Jährlich verursachen Cyberangriffe auf deutsche Unternehmen rund 203 Millionen Euro Schaden. Laut Bitkom werden 9 von 10 Unternehmen Opfer von Datendiebstahl Sabotage oder Spionage.
Das sind erstmal beängstigende Zahlen. Doch keine Sorge: Es gibt zahlreiche Möglichkeiten dein Unternehmen gegen Cyberangriffe zu schützen. Der erste Schritt ist dabei immer die Information über die verschiedenen Bedrohungen und wie man sie verhindert. Genau darum geht es in diesem Artikel. Du erfährst:
Im zweiten Schritt solltest du ein IT-Audit durchführen um herauszufinden welche Sicherheitslücken in deiner IT-Infrastruktur bestehen und diese dann im dritten Schritt beheben. Um eine kontinuierliche IT-Sicherheit zu gewährleisten werden die drei Schritte Information Audit und Anpassung regelmäßig wiederholt.
In Deutschland gibt es zahlreiche Gesetze, die Vorgaben zu IT-Sicherheitsmaßnahmen und -standards machen. Während diese Vorgaben Unternehmen eigentlich helfen sollen, sich besser zu schützen, können sie auch ziemlich verwirrend sein. Wir geben dir einen Überblick über die wichtigsten Gesetze und Standards und für welche Unternehmen sie relevant sind.
Das im Juli 2015 in Kraft getretene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz) dient dazu, verschiedene andere Gesetze unterschiedlicher Rechtsgebiete im Punkt Informationssicherheit zu ergänzen.
Dazu gehören zum Beispiel das Energiewirtschaftsgesetz, das Telekommunikationsgesetz und das Telemediengesetz.
Seit 2016 ergänzt die KRITIS-Verordnung das IT-Sicherheitsgesetz. Sie schreibt konkrete Maßnahmen vor, die Betreiber kritischer Infrastrukturen implementieren müssen. Besonders wichtig sind:
Bei Nichteinhaltung der KRITIS-Verordnung drohen hohe Geldstrafen.
Die NIS-Richtlinie war das erste EU-Gesetz zum Thema Cybersicherheit, war aber durch die rasante digitale Transformation in der Gesellschaft schnell überholt. 2024 tritt die angepasste NIS2-Richtlinie in Kraft und wird auch in der KRITIS-Verordnung berücksichtigt.
Das TTDSG umfasst alle datenschutzrechtlichen Vorschriften aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG), um den Unternehmen einen besseren Überblick über die Anforderungen zu bieten. Ergänzt wird es durch das IT-Sicherheitsgesetz und die DSGVO.
Seit dem 25. Mai 2018 gilt die DSGVO in allen EU-Staaten als offizielles, der nationalen Gesetzgebung übergeordnetes Datenschutzgesetz. Zwar geht es in der DSGVO nicht direkt um IT-Sicherheit, sondern um den Schutz personenbezogener Daten, doch in diesem Rahmen fordert die DSGVO die Umsetzung bestimmter technischer und organisatorischer Maßnahmen (TOM).
Diese Maßnahmen überschneiden sich zum Großteil mit den Anforderungen der ISO 27001 (internationale Norm für Informationssicherheit). Diese Norm ist der branchenübergreifende Goldstandard für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) und ein guter Anfangspunkt für die Erfüllung der gesetzlichen IT-Sicherheitsanforderungen.
Auch andere Gesetze wie das TTDSG verweisen zum Beispiel beim Thema Cookies auf die DSGVO. Die Grundverordnung spielt also in der IT-Sicherheit eine wichtige Rolle.
Der erste Schritt zur nachhaltigen Verbesserung der eigenen IT-Sicherheit ist, die Bedrohungen zu verstehen. Denn Cyberkriminelle verwenden vielfältige Methoden, um IT-Systeme anzugreifen. Wir zeigen dir die wichtigsten und erklären gleich dazu, wie du dich dagegen schützen kannst.
Laut einem Data Breach Investigations Report spielt das menschliche Element in 74% der Sicherheitsvorfälle eine zentrale Rolle. Social-Engineering-Angriffe nutzen das menschliche Verhalten aus, um sich unbefugten Zugang zu deinen Systemen zu verschaffen.
