Wie wir alle zu mehr Cybersicherheit beitragen können
10 Tipps für mehr Security Awareness
Das bevorzugte Ziel von Hackern und Cyberkriminellen sind die Mitarbeiter eines Unternehmens. Deren Taktik: Die Mitarbeiter zu Fehlern und fahrlässigem Verhalten zu verführen. Hier sind 10 Tipps, um solche Versuche zu neutralisieren.
Nach wie vor sind menschliche Fehler eine der Hauptursachen für Sicherheitsvorfälle und Datenschutzverletzungen. Deshalb liegt in unserer datengesteuerten Welt der Schutz sensitiver Daten in den Händen von uns allen. Jeder und jede muss wissen, wie sich Cyberangriffe und Datenverluste verhindern lassen. Mit Hilfe der folgenden 10 Tipps lassen sich die Cyber-Risiken deutlich reduzieren.
1Aktivieren Sie die Multifaktor-Authentifizierung (MFA)
Die Multifaktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, indem sie die Identität eines Benutzers durch Methoden wie den Erhalt eines Verifizierungscodes oder das Anklicken eines Links bei der Anmeldung überprüft. MFA ist ein wirkungsvolles Mittel, um das Cyber-Risiko auf einfache Weise zu reduzieren.
2Vermeiden Sie unternehmensweite Freigabelinks
Für den Fall, dass weitere Beteiligte Zugriff auf ein Dokument benötigen, ist es verlockend, einen Link zu erstellen, auf den jeder zugreifen kann und nicht nur bestimmte Benutzer. Microsoft hat jedoch festgestellt, dass nur 1 Prozent der gewährten unternehmensweiten Zugriffsrechte tatsächlich genutzt werden. Viele Geschäftsdokumente enthalten sensitive Informationen, die nicht für jeden Mitarbeitenden zugänglich sein sollten, geschweige denn für jeden im Internet. Anstatt sich für einen Link mit zu vielen Berechtigungen zu entscheiden, sollten Benutzer Dateien direkt nur mit denjenigen teilen, die für ihre Arbeit Zugriff benötigen, und andere von Fall zu Fall zum Zugriff einladen.
3Seien Sie misstrauisch gegenüber Links und unbekannten Kontakten
Social-Engineering- und Phishing-Taktiken gehören immer noch zu den effektivsten Methoden, mit denen sich Angreifer Zugang verschaffen. Häufige Anzeichen für Phishing sind eine merkwürdige Absenderadresse oder eine mit einer gewissen Dringlichkeit versehene Aufforderung, auf einen Link zu klicken. Man sollte stets alle unbekannten Absender überprüfen, die einen per SMS oder E-Mail kontaktieren. Ein einziger Klick genügt, um kompromittiert zu werden.
4Melden Sie verdächtige Aktivitäten sofort
Ergänzend zum letzten Tipp: Es reicht nicht aus, eine verdächtige Mail einfach zu ignorieren und es dabei zu belassen. Die meisten Phishing-Versuche zielen auf mehr als einen Mitarbeitenden ab. Wenn Sie also eine solche Nachricht erhalten, melden Sie sie Ihrer IT-Abteilung. Einige Unternehmen verfügen über Plug-ins für ihren E-Mail-Dienst oder einen speziellen Posteingang, an den verdächtige Aktivitäten weitergeleitet werden können.
5Nicht jeder muss ein Administrator sein
Der administrative Zugriff auf Cloud-Plattformen wie Salesforce ist äußerst umfangreich und leistungsstark. In vielen Unternehmen können vorhandene Administratoren anderen Benutzern Zugriff auf diese Tools gewähren. Dies führt dazu, dass zu viele Benutzer erweiterte Rechte und Zugang zu sensitiven Informationen erhalten. Zudem sind 60 Prozent der administrativen Konten eines durchschnittlichen Unternehmens nicht per MFA geschützt. Dies erleichtert es Angreifern, intern exponierte Daten zu kompromittieren.
6Geben Sie Drittanbieter-Apps nicht aus Bequemlichkeit Zugriff
Es ist sehr verlockend, sich in neue Apps über vorhandene Konten einzuloggen. Um das Ausfüllen eines langwierigen Formulars zu umgehen, können Sie beispielsweise die neue App einfach mit Ihrem Google Mail-Konto verbinden und so den Zugriff auf Ihre gespeicherten Informationen freigeben. Allerdings ist es oft schwierig nachzuvollziehen, wie die Apps konfiguriert sind und welchen Zugriff sie auf die im verbundenen Dienst gespeicherten Informationen haben. Deshalb sollte man die Berechtigungen für jede App analysieren und ihr Risiko bewerten.
7Nutzen Sie öffentliche WLAN-Netzwerke mit Vorsicht
Mittlerweile erwartet man an fast jedem Ort ein öffentlich zugängliches Wi-Fi-Netzwerk. In aller Regel lesen die Nutzer die Geschäftsbedingungen nicht, noch überprüfen sie die URLs, wenn sie sich mit dem kostenlosen Wi-Fi verbinden. Dies kann dazu führen, dass sie und ihre Geräte kompromittiert werden. Seien Sie deshalb vorsichtig bei kostenlosen WLAN-Netzwerken, mit denen Sie sich verbinden.
8Seien Sie vorsichtig, was Sie mit KI-Tools teilen
Große Sprachmodelle (LLMs) wie ChatGPT können Ihre Daten zum Trainieren ihrer Systeme verwenden. Wenn Sie während eines Chats sensitive Daten eingeben, könnten diese unwissentlich in einer anderen Sitzung oder gar in den Händen eines Hackers auftauchen. Deshalb sollten bei der Nutzung von KI sensitive Daten immer aus Chats herausgehalten werden. Sicherheitsteams müssen in ihren Unternehmen KI-Richtlinien aufstellen und sicherstellen, dass die Mitarbeitenden in der ordnungsgemäßen Verwendung von zugelassenen KI-Lösungen geschult werden.
9Führen Sie Routine-Updates durch, wenn Sie dazu aufgefordert werden
Es kann lästig sein, wenn mitten in einer wichtigen Aufgabe ein Fenster mit der Aufforderung zum automatischen Neustart erscheint. Aber je länger Sie mit der Aktualisierung Ihres Computers warten, desto mehr Fehlkonfigurationen bleiben ungepatcht. Patches sind Lösungen für Sicherheitslücken, die in verschiedenen Software- und Cloud-Plattformen entdeckt wurden. Schieben Sie deshalb die Updates nicht allzu lange auf. So reduzieren sie schnell die Wahrscheinlichkeit, durch eine Fehlkonfiguration gefährdet zu werden.
10Verwenden Sie einen Passwort-Manager
Mit Passwortmanagern können Benutzer komplexe Passwörter für alle ihre Anmeldungen erstellen und so verhindern, dass Angreifer auf ihre Konten zugreifen können. Unabhängig davon, ob Sie einen Passwort-Manager verwenden oder nicht, ist es wichtig, unterschiedliche Passwörter für verschiedene Websites zu erstellen, zusätzliche Sicherheitsmaßnahmen wie MFA zu ergreifen und Warnmeldungen einzurichten, wenn Anmeldungen von unbekannten Geräten oder Standorten aus erfolgen. Cyberkriminelle brechen nicht mehr ein, sie loggen sich ein. Deshalb ist der Schutz des eigenen Kontos von größter Bedeutung.
