12 bewährte Praktiken für die Cybersicherheit, die 2021 eingeführt werden sollten

Die digitale Technologie ist der große Gleichmacher. Sie gibt jedem Unternehmen - unabhängig von seiner Größe, seiner geografischen Lage oder seinem Alter - das Potenzial, auf dem heutigen Markt zu bestehen. Diese Vernetzung birgt jedoch auch ein größeres Cyber-Risiko. Indem sie sich über die besten Praktiken auf dem Laufenden halten, sind Unternehmen gut gerüstet, um sich zu schützen, falls sie in die Schusslinie eines bösartigen Täters geraten.

Was ist Cybersicherheit und warum ist sie wichtig?

Laut dem Internet Crime Complaint Center des FBI kostete Cyberkriminalität ihre Opfer im Jahr 2020 4,2 Milliarden Dollar - und das nur in den USA - wobei das meiste Geld durch BEC-Betrug (Business Email Compromise), Romance and Confidence Schemes und Investitionsbetrug verloren ging. [1] Und im Bericht von Mimecast State of Email Security 2021 (SOES) wurde festgestellt, dass mehr als 60 % der Unternehmen im selben Zeitraum von einem Ransomware-Angriff betroffen waren, dass die E-Mail-Bedrohungen um 64 % gestiegen sind und dass 79 % der Unternehmen von ihrer mangelnden Cyber-Vorbereitung betroffen waren. Darüber hinaus ist die FBI-Zahl nur ein kleiner Teil der wahren Gesamtkosten, wie Untersuchungen des Cybercrime Magazine zeigen: Berücksichtigt man alle Kosten, die durch Cyberkriminalität entstehen - von der Unterbrechung der Geschäftstätigkeit über forensische Untersuchungen und Rufschädigung bis hin zum Diebstahl von geistigem Eigentum und persönlicher Identität -, werden die wahren Kosten im Jahr 2021 weltweit voraussichtlich 6 Billionen US-Dollar betragen. [2]

Bei der Cybersicherheit geht es um den Schutz vor all diesen Cyberrisiken. Kleinere oder neuere Unternehmen können ein besonders attraktives Ziel für digitale Angriffe sein, da sie nicht über die Cybersicherheitsinfrastruktur und -tools größerer oder erfahrener Unternehmen verfügen, die robustere Best Practices für die Cybersicherheit eingeführt haben. Laut einer Umfrage der U.S. Small Business Administration (SBA) fühlt sich die überwiegende Mehrheit der Inhaber kleiner Unternehmen (88 %) anfällig für Angriffe.[3]

Bewährte Praktiken für die Cybersicherheit

Laut der SOES-Umfrage gaben fast vier von fünf Unternehmen an, dass sie im Jahr 2020 eine Betriebsunterbrechung, einen finanziellen Verlust oder einen anderen Rückschlag erlitten haben, weil sie nicht ausreichend auf Cyberbedrohungen vorbereitet waren. Unternehmensleiter können sich besser gegen die wachsenden Bedrohungen der Cybersicherheit wappnen, wenn sie genau wissen, wo ihr Unternehmen am verwundbarsten ist, und Schritte unternehmen, um diese Schwachstellen zu beseitigen. Zu diesem Zweck finden Sie hier 12 wichtige Best Practices für die Cybersicherheit, die Führungskräfte so bald wie möglich einführen sollten.

