:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Remote Work steigert Sicherheitsbedürfnis der Unternehmen Datensicherheit braucht einen Mix an Maßnahmen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Die weltweite Datenmenge steigt rasant an. 2025 wird sie 175 Zettabyte (ZB) erreichen, so die International Data Corporation. Das entspricht einem Wachstum von 27 Prozent jährlich seit 2018. Damals waren es noch 33 ZB. Diese unvorstellbare Menge an Daten effizient zu sichern, wird zu einer der größten Herausforderungen der IT in den nächsten Jahren. Denn mehr Datentransfer bedeutet auch mehr Risiko unberechtigter Zugriffe.
Daten gehören in unserer Zeit zu den wertvollsten Ressourcen überhaupt. Doch wenn es darum geht, diesen Schatz zu beschützen, hinken die Unternehmen hinterher. Das haben der Filehosting-Dienst Tresorit und das Umfrageinstitut Opinion Matters in einer Befragung von IT-Entscheidungsträgern festgestellt: Führungskräfte halten sichere Datentransfers gerade angesichts des Remote-Work-Booms für besonders wichtig – nutzen die Tools für Cybersecurity jedoch nur unzureichend. Wie muss also eine effiziente Sicherheitsstrategie aussehen?
Einer der wichtigsten Gründe hierfür ist, neben dem allgemeinen Wachstum der Datenmengen, die zunehmende Anzahl von Arbeitsplätzen außerhalb der Unternehmen. Sie sind infolge der Pandemie stark angestiegen. Der Bundesverband Digitale Wirtschaft hat festgestellt, dass ein Viertel der Angestellten auch noch nach Corona hybrid arbeiten wird, also Teile seiner Arbeitszeit im Home Office verbringt.
Doch wenn Daten das Unternehmensnetzwerk verlassen, um sie mit externen Partnern zu teilen oder wenn sie umgekehrt von außen in das Netzwerk eingebracht werden, steigt die Gefahr unberechtigter Zugriffe. Folgerichtig steigt das Sicherheitsbedürfnis. Das hat eine Befragung des Filesharing-Anbieters Tresorit, gemeinsam durchgeführt mit dem Marktforschungsunternehmen Opinion Matters, unter 750 IT-Entscheidungsträger ergeben. 72 Prozent von ihnen gaben an, dass sicherer Datenaustausch in Zeiten von Remote Work bedeutender geworden ist. Die drei größten Risiken, die Befragten sehen, sind Sicherheitsschwachstellen der verwendeten Software (49 Prozent), potenzieller Kontrollverlust über geteilte Dateien (47 Prozent) und die Schwierigkeit bei der Bereitstellung und Instandhaltung der Tools (46 Prozent).
Während die Unternehmen sich also der zunehmenden Gefahr von Cyperkriminalität bewusst sind, hinken die getroffenen Maßnahmen jedoch hinterher. So gaben 70 Prozent an, dass ihr Unternehmen noch keine umfassenden Richtlinien für das Teilen sensibler Daten mit Externen hat, nur 30 Prozent nutzen integrierte End-to-End-Encryption-Tools.
Filesharing-Anbieter können Unternehmen dabei unterstützen, Daten geschützt zu transferieren, ohne dass sensible Informationen auf dem Weg verloren gehen. Welche Möglichkeiten gibt es also, um resiliente Sicherheitsstrategien für den externen Datenaustausch aufzubauen?
Mitarbeiter:innen für IT-Sicherheit und Datenschutz sensibilisieren
Social Engineering bezeichnet den Versuch zwischenmenschlicher Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen. Im Kontext von Datensicherheit bedeutet dies, an vertrauliche Informationen wie Kreditkartendaten und Passwörter zu gelangen oder Schadsoftware zu installieren. Cyberkriminelle haben den Wert menschlicher Manipulation erkannt, um in fremde Computersysteme einzudringen. Eine Bitkom-Studie aus dem Jahr 2020 besagt, dass 22 Prozent der Unternehmen von analogen, 15 Prozent von digitalen Social-Engineering-Attacken betroffen waren. Denn ist die IT-Security noch so ausgefeilt und robust, wenn Mitarbeiter:innen in gutem Glauben Zugangsdaten und Passwörter an getarnte Hacker:innen weitergeben, ist jede Sicherheitslösung vergebens.
Auch Achtlosigkeit stellt ein hohes Risiko dar. Als sich im Mai 2021 beim IT-Dienstleister IBES sich ein Verschlüsselungstrojaner den Zugriff auf die Computersysteme verschaffte, nannte das Unternehmen als Grund “menschliche Fahrlässigkeit”. Das kann ein unbedachter Klick auf einen Link sein, der ein komplettes System mit Viren infiziert. Auch wenn Mitarbeiter:innen unterwegs sind und in öffentlichen WLAN-Netzwerken arbeiten, vielleicht sogar auf ihren privaten Mobiltelefonen ohne entsprechende Sicherheitssoftware, ist das Risiko hoch. Deswegen sollte die Sensibilisierung der Angestellten für die Gefahren des Social Engineering ein zentrales Element der Sicherheitsstrategie sein. Es ist sinnvoll, einen Datenschutzbeauftragten zu benennen, der Angestellte regelmäßig schult und über aktuelle Bedrohungen und Vorbeugungsmaßnahmen informiert.