Die bekannteste Form des Social Engineering ist Phishing. Dabei wird das Opfer in einer sehr realistischen E-Mail, SMS oder Fake-Website dazu gebracht, auf einen Link zu klicken und Passwörter oder andere Anmeldedaten preiszugeben. Der Angreifer kann diese Daten einfach aufgreifen (“fischen”) und erhält Zugang zum System. In einigen Fällen veranlassen Phishing-Mails das Opfer auch dazu, schädliche Software herunterzuladen.
Phishing-Nachrichten sind teilweise sehr ausgeklügelt, was es für die Betroffenen schwierig macht, sie als solche zu identifizieren. Teilweise schaffen Angreifer es, sich in bestehende E-Mail-Konversationen einzuklinken und sich auf die Unterhaltung zu beziehen. Andere E-Mails haben bekannte Logos und sich seriös designt, sodass man erst bei genauem Hinsehen die verdächtige Absenderadresse erkennt. Um Phishing-Angriffe unschädlich zu machen, sind deshalb nicht nur technische Maßnahmen, sondern vor allem auch Mitarbeiterschulungen notwendig.
Damit Mitarbeiter Phishing-Angriffe erkennen können, müssen sie über typische Angriffsmerkmale aufgeklärt werden und verstehen, worauf sie bei E-Mails achten müssen - zum Beispiel die Absenderadresse jeder Mail und die URL jeder Website zu überprüfen.
Um die Mitarbeiter zu sensibilisieren und ihr Verhalten zu überprüfen, können regelmäßige Phishing-Simulationen durchgeführt werden. Dabei wird von der eigenen IT-Abteilung eine Phishing-Mail versendet. Geht die Mail durch und wird vom Mitarbeiter nicht gemeldet, sind weitere, gezielte Sicherheitsschulungen nötig.
Es gibt auch technische Möglichkeiten wie E-Mail-Filter und Anti-Phishing-Tools, die verdächtige Mails abfangen. So kommen Phishing-Mails in der Regel gar nicht erst in den Posteingang. Dennoch sollten die Mitarbeiter sich nicht blind auf diese Tools verlassen.
Wenn die Mitarbeiter ermutigt werden, verdächtige Mails sofort zu melden, statt darauf zu antworten oder auf den enthaltenen Link zu klicken, kann das Risiko eines erfolgreichen Phishing-Angriffs deutlich gesenkt werden. Lieber zehn Mal ein falscher Alarm als einmal eine echte Bedrohung, die zu spät erkannt wird.
Zugriffsbeschränkung bedeutet, dass Mitarbeiter nur auf die Funktionen und Daten zugreifen können, die sie unbedingt benötigen und keine Administratorrechte haben. Werden Passwörter und Anmeldedaten bei einem Phishing-Angriff abgegriffen, kann der Angreifer somit nicht auf das gesamte Netzwerk zugreifen.
Zusätzlich geschützt wird das Netzwerk durch eine Segmentierung in kleinere, isolierte Bereiche, die zum Beispiel durch Firewalls, SDNs oder VLANs getrennt sind. Das schränkt die Zugriffsmöglichkeiten des Angreifers zusätzlich ein.
Indem Mitarbeiter sichere Passwörter wählen und diese regelmäßig ändern, besteht ein geringes Risiko, dass Angreifer mit einem kompromittierten Passwort Zugang zum System bekommen. Zwei-Faktor-Authentifizierung minimiert das Risiko zusätzlich, da Angreifer nicht einmal mit den richtigen Anmeldedaten hereinkommen.
Während es sich bei “Phishing” um eine Angriffsmethode handelt, ist Ransomware meist das Ergebnis eines erfolgreichen Phishing-Angriffs. Die gängige deutsche Übersetzung für Ransomware ist “Erpressungstrojaner oder -software”: Dabei wird das Opfer dazu gebracht, versehentlich die schädliche Software herunterzuladen. Damit können Daten oder ganze Systeme verschlüsselt werden. Meist wird dann ein Lösegeld (Ransom) gefordert, um die Daten wieder freizugeben.
