Liebe Leserinnen und liebe Leser,
vielen Unternehmen kennen nur zu gut die Bedrohungen, die von Hackern ausgehen. Diese wenden dabei - um nur einige Möglichkeiten zu nennen - Social-Engineering-Attacken, Phising-Mails, Phraming, schlecht gewarteten Mailservern oder Brute-Force-Attacken über Passwortdateien an, um an Ihre Daten zu kommen. Dabei gibt es für Sie als Unternehmen viel zu beachten, um sich vor, bei und nach einem Hackerangriff angemessen zu verhalten. Diese Verhaltensweisen stelle ich als "Goldene Regeln" dar. In diesem Blogbeitrag widme ich mich den Goldenen Regeln vor einem Hackerangriff. In nächsten Beitrag folgen dann die Goldenen Regeln bei/nach einem Hackerangriff.
Goldene Regeln vor einem Hackerangriff
Erfolgreiche Hackerangriffe zu vermeiden muss Ihre Top-Priorität sein!
- Sensibilisieren Sie Ihre Mitarbeiterinnen und Mitarbeiter
Diese Regel klingt einfach, jedoch scheitern die meisten Unternehmen bereits hieran. Setzen Sie einfach eine Schulung zu Datenschutz an. Verfilmen Sie diese Schulung und nutzen Sie diese für neue Mitarbeitende oder für Personen, welche an dem Tag der Schulung nicht teilgenommen haben. - Proben Sie den Ernstfall
Haben Sie schon mal was von einen Phising-Training gehört? Einem Cyber-Security-Awareness? Einfach ausgedrückt erhalten dabei Ihre Mitarbeiterinnen und Mitarbeiter eine simulierte Phising-Mail - wer darauf "reinfällt", erhält eine kostenlose Schulung zum Thema Phising. Solche Simulationen laufen häufig in mehreren Wellen ab. Am Ende können Sie ziemlich sicher sein, dass die gesamte Belegschaft ausreichend geschult und sensbilisiert ist. - Halten Sie Ihre Software aktuell
Software von Mailservern, Webservern, Cloud-Diensten usw. müssen laufend und (im Fall von Zero-Day-Sicherheitslücken) unverzüglich aktuell gehalten werden. Achten Sie darauf! Wenn Sie eine Sicherheitslücke geschlossen haben, die bereits aktiv ausgenutzt wurde, müssen Sie Ihre bestehende IT-Infrastruktur auf vorhandene Sicherheitslücken und Backldoors umfassend untersuchen. Die Änderung und Überprüfung von Adminzugängen ist dabei eine wesentliche Maßnahme. - Nutzen Sie Sicherheitssoftware
1990 hat gerade bei Ihnen angerufen? Sie wollen Ihre Antiviren-Software wieder zurück? Dann haben Sie ein Problem. Denn wenn Antiviren-Software in Ihrem Unternehmen die einzige Phalanx gegen schadhafte Software ist, sollten Sie Ihr "Verteidigungsbudget" erhöhen. 0,5% - 1% Ihres Umsatzes (je nach Branche) sollten es für Informationssicherheit und Datenschutz schon sein. State-of-the-Art bei Sicherheitssoftware sind derzeit Next-Gen Firewalls oder Unified Threat Management, Endpoint Detection and Response, eine Appliance für Schwachstellenmanagement, VPN-Zugänge, 2-Faktor-Authentifizierung, WLAN Zugriffskontrolle über RADIUS. Fragen Sie mal in Ihrer IT-Abteilung nach, was davon bereits eingesetzt wird. - Sichern Sie Ihre Daten (aber richtig!)
Langsam wird es Ernst. Sie haben die Software aktuell gehalten, nutzen State-of-the-Art Sicherheitssoftware, haben Ihre Belegschaft sensibilisiert. Was soll jetzt noch kommen? Jetzt ist es Zeit, Vorsorge für den Ernstfall zu treffen. Sichern Sie Ihre Daten. Klingt profan - ist es aber leider nicht. Denken Sie einfach daran, dass Hacker sich vor einem Angriff teils monatelang Ihr System von Innen nach Schwachstellen durchsuchen. Mit Hilfe von Backdoors kennen diese Ihre Backup-Standorte und greifen diese als Erstes an. Dann kommen die produktiven Daten und zum Schluss wird ein Erpresserbrief tausendfach an den Drucker geleitet. Deswegen: Sichern Sie Ihre Daten geschützt vor Hackerangriffen.
Eine moderne Datensicherungsstrategie ist daher notwendig, welche die 3-2-1-1-0-Regel beinhaltet. Dies bedeutet:
- Bewahren Sie mindestens drei (3) Kopien Ihrer Daten auf.
- Speichern Sie Ihre Datensicherungen auf zwei (2) verschiedenen Medien.
- Bewahren Sie mindestens eine (1) Sicherungskopie außerhalb des priomären Datenstandorts auf.
- Speichern Sie eine (1) Datenkopie offline (ganz! wichtig zur Vorsroge gegen Hackerangriffen).
- Vergewissern Sie sich regelmäßig, dass die Datensicherungen Null (0) Fehler haben.
Haben Sie Fragen zur Vorbeugung oder zum Umgang mit einem Hackerangriff - dann melden Sie sich gerne bei mir.
Viele Grüße aus der Kaiserstadt Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen
Photo by Jefferson Santos on Unsplash. Danke!