Ratgeber zum Schutz vor Cyberkriminalität im Unternehmen

Ratgeber zum Schutz vor Cyberkriminalität
im Unternehmen
Einführung
Cyberkriminalität kann Ihrem Unternehmen verheerenden Schaden zufügen. Dieses Handbuch zeigt einige
einfache Maßnahmen auf, mit denen Sie Ihr Unternehmen wirksam schützen können.
Jedes Unternehmen, jeder PC-User muss seinen Teil dazu beitragen, um eine globale Kultur der Sicherheit zu
schaffen. Jeder Teilnehmer der Informationskette muss Verantwortung übernehmen und die Sicherheit seiner
Systeme und Netzwerke gewährleisten.
Die Prävention von Cyberkriminalität ist von entscheidender Bedeutung. Unglücklicherweise existiert jedoch keine
Patentlösung, die für jedermann passend wäre. Trotzdem ist es nicht schwierig, die Maßnahmen zu definieren, mit
denen Ihr Unternehmen vor Cyberkriminalität geschützt werden kann. Dieses Handbuch liefert Ihnen zahlreiche
Tipps, auf denen Sie aufbauen können.
Die Cybercrime Bedrohung und Schutzmaßnahmen
Noch bis vor einigen Jahren handelte es sich bei Schadprogrammen lediglich um Cyber-Vandalismus. Doch nur
wenige dieser Programme wurden tatsächlich mit dem Ziel entwickelt, schädigende Funktionen auszuführen, auch
wenn teilweise Daten beschädigt wurden oder Computer abstürzten (in der Regel eher eine Nebenerscheinung als
eine beabsichtigte Programmierung). Bei dem Gros der sich zu jener Zeit in Umlauf befindlichen Schadprogramme
handelte es sich um Viren und Netzwürmer.
Inzwischen gehen die größten Gefahren jedoch von Crimeware-Programmen aus. Betrüger haben erkannt, dass
Schadprogramme in unserer vernetzten Welt für illegale Geldbeschaffung eingesetzt werden können, und benutzen
sie, um vertrauliche Daten (Logins, Passwörter, PIN-Codes etc.) zu stehlen.
Als Cyber-Angriffe werden Viren, Würmer, Trojaner, Hacker-Attacken, Phishing usw. bezeichnet.
Internetbedrohungen werden technisch immer ausgereifter, und auch ihre Anzahl steigt exponentiell an: Im
Virenlabor von Kaspersky Lab werden täglich mehr als 17.000 neue Internetbedrohungen festgestellt. Die am
meisten verbreiteten Schadprogramme sind dabei Trojaner: Programme, die registrieren, welche Tasten Sie drücken,
oder einen Schnappschuss vom Bildschirm machen, wenn Sie die Webseite einer Bank besuchen; Programme, mit
denen weitere Schadprogramme auf den Computer geladen werden oder mit denen ein Hacker Zugang zu Ihrem
Computer erhält. Eines haben sie jedoch gemeinsam: Sie ermöglichen es Cyberkriminellen, Ihre persönlichen Daten
zu stehlen und damit betrügerische Geschäfte abzuwickeln.
Sind Ihre Systeme in Gefahr?
Wenn Sie eine oder mehr Fragen mit „ja“ beantworten, sollten Sie die Sicherheit Ihrer Systeme und Netzwerke
überprüfen:
• Sind wichtige geschäftliche oder persönliche Daten (sowohl von Ihnen als auch von Ihren Mitarbeitern, Kunden,
Lieferanten oder Partnern) auf einem Computer abgespeichert?
• Haben Sie oder Ihre Mitarbeiter über ein internes Netzwerk Zugang zu wichtigen Informationen (einschließlich
Bankzugangsdaten, Kreditkartennummern, Lieferanten- oder Lieferinformationen)?
• Haben Sie eine Unternehmens-Homepage?
• Benutzen Sie oder Ihre Mitarbeiter das Internet für die Arbeit?
• Benutzen Sie oder Ihre Mitarbeiter E-Mail für die Arbeit?
• Würde Ihr Unternehmen überleben, wenn die Computer mehrere Tage nicht benutzt werden könnten?
Opfer von Cyberkriminalität zu werden ist keine Frage der Unternehmensgröße. Alle Unternehmen nutzen in ihrer
IT-Infrastruktur ähnliche Tools, einschließlich der Betriebssysteme (Windows XP, Windows Vista), Office-Produkte
(Microsoft Office, Open Office), Web-Browser (Internet Explorer, Firefox, Opera), Speichermedien für sensible
Daten (Kunden, Mitarbeiter, Finanzen) sowie die von den Mitarbeitern verwendeten Laptops und Mobiltelefone. All
diese Tools stellen für Cyberkriminelle potentielle Ziele dar.