Ransomware wird allerdings nicht nur über Phishing-Nachrichten verbreitet, sondern auch über Sicherheitslücken in Softwares oder sogenannte Drive-by-Downloads:
Besucht man eine Website, die aktive Funktionen wie Java oder Flash verwendet, kann über den Browser Programmcode auf das eigene Betriebssystem geladen und ausgeführt werden. Angreifer nutzen das aus, um über normalerweise vertrauenswürdige Websites Schadcode auf das Programm zu laden und damit die gleichen Rechte wie der aktuell im Betriebssystem angemeldete Nutzer zu erlangen.
Drive-by-Download Vorfälle gab es beispielsweise 2013 über die Website von PC-Welt und im selben Jahr über die zentrale Website der Sparkasse.
Damit bei einem Ransomware-Angriff möglichst geringer Datenverlust entsteht, sollten regelmäßige Backups gemacht werden. Die Backups sollten zudem regelmäßig überprüft und am besten extern gespeichert werden, damit sie bei einem Angriff nicht ebenfalls betroffen sind.
Gerade um Ransomware durch Social-Engineering-Angriffe zu vermeiden, sollten die Mitarbeiter regelmäßig geschult und sensibilisiert werden, um verdächtigen E-Mails, Links und Websites mit der nötigen Vorsicht zu begegnen. Zusätzlich sollten die Mitarbeiter im Ernstfall wissen, wie sie sich bei einem Sicherheitsvorfall zu verhalten haben und an wen sie sich wenden können, um schnell zu reagieren und den Schaden möglichst klein zu halten.
Grundsätzlich sollten Mitarbeiter nur die Berechtigungen haben, die sie für ihre Arbeit benötigen. Administratorzugriffe sollten besonders geschützt werden: Zwei-Faktor-Authentifizierung, Zugang nur für autorisierte Personen, etc. Dadurch kann Ransomware sich nicht unbegrenzt im gesamten Netzwerk ausbreiten - Der Schaden wird minimiert.
Im Grunde sollte jedes Gerät mit einer Antivirus-Software ausgestattet sein. Diese überprüft alle Daten, seien es Dateien, Apps, Software oder Websites, die auf das Gerät heruntergeladen werden auf bekannte Bedrohungen oder verdächtiges Verhalten und blockiert die Übertragung im Zweifelsfall.
Firewalls kontrollieren den Datenfluss zwischen internem und externem Netzwerk. Alle Daten werden überprüft, bevor sie hinein- oder herausgelassen werden. Das kann den Download von Ransomware bereits verhindern oder aufhalten. Firewalls werden häufig verwendet, um das Netzwerk in einzelne Teile zu segmentieren. Für den Fall, dass die Firewalls überwunden werden, sollten die vorher beschriebenen Sicherheitsvorkehrungen wie Backups und Zugriffsbeschränkungen trotzdem getroffen werden.
Netzwerksegmentierung verfolgt das gleiche Ziel wie die Einschränkung der Benutzerrechte. Ransomware kann sich maximal in einem isolierten Segment ausbreiten, nicht im ganzen Netzwerk. Dadurch bleibt es auch bei einem Sicherheitsvorfall wahrscheinlich betriebsfähig.
Ziel eines DoS-und DDoS-Angriffes ist es, Netzwerke, Websites oder Server durch das Überfluten mit Traffic zu überlasten und für legitime Nutzer unzugänglich zu machen. Wird der Angriff von vielen verschiedenen Rechnern ausgeführt, spricht man von Distributed Denial of Service (DDoS). Stammt er nur von einer einzigen Quelle, heißt es Denial of Service (DoS). Ein verteilter Angriff von mehreren Rechnern ist deutlich schwieriger abzuwehren, da man den Angriffs-Traffic kaum von echtem Traffic unterscheiden kann.
Diese Angriffsart gehört zu den ältesten Cyberbedrohungen und wird mit zunehmender Komplexität der IT-Systeme ebenfalls immer komplexer. Gerade webbasierte Ressourcen wie Clouddienste sind besonders anfällig für DoS- und DDoS-Angriffe. Immer mehr Unternehmen verlagern ihre IT-Infrastruktur in die Cloud, obwohl nicht alle Cloud-Anbieter genug Sicherheitsverantwortung übernehmen. Teilweise sitzen die Anbieter im Ausland und erfüllen die deutschen oder europäischen Sicherheitsrichtlinien nicht. DoS- und DDoS-Schutz liegt also bei deinem Unternehmen selbst.
