Ein Schloss als Symbol für die IT-Sicherheit

5 Tipps für eine bessere IT-Sicherheit in Unternehmen

Cyberattacken wie WannaCry, NotPetya und Co. haben bei Unternehmen in den vergangenen Jahren Schäden in Milliardenhöhe verursacht. Und es trifft nicht nur die Großen. Gemäß einer Studie der Gothaer wurde bereits jedes 5. deutsche Unternehmen Opfer eines Hackerangriffs, Datendiebstahls oder eines Trojaners. Die Sicherheitsvorkehrungen vieler Selbstständiger sind sehr unzureichend. Nachfolgend geben wir Ihnen 5 einfache Tipps an die Hand, um Ihren Betrieb deutlich sicherer zu machen.

Ein Hacker plant einen Cyberangriff

1. Sichere Passwörter erstellen und mittels Passwortmanager verwalten

Ob es um den Zugriff auf den eigenen PC, auf das E-Mail-Postfach oder andere webbasierte Anwendungen geht: ohne Passwörter geht es leider nicht! Denn nur mit ihnen können Sie vertrauliche Inhalte vor Angreifern schützen. Doch dazu müssen die Passwörter, die Sie verwenden, sicher sein. Und auch der Umgang mit diesen ist essenziell für Ihre IT-Sicherheit.

Beachten Sie folgende Dinge beim Erstellen und Verwalten von Passwörtern:

1.1 Je länger, desto besser

Selbst wenn das Wort keinen Sinn ergibt, mithilfe bestimmter Programme können Hacker beispielsweise sechsstellige Passwörter schon unter einer Sekunde knacken. Daher sollte ein sicheres Passwort mindestens zwölf Zeichen haben – besser aber mehr.

1.2 Keine einfachen Wörter oder Zahlenreihen

Verwenden Sie keine Passwörter wie 12345, passwort oder auch Pa$$wort (die Sonderzeichen nützen hier nicht viel). Auch wenn das vielleicht selbstredend sein mag, solche Passwörter werden immer noch gerne und häufig vergeben, da sie einfach zu merken sind. Und die Hacker kennen sie alle. 

1.3 Das Passwort sollte nicht in einem Wörterbuch vorkommen

Begriffe aus Wörterbüchern zu verwenden, ist nicht empfehlenswert, da Hacker-Tools genau nach diesen Worten suchen. Auch personenbezogene Daten, wie Namen, Geburtstage etc. eigenen sich nicht als sicheres Passwort. Am besten wählen Sie ganze Sätze – sogenannte Password-Phrases. Im Idealfall ergeben die Worte keinen Sinn oder haben keinen Bezug zueinander. Sie können auch einen Passwortgenerator verwenden, der Ihnen wahllos Buchstaben und Sonderzeichen ausspuckt. Auch hier gilt: Je länger das Passwort, desto besser. Wichtig: Nutzen Sie aus Sicherheitsgründen kein Online-Tool, sondern einen der unten genannten Passwort-Manager.

1.4 Verwenden Sie kein Passwort mehr als einmal

Passwörter sollten immer nur einmal verwendet werden, sonst haben Hacker – sollten Sie ihnen zum Opfer fallen – leichtes Spiel mit Ihren weiteren Accounts.

1.5 Nutzen Sie einen Passwortmanager

Natürlich lassen sich komplexe und lange Passwörter schwer merken. Wir raten Ihnen allerdings dringend davon ab, sich Ihre Passwörter zu notieren. Verwenden Sie stattdessen einen Passwortmanager. Dabei handelt es sich um ein sicheres Programm auf Ihrem Computer, in dem Sie unter anderem die Login-Daten Ihrer verschiedenen Anwendungen speichern und verwalten können. Sie können den integrierten Passwortgenerator auch dazu verwenden, um sichere Passwörter zu erstellen.

Zur Sicherung des Tools vergeben Sie ein Masterpasswort, nach den oben genannten Standards. Folglich müssen Sie sich nur ein Passwort merken und erhalten damit Zugriff auf alle anderen Passwörter. Außerdem werden die gespeicherten Passwörter verschlüsselt, sodass Angreifer im Fall eines erfolgreichen Hackerangriffs keinerlei nützliche Informationen erhalten. Neben den Login-Daten können Sie bei den meisten Passwortmanagern zudem weitere sensible Daten, wie etwa TAN-Nummern, Elster-Zertifikate oder Lizenzschlüssel speichern.

