F5 Networks hat aus weltweiten Analysen aktueller Cybergefahren 10 Tipps für Unternehmen entwickelt, um den IT-Sicherheitsansatz zu verbessern. [...]
Beim Thema Sicherheit gibt es nach wie vor viele Mythen. Doch Unternehmen sollten ihre Entscheidungen nur auf Basis harter Fakten treffen. Zum Beispiel zielen heute 72 Prozent der Angriffe auf Benutzeridentitäten und Anwendungen. Trotzdem werden nur zehn Prozent des IT-Sicherheitsbudgets für deren Schutz ausgegeben. Ebenfalls unterschätzt wird weiterhin die Gefahr durch interne Mitarbeiter. Laut Fortune würde jeder fünfte Arbeitnehmer seine persönlichen Firmenpasswörter verkaufen, davon fast die Hälfte für weniger als 1.000 Dollar.
Über vier Millionen Datensätze werden täglich kompromittiert. Mehr als zwei Milliarden kompromittierter Accounts stehen online zum Kauf bereit. Vergangenes Jahr entdeckte Google jede Woche zwischen neun und 49 Millionen Malware-Websites sowie 22 bis 54 Millionen Phishing-Websites.
„Angesichts dieser Zahlen ist heute tatsächlich nicht mehr die Frage, ob ein Unternehmen angegriffen wird, sondern wann“, erklärt Andreas Riepen, Vice President DACH bei F5. „Doch nur wenige Firmen sind wirklich ausreichend auf den Fall der Fälle vorbereitet. So wurden alleine im vergangenen Jahr über 26,5 Millionen Websites gehackt. Ein umfassender Schutz durch eine integrierte Sicherheitsarchitektur ist aber kein Hexenwerk. Und selbst mit ein paar einfachen Tipps lässt sich in der Praxis schon viel erreichen.“
Folgende 10 Punkte erhöhen die Sicherheit:
1. Verstehen Sie die Motive, Ziele und Taktiken der Hacker
Bei den meisten Hackern handelt es sich um Cyberkriminelle, die nur auf eines aus sind: Geld. Und obwohl sie in dem Ruf stehen, unaufhörlich die raffiniertesten Pläne zu schmieden, sind viele ihrer Methoden in Wahrheit ausgesprochen schlicht. Letzten Endes wählen sie immer den Weg des geringsten Widerstands und suchen sich leichten Ziele.
1. Verstehen Sie die Motive, Ziele und Taktiken der Hacker
Bei den meisten Hackern handelt es sich um Cyberkriminelle, die nur auf eines aus sind: Geld. Und obwohl sie in dem Ruf stehen, unaufhörlich die raffiniertesten Pläne zu schmieden, sind viele ihrer Methoden in Wahrheit ausgesprochen schlicht. Letzten Endes wählen sie immer den Weg des geringsten Widerstands und suchen sich leichten Ziele.
2. Passen Sie Ihr Budget an Ihre Bedrohungslandschaft an – und planen Sie auch eine Cyberversicherung ein
Planen Sie in Ihrem Budget unbedingt eine Cyberversicherung ein. Ein kleiner Betrag für das Vertrauen der Verbraucher wird Ihr Unternehmen kaum ruinieren, die durch einen Hackerangriff verursachte Datenschutzverletzung und die damit verbundenen Kosten möglicherweise schon.
Planen Sie in Ihrem Budget unbedingt eine Cyberversicherung ein. Ein kleiner Betrag für das Vertrauen der Verbraucher wird Ihr Unternehmen kaum ruinieren, die durch einen Hackerangriff verursachte Datenschutzverletzung und die damit verbundenen Kosten möglicherweise schon.
3. Schulen Sie alle Mitarbeiter – von der Verwaltung bis zum Vorstand
Bei der Sicherheit kommt es auf jeden Einzelnen an, und deshalb ist es wichtig, jeden Einzelnen zu sensibilisieren. Schulen Sie Ihre Nutzer mit Nachdruck, damit sie gezielte Phishing-Angriffe erkennen und abwehren können. Machen Sie ihnen klar, wie wichtig ein ordnungsgemäßes Passwortmanagement ist (und welche Gefahr ungeschützte Passwörter darstellen können), und stellen Sie ihnen Tools wie Password Safes zur Verfügung.
Bei der Sicherheit kommt es auf jeden Einzelnen an, und deshalb ist es wichtig, jeden Einzelnen zu sensibilisieren. Schulen Sie Ihre Nutzer mit Nachdruck, damit sie gezielte Phishing-Angriffe erkennen und abwehren können. Machen Sie ihnen klar, wie wichtig ein ordnungsgemäßes Passwortmanagement ist (und welche Gefahr ungeschützte Passwörter darstellen können), und stellen Sie ihnen Tools wie Password Safes zur Verfügung.