1. Vermeiden Sie Pop-ups, unbekannte E-Mails und Links: Malware-Infektionen gehören zu den häufigsten Bedrohungen für die Cybersicherheit von Unternehmen; im Jahr 2020 wurden etwa 5,6 Milliarden gemeldet. [4] Viren, Trojaner, Spyware - egal welcher Art, sie infizieren Computersysteme meist über ähnliche Medien: unsichere Pop-ups, Spam-E-Mails und Downloads aus unbekannten Quellen. Eine aktuelle Virenscan- und Spam-Erkennungssoftware ist ein großartiges Sicherheitsnetz, aber es ist auch wichtig, dass alle Benutzer geschult werden, um die Gefahren zu verstehen, die beim Klicken auf ungewöhnliche Links, Pop-ups oder E-Mails bestehen.
2. Verwenden Sie einen starken Passwortschutz und eine starke Authentifizierung: Eine weitere wirksame Präventionsmethode zur Vermeidung von Datenverletzungen ist ein guter Passwortschutz. Auf der grundlegendsten Ebene ist es wichtig, von allen Benutzern zu verlangen, dass sie sichere, schwer zu erratende Passwörter und Anmeldeinformationen für ihre Konten erstellen und diese häufig ändern. Das klingt einfach, aber um sie dazu zu bringen, sind ständige (und vorzugsweise automatische) Erinnerungen erforderlich. Tatsächlich betrafen etwa 61 % der Sicherheitsverletzungen im Jahr 2020 Anmeldeinformationen wie Passwörter.[5] Erwägen Sie die Multifaktor-Authentifizierung (MFA), die ein zusätzliches Token oder einen Identifizierungscode erfordert, um auf Systeme zuzugreifen, und so auch dann Schutz bietet, wenn ein Passwort gestohlen oder kompromittiert wird.
3. Verbinden Sie sich immer mit einem sicheren Wi-Fi: Ein ungesichertes Wi-Fi-Netzwerk birgt zahlreiche Risiken. Unbefugte Benutzer können sich beispielsweise in die Internetverbindung einklinken, um illegale Aktivitäten durchzuführen, den Internetverkehr zu überwachen oder aufzuzeichnen oder Daten zu stehlen. Böswillige Akteure können einen bösen Zwillingsangriff starten, indem sie ein falsches Netzwerk mit einem stärkeren Signal erstellen und dann alle Daten lesen, die von Benutzern über das falsche Netzwerk gesendet werden. Und wenn Mitarbeiter öffentliche Zugangspunkte nutzen, die nicht gesichert sind, können Cyberkriminelle drahtlose Sniffing-Tools einsetzen, um auf sensible Daten, Transaktionen und - in Verbindung mit ungesicherter Dateifreigabe - auf alle Verzeichnisse und Dateien zuzugreifen, die zur gemeinsamen Nutzung bereitgestellt werden. Daher ist es von entscheidender Bedeutung, alle persönlichen Wi-Fi-Netzwerke zu sichern, ungesicherte öffentliche Netzwerke zu vermeiden und den Mitarbeitern ein virtuelles privates Netzwerk (VPN) zur Verfügung zu stellen, damit sie sich aus der Ferne sicher mit dem Unternehmensnetzwerk verbinden können.
4. Aktivieren Sie den Firewall-Schutz am Arbeitsplatz und zu Hause: Firewalls sind wichtige Torwächter, die den Datenverkehr in, aus oder innerhalb eines privaten Heim- oder Unternehmensnetzwerks beschränken. Für eine zusätzliche Sicherheitsebene bieten Host-basierte Firewalls, die direkt auf drahtlosen Geräten installiert sind, weiteren Schutz, falls jemand die Netzwerk-Firewall umgehen kann.
5. Investieren Sie in Sicherheitssysteme und Software-Updates: Die Vorbeugung von Cyberangriffen kann Unternehmen Tausende - vielleicht sogar Millionen - von Dollar sparen. Das Vorhandensein von Sicherheitssoftware in Ihrem Unternehmen und die Installation von Software-Updates, sobald diese verfügbar sind, sind ein wichtiger Schutz vor Cyber-Bedrohungen. Automatisierung ist auch Ihr Freund. Antiviren-Software kann zum Beispiel so eingestellt werden, dass sie nach jeder Aktualisierung scannt.
6. Einsatz von Kontrollen für Dritte: Im digitalen Zeitalter sind Unternehmen mit einem wachsenden Ökosystem von Dritten verbunden, darunter externe Partner, Lieferanten und Kunden. Um ein Unternehmen zu schützen, muss es Cybersecurity-Kontrollen für Dritte einrichten, die Zugang zu sensiblen oder geschützten Informationen, Netzwerken oder Einrichtungen haben oder für das Unternehmen einen wichtigen Dienst erbringen. Zu den bewährten Praktiken gehören die Beschränkung des Zugriffs Dritter nach dem Prinzip der geringsten Rechte (siehe Nr. 11) sowie die Durchführung einer Due-Diligence-Prüfung und die Überwachung der eigenen Cybersicherheitskontrollen des Dritten. Schließlich gefährdet eine Kompromittierung an einem dieser Punkte die gesamte Lieferkette .
