Gastkommentar von DI Harald Schenner, Experte für Informationssicherheit und digitale Transformation
Was heißt hier „Angriff“? Wie soll ich angegriffen werden? Tut das weh?
Was heißt hier „Angriff“? Wie soll ich angegriffen werden? Tut das weh?
Vorweg - es geht hier nicht um einen
körperlichen Angriff, sondern um Informationsgewinnung. Informationen und Daten
sind DAS Investitionsgut der heutigen Zeit. Wer entsprechende Informationen hat
und diese zu nutzen weiß, hat die Nase vorn.
„Ich soll angegriffen werden? Viel
Spaß, bei mir ist nichts zu holen“, denken sich viel zu viele Menschen.
Vielleicht sind Sie jedoch gar nicht das Ziel, sondern nur Mittel zum Zweck.
Warum? Weil Sie möglicherweise Kunden haben, die ein gutes Ziel wären.
Kriminelle wissen, wo sie ansetzen
müssen - am schwächsten Glied der Kette. Dies sind meist kleinere Unternehmen,
die nicht nur aus Kostengründen selbst wenig in die eigene
Informationssicherheit investieren, sondern vor allem aus mangelndem
Bewusstsein. Wir haben meist zu wenig kriminelle Fantasie, um uns ausmalen zu
können, was passieren kann. Beispiele zum Thema "Was soll denn schon
passieren" finden sich beinahe täglich in den Medien.
So genannte
"third-party-attacks" oder auch "supply-chain-attacks" –
also Angriffe über Dritte - sind bereits der überwiegende Angriffsvektor
auf größere Unternehmen. Im Jahr 2017 waren rund 56% der angegriffenen
Unternehmen mit einer Verletzung der eigenen Datensicherheit konfrontiert,
verursacht durch einen Lieferanten. (Studie "Data Risk in the Third-Party
Ecosystem", September 2017, Ponemon Institute LLC).
Könnte eine derartige Panne eventuell
das "Aus" für Ihre Kundenbeziehung bedeuten? Und Was können Sie
vorbeugend unternehmen?
Bewusstmachen - und dann bewusst
machen:
Prüfen Sie zuerst Ihre Kundenliste.
Haben Sie interessante Kunden, von denen Sie denken, dass dort "was zu
holen sei"? Von wem wissen Sie mehr als zur Geschäftsbeziehung unbedingt
nötig ist? Haben Sie vielleicht Informationen zu Zutrittssystemen, eventuell sogar
Ihre eigene Zutrittskarte oder einen Zutrittscode, oder möglicherweise
Passwörter oder Zugangsdaten Ihrer Kunden gespeichert? Kennen Sie Details
aktueller Projekte Ihrer Kunden, die nur am Rande oder auch gar nichts mit
Ihnen zu tun haben? Haben Sie eventuell sogar ein respektvolles Naheverhältnis
zu Ihrem Kunden, werden auch vertrauliche Dinge per Telefon oder E-Mail
kommuniziert?
Wo und wie werden diese Informationen
bei Ihnen im Unternehmen gespeichert? Wer hat Zugang zu dieser Information?
Worüber sprechen Sie und Ihre MitarbeiterInnen am Telefon, wie reagieren Sie
und Ihr Team auf E-Mails mit Anhängen oder Links?
Der Schutz vor einem Risiko beginnt mit
dem Bewusstsein, dass ein Risiko besteht und darin zu erkennen, wo es liegt. Im
nächsten Schritt können Sie das Risiko minimieren, indem Sie einige wenige,
jedoch wichtige Dinge berücksichtigen.
Meine Top 5 - Tipps
1.
Üben Sie die "professionelle
Distanz" zu Menschen, die Sie nicht kennen
2.
Bleiben Sie sparsam mit Informationen -
prüfen Sie das "Need-to-Know"-Prinzip (muss mein Gegenüber das gerade
wissen?)
3.
Telefonieren Sie außerhalb Ihres
Unternehmens nicht lautstark und achten Sie darauf, dass Ihnen niemand auf
Ihren Bildschirm späht (Shoulder-Surfing)
4.
Speichern Sie Zugangsdaten und
Zutrittscodes in verschlüsselten Speicher-/Datenbanksystemen (zB: https://keepass.info,
kostenlos)
5.
Prüfen Sie, ob Ihre E-Mail (die meist
als Benutzername für diverse Logins auf Webseiten oder ähnlichem fungiert) plus
dazugehörigem Passwort bereits im Internet auftaucht (https://haveibeenpwned.com)
Details und mehr Informationen zum
Thema erhalten Sie im kommenden Beitrag "Humanoide Firewall - was die
Technik nicht schafft".
Bleiben Sie dran!
Autor:
DI (FH) Harald Schenner
Experte
für Informationssicherheit und digitale Transformation
 |
| DI (FH) Harald Schenner Experte für Informationssicherheit und digitale Transformation |
Keine Kommentare:
Kommentar veröffentlichen