7 Möglichkeiten, ein Unternehmen mit einem Klick zu zerstören

2024 Autor: Malcolm Clapton | [email protected]. Zuletzt bearbeitet: 2024-01-15 16:42

Eine bösartige E-Mail und ein naiver Mitarbeiter können Ihrem Unternehmen Geld oder Reputation kosten. Gemeinsam mit Microsoft verraten wir Ihnen, über welche Cyberhygiene-Regeln Sie mit Ihrem Team sprechen müssen.

Finden Sie noch mehr Tipps, wie Sie sich vor digitalen Bedrohungen schützen können.

Jeden Tag tauchen neue Arten von Cyber-Bedrohungen auf. Es mag den Anschein haben, dass Hacker und Betrüger nur hinter den Giganten des Marktes her sind. Aber das ist nicht so. 63 % aller Angriffe zielen auf kleine Unternehmen ab und 60 % der kleinen Unternehmen werden nach einem Cyberangriff geschlossen. Außerdem sind die Opfer der Angriffe nicht unbedingt Startups aus dem Silicon Valley. Die Generalstaatsanwaltschaft der Russischen Föderation verzeichnete in den ersten sechs Monaten des Jahres 2019 180.153 Cyberkriminalität. Und das sind 70 % mehr als 2018.

Auch wenn Sie eine ganze IT-Abteilung haben und auf allen Computern Antivirenprogramme installiert sind, reicht dies für einen zuverlässigen Schutz nicht aus. Hinzu kommt immer ein menschlicher Faktor: Fehlhandlungen von Mitarbeitern können zu einer digitalen Katastrophe führen. Daher ist es wichtig, mit Ihrem Team über Cyber-Bedrohungen zu sprechen und ihnen zu erklären, wie sie sich schützen können. Wir haben sieben Situationen zusammengestellt, in denen die Indiskretion einer Person Ihr Unternehmen teuer zu stehen kommen kann.

1. Klicken auf einen schädlichen Link

Situation: eine E-Mail wird an die Post des Mitarbeiters gesendet, die wie ein normales Mailing eines bekannten Adressaten aussieht. Der Brief enthält eine Schaltfläche, die zu einer Seite führt, die bei einer Person keinen Verdacht erregt. Der Mitarbeiter folgt dem Link und wird auf die Betrugsseite weitergeleitet.

Der beschriebene Mechanismus ist der sogenannte Phishing-Angriff. Untersuchungen von Microsoft zufolge ist dies eines der häufigsten betrügerischen Schemata. Im Jahr 2018 stieg die Zahl solcher Angriffe um 350%. Phishing ist gefährlich, weil es Elemente des Social Engineering beinhaltet: Angreifer versenden E-Mails per E-Mail im Auftrag eines Unternehmens oder einer Person, der das Opfer sicher vertraut.

Betrügerische Schemata werden immer komplexer: Angriffe laufen in mehreren Stufen ab, E-Mails werden von unterschiedlichen IP-Adressen versendet. Eine Phishing-E-Mail kann sogar als Nachricht eines Unternehmensleiters getarnt werden.

Um nicht erwischt zu werden, müssen Sie alle Briefe sorgfältig lesen, Abweichungen in einem Brief oder Symbol in der Adresse feststellen und bei Verdacht den Absender kontaktieren, bevor Sie etwas unternehmen.

2. Herunterladen einer infizierten Datei

Situation: der Mitarbeiter braucht eine neue Software, um zu arbeiten. Er beschließt, das Programm gemeinfrei herunterzuladen und landet auf einer Website, auf der Malware vorgibt, nützliche Software zu sein.

Viren im Internet werden oft als funktionierende Software getarnt. Dies wird als Spoofing bezeichnet - das Verfälschen des Zwecks eines Programms, um dem Benutzer zu schaden. Sobald der Mitarbeiter die heruntergeladene Datei öffnet, fällt sein Computer in die Risikozone. Darüber hinaus laden einige Websites automatisch bösartigen Code auf Ihren Computer herunter – auch ohne dass Sie versuchen, etwas herunterzuladen. Diese Angriffe werden Drive-by-Downloads genannt.

Weitere Folgen hängen von der Art des Virus ab. Früher war Ransomware weit verbreitet: Sie blockierte den Computer und forderte ein Lösegeld vom Benutzer, um zum Normalbetrieb zurückzukehren. Jetzt ist eine andere Option üblicher – Angreifer verwenden die Computer anderer Leute, um Kryptowährungen zu minen. Gleichzeitig verlangsamen sich andere Prozesse und die Systemleistung nimmt ab. Darüber hinaus können Betrüger mit Zugang zu einem Computer jederzeit an vertrauliche Daten gelangen.