4. Kontrollieren Sie den Zugang ordnungsgemäß
Begrenzen Sie die Zahl der Benutzeridentitäten. Mehrstufige Authentifizierung (MFA) für den Zugriff auf Ihr Netzwerk und seine Anwendungen kann die Gefahr von Angriffen auf Identitäten mindern. Verwenden Sie keine unsicheren oder vorgegebenen Benutzername/Passwort-Kombinationen. Hash-Passwörter bieten praktisch überhaupt keinen Schutz. Denken Sie daran, dass Zugang ein Privileg ist.
Begrenzen Sie die Zahl der Benutzeridentitäten. Mehrstufige Authentifizierung (MFA) für den Zugriff auf Ihr Netzwerk und seine Anwendungen kann die Gefahr von Angriffen auf Identitäten mindern. Verwenden Sie keine unsicheren oder vorgegebenen Benutzername/Passwort-Kombinationen. Hash-Passwörter bieten praktisch überhaupt keinen Schutz. Denken Sie daran, dass Zugang ein Privileg ist.
5. Managen Sie Ihre Schwachstellen
Verwenden Sie für jedes Netzwerk, jedes System und jeden Softwaretyp eine Scanning-Lösung. Priorisieren Sie das Schwachstellenmanagement für Webanwendungen. Automatisieren Sie das Schwachstellenmanagement für Webanwendungen. Patchen Sie alle Geräte – Desktops, Laptops, Server usw. – monatlich, insbesondere wenn Sie Windows nutzen.
Verwenden Sie für jedes Netzwerk, jedes System und jeden Softwaretyp eine Scanning-Lösung. Priorisieren Sie das Schwachstellenmanagement für Webanwendungen. Automatisieren Sie das Schwachstellenmanagement für Webanwendungen. Patchen Sie alle Geräte – Desktops, Laptops, Server usw. – monatlich, insbesondere wenn Sie Windows nutzen.
6. Sorgen Sie stets für die nötige Transparenz, insbesondere bei Ihren kritischen Daten, denn was Sie nicht sehen, können Sie nicht schützen
Intrusion Detection/Prevention-Systeme (IDS/IPS), Security Information Event Manager (SIEM), Data Loss Prevention (DLP) und andere Systeme müssen ordnungsgemäß aufgebaut, implementiert und laufend gemanagt werden.
Intrusion Detection/Prevention-Systeme (IDS/IPS), Security Information Event Manager (SIEM), Data Loss Prevention (DLP) und andere Systeme müssen ordnungsgemäß aufgebaut, implementiert und laufend gemanagt werden.
7. Engagieren Sie einen Hacker und/oder richten Sie ein Bug-Bounty-Programm ein
Wenn ein erfolgreicher Angriff auf eine bestimmte Anwendung Ihrem Unternehmen erheblichen Schaden zufügen könnte, lohnt es sich, einen Techniker zu beauftragen, der diese zu hacken versucht.
Wenn ein erfolgreicher Angriff auf eine bestimmte Anwendung Ihrem Unternehmen erheblichen Schaden zufügen könnte, lohnt es sich, einen Techniker zu beauftragen, der diese zu hacken versucht.
8. Nutzen Sie Experten, insbesondere in den Bereichen Compliance und Incident
Response Security-as-a-Service ist eine großartige Option für das effektive Management von Hochrisikokontrollen, die eine schnelle 24×7-Reaktion kompetenter Techniker erfordern.
Response Security-as-a-Service ist eine großartige Option für das effektive Management von Hochrisikokontrollen, die eine schnelle 24×7-Reaktion kompetenter Techniker erfordern.
9. Verfolgen Sie eine DDoS-Strategie
Mittlerweile kann praktisch jeder ohne großen Aufwand IoT-Botnets aufbauen, mit deren Hilfe sich Angriffe in der Größenordnung von einigen Terabyte pro Sekunde durchführen lassen. Wenn Sie noch keinen Plan zur Bekämpfung von DdoS-Angriffen haben, sollten Sie rasch einen entwickeln.
Mittlerweile kann praktisch jeder ohne großen Aufwand IoT-Botnets aufbauen, mit deren Hilfe sich Angriffe in der Größenordnung von einigen Terabyte pro Sekunde durchführen lassen. Wenn Sie noch keinen Plan zur Bekämpfung von DdoS-Angriffen haben, sollten Sie rasch einen entwickeln.
10. Kommunizieren Sie die Wahrscheinlichkeit und Auswirkungen eines Angriffs
Informieren Sie Ihren Vorstand, den Prüfungsausschuss und die Geschäftsleitung über mögliche Angriffe und ihre Folgen. Auf gar keinen Fall sollten Sie sie irgendwann mit einer völlig unerwarteten Sicherheitsverletzung überraschen.
Informieren Sie Ihren Vorstand, den Prüfungsausschuss und die Geschäftsleitung über mögliche Angriffe und ihre Folgen. Auf gar keinen Fall sollten Sie sie irgendwann mit einer völlig unerwarteten Sicherheitsverletzung überraschen.
Be the first to comment