Hacker-Angriffe, Malware, Spyware and Spam können den Verlust oder Diebstahl von Daten, ComputerAusfallszeiten, Produktionsrückgänge, Umsatzeinbußen oder den Verlust der Reputation zur Folge haben. Sogar
Unternehmen, die sich selbst als weniger abhängig von Computern betrachten, sind darauf angewiesen, ihre
Daten zu schützen.
Cyberkriminelle interessieren sich nicht für die Art oder Größe eines Unternehmens und es spielt für sie keine
Rolle, wem ein Computer oder ein Netzwerk gehört. Ihr Ziel ist es, jedes System, in das sie eindringen können,
in ihren Besitz zu bringen, um dann ihren illegalen Aktivitäten nachzugehen und sich auf Kosten der Opfer zu
bereichern.
Sicherheit ist für Ihr Unternehmen
von entscheidender Bedeutung
Was würde mit Ihrem Unternehmen geschehen, wenn…
• Kundendaten oder Kreditkartennummern gestohlen würden?
• Illegales Material auf Ihren Web-Server eingeschleust würde?
• Geld ohne Ihre Zustimmung von Ihrem Bankkonto abgehoben würde?
• Sich ein Hacker Zugang zum Computer eines leitenden Angestellten
verschaffen würde?
• Sämtliche Computer unbrauchbar gemacht würden?
• Informationen über ein neues Produkt zu einem Mitbewerber
durchsickern würde?
Die Bedrohungen für kritische Informationen werden immer komplexer und
bösartiger.
Während in der Vergangenheit Hardware-Ausfallszeiten das größte
Problem darstellten, steht heute weitaus mehr auf dem Spiel:
• Verlust des geistigen Eigentums
• Identitätsdiebstahl
• Haftungsansprüche
• Image-Verlust
Auch Unwissenheit ist keine Entschuldigung für Untätigkeit! In der
heutigen vernetzten Welt können Daten auf einem ungeschützten System
schnell manipuliert oder das System selbst als Ausgangsplattform für
Angriffe auf andere Systeme und Netzwerke missbraucht werden.
Selbst wenn Sie kein Experte sind, haben Sie doch die Verpflichtung, Ihr
Unternehmen zu schützen – und damit auch andere Unternehmen.
Ihr Unternehmen benötigt Schutzmechanismen, die einfach zu installieren
und zu handhaben sind – nur so können Sie sich Ihrem geschäftlichen
Erfolg widmen, anstatt sich laufend um die Absicherung Ihres Netzwerks
kümmern zu müssen.
Daniels Netzwerk ist
geschützt.
Daniel muss sich um vieles kümmern.
Er sorgt für die Verfügbarkeit des
Systems und ein robustes Netzwerk.
Außerdem beantwortet er die
Anfragen beim internen Support.
Um Cybercrime macht er sich keine
Sorgen. Wie 250 Millionen Menschen
weltweit verlässt er sich auf Kaspersky
Lab, wenn es um den zuverlässigen
Schutz vor Trojanern, Phishing-Mails,
Hackerangriffen und Spam geht.
Maßnahmen zum Schutz vor Cybercrime
Auch mit begrenzten Ressourcen und Fachkenntnissen ist es möglich, einen zuverlässigen
Schutz von Systemen und Netzwerken zu gewährleisten. Schauen Sie sich die unten
stehenden Punkte an und überlegen Sie, ob Sie die genannten Maßnahmen ergriffen haben:
• Stellen Sie sich vor dem Kauf jedes neuen Produkts routinemäßig folgende Fragen.
So stellen Sie sicher, dass Ihre Soft- und Hardware sowie Geschäftsprozesse optimal
zusammenarbeiten und Ihr Unternehmen optimal geschützt ist.
– Was muss dieses Produkt tatsächlich leisten?
– Wie gut wird es mit den bereits bestehenden Produkten zusammenarbeiten?
– Was ist zu tun, um die höchste Effizienz des Produkts zu gewährleisten?
• Verwenden Sie bewährte Technologien.
• Verwenden Sie einfach zu handhabende und schnell zu installierende
Sicherheitslösungen.
• Nutzen Sie Komplettlösungen für die IT-Sicherheit, da auch die Bedrohungen immer
komplexer werden und auf verschiedenen Ebenen angreifen.
• Verwenden Sie Lösungen, die Schutz sowohl vor internen als auch externen
Bedrohungen über Ihr gesamtes Netzwerk bieten.
• Installieren Sie Sicherheitssoftware auf Workstations, Laptops und Servern.
• Überprüfen Sie, ob die installierte Sicherheitssoftware die folgenden Komponenten
enthält, um einen umfassenden Schutz zu leisten:
– Anti-Malware
– Anti-Spyware
– Anti-Phishing
– Personal Firewall
– Intrusion Prevention
– Anti-Spam
– Proaktive Technologien, die Schutz vor neuen, bisher unbekannten Bedrohungen bieten
• Beauftragen Sie möglichst einen Fachmann mit der Konfiguration und Installation Ihres IT-Systems.