Artyom Sinitsyn Director of Information Security Programs in Central and Eastern Europe, Microsoft.

Mitarbeiter des Unternehmens sollten sich bewusst sein, dass funktionierende Software nicht aus dem Internet heruntergeladen werden kann. Personen, die Programme im Web veröffentlichen, tragen keine Verantwortung für die Sicherheit Ihrer Daten und Geräte.

Eine der ersten Regeln der Cybersicherheit ist die Verwendung lizenzierter Software. Es bietet beispielsweise alle Lösungen, die Sie für Ihr Unternehmen benötigen, und garantiert gleichzeitig den vollständigen Schutz Ihrer Informationen.

Es ist nicht nur sicher, sondern auch bequem: Mit Microsoft 365 können Sie alle Office-Apps nutzen, Ihre Outlook-E-Mails mit Ihrem Kalender synchronisieren und alle wichtigen Informationen in der 1 TB OneDrive Cloud aufbewahren.

3. Übertragen von Dateien über ungeschützte Kanäle

Situation: Der Mitarbeiter muss einen Arbeitsbericht mit vertraulichen Informationen mit einem Kollegen teilen. Um es schneller zu machen, lädt er die Datei in die sozialen Medien hoch.

Wenn es Mitarbeitern unangenehm ist, Unternehmens-Chats oder andere Bürosoftware zu verwenden, suchen sie nach Workarounds. Nicht um absichtlich zu schaden, sondern einfach weil es so einfacher ist. Dieses Problem ist so verbreitet, dass es sogar einen speziellen Begriff dafür gibt – Schatten-IT. So beschreiben sie eine Situation, in der Mitarbeiter ihre Informationssysteme entgegen den Vorgaben der IT-Policy des Unternehmens aufbauen.

Es liegt auf der Hand, dass die Übertragung vertraulicher Informationen und Dateien über soziale Netzwerke oder Kanäle ohne Verschlüsselung ein hohes Risiko von Datenverlusten birgt. Erklären Sie den Mitarbeitern, warum es wichtig ist, Protokolle einzuhalten, die von der IT-Abteilung kontrolliert werden, damit die Mitarbeiter bei Problemen nicht persönlich für den Verlust von Informationen verantwortlich sind.

Artyom Sinitsyn Director of Information Security Programs in Central and Eastern Europe, Microsoft.

4. Veraltete Software und fehlende Updates

Situation: der Mitarbeiter erhält eine Benachrichtigung über die Freigabe einer neuen Softwareversion, verschiebt aber die ganze Zeit das Systemupdate und arbeitet an der alten, weil „keine Zeit“und „viel Arbeit“sei.

Neue Softwareversionen sind nicht nur Bugfixes und schöne Oberflächen. Es ist auch die Anpassung des Systems an die aufgetretenen Bedrohungen sowie die Überschneidung von Informationsleckkanälen. Flexera berichtet, dass es möglich ist, die Systemanfälligkeit durch einfaches Installieren der neuesten Software-Updates um 86 % zu reduzieren.

Cyberkriminelle finden regelmäßig ausgeklügelte Wege, um sich in die Systeme anderer Leute einzudringen. Im Jahr 2020 wird beispielsweise künstliche Intelligenz für Cyberangriffe eingesetzt, und die Zahl der Hackerangriffe auf Cloud-Speicher steigt. Ein Schutz gegen ein Risiko, das beim Beenden des Programms nicht bestand, ist nicht möglich. Daher besteht die einzige Möglichkeit, die Sicherheit zu verbessern, darin, immer mit der neuesten Version zu arbeiten.

Bei nicht lizenzierter Software ist die Situation ähnlich. Dieser Software kann ein wichtiger Teil der Funktionen fehlen, und niemand ist für den korrekten Betrieb verantwortlich. Es ist viel einfacher, für lizenzierte und unterstützte Software zu bezahlen, als kritische Unternehmensinformationen zu riskieren und den Betrieb des gesamten Unternehmens zu gefährden.

5. Nutzung öffentlicher Wi-Fi-Netzwerke für die Arbeit

Situation: Mitarbeiter arbeitet mit Laptop in einem Café oder Flughafen. Es verbindet sich mit dem öffentlichen Netzwerk.

