Durch neue Arbeitsformen nehmen die Gefahren für die Unternehmenssicherheit zu, die IT muss die Kontrolle behalten und es den Anwendern gleichzeitig möglichst einfach machen, sich sicher zu verhalten – das ist das Bermuda-Dreieck der Cyberbedrohungen. Die folgenden fünf Schritte helfen Unternehmen, Beschäftigte und Firmendaten vor dem Hintergrund zunehmender Bedrohungen nachhaltig zu schützen.
Homeoffice, Remote Work – in den vergangenen zwei Jahren ist unsere Arbeitswelt wesentlich flexibler geworden. Allerdings führt diese Flexibilität in Kombination mit menschlichen Schwächen dazu, dass die Zahl der Cyber-Angriffe auch in diesem Jahr weiter zunimmt. 2021 verzeichnete die polizeiliche Kriminalstatistik für Cyber-Crime einen Anstieg von mehr als zwölf Prozent gegenüber dem Vorjahr. Insgesamt wurden bundesweit 146.363 Fälle registriert. Die Dunkelziffer dürfte allerdings deutlich höher sein. In einer Studie von August 2021 hat auch Bitkom die steigende Zahl der Cyber-Attacken thematisiert. Demnach waren im Schnitt fast neun von zehn Unternehmen betroffen. Das Homeoffice spielt dabei eine bedeutende Rolle: 59 Prozent der Befragten führen mindestens einen ihrer IT-Sicherheitsfälle, die seit Beginn der Corona-Pandemie in ihrem Unternehmen aufgetreten sind, auf die Arbeit im Homeoffice zurück. Und bei 24 Prozent der Firmen kommen Sicherheitsprobleme dieser Art sogar häufiger vor.
Aber nicht nur durch den Homeoffice-Trend werden die IT-Landschaften immer komplexer: Bring Your Own Device, Cloud, Internet of Things sowie insgesamt mehr Nutzer, Dienste und Geräte schaffen neue Angriffsflächen für Hacker. In einer „Work-from-Anywhere“-Welt muss die IT einen einfachen Zugang zu Unternehmensressourcen schaffen und gleichzeitig die Risiken von Cyber-Attacken minimieren.
Mit diesen fünf Schritten können Unternehmen das Bermuda-Dreieck der Cyber-Bedrohungen umschiffen:
1. Mehr Sicherheitsbewusstsein erzeugen
Wenn allen Mitarbeitenden bewusst ist, welche Gefahren von kriminellen Hackern ausgehen und welche Schritte und Tools es zu ihrer Bekämpfung gibt, sinkt das Risiko eines Angriffs. Sicherheitsschulungen, bei denen die Teilnehmer häufig abschalten oder nebenbei anderen Aufgaben nachgehen, reichen jedoch nicht aus. Das Thema Security muss fest in der Unternehmenskultur verankert sein. Nur so lässt sich erreichen, dass sich jeder Einzelne umsichtig verhält und keine Sicherheitspannen aus Leichtsinn verursacht.
2. Für sichere Passwörter sorgen
Einer der wirksamsten Schritte für mehr IT-Sicherheit ist ein starkes Passwort-Management. Noch immer gehören Kennwörter zu den größten Sicherheitslücken in Unternehmen. Viele Nutzer verwenden dasselbe, oft auch noch unsichere Passwort für verschiedene Anwendungen. Vor allem die unsterblichen Klassiker „123456“, „qwertz“ oder „Passwort“ erfreuen sich noch immer großer Beliebtheit.
Laut einer Umfrage von LastPass erstellen 68 Prozent der Befragten starke Passwörter für das Online-Banking. Bei ihren beruflich genutzten Konten tun dies dagegen nur 32 Prozent. Abhilfe schafft ein Business-Passwort-Manager. Hier muss sich der Nutzer anstelle von verschiedenen Kennwörtern nur noch ein starkes Masterpasswort merken. Damit kann er auf seinen Tresor zugreifen, in dem alle Kennwörter verwaltet werden. Auf diese Weise können Mitarbeitende per Zufall generierte, sichere Passwörter für jedes ihrer Konten vergeben, ohne den Überblick zu verlieren.
