Wie Sie Ihr Unternehmen in einer Welt der Cybersicherheitsrisiken am Laufen halten
Cybersicherheit ist ein Dauerthema in den Nachrichten. Kein Tag vergeht ohne eine Schlagzeile über den Diebstahl von Passwörtern, Einbrüche in Unternehmen oder den Verlust von Daten oder Bitcoins. Die Liste scheint endlos zu sein. Als CEO von Securosys werde ich regelmäßig gefragt, ob und wie wir Unternehmen gegen all diese Bedrohungen helfen können. Leider gibt es keine einzige Maßnahme oder Pille, die gegen alles hilft. Was kann ein Unternehmen also tun, um seine Systeme und Daten zu schützen?
Sie brauchen einen mehrschichtigen Schutz: Das beginnt bei der Passwortsicherheit, der E-Mail-Sicherheit, der Datensicherheit, der Sicherheit der Infrastruktur und der Geräte, und so weiter. Da ich die Frage nun öfters erhalten habe, möchte ich einige bewährte Verfahren und Lösungen zur Bekämpfung dieser Bedrohungen empfehlen.
Passwörter
Schwache Passwörter sind eine große Bedrohung. Daher müssen Passwörter lang sein (je länger, desto besser) und sollten schwer zu erraten sein, am besten sind zufällige Zeichenfolgen. Sie sollten keine Wörter enthalten, die in Wörterbüchern zu finden sind - das sollte aber nichts Neues sein. Eine angemessene Passwortpolitik, die von der IT-Abteilung des Unternehmens über den Verzeichnisserver (z. B. AD) durchgesetzt wird, kann dies erzwingen. Es liegt auf der Hand, dass solche Passwörter nur schwer zu merken sind. Ein Passwort-Manager wie SecureSafe von der Schweizer Firma DSwiss kann eine gute Lösung sein, um die eigenen Passwörter zu speichern und aufzubewahren. Weitere empfehlenswerte Passwortmanager finden Sie im Blog von Bruce Schneier (Bruce ist eine der besten Ressourcen für Cybersicherheit). Darüber hinaus sollte jeder daran erinnert werden, selbst unbedeutende persönliche Fragen nicht auf Social-Media-Konten zu posten oder zu beantworten. Hacker nutzen diese Art von Social Engineering, um Profile von Personen zu erstellen, die dann verwendet werden, um in deren Konten einzubrechen (Video zur Funktionsweise).
Um noch einen Schritt weiter zu gehen, sollten diese schwer zu erratenden Passwörter mit einer Zwei-Faktor-Authentifizierung kombiniert werden, um den Zugang zu allen internen und externen Unternehmensdiensten zu sichern. Dies kann mit SMS, Authentifikatoren oder anderen Methoden geschehen. Wenn Sie dabei Hilfe benötigen, bietet das Schweizer Unternehmen Nevis sogar passwortlose Lösungen an: Schauen Sie es sich mal an.
E-Mails
Die zweite Falltür ist die E-Mail. Hier besteht eine doppelte Gefahr: zum einen, bei dem was an Sie gesendet wird, und zum anderen, wie sicher und privat der Inhalt ist, den Sie versenden. Phishing ist ein ständiges Problem bei E-Mails, und egal, wie gut die Spam- und Phishing-Filter sind, es kommen immer noch Dinge durch. Die Mitarbeiter wissen, dass sie nicht auf Links klicken oder Anhänge öffnen sollten, aber diese E-Mail-Köder werden von Jahr zu Jahr trügerischer. Eine einfache Maßnahme, um die Mitarbeiter daran zu erinnern, kann vom IT-Team des Unternehmens ergriffen werden: Fügen Sie jeder E-Mail, die von einer externen Quelle kommt, ein Banner hinzu.
Oder
Eine erneute Überprüfung des Absenders, bevor man etwas öffnet oder anklickt, könnte ebenfalls helfen. Einen hundertprozentigen Schutz gibt es nicht, und die Achtsamkeit Ihres Teams ist ebenso erforderlich wie wiederholte Schulungen.
Gehen Sie bei Nachrichten, die Sie per E-Mail versenden, einfach davon aus, dass andere Personen sie mit wenig Aufwand lesen können. Das sollte Ihnen einen Anhaltspunkt dafür geben, was Sie in E-Mails schreiben und aufnehmen sollten. Um es kurz zu machen: Vertrauliche Inhalte gehören nicht in E-Mails, es sei denn, Sie verwenden Nachrichtenverschlüsselung und authentifizierte E-Mails. Wenn Sie etwas Vertrauliches per E-Mail an eine Partei senden müssen, die keine verschlüsselten E-Mails empfangen kann, dann verschlüsseln Sie die Datei (schützen Sie Ihre PDF-, Word- oder Excel-Datei mit einem Passwort oder verwenden Sie DKE, siehe unten) und geben Sie das Passwort über einen anderen Kanal weiter (z. B. über das Schweizer Messaging-Tool Threema). Obwohl einige Experten darauf hinweisen, dass die Kommunikation zwischen authentifizierten Mailservern verschlüsselt ist, gibt es keine Garantie, dass dies für alle E-Mails funktioniert. Außerdem werden E-Mails sowohl auf dem sendenden als auch auf dem empfangenden Mailserver im Klartext gespeichert. Daher ist es besser, vorsichtig zu sein. Abschliessend sollten Sie in Erwägung ziehen, Ihren E-Mails Zertifikate hinzuzufügen und sie mit einer öffentlich überprüfbaren Signatur zu versehen.