• Räumen Sie dem Faktor „Sicherheit“ bei der Auswahl von Software oder Service-Providern oberste
Priorität ein.
• Informieren Sie sich über die Sicherheitsfunktionen der bereits installierten Soft- und Hardware.
• Aktualisieren Sie Ihre Sicherheitssoftware regelmäßig (mindestens einmal täglich).
• Führen Sie zusätzlich zum Echtzeitschutz mindestens einmal pro Woche eine vollständige
Untersuchung (Scan) des Systems durch.
• Installieren Sie Sicherheitspatches für das Betriebssystem und die Anwendungen. Wenn Sie
Windows-Nutzer sind, ist es nicht nötig, sich jeden Monat daran zu erinnern: Aktivieren Sie einfach
„Automatic Updates“ im Security Center (zu finden in der Systemsteuerung).
• Aktualisieren Sie auch Microsoft Office regelmäßig.
• Ergreifen Sie geeignete Maßnahmen zur physischen Sicherung von Computern, insbesondere von
Laptops und anderen mobilen Geräten.
Zum Abschluss
Achten Sie ganz besonders auf
die für Sie wertvollsten digitalen
Informationen und sorgen Sie dafür,
dass diese ausreichend gesichert sind.
Für manche Unternehmen kann dies
der Schutz ihrer Kundendatenbanken
oder ihres geistigen Eigentums sein,
während für andere die Absicherung
der finanztechnischen Daten im
Vordergrund steht.
Unabhängig davon, welchen Weg
Sie hier gehen, sollte das Ziel darin
bestehen, dass Ihr Unternehmen
geschützt ist.
• öffnen Sie E-Mail-Anhänge (Worddokumente, Exceltabellen, EXE-Dateien, etc.) nur dann, wenn
Sie den Absender kennen und wenn Sie die Nachricht erwartet haben. Öffnen Sie NIEMALS einen
Anhang in einer ohne Aufforderung zugesandten (Spam-)Mail.
• Legen Sie regelmäßig ein Backup Ihrer Daten an. Bei einer Beschädigung oder unerwünschten
Verschlüsselung der auf der Festplatte befindlichen Daten durch ein Schadprogramm stellt ein
Backup sicher, dass Sie keine Daten verlieren.
• Sollten Ihre Mitarbeiter eine Softwareanwendung nicht für geschäftliche Zwecke benötigen,
untersagen Sie deren Installation auf ihren Computern.
• Stellen Sie sicher, dass Ihre Systeme durch wirksame Passwörter geschützt sind.
• Schulen Sie Ihre Mitarbeiter im Bereich Informationssicherheit.
• Schulen Sie Ihre Mitarbeiter dazu, welche Informationen Sie Besuchern und Anrufern offen legen
dürfen und welche unter keinen Umständen weiterzugeben sind.
Nützliche Webseiten
www.stop-cybercrime.de
www.kaspersky.de
www.viruslist.de
Bernds Firma ist geschützt.
Für Bernd haben der Erfolg seiner Firma und sein guter Ruf bei den Kunden höchste
Priorität. Um Cybercrime macht er sich keine Sorgen. Wie 250 Millionen Menschen weltweit
verlässt er sich auf Kaspersky Lab, wenn es um den zuverlässigen Schutz vor Trojanern,
Viren, Phishing-Mails, Hackerangriffen und Spam geht.
Ein umfangreiches Glossar der
in diesem Ratgeber verwendeten
Begriffe finden Sie online unter
www.stop-cybercrime.de/glossar.
Über Kaspersky Lab
Kaspersky Lab reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren,
Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Die Produkte des global agierenden Unternehmens mit Hauptsitz in Moskau
haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten
und minimalen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie
Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen. Mit den Kaspersky Hosted Security Services bietet
das Unternehmen darüber hinaus Dienstleistungen im Bereich Malware- und Spam-Schutz sowie Content-Kontrolle für Unternehmen jeder
Größe an.
Weitere Details zum Unternehmen sind unter www.kaspersky.de zu finden. Aktuelles zu Viren, Spyware und Spam sowie Informationen zu
anderen IT-Sicherheitsproblemen und Trends sind unter www.viruslist.de abrufbar.
Kaspersky Labs GmbH
Steinheilstrasse 13
D-85053 Ingolstadt
Deutschland
Tel: +49 (0) 841 98 18 90
Fax: +49 (0) 841 98 189 100
www.kaspersky.de
[email protected]
©2009 Kaspersky Lab
©2009 Kaspersky und das Kaspersky Lab Logo sind registrierte Marken der Firma Kaspersky Lab.