Folgende Passwortmanager sind zu empfehlen:

  • Lastpass: für den Desktop als Browser-Erweiterung oder als Smartphone App einsetzbar; Daten werden in einer Cloud gespeichert; als Freeware mit eingeschränkten Funktionen oder als Premium-Variante (Teams, ca. 2,50 $/Monat/Nutzer – bis zu 50 Mitarbeiter; Enterprise 4 $/Monat/Nutzer – größere Unternehmen) erhältlich
     
  • Keepass: Das Programm muss auf den eigenen Rechner oder einen USB-Stick heruntergeladen werden; die verschlüsselte Passwort-Datei ist dadurch mobil - sprich, sie kann auf verschiedenen Geräten verwendet werden, ohne dass sie zwingend in einer Cloud gespeichert werden muss; eher für erfahrene Nutzer geeignet; bietet sehr viele Individualisierungsmöglichkeiten; kostenlos
     
  • 1Password: vor allem für Apple-Nutzer zu empfehlen, da die Einrichtung bei Windows etwas komplizierter und nur mit Browser-Erweiterung plus Desktop-App funktioniert; Daten werden in einer Cloud gespeichert; Unternehmen zahlen pro Nutzer 11,99 $/Monat
     
  • Dashlane Business: wie Lastpass als Browsererweiterung oder Smartphone-App verwendbar; Daten werden in einer Cloud gespeichert; Unternehmen zahlen 4 $/Monat/Nutzer

Der Vorteil der Cloud-basierten Passwortmanager ist, dass Sie verschiedene Geräte synchronisieren können, um so Zugriff von mehreren Geräten aus zu haben. Kritisch anzumerken ist, dass die Sicherheit einer Cloud durchaus Schwachstellen aufweisen kann.

Finanzchef24-Tipp in Blau

Sichern Sie besonders sensible Zugänge mit einer sogenannten “Zwei-Faktor-Authentifizierung (2FA)” ab. Selbst, wenn ein Angreifer Ihr Passwort ergattert, kann er dennoch nichts damit anfangen, da ihm der zweite Faktor zur Anmeldung fehlt. Denn bei der 2FA, beispielsweise bei Ihrem Google-Konto, vergeben Sie zum einen ein Passwort. Zum anderen erhalten Sie einen Code, den Sie zusätzlich eingeben müssen. Melden Sie sich von einem unbekannten Gerät an, erhalten Sie eine SMS oder einen Anruf, die/der einen neuen Code zur Anmeldung beinhaltet.

2. Zugriffsmanagement innerhalb des Betriebs regeln

Teilen Sie die Zugriffe entsprechend der Tätigkeitsbereiche auf. Es ist nicht sinnvoll, dass jeder Ihrer Mitarbeiter Zugriff auf sämtliche Anwendungen und den entsprechenden Zugangsdaten hat. Je mehr Personen die Daten kennen, desto höher ist das Risiko einer Sicherheitslücke. Wenn möglich, stellen Sie einen IT-Sicherheitsbeauftragten ein, der regelmäßig Kontrollen zur IT-Sicherheit durchführt und die diversen Accounts und Zugriffsberechtigungen verwaltet.

3. Software-Updates regelmäßig durchführen

Führen Sie regelmäßig Software-Updates für Ihre Programme durch. Ein verpasstes Update kann eine Sicherheitslücke im System bedeuten. Das macht Sie und Ihr Unternehmen für Hacker und Viren leicht angreifbar. Um nicht den Überblick zu verlieren, sollten Sie eine Liste all Ihrer Anwendungen erstellen. Diese sollten Sie beziehungsweise Ihre IT-Abteilung/Ihr IT-Beauftragter regelmäßig aktualisieren und prüfen, ob alle Updates korrekt installiert wurden. In der Regel führen die Programme ihre Updates selbstständig im Hintergrund aus. Sie müssen Sie also lediglich autorisieren. 

Veraltete Software ist deshalb ein Problem, weil die Sicherheitslücken der Unternehmen im Laufe der Zeit bekannt werden und so ein willkommenes Ziel für Hacker darstellen. Aber: Auch Updates können unter Umständen ein Sicherheitsrisiko darstellen. Wenn es sich bei einem Programm um kritische Software handelt, sollte das Update zunächst auf einem Testsystem durchgeführt werden.

4. Für eine konsequente Datensicherung sorgen

Datensicherung klingt logisch, wird aber laut Bundesministerium für Wirtschaft und Energie von gut einem Viertel der kleinen und mittleren Unternehmen nicht regelmäßig durchgeführt. Dabei sind gesicherte Unternehmensdaten das A und O, sollten Sie einmal ins Visier eines Hackerangriffs geraten. Doch nicht nur Cyberattacken stellen für Ihre Daten eine Gefahr dar. Auch aufgrund von Soft- oder Hardwarefehlern sowie Anwenderfehlern können Daten verloren gehen. Haben Sie diese regelmäßig gesichert, rettet Sie Ihr Backup. Denn häufig können die verlorenen Daten nicht wieder hergestellt werden, was im Umkehrschluss einen herben finanziellen Verlust für Sie bedeuten kann.