Passwörter und Authentifizierung ernst nehmen
Im April 2021 wurden die Computersysteme der Vereinten Nationen Opfer eines Hacker:innenangriffs. Dies geschah wahrscheinlich durch Zugangsdaten, die im Darknet zum Kauf angeboten wurden. Unverzichtbar für die Cybersecurity sind deshalb Passwortmanagertools zur Generierung sicherer Zugangsdaten und zu ihrer zentralen Verwaltung. Sie vergeben starke und einzigartige Passwörter für jedes einzelne Konto, die regelmäßig ausgetauscht werden. Dabei können IT-Teams einen Turnus festlegen, in dem Mitarbeiter:innen ihre Passwörter regelmäßig ändern müssen, um weiterhin Zugriff auf die Systeme des Unternehmens zu haben. Bei besonders sensiblen Firmendaten ist darüber hinaus eine Zwei-Faktor-Authentifizierung anzuraten.
Antivirenprogramm up to date halten
Die aufmerksame Pflege der Passwörter und die Schulung der Mitarbeiter:innen, um Phishing-Mails zu erkennen reichen jedoch nicht aus, um Systeme gegen feindliche Attacken zu schützen. Auch die IT-Umgebungen selbst müssen gesichert sein, da sie ansonsten für Hacker:innen der leichteste Weg sind, in die Systeme der Unternehmen zu gelangen oder Erpressersoftware, Trojaner und Botnets zu installieren.
Antivirensoftware überprüft beispielsweise Anhänge von E-Mails oder den gesamten Rechner auf Anzeichen bösartiger Software. Dies geschieht vornehmlich, indem sie die Daten auf dem Rechner nach verdächtigen Daten durchsucht. Findet sie die Signatur einer Schadsoftware, blockiert das Programm den weiteren Zugriff auf die betroffenen Daten. Da täglich neue Varianten von Schädlingen auftreten, müssen die Signaturen immer auf dem aktuellen Stand sein und die Software regelmäßig aktualisiert werden.
Backups schützen Daten vor Ransomware
Hacker:innen, die in IT-Systeme eindringen, um die Infrastruktur lahmzulegen, stehlen die Daten und löschen sie von den Servern. Gegen Zahlung eines Lösegeldes (“ransom”) bieten sie den Wiedererwerb der Daten an. Um die Erpressbarkeit zu minimieren, ist es wichtig, sensible Daten über einen Back-up-Service zu sichern. Dieser ist nicht automatisch in jeder Cloud integriert und sollte in jedem Fall vertraglich festgelegt werden. Filesharing-Dienste bieten ebenfalls solche Services an.
Ende-zu-Ende-Verschlüsselung beim Datentransfer
Wie eingangs beschrieben, ist der Transfer von Unternehmensdaten mit besonders hohen Sicherheitsrisiken behaftet. Vermeiden lässt sich dieses Risiko kaum, denn fast jedes Unternehmen ist in irgendeiner Art auf den Austausch von Daten angewiesen. Allerdings sind die Lösungen von Filesharing-Anbietern heute so weit entwickelt, dass Unternehmen das Risiko auf ein Minimum reduzieren können. Ende-zu-Ende-Verschlüsselung gilt aktuell als der Königsweg, um vertrauliche Daten von Nutzer:innen zu schützen. Hierbei erfolgt die Verschlüsselung clientseitig, wodurch Dateien verschlüsselt werden, bevor sie das Absender-Gerät verlassen. Sie bleiben so lange vollständig verschlüsselt, bis sie die Empfänger:innen erreichen. Das Zero-Knowledge-Prinzip besagt, dass ein Anbieter Dateien und Passwörter niemals unverschlüsselt oder in Klartext einsehen kann. Im Falle einer Datenpanne kann so niemand die Inhalte entschlüsseln.
Mix aus Maßnahmen
Um den Datentransfer sicher zu gestalten, bedarf es also einer Kombination aus verschiedenen Maßnahmen: die richtige Security-Software, ein sicheres Filesharing und geschulte und sensibilisierte Mitarbeiter:innen. Erst wenn diese drei Faktoren erfüllt sind, erreichen Unternehmen jene Cyber-Resilienz, die in Zeiten eines angestiegenen Datenaustausches über die Unternehmenssysteme hinweg unverzichtbar ist.
Über den Autor: István Lám ist CEO and Founder von Tresorit.
(ID:47904566)
:quality(80)/images.vogel.de/vogelonline/bdb/1882800/1882828/original.jpg "Der Report „Psychologie der Passwörter“ von Lastpass zeigt die Diskrepanz zwischen dem Sicherheitsbewusstsein vieler Internetnutzer und der gelebten Praxis. (Vitalii Vodolazskyi - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941649/original.jpg "Access Governance bildet die Prozesse, Strukturen und Verantwortlichkeiten ab, um den Zugriff auf Unternehmensdaten und -anwendungen zu sichern. (gemeinfrei)")