Die größte Herausforderung beim Schutz gegen DoS- und DDoS-Angriffe besteht darin, den schädlichen Traffic vom normalen zu unterscheiden. Es ist notwendig, den Traffic in Echtzeit auf ungewöhnliche Aktivitäten und Muster zu überwachen, um möglichst schnell auf böswillige Anfragen reagieren zu können.
Durch den Aufbau eines Anycast-Netzwerks wird der Traffic über mehrere Server verteilt, um Spitzen im Datenverkehrsvolumen aufzufangen und Ausfälle zu verhindern.
Eine WAF filtert und prüft den HTTP-Traffic zwischen Webanwendungen und dem Internet und blockiert ihn nach Bedarf. So können DoS- und DDoS-Angriffe frühzeitig erkannt und abgewehrt werden.
Du kannst das Risiko eines Cyberangriffs bereits bei der Auswahl deiner Web- und Cloud-Dienste minimieren. Dazu ist natürlich ein Vergleich der Sicherheitsvorkehrungen verschiedener Anbieter nötig. Wir helfen dir, dich im Anbieter-Jungle zurechtzufinden oder passen unsere in Deutschland gehostete und private Rent Your Admin Cloud an dein Unternehmen an.
Bei einem Man-in-the-Middle-Angriff klinkt sich ein Hacker unbemerkt in eine Kommunikation zwischen zwei Parteien ein und kann so Informationen abfangen, stehlen oder sogar manipulieren. Dazu gehören zum Beispiel Anmeldedaten, Bankinformationen oder vertrauliche Geschäftsdokumente.
Eine beliebte Angriffsmethode sind WLAN-Verbindungen. In Zeiten von Remote Work arbeitet man gern mal im Café oder in der Bibliothek und loggt sich dort ins öffentliche WLAN ein - Gefährlich, wenn die WLAN-Verbindung von einem Hacker eingerichtet wurde und dieser nun Zugriff auf das Gerät und somit auf persönliche Daten und geschütze Unternehmensinformationen hat.
Die meisten Kommunikationssysteme sorgen bereits von Haus aus dafür, dass nur Sender und Empfänger die Nachrichten lesen können. Diese End-to-End-Verschlüsselung gehört zu den effektivsten Methoden, MitM-Angriffe abzuwehren.
Wenn deine Mitarbeiter über öffentliches WLAN auf dein Firmennetzwerk zugreifen, solltest du ein Virtual Private Network (VPN) einrichten. In dieser Art von Netzwerk sind die verschiedenen Endgeräte nicht direkt miteinander verbunden. IP-Adresse, Standort und sämtliche Daten werden verschlüsselt und verhindern, dass ein Angreifer sie mitlesen kann.
Die Mitarbeiter sollten durch gezielte Schulungen für MitM-Angriffe sensibilisiert werden, damit sie aufmerksam und vorsichtig mit öffentlichen WLAN-Verbindungen und unsicheren Websites umgehen.
Eine Zwei-Faktor-Authentifizierung bei der Anmeldung in Firmenaccounts oder auch für Banktransaktionen bewirkt, dass der Angreifer sich deutlich schwieriger Zugang verschaffen kann, selbst wenn er Anmeldedaten und Passwörter kennt.
Von einer Insider-Bedrohung spricht man, wenn die Angriffe von Mitarbeitern, Ex-Mitarbeitern und anderen internen Personen mit Zugang zu sensiblen Informationen ausgehen. Es muss nicht immer eine böse Absicht dahinterstecken: In 50% der Fälle werden sensible Informationen unbeabsichtigt offengelegt.
Ein IT-Onboarding ist nicht nur sinnvoll, damit der neue Mitarbeiter direkt ab Tag 1 produktiv arbeiten kann, sondern auch, um ihn auf die gängigen Cybersecurity-Richtlinien im Unternehmen aufmerksam zu machen. So wird verhindert, dass sensible Daten aus Versehen preisgegeben werden. Ein IT-Offboarding ist genauso wichtig, um sicherzustellen, dass Ex-Mitarbeiter keinen Zugang mehr zum Firmennetzwerk haben.
