Drei Mythen über Computer-Kriminalität und wie sich Risiken begegnen lässt

Reduzieren Sie das Risiko von Computer-Kriminalität mit konkreten Sicherheits-Maßnahmen, statt weiterhin an verharmlosende IT-Mythen zu glauben.

Cybercrime ist im Kommen. Dem Risiko Computer-Kriminalität muss heute von der Privatperson bis zum kleineren Unternehmen jeder zu begegnen wissen. Obwohl Sicherheitsstrategien und eine Reihe technischer und nicht technischer Prüfungen existieren, sind die meisten Unternehmen für die Situation nicht ausreichend gewappnet.

Risiken und Bedrohungen durch Computer-Kriminalität

Daten sind Geld und Pannen bei der Datensicherheit können den Verlust des guten Rufes sowie finanzielle Einbußen nach sich ziehen. Darüber hinaus verlieren die Kunden möglicherweise das Vertrauen in die Fähigkeit des betroffenen Unternehmens, die Kundendaten zu schützen. Das wiederum kann zum rapiden Verlust der Wettbewerbsfähigkeit führen.

Unternehmen sind einer Reihe von Bedrohungen ausgesetzt, die von Spear-Phishing bis hin zu Advanced Persistent Threats (APT) reichen. Zwar gibt es für deren Abwehr keine goldene Regel, aber mit einer Reihe von integrierten Maßnahmen kann der Computer-Kriminalität begegnet und entgegengesteuert werden. Starke Prüfungen auf Angriffe sind in den meisten Unternehmen vorhanden. Das gilt aber häufig weniger für APTs, Betrug durch interne Mitarbeiter und Social Engineering.

Mythen zum Thema Computer-Kriminalität

Hier einige verbreitete irrige Vorstellungen über die mit Computer-Kriminalität verbundenen Risiken:

  1. Mir passiert das nicht: Dieser Glaube herrscht über alle unerwünschten Ereignisse vor und führt zum Stillstand, was wiederum eine mangelhafte Vorbereitung nach sich zieht.
  2. Ich bin ein Kleinunternehmen und daher nicht sichtbar: Dies trifft nicht mehr länger zu. Auf dem Markt sind Sie sichtbar.
  3. Schlecht ausgebildete Menschen (beispielsweise das Reinigungspersonal) sind harmlos: Falsch, auch ein gering qualifizierter Arbeiter ist ein möglicher Angreifer oder potenzieller Datendieb.

Den mit Cybercrime verbundenen Risiken begegnen

Hier einige zentrale Maßnahmen, um den mit der Computer-Kriminalität verbundenen Risiken zu begegnen:

  • Datenklassifizierung in verschiedene Sicherheitsstufen, damit sich das Sicherheitsteam und alle anderen auf die wichtigsten zu schützenden Daten konzentrieren können.
  • Implementierung von Kontrollfunktionen wie ein Content-Management- und Dokumenten-Management-System. Diese Kontrollen müssen sich auch auf alle Auszubildenden, Sekretärinnen, Kleinstniederlassungen etc. erstrecken.
  • Eine richtlinienbasierte Infrastruktur ist wichtig. Durch die Implementierung von Sicherheitsprüfungen und durch Richtlinien wird die Änderung hin zu einer Sicherheitskultur unterstützt.
  • In Studien hat sich gezeigt, dass fast dreiviertel aller Datendiebstähle per Ausdruck erfolgen. Hier erweisen sich Prüfungen auf Prozess- und auf Technikebene als nützlich. Zum Beispiel könnten vor der Verwendung eines Netzwerkdruckers biometrische Merkmale geprüft werden. Bei Start des Druckauftrags müsste dann ein Mitarbeiter physisch am Drucker präsent sein.
  • Vor Dienstreisen sollten die Daten auf allen Mobilgeräten gelöscht werden, denn in einigen Ländern kann bei der Einreise im Fall einer Kontrolle die Entschlüsselung der Daten verlangt werden. Verschlüsselung ist für diese Problematik daher keine tragbare Lösung mehr.
  • Auf allen Mobilgeräten und Speichermedien sollten starke Prüfungen implementiert werden. Die Führungskräfte sind anzuweisen, diese Geräte auf Dienstreisen niemals unbeaufsichtigt im Hotel zu lassen, um das Risiko der Computer-Kriminalität erst gar nicht einzugehen.
  • Um die Ausgaben und den Aufwand für die Sicherheit zu optimieren, sollten unternehmensweit Risikobewertungen vorgenommen werden.
  • Mit der Einrichtung von sicheren Verbindungen kann gewährleistet werden, dass Führungskräfte sich ohne Gefahr für sensible Daten von außen mit dem Unternehmen verbinden können.
  • Seien Sie sich darüber bewusst, dass Anti-Malware nicht vor allen Angriffen schützt. Mit Frameworks wie Graviton und dem Zeus-Toolkit können Angreifer die Malware leicht abändern und so erfolgreich eine signaturbasierte Erkennung durch Anti-Malware umgehen. Der Angreifer selbst muss nicht über technisches Know-how verfügen, da er einen Experten mit der Entwicklung einer bestimmten Malware beauftragen kann.
  • Schaffen Sie mit Aufklärungskampagnen ein starkes Bewusstsein für Soziale Netzwerke. Die Richtlinien müssen sich hier auch auf sensible Themen erstrecken wie den Eigentumsrechten am Publikum der sozialen Netzwerke, das Bloggen über die Arbeit etc.
  • Prüfen Sie die entwickelte Software nach jeder Phase auf Sicherheit.
  • Es ist von zentraler Bedeutung, dass in den IT-Abteilungen über Firewalls und Intrusion-Prevention-Systeme hinausgegangen wird. Zur Bekämpfung der Computer-Kriminalität sollte der Netzwerkverkehr stattdessen auf Malware untersucht werden.
  • Setzen Sie an allen Eintrittspunkten zum Unternehmensnetzwerk Maßnahmen wie Netzwerkzugriffskontrolle (Network Access Control, NAC) um.
  • Beim Umzug in die Cloud müssen sämtliche Service-Level-Agreements (SLA) sorgfältig ausgearbeitet werden. Klären Sie Fragen über das Eigentum an den Daten, den geografischen Server-Standort, digitale kriminaltechnische Möglichkeiten sowie Auditrechte.
  • Stärken Sie auf allen Ebenen die Prozesse der Datenträgervernichtung. Zwecks Minimierung des Risikos in Sachen Computer-Kriminalität sollten Sie Daten löschen, indem Sie die Festplatte per Algorithmus überschreiben oder sogar physisch zerstören.
  • Seien Sie sich darüber bewusst, dass durch einen infizierten Endpunkt die 2-Faktor-Authentifizierung unterlaufen worden sein kann.
  • Führen Sie häufige Aktualisierungen sämtlicher Geräte-Firmware durch.
  • IPv4 muss durch IPv6 ersetzt werden, weil dies IPSec für die Kommunikations-Absicherung im Internet enthält. Dafür ist eine geeignete Infrastruktur für öffentliche Schlüssel erforderlich.
Artikel wurde zuletzt im Februar 2014 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close