3. Single-Sign-On und Multi-Faktor-Authentifizierung nutzen
Single-Sign-On (SSO) reduziert die Anzahl der Passwörter, die Beschäftigte erstellen, sich merken und verwalten müssen. Die SSO-Technologie verbindet den Mitarbeiter sicher mit den Business-Anwendungen, die ihm zugewiesen wurden – ohne, dass er ein extra Passwort eingeben muss. In Kombination mit einem Passwortmanager können Unternehmen damit die vollständige Kontrolle über Kennwörter und Benutzerzugriff erreichen.
Bei der Multi-Faktor-Authentifizierung (MFA) müssen sich die Nutzer zusätzlich zum Passwort über einen Einmal-Code oder biometrische Daten wie einen Fingerabdruck verifizieren. Erst nach Eingabe des zweiten Faktors wird der Anmeldevorgang in Gang gesetzt.
4. Sichere VPN schaffen
45 Prozent der IT-Verantwortlichen gaben in einer Studie von GoTo, ehemals LogMeIn, von 2021 an, dass sich Mitarbeiter zu Hause auf ungesicherte WLAN-Netzwerke verlassen müssen. Mit einem VPN können Unternehmen ihr Unternehmensnetzwerk absichern. Die einfache Nutzung, ein einziger Zugangspunkt und eine sichere Datenübertragung bieten zwar viele Vorteile, sie erhöhen aber auch das Risiko, Cyber-Angriffen zum Opfer zu fallen.
Um sich Zugang zu sensiblen Daten im Unternehmensnetzwerk zu verschaffen, benötigt der Hacker nur einen Satz gestohlener Log-in-Daten oder einen durch Malware kompromittierten Computer. Der Einsatz von MFA bietet die Möglichkeit, auch das VPN abzusichern: Unberechtigte Personen erhalten keinen Zugang zum Netzwerk.
5. Sicherheit als fortlaufenden Prozess begreifen
Hacker werden immer neue Wege finden, Sicherheitsmaßnahmen zu umgehen. Daher ist es unerlässlich, den Schutz kontinuierlich weiterzuentwickeln. IT-Sicherheit ist nicht als statischer Zustand, sondern als fortlaufender Prozess zu verstehen. Nur dann können Unternehmen Hackern immer einen Schritt voraus sein.
Viele Firmen müssen Unmengen an Vorfallsdaten, fehlerhaften oder doppelten Datensätzen und Malware-Mustern über Tausende von Protokollen bewältigen. In den vergangenen zehn bis 15 Jahren hat die Nutzung von Technologien eine Revolution erlebt. Cloud-Lösungen, Software-as-a-Service und Infrastructure-as-a-Service haben die Rolle der klassischen IT übernommen. In Zukunft werden vor allem künstliche Intelligenz und maschinelles Lernen eine größere Rolle spielen, um kriminelle Muster in großen Datenmengen schnell und zuverlässig zu erkennen und frühzeitig Warnungen anzuzeigen.
Peter van Zeist, Principal Solutions Consultant bei LastPass, kommentiert: „So wie bei einem Autounfall zuerst die Stoßstange das Hindernis trifft, ist auch der Anwender meist das Einfallstor für Sicherheitsangriffe. Und genauso wenig, wie die Stoßstange selbst unsicher ist, sind die Anwender das Problem. Vielmehr müssen die Unternehmen ihre Mitarbeiter beim Thema Cyber-Sicherheit unterstützen. Damit die entsprechenden Maßnahmen auf Zustimmung stoßen, sollten sie leicht in den Arbeitsalltag integrierbar sein. Darüber hinaus sollten die eingesetzten Tools den Zugriff auf relevante Programme von jedem Ort und von den eigenen Geräten ermöglichen. Auch die passwortlose Authentifizierung hilft, die Zugangshürden für Nutzer bei gleichbleibender Sicherheit zu senken.“
www.lastpass.com/de