Wenn Sie Opfer eines Cyberangriffes werden, melden Sie sich beim
Computer Incident Response Center Luxembourg (CIRCL)
Warum ist es wichtig Daten zu sichern?
Durch eine Cyberattacke kann der Betrieb schnell stillstehen. Material kann nicht mehr bestellt werden oder wichtige Kundendaten können nicht mehr abgerufen werden. Deshalb müssen Verfahren eingerichtet werden, um Ihre digitalen Daten sowohl zentral (firmeninternes Netzwerk) als auch auf digitalen Endgeräten (PCs, Tablets, Smartphones) zu sichern.
Die Sicherheit Ihrer Unternehmensdaten sollte nicht nur auf Verwaltungsebene, sondern auch bei Außendienstmitarbeitern gewährleistet sein. Denn oft sind es Mitarbeiter, die an erste Stelle durch fehlende Antivirenprogramme, veraltete Betriebssysteme oder Unachtsamkeit beim Öffnen von gefährlichen Internetseiten oder betrügerischen E-Mails, Opfer von Cyberangriffen werden.
Wie sichere ich meine Daten?
Installieren Sie auf allen Ihren Geräten einen ausreichenden Basisschutz. Benutzen Sie komplexe Passwörter und installieren Sie auf allen Geräten einen Virenschutz und eine Firewall, um das Risiko eines Datenklaus oder -verlustes zu minimieren.
Aktualisieren Sie regelmäßig Ihre Betriebssysteme und Anwendungsprogramme. Das Schutzniveau Ihrer elektronischen Geräte kann angehoben werden, indem Sie die Betriebssysteme Ihrer Geräte und Anwendungsprogramme immer auf dem aktuellen Stand halten.
Führen Sie regelmäßig Sicherungen (Back-ups) aller Daten durch. Nur so können Sie im Falle eines Cyberangriffes, einer technischen Panne oder einem Wasser- oder Feuerschaden einen Datenverlust verhindern. Vergessen Sie nicht, ein Back-up der auf der Cloud gespeicherten Daten zu machen. Für zusätzliche Informationen: So sichern Sie Ihre Daten anhand eines Back-ups
Nutzen Sie gesicherte Internetseiten. Falls Sie sensible Kundendaten (Passwörter, Kreditkartennummern, usw.) Ihrer Kunden verarbeiten, sollten Sie sicherstellen, dass Sie eine Internetseite benutzen, die mit „https://“ anstatt mit „http://“ beginnt.
Verwalten Sie die Zugänge. Es ist nicht nur wichtig, die Zugänge der Rechner und mobilen Endgeräte zu kontrollieren, sondern auch der Gebäulichkeiten. Wer hat Zugriff auf Dokumente, den Serverraum, usw.? Wann werden die Gebäulichkeiten gereinigt?
Für zusätzliche Informationen: Checkliste für Ihren Datenschutz und Ihre Informatik-Sicherheit (Infoblatt) - 24/01/2019
Zusätzliche Sicherungsmaßnahmen:
Versicherung
Versicherungsunternehmen bieten Versicherungslösungen an, um Sie von den Risiken einer Cyberattacke zu schützen. Diese können Sie im Ernstfall finanziell absichern sollten Sie im Rahmen einer Cyberattacke Opfer von Datenverlust und -beschädigungen werden.
Cases.lu
Cases.lu, eine Initiative des luxemburgischen Wirtschaftsministeriums, bietet Unternehmen einen kostenfreien Sicherheitscheck an, um etwaige Schwachstellen zu identifizieren, das Sicherheitsniveau des Informationssystems zu bewerten und Verbesserungen vorzuschlagen. Für zusätzliche Informationen: Cases.lu
Selbsttests:
Testen Sie das Sicherheitsniveau Ihres Informationssystems: Fit4Cybersecurity
Testen Sie Ihre Verträge, die sich auf Informations- und Kommunikationstechnologien beziehen: Fit4Contract
Testen Sie die Güte Ihrer Passwörter: BeeSecure
Wie kann ich meine Mitarbeiter über das Thema „IT-Sicherheit“ sensibilisieren?