Regelmäßige Anti-Phishing- und Cybersecurity-Schulungen verhindern zwar nicht, dass jemand mit böswilliger Absicht Unternehmensdaten preisgibt oder das System lahmlegt. Die Schulungen verhindern aber maßgeblich, dass Mitarbeiter aus Versehen Schaden anrichten.
Um Insider-Bedrohungen zu verhindern, sollten Unternehmen in der Lage sein, verdächtige Benutzeraktivitäten in Echtzeit zu erkennen und im Extremfall sogar Benutzer zu sperren, bevor ein Schaden angerichtet werden kann. Die passende Monitoring-Software macht das möglich.
Um die Gefahr von Insider-Bedrohungen einzudämmen, sollten Mitarbeiter nur auf die Daten und Konten Zugriff haben, die sie für ihre Arbeit benötigen.
Beim Thema Cybersecurity denken die meisten Menschen in erster Linie an Hackerangriffe und Datendiebstahl. Doch die Grundlage jedes IT-Netzwerks bilden die physischen Geräte, die ebenfalls vor Bedrohungen geschützt werden müssen. Das können Personen sein, die sich Zugang zum Firmengebäude verschaffen und die Geräte stehlen oder beschädigen, aber genauso stellen Brände, Wasserschäden und Staubbelastungen eine Bedrohung dar.
Dass mittlerweile viele Menschen mobil oder von zu Hause arbeiten, stellt beim physischen Schutz der IT-Infrastruktur eine zusätzliche Herausforderung dar. Nicht nur das Firmengebäude muss gesichert werden - genauso müssen alle mobilen Geräte der Mitarbeiter geschützt werden.
Um die Geräte im Firmengebäude zu schützen, solltest du dich an die relevanten DIN- und EN-Normen für physische Sicherheit ihres Gebäudes und ihrer IT halten.
Stelle sicher, dass niemand sich unbemerkt oder unerlaubt Zutritt zum Firmengebäude verschaffen kann.
Wenn deine Firma über einen eigenen Server verfügt, sollte dafür ein separater, verschlossener Raum mit einem eigenen Stromkreis eingerichtet werden, der vor Bränden, Wasserschäden und Staubbelastung sicher ist.
Ein Passwortzettel am Kühlschrank, sensible Unternehmensdaten am Whiteboard im Besprechungsraum - Die Mitarbeiter müssen wissen, dass sie nirgendwo sensible Daten zurücklassen sollten.
Für den Fall eines Brandes, Hochwasser und anderen Notfällen sollten entsprechende Maßnahmenpläne festgelegt werden, mit denen der Betrieb möglichst schnell wieder aufgenommen werden kann.
Um Home Office & Remote Work datenschutzkonform und sicher umzusetzen, müssen die mobilen Geräte der Mitarbeiter kontrolliert und geschützt werden. Geht ein Firmenhandy verloren oder wird gestohlen, sollten die Daten und Zugänge aus der Ferne gesperrt werden können. Außerdem sollte im besten Fall verhindert werden, dass der Mitarbeiter über das Gerät unsichere Websites und Apps nutzt. Das alles ist mit einer passenden MDM-Software möglich.
Wir haben es bereits mehrmals erwähnt: Dass immer mehr Mitarbeiter im Home Office oder Remote arbeiten, bietet viel Raum für Sicherheitslücken. Wir helfen dir, das moderne Arbeitsmodell sicher umzusetzen.
Mobiles Arbeiten bedeutet mobile Geräte: Ob Firmenhandys, Tablets, Laptops oder PCs, die Mitarbeiter greifen über viele verschiedene mobile Endgeräte auf das Firmennetzwerk zu. Jedes Gerät kann gestohlen werden, verloren gehen oder gehackt werden. Die Gefahr wird durch eine geeignete Mobile Device Management Strategie und die passende MDM-Software verringert.
