:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Remote Work steigert Sicherheitsbedürfnis der Unternehmen Datensicherheit braucht einen Mix an Maßnahmen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die weltweite Datenmenge steigt rasant an. 2025 wird sie 175 Zettabyte (ZB) erreichen, so die International Data Corporation. Das entspricht einem Wachstum von 27 Prozent jährlich seit 2018. Damals waren es noch 33 ZB. Diese unvorstellbare Menge an Daten effizient zu sichern, wird zu einer der größten Herausforderungen der IT in den nächsten Jahren. Denn mehr Datentransfer bedeutet auch mehr Risiko unberechtigter Zugriffe.
Daten gehören in unserer Zeit zu den wertvollsten Ressourcen überhaupt. Doch wenn es darum geht, diesen Schatz zu beschützen, hinken die Unternehmen hinterher. Das haben der Filehosting-Dienst Tresorit und das Umfrageinstitut Opinion Matters in einer Befragung von IT-Entscheidungsträgern festgestellt: Führungskräfte halten sichere Datentransfers gerade angesichts des Remote-Work-Booms für besonders wichtig – nutzen die Tools für Cybersecurity jedoch nur unzureichend. Wie muss also eine effiziente Sicherheitsstrategie aussehen?
Einer der wichtigsten Gründe hierfür ist, neben dem allgemeinen Wachstum der Datenmengen, die zunehmende Anzahl von Arbeitsplätzen außerhalb der Unternehmen. Sie sind infolge der Pandemie stark angestiegen. Der Bundesverband Digitale Wirtschaft hat festgestellt, dass ein Viertel der Angestellten auch noch nach Corona hybrid arbeiten wird, also Teile seiner Arbeitszeit im Home Office verbringt.
Doch wenn Daten das Unternehmensnetzwerk verlassen, um sie mit externen Partnern zu teilen oder wenn sie umgekehrt von außen in das Netzwerk eingebracht werden, steigt die Gefahr unberechtigter Zugriffe. Folgerichtig steigt das Sicherheitsbedürfnis. Das hat eine Befragung des Filesharing-Anbieters Tresorit, gemeinsam durchgeführt mit dem Marktforschungsunternehmen Opinion Matters, unter 750 IT-Entscheidungsträger ergeben. 72 Prozent von ihnen gaben an, dass sicherer Datenaustausch in Zeiten von Remote Work bedeutender geworden ist. Die drei größten Risiken, die Befragten sehen, sind Sicherheitsschwachstellen der verwendeten Software (49 Prozent), potenzieller Kontrollverlust über geteilte Dateien (47 Prozent) und die Schwierigkeit bei der Bereitstellung und Instandhaltung der Tools (46 Prozent).
Während die Unternehmen sich also der zunehmenden Gefahr von Cyperkriminalität bewusst sind, hinken die getroffenen Maßnahmen jedoch hinterher. So gaben 70 Prozent an, dass ihr Unternehmen noch keine umfassenden Richtlinien für das Teilen sensibler Daten mit Externen hat, nur 30 Prozent nutzen integrierte End-to-End-Encryption-Tools.
Filesharing-Anbieter können Unternehmen dabei unterstützen, Daten geschützt zu transferieren, ohne dass sensible Informationen auf dem Weg verloren gehen. Welche Möglichkeiten gibt es also, um resiliente Sicherheitsstrategien für den externen Datenaustausch aufzubauen?
Mitarbeiter:innen für IT-Sicherheit und Datenschutz sensibilisieren
Social Engineering bezeichnet den Versuch zwischenmenschlicher Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen. Im Kontext von Datensicherheit bedeutet dies, an vertrauliche Informationen wie Kreditkartendaten und Passwörter zu gelangen oder Schadsoftware zu installieren. Cyberkriminelle haben den Wert menschlicher Manipulation erkannt, um in fremde Computersysteme einzudringen. Eine Bitkom-Studie aus dem Jahr 2020 besagt, dass 22 Prozent der Unternehmen von analogen, 15 Prozent von digitalen Social-Engineering-Attacken betroffen waren. Denn ist die IT-Security noch so ausgefeilt und robust, wenn Mitarbeiter:innen in gutem Glauben Zugangsdaten und Passwörter an getarnte Hacker:innen weitergeben, ist jede Sicherheitslösung vergebens.
Auch Achtlosigkeit stellt ein hohes Risiko dar. Als sich im Mai 2021 beim IT-Dienstleister IBES sich ein Verschlüsselungstrojaner den Zugriff auf die Computersysteme verschaffte, nannte das Unternehmen als Grund “menschliche Fahrlässigkeit”. Das kann ein unbedachter Klick auf einen Link sein, der ein komplettes System mit Viren infiziert. Auch wenn Mitarbeiter:innen unterwegs sind und in öffentlichen WLAN-Netzwerken arbeiten, vielleicht sogar auf ihren privaten Mobiltelefonen ohne entsprechende Sicherheitssoftware, ist das Risiko hoch. Deswegen sollte die Sensibilisierung der Angestellten für die Gefahren des Social Engineering ein zentrales Element der Sicherheitsstrategie sein. Es ist sinnvoll, einen Datenschutzbeauftragten zu benennen, der Angestellte regelmäßig schult und über aktuelle Bedrohungen und Vorbeugungsmaßnahmen informiert.
