In einer Welt, in der Geschäfte und Kommunikation hauptsächlich online ablaufen, stellen Cyberangriffe und Datenschutzverletzungen sowohl für Unternehmen als auch für Privatpersonen eine massive Bedrohung dar. Daher muss jede Organisation über eine Cybersicherheitsstrategie verfügen. Doch auch Sie selbst sollten eine haben; die Risiken für Ihre Finanzen und Ihre Reputation sind einfach zu hoch, um darauf zu verzichten. Laut dem Internet Crime Report des FBI haben Cyberverbrechen allein im Jahr 2020 einen Schaden von 2,7 Milliarden US-Dollar verursacht.
Bei der Arbeit und zu Hause ist jeder mit für die Sicherheit verantwortlich. Befolgen Sie diese Regeln, um für mehr Sicherheit im Unternehmen zu sorgen:
1. Geben Sie Inhalte mit Bedacht frei
Wenn Sie an eine Datenschutzverletzung denken, stellen Sie sich wahrscheinlich einen böswilligen Hacker vor. 92 % der Sicherheitsvorfälle in Unternehmen sind jedoch unbeabsichtigt und werden durch fehlerhafte Prozesse und Nutzerfehler verursacht. Eine der häufigsten Ursachen, wie Ihre persönlichen oder beruflichen Daten unbeabsichtigt preisgeben werden, ist die falsche Freigabe von Material.
Als die Pandemie ausbrach, begannen Unternehmen Microsoft Teams zu nutzen, um schnell hybride oder Remote-Arbeit zu ermöglichen. Als Reaktion darauf, wie Nutzer heutzutage arbeiten wollen und müssen, hat Microsoft es ihnen sehr leicht gemacht, Dateien freizugeben und Berechtigungen zu erteilen. Das Unternehmen beschreibt dies folgendermaßen: „[Nutzer] können Inhalte für jeden freigeben, von Personen innerhalb ihrer Organisation über Personen mit bestehendem Zugriff bis zu konkreten Einzelpersonen.“ Dies kann die Sicherheit im Unternehmen jedoch gefährden.
Da Ihnen zahlreiche Freigabeeinstellungen zur Verfügung stehen, sollten Sie sich immer für die konservativste Option entscheiden, das heißt „Für eine bestimmte Person freigeben“ anstelle „Für jeden im Unternehmen freigeben“. Während die Nutzer sich bemühen sollten, die Best Practices für die Freigabe zu befolgen, sollte die Organisation über eine Strategie zur Überwachung und Entfernung von Berechtigungen verfügen, die falsch oder nicht angemessen zugewiesen wurden.
Aller Wahrscheinlichkeit nach hat jeder von uns schon einmal einen digitalen Ausrutscher erlebt und beispielsweise versehentlich eine E-Mail an die falsche Person geschickt oder eine E-Mail-Adresse in CC gesetzt, die eigentlich in BCC gehört hätte. Diese einfachen Fehler können dazu führen, dass persönliche Informationen unbeabsichtigt an Dritte weitergegeben werden. Auch sollten Sie es sich zweimal überlegen, Freunden das Passwort für Ihren digitalen Streaming-Dienst zu verraten – ganz besonders dann, wenn Sie eine von jenen Personen sind, die für alles ein und dasselbe Passwort verwenden (ein klassischer, aber fataler Fehler in puncto Cybersicherheit!). Selbst wenn Freunde Ihre Anmeldedaten zunächst nur verwenden, um die neuesten TV-Hits zu schauen, kann es sein, dass sie damit unbeabsichtigt Zugriff auf all Ihre Konten erhalten.
2. Verwalten Sie Ihren digitalen Fußabdruck aktiv
Kann Ihr IT-Administrator kritische Fragen wie „Wo sind unsere sensiblen Daten gespeichert? Wer hat Zugang zu ihnen? Wie werden sie weitergegeben? Stellen externe Nutzer eine Bedrohung dar? Wie sieht der Prozess zur Aufbewahrung und Löschung von Daten aus?“ mühelos beantworten? Organisationen müssen über ihren digitalen Fußabdruck einschließlich ihrer Datenspeicher, Nutzerberechtigungen und potenziellen Risiken Bescheid wissen. Sobald sich die IT ein umfassendes Bild gemacht hat, besteht der nächste Schritt in der Implementierung einer Governance-Strategie. Hier sind einige der Best Practices:
Überwachung kritischer Zugriffskontrollen und sensibler Daten im Zeitverlauf und Priorisierung nach Risikopotenzial
Automatische Erstellung einer „Erneuerungsaufgabe“, um Nutzerzugriff, externe Nutzer, Berechtigungen und Rollen neu zu zertifizieren
Sicherstellung, dass Dateneigentümer und Administratoren stets die volle Übersicht über ihre aktuellen Bestände, die Gründe für deren Existenz, die Besitzverhältnisse und den Zeitpunkt der letzten Überprüfung dieser Informationen haben
Einsatz automatisierter Richtlinien, die Warnungen auslösen oder unbefugte Änderungen und risikoreiche Aktionen rückgängig machen
Darüber hinaus stellt sich die Frage: Können Sie sich noch an jede Website erinnern, auf der Sie selbst ein Konto eröffnet und/oder Kreditkartendaten oder vertrauliche personenbezogene Daten eingegeben haben? Auch Sie selbst sollten eine persönliche Governance-Strategie haben.