Die MDM-Software ermöglicht dir, die Zugänge, App-Downloads und Browseraktivitäten aus der Ferne zu kontrollieren und bei Bedarf zu sperren. Gleichzeitig werden Softwareupdates und Sicherheitseinstellungen zentral gemanaged und Richtlinien-Verstöße durch den Nutzer umgehend gemeldet.
Allerdings ist nicht jede MDM-Software gleich: Es gibt förmlich einen Jungle aus Anbietern, die alle verschiedene Funktionen und Lösungen anbieten. Wir helfen dir in einem kostenlosen MDM-Workshop gern, die passende Software für deine Unternehmensanforderungen zu finden.
Die Nutzung von Cloud-Speicherdiensten bringt ein weiteres Sicherheitsrisiko mit sich. Wenn Mitarbeiter über unsichere, öffentliche WLAN-Netzwerke auf die Cloud zugreifen, machen sie die dort gespeicherten Daten angreifbar. Sind die Daten nicht zusätzlich verschlüsselt, hat ein potenzieller Angreifer unbegrenzten Zugriff.
Starke Passwörter und Zwei-Faktor-Authentifizierung sind die Grundlage sicherer Zugänge. Gerade letzteres verhindert, dass Angreifer Zugang zur Cloud bekommen, selbst wenn die Zugangsdaten des Mitarbeiters kompromittiert wurden.
Viele Cloud-Dokumente kann man über öffentliche Links freigeben. Das Problem dabei ist, dass am Ende niemand erkennen kann, wer alles Zugang zum Dokument hatte. Sensible Daten sollten deshalb nur an spezifische Nutzer freigegeben und eventuell mit einem Passwort geschützt werden.
Selbst wenn der Cloudanbieter seinen Unternehmenssitz in Deutschland hat, kann es sein, dass das Rechenzentrum sich im Ausland befindet. Es ist also nicht garantiert, dass der Anbieter sich an das deutsche Datenschutzrecht hält. Bevor du einen Cloud-Dienst im Unternehmen nutzt, sollte dir klar sein, wie und wie lange Daten gespeichert werden und welche Datenschutzrichtlinien gelten.
Am sichersten ist es, eine in Deutschland gehostete Cloud zu nutzen, wie unsere maßgeschneiderte Rent Your Admin Cloud.
Bevor sensible Firmendaten in der Cloud hochgeladen werden, sollten die Standardeinstellungen überprüft werden. Zu Beginn empfiehlt sich immer eine möglichst restriktive Standardeinstellung: Nicht benötigte Funktionen deaktivieren, Übermittlung von Daten an Dritte abschalten, etc.
Natürlich solltest du bei der Wahl des Cloud-Dienstes bereits vergleichen, welche Sicherheitseinstellungen bei verschiedenen Anbietern möglich sind.
Egal wie sicher dein Netzwerk ist: Cyberkriminelle finden immer neue Wege, Sicherheitsvorkehrungen zu umgehen. Gleichzeitig gibt es keine Software ohne Sicherheitslücken - Die Entwickler testen und verbessern sie stetig. Deshalb ist es unerlässlich, das eigene IT-System regelmäßig zu auditieren und sicherzustellen, dass es noch die höchsten Sicherheitsanforderungen erfüllt.
Für einige Unternehmen sind regelmäßige IT-Sicherheitsaudits gesetzlich vorgeschrieben (z.B. KRITIS-Betreiber - alle zwei Jahre). Doch auch ohne gesetzliche Vorschrift liegt es im eigenen Interesse jedes Unternehmens, einen regelmäßigen IT-Check durchzuführen.
Noch besser ist es natürlich, wenn die IT-Infrastruktur konstant überwacht wird, denn dann können Schwachstellen umgehend behoben und Bedrohungen frühzeitig erkannt werden.
Bei Rent Your Admin machen wir beides: Auf Wunsch überwachen wir deine IT-Infrastruktur und sind bei Störungen sofort zur Stelle, führen aber auch tiefergehende IT-Audits durch und setzen Verbesserungspotenziale um.
Zu Beginn eignet sich unser kostenloser IT-Check: Damit erhältst du einen klaren Überblick über den Stand deiner IT in Bezug auf Datenschutz, Cybersecurity und Leistungsfähigkeit.