Wenn Ihre Mitarbeiter remote arbeiten, informieren Sie sie über die Gefahren von öffentlichem WLAN. Das Netzwerk selbst kann eine Fälschung sein, durch die Betrüger Daten von Computern stehlen, wenn sie versuchen, eine Verbindung herzustellen. Aber selbst wenn das Netzwerk echt ist, können andere Probleme auftreten.

Andrey Beshkov Leiter Geschäftsentwicklung bei Softline.

Als Folge eines solchen Angriffs können wichtige Informationen, Logins und Passwörter gestohlen werden. Betrüger können in Ihrem Namen Nachrichten senden und Ihr Unternehmen gefährden. Stellen Sie nur eine Verbindung zu vertrauenswürdigen Netzwerken her und arbeiten Sie nicht mit vertraulichen Informationen über öffentliches WLAN.

6. Kopieren wichtiger Informationen an öffentliche Dienste

Situation: der Mitarbeiter erhält einen Brief von einem ausländischen Kollegen. Um alles genau zu verstehen, kopiert er den Brief an den Übersetzer im Browser. Das Schreiben enthält vertrauliche Informationen.

Große Unternehmen entwickeln eigene unternehmenseigene Texteditoren und Übersetzer und weisen ihre Mitarbeiter an, nur diese zu verwenden. Der Grund ist einfach: Öffentliche Online-Dienste haben ihre eigenen Regeln für die Speicherung und Verarbeitung von Informationen. Sie sind nicht für den Schutz Ihrer Daten verantwortlich und können diese an Dritte weitergeben.

Sie sollten keine wichtigen Dokumente oder Fragmente der Unternehmenskorrespondenz in öffentliche Ressourcen hochladen. Dies gilt auch für Dienste zur Alphabetisierung. Es gibt bereits Fälle von Informationslecks durch diese Ressourcen. Es ist nicht notwendig, eigene Software zu erstellen, es reicht aus, zuverlässige Programme auf Arbeitscomputern zu installieren und den Mitarbeitern zu erklären, warum es wichtig ist, nur diese zu verwenden.

7. Ignorieren der Multi-Faktor-Authentifizierung

Situation: Das System fordert den Mitarbeiter auf, einem Gerät und einem Fingerabdruck ein Passwort zuzuordnen. Der Mitarbeiter überspringt diesen Schritt und verwendet nur das Passwort.

Wenn Ihre Mitarbeiter keine Passwörter auf einem auf den Monitor geklebten Aufkleber speichern, ist das großartig. Aber nicht genug, um das Verlustrisiko auszuschließen. Bundles "Passwort - Login" reichen für einen zuverlässigen Schutz nicht aus, insbesondere wenn ein schwaches oder zu langes Passwort verwendet wird. Wenn ein Konto in die Hände von Cyberkriminellen gerät, benötigen sie laut Microsoft in 30 % der Fälle etwa zehn Versuche, um das Passwort für andere menschliche Konten zu erraten.

Verwenden Sie die Multi-Faktor-Authentifizierung, die dem Login / Passwort-Paar weitere Prüfungen hinzufügt. Zum Beispiel ein Fingerabdruck, eine Gesichts-ID oder ein zusätzliches Gerät, das die Anmeldung bestätigt. Die Multi-Faktor-Authentifizierung schützt vor 99% der Angriffe, die darauf abzielen, Daten zu stehlen oder Ihr Gerät zum Mining zu verwenden.

Artyom Sinitsyn Director of Information Security Programs in Central and Eastern Europe, Microsoft.

Um Ihr Unternehmen vor modernen Cyberangriffen wie Phishing, Account-Hacking und E-Mail-Infektionen zu schützen, müssen Sie sich für zuverlässige Collaboration-Dienste entscheiden. Technologien und Mechanismen für einen wirksamen Schutz müssen von Anfang an in das Produkt integriert werden, um es möglichst komfortabel nutzen zu können, ohne in digitalen Sicherheitsfragen Kompromisse eingehen zu müssen.

Aus diesem Grund enthält Microsoft 365 eine Reihe intelligenter Sicherheitsfunktionen. Schützen Sie beispielsweise Konten und Anmeldeverfahren vor Kompromittierung durch ein integriertes Risikobewertungsmodell, eine Multi-Faktor-Authentifizierung, für die Sie keine zusätzlichen Lizenzen erwerben müssen, oder eine kennwortlose Authentifizierung. Der Service bietet eine dynamische Zugangskontrolle mit Risikobewertung und unter Berücksichtigung verschiedenster Bedingungen. Microsoft 365 enthält auch integrierte Automatisierung und Datenanalyse und ermöglicht Ihnen außerdem, Geräte zu steuern und Daten vor Lecks zu schützen.