Wo Unternehmen angreifbar sind
19.08.2024
Foto: © nitinshankhwar - stock.adobe.com
Daten richtig sichern
Eine durchdachte Datensicherung ist entscheidend für den Schutz von Unternehmensdaten. Ziel ist, im Falle eines Datenverlusts eine funktionstüchtige Sicherung bereitzuhalten, um Ausfallzeiten und Verzögerungen des Geschäftsbetriebs im Ernstfall zu minimieren. Die 3-2-1-Regel ist ein Minimalstandard, der besagt, dass Unternehmen ihre Daten auf drei verschiedene Arten sichern sollten: Originaldaten plus zwei Sicherungskopien, auf mindestens zwei verschiedenen Speichermedien. Mindestens eine Kopie sollte an einem externen, vom System getrennten Ort aufbewahrt werden. Diese Redundanz schützt gegen technische Defekte, Einbruch, aber auch vor Bedrohungen mit Verschlüsselungssoftware. Zu beachten ist, dass auch Cloud- und Server- Daten in die Sicherungsstrategie einbezogen werden, wobei konkrete Sicherungsmethoden je nach individuellen Anforderungen und Umständen unternehmens- und branchenabhängig sind.
Berechtigungen restriktiv verwalten
Großflächig nachjustiert werden muss auch der Bereich des Berechtigungsmanagements. Er legt fest, wer Zugriff auf Informationen, Daten, Anwendungen und physische Bereiche im Unternehmen hat. Dabei ist es essenziell, dass Personen nur die Rechte erhalten, die für die Ausführung der Aufgaben unmittelbar erforderlich sind. Das sogenannte Needto- know-Prinzip findet hier Anwendung. Es besagt, dass Mitarbeitende nur Zugang zu dem unbedingt erforderlichen Minimum an Informationen erhalten, die sie für die gewissenhafte Ausführung ihrer Tätigkeit benötigen. Hintergrund ist, dass Angreifer die gleichen Rechte bekommen, wie das von ihnen kompromittierte Nutzerkonto besitzt. Besitzt dieses Konto umfangreiche Rechte und vollen Zugang zu Informationen und Daten, hat der Angreifer demnach eine größere Angriffsfläche. Die Verwaltung dieser Berechtigungen sollte zentralisiert erfolgen, beispielsweise durch die Zuweisung von Rollen. Dies obliegt einer übergeordneten Instanz wie dem Systemadministrator, dem Sicherheitsbeauftragten oder dem Management. Ein effektives Berechtigungsmanagement bildet nicht nur eine Grundlage für die normgerechte Dokumentation und Verwaltung von Berechtigungen und Benutzern, sondern schützt auch IT-Systeme, Anwendungen, Dienste und physische Bereiche vor Datenmissbrauch, Verlust, Manipulation und unbefugtem Zugriff. Um wirklich effektiv zu sein, muss im Rahmen des Berechtigungsmanagements auch eine regelmäßige und wiederkehrende Prüfung aller vergebenen Rechte erfolgen. Etablierte Standards wie die ISO 27001 fordern dabei einen Zyklus von sechs bis zwölf Monaten ein.
Schutz vor Phishing durch E-Mail-Management
Unternehmen in Deutschland sind nach wie vor massiv von Phishing-Angriffen betroffen. Der Spam- und Phishing-Report von Kaspersky zählt rund 34 Millionen Phishing-Attacken im Jahr 2023. Eine effiziente E-Mail-Verwaltung in Verbindung mit einem robusten Schutz vor Phishing-Angriffen ist für Unternehmen daher ein entscheidender Faktor für die Cybersicherheit. Zu einer effektiven E-Mail-Verwaltung gehört die Umsetzung strenger Richtlinien und Protokolle zur Regelung der E-Mail- Nutzung, einschließlich der Verschlüsselung sensibler Daten und regelmäßiger Schulungen der Mitarbeitenden zur Erkennung und Behandlung verdächtiger E-Mails. Darüber hinaus kann der Einsatz fortschrittlicher E-Mail-Sicherheitslösungen wie Spam-Filter, Antiviren-Software und Threat-Intelligence-Plattformen die Abwehr von Phishing-Versuchen erheblich stärken. Durch die Kombination proaktiver E-Mail-Verwaltungsstrategien und Abwehrmechanismen gegen Phishing können Unternehmen das Risiko, Opfer von E-Mail-basierten IT-Sicherheitsbedrohungen zu werden, erheblich verringern.
Proaktive Investitionen in die Cyberabwehr: Stärkung der digitalen Sicherheit
In einer Zeit, in der die digitale Landschaft sich stetig wandelt, stehen Unternehmen vor zunehmenden Herausforderungen in puncto IT-Sicherheit. Täglich werden die Bedrohungen komplexer und häufiger, und die Sicherheit digitaler Systeme wird immer dringlicher. Aktuelle Erkenntnisse von Perseus Technologies unterstreichen die Notwendigkeit für Unternehmen, proaktiv zu handeln, da viele noch Lücken in ihren Cyberabwehrstrategien aufweisen. Insbesondere kleine und mittlere Unternehmen (KMU) müssen dringend ihre Datensicherung, Berechtigungsverwaltung und E-Mail-Sicherheit investieren. Eine gründliche Risikobewertung bietet wertvolle Einblicke in spezifische Schwachstellen und Bedrohungen, denen Unternehmen gegenüberstehen. Durch die Implementierung effektiver Sicherheitsmaßnahmen in diesen Bereichen können Unternehmen nicht nur die Risiken von Datenverlust, Datenschutzverletzungen und finanziellen Schäden minimieren, sondern auch das Vertrauen ihrer Kunden und Partner in ihre digitale Sicherheit stärken. Vor dem Hintergrund des kontinuierlichen Anstiegs von Cyberbedrohungen ist es für Unternehmen von entscheidender Bedeutung, nicht nur reaktiv zu handeln, sondern auch proaktiv in die Stärkung ihrer Cybersicherheit zu investieren.
Michael Horchler
Chief Security Officer
Perseus Technologies GmbH