90 % der Cyberangriffe werden durch menschliche Fehler ausgelöst. Deswegen reichen rein technische Schutzmaßnahmen nicht aus. Die Sensibilisierung der Mitarbeiter spielt eine wichtige Rolle, denn Angreifer nutzen häufig deren Sorglosigkeit und Neugierde aus, um Cyberangriffe erfolgreich durchzuführen. Ihren Mitarbeitern muss daher bewusstwerden, wie wichtig die IT-Sicherheit für Ihr Unternehmen ist, denn jeder trägt mit seinem richtigen Handeln zur IT-Sicherheit bei.
Legen Sie Richtlinien für die Internetnutzung fest. Die Implementierung klarer Richtlinien zur Nutzung der externen und internen Kommunikationskanäle kann dazu beitragen, dass die Mitarbeiter die digitalen Kommunikationskanäle mit mehr Vorsicht benutzen.
Implementieren Sie eine Passwortpolitik. Vergewissern Sie sich, dass alle Geräte mit Passwörtern geschützt sind, dass diese nicht aufgeschrieben werden und dass für alle Konten unterschiedliche Passwörter genutzt werden. Für zusätzliche Informationen, wie man sich mit einem sicheren Passwort schützen kann: BeeSecure
Schulen Sie Ihre Mitarbeiter im Umgang mit Daten und in der Nutzung des Internets. Mitarbeiter müssen heutzutage demnach nicht nur Experten in ihrem Handwerk sein, sondern sich auch den drohenden Gefahren, insbesondere in der E-Mail-Kommunikation, bewusst sein. Beschäftigte wissen oft nicht, welche Informationen sie an wen weitergeben dürfen. Wichtig ist, den Mitarbeitern die Konsequenzen der leichtfertigen Nutzung zu veranschaulichen. Für zusätzliche Informationen: Cases.lu
Erstellen Sie einen Notfallplan. Meldewege bei Cyberangriffen sollten klar definiert und kommuniziert werden - eine Maßnahme, die im Ernstfall den Schaden minimieren kann. Der C3, Cybersecurity Competence Center Luxemburg, simuliert in seinem Room #42 Cyberangriffe in Echtzeit und ermöglicht es Besuchern, in realitätsnahen Szenarien Hacker-Strategien und Angriffe hautnah kennenzulernen und Krisensituation selbst zu bewältigen. Für zusätzliche Informationen: Room #42
Sollten Sie Opfer eines Cyberangriffes werden, können Sie diesen beim Computer Incident Response Center Luxembourg (CIRCL) melden.
Welche Gefahren gibt es?
Ransomware. Ransomware beschreibt Programme, die Opfer daran hindern ihre Daten aufzurufen. Die Cyberkriminellen infizieren Ihren Computer, indem sie Sie auffordern eine infizierte Datei, die einer E-Mail beigefügt wurde, herunterzuladen oder eine Internetseite mit einem Code aufzurufen, der Ihre Daten dann verschlüsselt oder Ihnen den Zugang zu Ihrem Computer blockiert. Ziel ist es Sie dazu zu bringen, ein Lösegeld zu zahlen damit Ihre Daten entschlüsselt werden. Es ist jedoch nicht garantiert, dass Ihre Daten nach der Zahlung des Lösegeldes freigegeben werden. Deswegen ist prinzipiell davon abzuraten ein Lösegeld zu zahlen.
Schnüffel- oder Ausspähprogramme. Spyware beschreibt Programme, welche sich ohne Ihr Wissen auf Ihrem Rechner installieren, dort Informationen sammeln und anschließend an Dritte weiterleiten. Einerseits gibt es harmlose Programme, die Ihr Verhalten auf einer Internetseite analysieren und die gesammelten Daten für Werbezwecke einsetzen. Anderseits gibt es hartnäckigere Programme, welche Passwörter und Benutzernamen, aber auch Kontonummern aufnehmen können.