Persönliche Geräte
Bevor wir uns mit der Datensicherheit befassen, sollten wir einen Blick auf die Sicherheit der Infrastruktur und der Geräte werfen. Persönliche Geräte werden heutzutage in fast jedem Unternehmen verwendet. Die Mitarbeiter nutzen ihre eigenen Mobiltelefone, um Firmen-E-Mails zu lesen und zu versenden. Das Wichtigste ist, keine Softwareaktualisierung auf diesen Geräten zu verzögern. Die Hersteller von Mobiltelefonen sind sehr darauf bedacht, die Sicherheit ihrer Systeme zu gewährleisten - aktualisieren Sie also Ihr Telefon! Wenn Sie wissen möchten, wie Sie Ihr persönliches digitales Leben sicherer machen können, lesen Sie diesen großartigen Arstechnica-Artikel.
Umstellung auf die Cloud
Unternehmen wollen ihre IT-Infrastruktur nicht mehr in ihrem Keller betreiben, sondern bevorzugen die Nutzung öffentlicher Cloud-Dienste. Für die meisten Unternehmen überwiegen die Vorteile eines Cloud-Dienstes, wie z. B. Microsoft 365, bei weitem die Risiken. Der Betrieb Ihrer Systeme in Ihrem eigenen Rack bietet weder Redundanz, Failover noch Offsite-Backup. Die großen öffentlichen Cloud-Anbieter verfügen über Teams, die die Infrastruktur 24 Stunden am Tag, sieben Tage die Woche überwachen, warten, aktualisieren und überprüfen. Wenn ein Unternehmen dies selbst tun möchte, bräuchte es ein Team von mehreren engagierten Experten - etwas, das sich die meisten kleineren und mittleren Unternehmen einfach nicht leisten können. Bei öffentlichen Cloud-Diensten sind Ihre Daten um Größenordnungen sicherer. Allerdings müssen Sie darauf achten, dass Sie die Datenhoheit und den Datenschutz nicht verlieren.
Datenschutz in der Cloud
Public-Cloud-Anbieter bauen überall auf der Welt und in vielen Ländern Rechenzentren auf. Dies ermöglicht es Unternehmen, Daten in ihrer Region zu halten und die Latenzzeit für den Zugriff auf sie zu verringern. Ohne geeignete Maßnahmen sind jedoch die Datenhoheit und der Datenschutz nicht mehr gewährleistet. Diese amerikanischen (AWS, Google, Azure usw.) oder chinesischen (Alibaba, Tencent usw.) Public-Cloud-Anbieter unterliegen der Rechtsprechung ihres Landes und müssen, wenn sie dazu gezwungen werden, ihren Regierungen Zugang zu den Daten in ihren Clouds gewähren, unabhängig davon, wo auf der Welt die Daten gespeichert sind. Microsoft zeigt auf seiner Website sogar beispielhaft, wie oft das geschieht.
Wie können Sie also Ihre Daten in öffentlichen Clouds privat halten? Selbst wenn Sie der Meinung sind, dass Ihre Daten nicht geschützt werden müssen, können Vorschriften wie die Datenschutz-Grundverordnung (GDPR) oder Ihr (interner oder lokaler) Datenschutzbeauftragter Sie dazu zwingen, dafür zu sorgen, dass niemand Ihre Daten lesen kann, nicht einmal der Cloud-Anbieter und seine Administratoren. Die Antwort ist natürlich Verschlüsselung. Bevor etwas Vertrauliches in der öffentlichen Cloud gespeichert wird, wird es zunächst auf Ihrem lokalen Computer verschlüsselt, bevor es in die Cloud gesendet wird. Das Unternehmen selbst, also Sie, ist dann im Besitz des Verschlüsselungsschlüssels. Auch hier ist Microsoft vorbildlich, denn es hat für die Office-Produkte von Microsoft 365 den Dienst DKE - Double Key Encryption - entwickelt. Mit ihm können Sie Dokumente (und E-Mails) als geheim kennzeichnen und auf Ihrem Laptop verschlüsseln, bevor sie in die Azure-Cloud gehen, während der Verschlüsselungsschlüssel bei Ihnen verbleibt. Auf diese Weise können Datenhoheit und Datenschutz gewahrt werden. Hier kommt die Eigenwerbung: Bei Securosys bieten wir den Cloud-Service Securosys 365 DKE an, der diese DKE-Schlüssel mit Securosys Hardware Security Modules in unserem CloudsHSM speichert. Er ist nahtlos in Microsoft 365 integriert, im Handumdrehen eingerichtet und einfach, aber sicher zu nutzen.
Und mehr ...
Bei Securosys haben wir großartige Lösungen, um Verschlüsselungs- und Signaturschlüssel sicher zu verwalten. Einige der oben genannten Unternehmen nutzen unsere Lösungen, um ihre Dienste zu schützen. Allerdings hört es bei der Cybersicherheit nie auf. Es gibt keine einzige Pille, die gegen alle Cyber-Bedrohungen hilft, und jedes Jahr, jeden Monat sind weitere Anstrengungen erforderlich. Leider ist die Liste der oben genannten Bedrohungen nicht vollständig. Es werden immer wieder neue Angriffe erfunden, und Sie müssen Ihre Systeme ständig verbessern. Die Website des Schweizerischen Nationalen Zentrums für Cybersicherheit ist eine hervorragende Quelle, um weiter zu recherchieren, mehr zu erfahren und auf dem Laufenden zu bleiben, wie Sie Ihr Unternehmen schützen können. Und wenn Sie glauben, dass Securosys Ihnen helfen kann, zögern Sie nicht, uns zu kontaktieren.