Das sollten Sie bei der Datensicherung beachten: Nutzen Sie Datenträger, die nicht an Ihre IT-Infrastruktur gekoppelt sind. Am besten werden diese auch nicht in Ihrem Betrieb gelagert. Denn Diebstahl, Feuer oder Leitungswasser können ebenfalls Ihre Elektronik beschädigen und somit ein Sicherheitsrisiko darstellen. Vertrauliche Daten sollten Sie außerdem an einem verschließbaren Ort, etwa in einem Safe, aufbewahren. Benennen Sie einen Mitarbeiter, der für die Datensicherung verantwortlich ist.

Weitere Empfehlungen:

  • Bewahren Sie mehr als ein Backup auf, da oft nicht nachzuvollziehen ist, wann genau eine wichtige Datei gelöscht oder beschädigt wurde (z.B. immer die letzten sieben Tage).
  • Testen Sie Ihre Backups regelmäßig.
  • Halten Sie den Sicherungsprozess schriftlich fest, damit mögliche Probleme nachvollzogen werden können.

5. Mitarbeiter durch Schulungen sensibilisieren

Der Punkt „Mitarbeiterschulungen“ wird oft vergessen, dabei steht und fällt die Cyber-Security Ihres Unternehmens mit Ihren Mitarbeitern. Ihr IT-Sicherheitskonzept kann noch so ausgefeilt sein – wenn Ihr Team nicht damit vertraut ist oder grundsätzlich mangelnde Kenntnis hinsichtlich möglicher Risiken besteht, wird das Konzept nicht funktionieren. Ihr Bestreben sollte es sein, das Sicherheitsverständnis aller Mitarbeiter zu schulen und beispielsweise darauf aufmerksam zu machen, dass eine E-Mail kein sicheres Kommunikationsmedium ist und Schadsoftware durch private Datenträger wie USB-Sticks oder Smartphones auf die Unternehmenssysteme geraten kann.

Lassen Sie, wenn nötig, einen externen IT-Dienstleister kommen, der Ihre Mitarbeiter hinsichtlich IT-Sicherheit umfassend aufklärt.

Finanzchef24-Tipp in Blau

Wenn Sie Praxisbeispiele suchen, wie ein IT-Sicherheitskonzept in kleinen Unternehmen aussehen kann, informieren Sie sich beim Bundesamt für Sicherheit der Informationstechnik. Die Behörde hat zu diesem Thema das umfangreiche PDF IT-Grundschutz-Profile - Anwendungsbeispiel für eine kleine Institution erstellt. 

6. Empfehlung von Finanzchef24: Der richtige Versicherungsschutz rundet Ihr IT-Sicherheitskonzept ab

Trotz aller Vorsicht und Vorkehrungen – eine 100%-ige Sicherheit gibt es nicht. Deshalb sollten Sie nicht nur vorbeugen, sondern ebenso für den Fall vorsorgen, dass Ihr Unternehmen Opfer eines Angriffs wird. Um den häufig immensen finanziellen Schaden abzufangen empfehlen wir den Abschluss einer Cyber-Versicherung. Sie greift im Fall eines Eigenschadens wie auch im Haftpflichtfall, falls beispielsweise Kundendaten gestohlen wurden. 

Da die Konzepte der Versicherer teils sehr unterschiedlich ausfallen, sollten Sie unbedingt mehrere Tarife vergleichen. Gerne sind wir Ihnen dabei behilflich. Fordern Sie dazu einfach einen unverbindlichen Vergleich an und wir erstellen Ihnen passende Angebote. Haben Sie Fragen? Dann rufen Sie uns unter der kostenlosen Rufnummer 0800 24 24 7890800 24 24 789 an oder kontaktieren Sie uns per E-Mail. Unsere Versicherungsexperten stehen Ihnen mit Rat und Tat zur Seite.

Gut zu wissen in Blau

D&O-Versicherung für Manager und Führungskräfte

Sind Sie als Manager oder Führungskraft tätig und tragen Verantwortung für IT-Sicherheitsmaßnahmen, sollten Sie über eine D&O-Versicherung verfügen. Denn wird Ihnen nachgewiesen, dass Sie keine ausreichenden Maßnahmen für die IT-Sicherheit Ihres Unternehmens getroffen haben, müssen Sie für den entstanden Schaden haften. 
Auch hier sollten Sie die verschiedenen Tarife miteinander vergleichen. Nutzen Sie dazu einfach unseren Online-Rechner. Auf Basis Ihrer Angaben wird er Ihnen maßgeschneiderte Angebote ausspielen, die Sie bei Bedarf direkt online abschließen können.

Jetzt D&O-Versicherung vergleichen >

Autorin: Cynthia Henrich, 22.03.2018