Kompromittierte Passwörter sind die Ursache für 81 % aller Fälle, in denen Hacking zu einer Datenschutzverletzung führte. Hier sollten wir alle ansetzen. Wir sind alle an konventionelle Passwortsicherheitspraktiken gewöhnt, die uns intuitiv und effektiv erscheinen, aber die aktualisierten Richtlinien des National Institute of Standards and Technology – die als Goldstandard für Passwortsicherheit gelten – lassen etwas anderes vermuten. Zu den aktualisierten Empfehlungen gehören:
Ziehen Sie Länge der Komplexität vor. Auch wenn Sie es gewohnt sind, komplexe Kennwörter mit zufälligen Buchstaben und Zeichen zu erstellen, ist ein längeres Kennwort im Falle eines Diebstahls schwieriger zu entschlüsseln. Versuchen Sie, ein langes Kennwort mit mindestens 8 Zeichen aus einer Kombination einiger leicht zu merkender Wörter zusammenzusetzen.
Verzichten Sie auf regelmäßige Änderungen der Passwörter. Das häufige Zurücksetzen von Passwörtern kann die Sicherheit sogar verschlechtern. Nutzer aktualisieren ihre Passwörter oft nach vorhersehbaren Mustern, indem sie beispielsweise ein Zeichen ersetzen oder ein Zeichen am Ende hinzufügen. Wenn ein Cyber-Angreifer Ihr vorheriges Passwort bereits kennt, ist es für ihn ein Leichtes, das neue zu knacken.
Erstellen Sie als Nächstes eine Liste aller Websites durch, auf denen Sie jemals ein Passwort und ein Konto eingerichtet haben. Stellen Sie sich zum Beispiel vor, Sie haben 2015 ein Paar Schuhe auf einer E-Commerce-Website gekauft und an der Kasse das Kästchen „Konto erstellen“ angekreuzt. Wenn Sie in den darauffolgenden Jahren keine Transaktionen mit dieser Website getätigt haben, haben Sie dieses Konto höchstwahrscheinlich völlig vergessen.
Sollte dieser Shop morgen gehackt werden, wüssten Sie vielleicht nicht einmal, dass Ihre Daten möglicherweise preisgegeben wurden. Es ist wichtig, den Überblick über Ihre Konten zu behalten, um Ihren persönlichen digitalen Fußabdruck zu kennen. Außerdem sollten Sie Konten löschen, die Sie nicht mehr benötigen – das verringert nicht nur Ihre Gefährdung, sondern auch die Anzahl der Websites, für die Sie Ihre Anmeldedaten verwalten müssen.
3. Verfügen Sie stets über einen Backup-Plan
Da Cyber-Bedrohungen oft auf Ihre persönlichen oder beruflichen Daten abzielen, ist es wichtig, einen Backup-Plan zu haben. Egal ob privat oder beruflich, eine Cloud-Backup-Lösung hilft Ihnen dabei, Ihre Daten zu schützen und sich schnell von einem Datenverlust zu erholen. Ganz gleich, ob Sie mit einem Ransomware-Angriff, beschädigten Inhalten oder einfachen Nutzerfehlern konfrontiert sind, diese vorherige Planung kann Ihnen helfen, den Worst-Case zu vermeiden. Automatische Cloud-Backups sichern Ihre Daten in regelmäßigen Abständen und gestatten Ihnen deren Wiederherstellung zu einem bestimmten Zeitpunkt.
Auf Unternehmensebene können Backup-Lösungen die Sicherung und Verschlüsselung der Daten Ihres Unternehmens sicherstellen. Sollte ein Problem auftreten, können On-Demand-Wiederherstellungsfunktionen die Ausfallzeit und den Datenverlust minimieren.
Für nur ein paar Euro pro Monat können Sie mit Cloud-Backup-Lösungen die Dateien, Fotos und Videos auf Ihren persönlichen Geräten schützen. Das Leben ist chaotisch und alles kann passieren. Ganz gleich, ob Ihr Handy gestohlen wird, Ihr Kind ein Getränk über Ihren Laptop schüttet oder Ihre Festplatte beschädigt wird – Sie können beruhigt sein, denn Sie wissen, dass Sie die für Sie wichtigsten Inhalte wiederherstellen können.
Wenn ein falscher Klick finanzielle, rufschädigende und betriebliche Folgen haben kann, haben Sie eine Menge Macht in Ihren Händen. Tragen Sie Ihren Teil dazu bei, wichtige Daten zu schützen und zu bewahren, indem Sie einfache Best Practices zur Unternehmenssicherheit befolgen.
Sie möchten weitere Tipps für mehr Sicherheit im Unternehmen? Abonnieren Sie unseren Blog, um keinen Beitrag zu verpassen.
Dana Louise Simberkoff is the Chief Risk, Privacy and Information Security Officer at AvePoint. She is responsible for AvePoint’s privacy, data protection, and security programs. She manages a global team of subject matter experts that provide executive level consulting, research, and analytical support on current and upcoming industry trends, technology, standards, best practices, concepts, and solutions for risk management and compliance. Ms. Simberkoff is responsible for maintaining relationships with executive management and multiple constituencies both internal and external to the corporation, providing guidance on product direction, technology enhancements, customer challenges, and market opportunities.
Ms. Simberkoff has led speaking sessions at data privacy and security events around the globe. She was featured in Forbes, writes a monthly column for CMSWire, and was highlighted in the CSO Online list of “12 Amazing Women in Security”. She is a current member of the Women Leading Privacy Advisory Board and a past member of the Education Advisory Board for the International Association of Privacy Professionals (IAPP). Ms. Simberkoff holds a BA from Dartmouth College and a JD from Suffolk University Law School.
LinkedIn: www.linkedin.com/in/danalouisesimberkoff/en
Twitter: http://www.twitter.com/danalouise