Phishing. Phishing ist ein betrügerisches Verfahren, welches von Cyberkriminellen eingesetzt wird, um Passwörter, Nummern von Kreditkarten, Sozialversicherungen oder Bankkonten zu „angeln“. Oftmals wird anhand von gefälschten Internetseiten, Emails oder Kurznachrichten versucht Sie dazu zu bringen, sensible und persönliche Daten preiszugeben. Solche Nachrichten stammen auf den ersten Blick von verantwortungsbewussten Organisationen (wie z. B. Ihrer Hausbank), hinter denen sich jedoch oftmals Betrüger verstecken. Sie werden anschließend auf offiziell aussehende Internetseiten gelockt, um dort Kontodaten einzugeben. Kontrollieren Sie deshalb ganz genau auf welche Internetadressen Sie klicken. In vielen Fällen unterscheidet sich diese Internetadresse nur durch einen kleinen Tippfehler von der offiziellen Internetseite und ist so auf den ersten Blick nicht zu erkennen (z. B. chambredesmetiers.lu, wenn cdm.lu richtig wäre).
Spoofing. Spoofing bezeichnet die Fähigkeit sich als jemand anderes auszugeben. Man muss zwischen dem Identitätsbetrug auf menschlicher und technischer Ebene unterscheiden. Auf menschlicher Ebene, beschreibt es ein betrügerisches Verfahren, bei dem Cyberkriminelle die Identität eines Kontaktes oder einer bekannten Quelle, wie zum Bespiel eines Unternehmens, stehlen und sich als diese auszugeben. Sie hoffen so an sensible Daten zu gelangen und einen finanziellen Vorteil zu erhalten. Auf technischer Ebene geht es beim Identitätsbetrug darum, einen Computer oder ein Netzwerk mit einer gefälschten IP-Adresse (einzigartige Nummer, die einem Gerät zugewiesen ist und es ermöglicht es im Internet zu identifizieren) zu täuschen, indem der Internetverkehr des Domäne-Namens umgeleitet wird. oder die ARP-Daten (diese Daten ermöglichen es die physische Adresse einer Netzwerkkarte, die zu einer IP-Adresse gehört festzustellen) verfälscht und auf ein lokales Netzwerk umgeleitet werden.
Spam. Spam bezeichnet die unerwünschte Zusendung von Massen-E-Mails mit Rechnungen oder ähnlichen Informationen zu Online-Bestellungen. Hinter diesen scheinbar seriösen Nachrichten können sich oft infizierte Dateien verstecken. Zwar haben die meisten E-Mail-Anbieter heutzutage Spam-Filter installiert, die zur Aufgabe haben Massen-E-Mails auszusortieren, Ihre Mitarbeiter sollten trotzdem vorsichtig beim Öffnen von E-Mails unbekannter Herkunft sein.
IT-Schädlinge. Viren, Trojaner und Würmer sind die Klassiker unter den IT-Schädlingen, unterscheiden sich jedoch maßgeblich voneinander.
Viren verbreiten sich bspw. nur innerhalb eines Rechners. Um auf einen weiteren Rechner überzugreifen, brauchen sie die Hilfe eines Benutzers der sie per USB-Stick oder E-Mail weitergibt.
Würmer hingegen können sich selbstständig über ein Netzwerk verbreiten, indem sie sich über das Adressbuch automatisch an alle bekannten Kontakte verschicken.
Trojanische Pferde, kurz Trojaner, sind schädliche Programme, die sich heimlich in Ihr System einschleichen und die unterschiedlichsten Aufgaben ausführen. Beispielsweise spähen Trojaner Passwörter oder Zugangsdaten fürs Online-Banking aus.