandemie haben viele Unternehmen bei Telefonkonferenzen auf Zoom gesetzt. Es kam zu etlichen Sicherheitsverletzungen aufgrund von sogenanntem „Zoom Bombing“.
Um Zoom-Bombing zu verhindern und Sicherheit beim Remote-Working zu gewährleisten, sollten Mitarbeiter:
- Sicherstellen, nur die aktuellsten Apps für ihre Geräte zu verwenden
- eine eindeutige ID und ein Passwort für ihre Anrufe erstellen
- die Wartezimmerfunktion zu nutzen
- die Bildschirmfreigabe für andere Benutzer deaktivieren
- Meetings nach Beginn sperren
- ein Invite-only Meeting nutzen
Eine Einladung zur Kompromittierung sind Apps, die nicht mit den neuesten Sicherheitsupdates aktualisiert wurden oder das Nutzen nicht gesicherter Internetverbindungen von einem öffentlichen Hotspot aus – was den Datenverkehr Man-in-the-Middle-Angriffen aussetzen kann. Unternehmen sind bei der Kundenkommunikation auf virtuelle Kommunikationskanäle angewiesen, sollten aber neben den technischen Anforderungen beim Thema Sicherheit genauer hinsehen.
Sichere Cloud-basierte Speicher- und Kollaborationslösungen
Zusätzlich brauchen Unternehmen jetzt zuverlässige und vertrauenswürdige Speicher- und Kollaborationslösungen für ihre verteilt oder remote arbeitende Belegschaft. Cloud-basierte Lösungen für das Signieren von Unternehmensdokumenten erleichtern es, Workflows auch außerhalb der üblichen Büroumgebung beizubehalten.
Wenn es um Speicherlösungen geht, gehören Google Drive, DropBox und OneDrive zu den vertrauenswürdigsten Anbietern für Unternehmen weltweit. Das liegt daran, dass sie viel in die Entwicklung internetbasierter Schnittstellen investiert haben. Sie erlauben es, mit jedem Gerät von überall aus zu arbeiten und gleichzeitig Zugriff auf alle wichtigen Dokumente und Dateien zu haben. Diese Dienste sind zudem mehr als einfache Speicher und bieten Komplettlösungen für eine produktive Zusammenarbeit. Dieselben Dienste sind jedoch alles andere als nicht angreifbar. Dropbox wurde bereits mehrmals gehackt, wobei die persönlichen Daten von mehr als 68 Millionen Nutzern offengelegt wurden. Inzwischen sind die Sicherheitsprobleme weitgehend behoben und die Lösung zählt zu einer der sichersten auf dem Markt.
Obwohl Cloud-basierte Software für die meisten Unternehmen hervorragend funktioniert, werden viele vertrauliche Informationen nach wie vor ungeschützt über unverschlüsselte Verbindungen übertragen – und nicht jede Cloud-Lösung verwendet denselben Level an Sicherheitsmaßnahmen. Stellen Sie sicher, dass die von Ihrem Unternehmen gewählte Lösung die aktuellen Protokolle verwendet und sich auf gesicherte Verbindungen und Dateiverschlüsselung konzentriert, um Angriffe zu verhindern, die Kunden und Unternehmen gefährden.
Fazit
Hacking-Versuche finden nachweislich alle 39 Sekunden statt. Unternehmen können es sich schlicht nicht leisten, Sicherheitsprotokolle und -implementierungen für die Cloud zu ignorieren. Mitarbeiter für die richtigen Sicherheitsmaßnahmen bei der Remote-Arbeit zu sensibilisieren, gesicherte virtuelle Verbindungen zu nutzen und die in der Cloud verteilten Dokumente mit Dateiverschlüsselung abzusichern, das sind wirksame Methoden zum Datenschutz.
Sam Bocetta, Gastautor bei GlobalSign, www.globalsign.com