Und auch wenn man sich im Kampf gegen Cyberkriminelle oft machtlos fühlt, muss man sich doch bewusst machen, dass jeder einzelne einen Teil dazu beitragen kann, die Online-Welt sicherer zu machen – sei es am Arbeitsplatz oder zu Hause. Denn schon die Umsetzung kleiner Maßnahmen und bewährter Verfahren kann viel dazu beitragen, sich selbst und sein Umfeld nachhaltig zu schützen.
Auch in diesem Jahr sollte man den Cybersecurity Awareness Month daher zum Anlass nehmen, um seine Kenntnisse über MFA, Passwortsicherheit, Phishing & Co. aufzufrischen. Der PAM-Experte Delinea hält hierfür wichtige Tipps und Best Practices bereit:
1. Setzen Sie flächendeckend Multi-Faktor-Authentifizierung
Sowohl Unternehmen als auch Verbraucher müssen verstehen, dass Authentifizierungen durch ein einziges Passwort heutzutage nicht mehr ausreichen, um Kontomissbrauch durch böswillige Akteure zu verhindern. Denn wird ein schwaches Passwort geknackt, braucht es zusätzliche Schutzschichten, um Kompromittierungen zu vereiteln.
Die Multi-Faktor-Authentifizierung (MFA) ist daher eine wichtige Säule einer erfolgreichen Cybersicherheitsstrategie und sollte möglichst flächendeckend aktiviert werden; bei Cloud- und SaaS-Anwendungen, bei E-Mail-, Banking- und Social-Media-Accounts. Insbesondere bei Konten, die hochsensible Informationen wie personenbezogene Daten, Kreditkartendaten oder geistiges Eigentum speichern, ist MFA mittlerweile unerlässlich und vor allem Unternehmen sollten jetzt keine Zeit verlieren, MFA so schnell wie möglich zu realisieren.
2. Nutzen Sie die Vorteile von Passwortmanagern
Das Erstellen und Pflegen komplexer Passwörter ist zeitaufwendig. Kein Wunder also, dass eine schlechte Passworthygiene in vielen Unternehmen an der Tagesordnung ist: So kommen Kennwörter in vielen Fällen nicht nur kontoübergreifend zum Einsatz, viele User generieren zudem viel zu schwache Passwörter und versäumen es auch, diese regelmäßig zu aktualisieren und zu rotieren.
Umso wichtiger ist es, dass Unternehmen auf Passwortmanager setzen, die die komplexe Passwortverwaltung übernehmen und sicherstellen, dass die automatisiert erstellten Passwörter auch den höchsten Sicherheitsstandards entsprechen.
3. Aktualisieren Sie Ihre Software
In ihrem Bestreben, sich Zugang zu Benutzerkonten und Unternehmenssystemen zu verschaffen, setzen Cyberkriminelle oft auf das Ausnutzen von Sicherheitslücken und Schwachstellen in der Software. Da sich diese vor allem in veralteten, nicht-aktualisierten Programme finden, ist es wichtig, Betriebssysteme und (private wie berufliche) Geräte wie Laptops, Tablets und Mobiltelefone regelmäßig zu aktualisieren.
Das heißt, sind Updates für die Systeme verfügbar, sollten diese sofort installiert werden, da auf diese Weise Sicherheitsprobleme oder Schwachstellen schnell behoben werden können. Unmittelbar nach der Installation, sollten die Benutzer ihre Systeme dann neu starten, um sicherzustellen, dass die Updates übernommen wurden. Dieser Vorgang gilt natürlich auch für die am häufigsten genutzten Anwendungen und Webbrowser. Stellen Sie sicher, dass Sie immer mit den neuesten Versionen arbeiten, da Exploits so ohne großen Aufwand unterbunden werden können.
4. Erkennen und Melden Sie Phishing-Versuche
Wir leben in einer Welt der Konnektivität und der mobilen Geräte, in der wir fast unentwegt über eine Vielzahl von Kanälen kommunizieren – soziale Medien, WhattsApp, E-Mail, Slack... Dabei muss man sich stets bewusst machen, dass alle diese Kommunikationskanäle bösartige Inhalte enthalten können, weshalb wir stets skeptisch sein müssen.
Egal über welchen Kanal eine Nachricht kommt: Bevor man auf Links oder Anhänge klickt, die hier eingebettet sind, sollte man sich immer folgende Fragen stellen: Habe ich diese Nachricht erwartetet? Macht sie wirklich einen authentischen Eindruck? Stammt sie tatsächlich von einem legitimen Absender? Lange Zeit konnten Betrugs-Nachrichten und unseriöse Werbung über auffällige Rechtschreib- und Grammatikfehler identifiziert werden, doch diese Zeiten sind längst vorbei.
Eine der wirksamsten Methoden, um einem Phishing-Versuch zu entgehen, ist die Analyse der URL und die Überprüfung auf Unstimmigkeiten wie verdächtige Add-ons. Zudem ist es fast immer sicherer, für einen Log-In, etwa beim Banking, direkt auf die entsprechende Website zu gehen, anstatt über einen Link, die als E-Mail geschickt wurde.
Auch sollten diese Betrugsversuche stets gemeldet und so sichtbar gemacht werden. Das Melden von Phishing wird leider immer noch zu wenig praktiziert. Benutzer sollten alle Arten von bösartigen Phishing-Aktivitäten unmittelbar an die zuständigen Stellen und Behörden kommunizieren, sei es am Arbeitsplatz oder bei den betroffenen Unternehmen, etwa einer Bank. Denn nur wenn verdächtige Aktivitäten bekannt sind, können Unternehmen diese Probleme auch angehen, um sicherzustellen, dass andere Benutzer diesen Angriffen nicht zum Opfer fallen.