Passwörter und Authentifizierung ernst nehmen
Im April 2021 wurden die Computersysteme der Vereinten Nationen Opfer eines Hacker:innenangriffs. Dies geschah wahrscheinlich durch Zugangsdaten, die im Darknet zum Kauf angeboten wurden. Unverzichtbar für die Cybersecurity sind deshalb Passwortmanagertools zur Generierung sicherer Zugangsdaten und zu ihrer zentralen Verwaltung. Sie vergeben starke und einzigartige Passwörter für jedes einzelne Konto, die regelmäßig ausgetauscht werden. Dabei können IT-Teams einen Turnus festlegen, in dem Mitarbeiter:innen ihre Passwörter regelmäßig ändern müssen, um weiterhin Zugriff auf die Systeme des Unternehmens zu haben. Bei besonders sensiblen Firmendaten ist darüber hinaus eine Zwei-Faktor-Authentifizierung anzuraten.
Antivirenprogramm up to date halten
Die aufmerksame Pflege der Passwörter und die Schulung der Mitarbeiter:innen, um Phishing-Mails zu erkennen reichen jedoch nicht aus, um Systeme gegen feindliche Attacken zu schützen. Auch die IT-Umgebungen selbst müssen gesichert sein, da sie ansonsten für Hacker:innen der leichteste Weg sind, in die Systeme der Unternehmen zu gelangen oder Erpressersoftware, Trojaner und Botnets zu installieren.
Antivirensoftware überprüft beispielsweise Anhänge von E-Mails oder den gesamten Rechner auf Anzeichen bösartiger Software. Dies geschieht vornehmlich, indem sie die Daten auf dem Rechner nach verdächtigen Daten durchsucht. Findet sie die Signatur einer Schadsoftware, blockiert das Programm den weiteren Zugriff auf die betroffenen Daten. Da täglich neue Varianten von Schädlingen auftreten, müssen die Signaturen immer auf dem aktuellen Stand sein und die Software regelmäßig aktualisiert werden.
Backups schützen Daten vor Ransomware
Hacker:innen, die in IT-Systeme eindringen, um die Infrastruktur lahmzulegen, stehlen die Daten und löschen sie von den Servern. Gegen Zahlung eines Lösegeldes (“ransom”) bieten sie den Wiedererwerb der Daten an. Um die Erpressbarkeit zu minimieren, ist es wichtig, sensible Daten über einen Back-up-Service zu sichern. Dieser ist nicht automatisch in jeder Cloud integriert und sollte in jedem Fall vertraglich festgelegt werden. Filesharing-Dienste bieten ebenfalls solche Services an.
Ende-zu-Ende-Verschlüsselung beim Datentransfer
Wie eingangs beschrieben, ist der Transfer von Unternehmensdaten mit besonders hohen Sicherheitsrisiken behaftet. Vermeiden lässt sich dieses Risiko kaum, denn fast jedes Unternehmen ist in irgendeiner Art auf den Austausch von Daten angewiesen. Allerdings sind die Lösungen von Filesharing-Anbietern heute so weit entwickelt, dass Unternehmen das Risiko auf ein Minimum reduzieren können. Ende-zu-Ende-Verschlüsselung gilt aktuell als der Königsweg, um vertrauliche Daten von Nutzer:innen zu schützen. Hierbei erfolgt die Verschlüsselung clientseitig, wodurch Dateien verschlüsselt werden, bevor sie das Absender-Gerät verlassen. Sie bleiben so lange vollständig verschlüsselt, bis sie die Empfänger:innen erreichen. Das Zero-Knowledge-Prinzip besagt, dass ein Anbieter Dateien und Passwörter niemals unverschlüsselt oder in Klartext einsehen kann. Im Falle einer Datenpanne kann so niemand die Inhalte entschlüsseln.
Mix aus Maßnahmen
Um den Datentransfer sicher zu gestalten, bedarf es also einer Kombination aus verschiedenen Maßnahmen: die richtige Security-Software, ein sicheres Filesharing und geschulte und sensibilisierte Mitarbeiter:innen. Erst wenn diese drei Faktoren erfüllt sind, erreichen Unternehmen jene Cyber-Resilienz, die in Zeiten eines angestiegenen Datenaustausches über die Unternehmenssysteme hinweg unverzichtbar ist.
Über den Autor: István Lám ist CEO and Founder von Tresorit.
(ID:47904566)
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/35/cc35d451329be8f392d7a7b05f90de61/0106128114.jpeg "Automatisiertes Pentesting ermöglicht es Unternehmen, Sicherheitsüberprüfungen kostengünstig als regelmäßigen Prozess in die Cybersecurity-Strategie zu integrieren. (Bild: Alexander Limbach - stock.adobe.com)")