7. Berücksichtigen Sie die biometrische Sicherheit: Die biometrische Überprüfung - die Authentifizierung der Identität eines Benutzers durch einen Fingerabdruck, einen Iris-Scan oder eine Gesichtsanalyse - setzt sich immer mehr durch. Der biometrische Ansatz hat Vorteile (einfach zu handhaben, schwer zu imitieren) und Nachteile (kostspielig, manchmal fehleranfällig), so dass es wichtig ist, diese vollständig zu verstehen, bevor man fortfährt.
8. Erstellen Sie eine hierarchische Cybersicherheitsrichtlinie: Eine übergreifende, schriftlich niedergelegte und gut kommunizierte Cybersicherheitsrichtlinie ist für Unternehmen, die mit dem Internet vertraut sind, nicht verhandelbar. Es ist aber auch wichtig zu erkennen, dass es keine Einheitsgröße für alle gibt. Verschiedene Abteilungen und Einheiten können unterschiedliche Anforderungen an die Cybersicherheitsrisiken und das Management haben. Ein hierarchischer oder stufenweiser Ansatz ermöglicht die Erstellung einer Organisationsrichtlinie sowie spezifischerer, angepasster (aber dennoch abgestimmter) Richtlinien für verschiedene Abteilungen oder Funktionen, je nach Bedarf.
9. Datensicherung: Die regelmäßige Sicherung kritischer Daten ist der Schlüssel zur Abwehr von Ransomware und zur Geschäftskontinuität im Allgemeinen. Dazu gehören zunächst einmal Dokumente, Tabellenkalkulationen, Datenbanken, Finanzdaten und Informationen aus dem Personalwesen. Automatische Backups, mindestens einmal pro Woche, sind ideal. Noch schlauer ist es, die Daten in der Cloud zu speichern.
10. Kontrolle des physischen Zugriffs: Da die Daten immer weiter verteilt - und mobil - werden, ist es wichtig, die physischen Vermögenswerte eines Unternehmens ebenso zu schützen wie die digitalen. Die Verhinderung des Zugriffs oder der Nutzung von Desktops, Laptops und mobilen Geräten sollte hohe Priorität haben, da diese leicht gestohlen oder verloren werden können. Stellen Sie sicher, dass diese Geräte gesperrt werden, wenn sie unbeaufsichtigt sind, und gewähren Sie nur begrenzte Verwaltungsrechte für diese Hardware.
11. Behalten Sie privilegierte Benutzer im Auge: Apropos administrative Rechte: Eine strenge Kontrolle der Benutzerrechte ist wichtiger denn je. Je mehr Privilegien eine einzelne Person hat, desto größer ist die Gefahr, die von jedem privilegierten Konto ausgeht, sollte es kompromittiert werden. Das Prinzip der geringsten Privilegien, d. h. den einzelnen Personen nur die für ihre Arbeit erforderlichen minimalen Zugriffsrechte zu gewähren, ist eine gängige Weisheit. Ein Audit der bestehenden Benutzerrechte ist ein wichtiger erster Schritt. Anschließend kann die Verwaltung privilegierter Zugriffe (einschließlich der Verwaltung von Benutzerrechten, der aktiven Überwachung und der Einschränkung temporärer Berechtigungen) dazu beitragen, künftige Bedrohungen abzuschwächen und Datenschutzverletzungen zu verhindern.
12. Führen Sie robuste und kontinuierliche Programme zur Sensibilisierung der Mitarbeiter durch: Selbst mit der besten Technologie und den besten Verfahren zum Schutz vor Cyber-Bedrohungen ist der Mensch auf der anderen Seite eines potenziellen Angriffs oft das schwächste Glied. Tatsächlich haben die meisten Studien zur Cybersicherheit ergeben, dass menschliches Versagen für etwa 90 % aller Sicherheitsverletzungen verantwortlich ist.[6] Deshalb ist eine der wichtigsten Best Practices zur Verbesserung der Cyber-Resilienz eine energische und kontinuierliche Schulung aller Nutzer zum Thema Cybersicherheit . Im Idealfall ist die Vermittlung von Kenntnissen und Fähigkeiten im Bereich der Cybersicherheit so tief verwurzelt, dass sie Teil der Unternehmenskultur werden.

Die Quintessenz

Während die Bedrohungen für die Cybersicherheit weiter zunehmen, stehen den Unternehmen auch immer mehr Instrumente zur Verfügung, um deren Auswirkungen abzuschwächen oder sie zu verhindern. Die Integration dieser 12 bewährten Verfahren für die Cybersicherheit hilft Unternehmen, ihre Reaktionsfähigkeit und Widerstandsfähigkeit im digitalen Zeitalter zu verbessern.

[1] "FBI veröffentlicht den Internet Crime Complaint Center 2020 Internet Crime Report, einschließlich COVID-19 Scam Statistics," FBI

[2] "Cyberkriminalität wird die Welt bis 2025 jährlich 10,5 Billionen Dollar kosten," Cybersecurity Ventures

[3] "Schutz vor Bedrohungen der Cybersicherheit," U.S. Small Business Administration

[4] "Jährliche Anzahl von Malware-Angriffen weltweit von 2015 bis 2020," Statista

[5] Verizon Data Breach Investigation Report , Verizon

[6] "Menschliches Versagen ist auch im Jahr 2021 die Hauptursache für die meisten Datenschutzverletzungen," Influencive