In diesem Blogpost beschreibt das CRYPTRON Security Team wesentliche Dinge, die Mitarbeitende wissen und machen oder eben nicht tun sollten.
1.) Lassen Sie andere Ihren Arbeitscomputer nicht benutzen
Es gibt einen Grund, warum wir alle unsere eigenen Kennwort haben und das nicht nur, um das Unternehmen zu schützen, sondern um uns selbst zu schützen. Wenn jemand mit Ihren Anmeldeinformationen auf Unternehmensressourcen zugreift, wer soll dann beweisen, dass Sie es nicht waren? Wenn Sie der Meinung sind, dass es unwahrscheinlich ist, dass Ihre Kollegen etwas bösartiges tun, vergessen Sie nicht, dass Menschen leicht dazu gebracht werden können, Dinge entweder gegen ihren Willen oder ohne zu merken, was sie tun. Denken Sie daran, es ist auch leicht, sich täuschen zu lassen, Menschen zu vertrauen, die anscheinend die Autorität haben oder möchten Sie nicht die Person sein, der in einem Sicherheitsaudit als das schwächste Glied genannt wurde , das es im Auftrag von professionellen Hackern ermöglichte, das Netzwerk Ihres Unternehmens zu gefährden, oder?
Melden Sie sich immer ab , wenn Sie nicht an Ihrem Computer sitzen und wenn jemand anderes einen berechtigten Grund hat, ihn zu verwenden, lassen Sie ihn sich über sein eigenes Konto oder ein Gastkonto anmelden – niemals über Ihr Benutzerkonto sofern möglich.
2.) Stecken Sie keine unbekannten USB Sticks ein
Ein weiterer bewährter Trick, mit dem Penetrationstester aber auch kriminelle Hacker regelmässig Backdoors öffnen oder Malware in ein Netzwerk laden, ist das einstecken von bösartigen USB-Sticks mit entsprechendem Paypload.
Unbekannte Wechselmedien sollten entweder zuerst der IT Abteilung zur Freigabe übergeben oder an einen separaten Computer mit angeschlossen werden, auf dem eine vertrauenswürdige Anti-Malware-Lösung ausgeführt wird.
3.) Klicken Sie nicht auf Links oder Anhänge ohne sie vorher zu überprüfen
Phishing über Links und Anhänge in E-Mails ist bei weitem immer noch der mit Abstand häufigste Infektionsvektor für Ransomware , Backdoor-Trojaner, Kryptominierer oder Adware und andere Formen von Malware. Das Überprüfen von Links und Dateien, bevor Sie darauf klicken, ist wie das Händewaschen, um die Übertragung eines Coronavirus zu verhindern. Nur der Rat lautet, dies nicht nur „häufig“, sondern immer zu tun.Um einen Link zu überprüfen, bewegen Sie den Mauszeiger über den meist blau gefärbten Hyperlink (z.B. https://www.cryptron.ch) darüber, um festzustellen, ob er auf die erwartete Stelle zeigt. Das Kopieren und Einfügen des Links in Ihren Browser, anstatt ihn direkt in Ihrem E-Mail-Client auszuführen, ist ebenfalls eine nützliche Angewohnheit. Weiter wird empfohlen seltsame URLs mit beispielsweise VirusTotal automatisiert überprüfen zu lassen.
4. ) Abwesenheitsmeldungen (Out of Office)
Wenn externe E-Mails zu einer automatisierten Antwort führen, dass Sie bis nächste Woche nicht im Büro oder im Mutterschaftsurlaub sind oder bis Freitag in den Bergen Ski fahren waren, haben Sie Betrügern, Spammern und kriminellen Hackern gleichermassen wertvolle Informationen zur Verfügung gestellt . Es gibt keinen Grund, der Welt zu sagen, dass Sie nicht verfügbar sind, nur Ihre Kollegen und Ihr Chef – Business E-Mails sollten an einen alternativen Ansprechpartner weitergeleitet werden, der Anfragen in Ihrer Abwesenheit bearbeiten kann.
5.) Multi Faktor Authentifizierung
Der Diebstahl von Anmeldeinformationen steht ganz oben auf der Agenda jedes Angreifers, aber es gibt einfache Schritte, die Sie unternehmen können, um dieses Risiko für die überwiegende Mehrheit der Angriffe zu minimieren.
Aktivieren Sie zunächst 2-Faktor oder Multi Faktor Authentifizierung für alle Konten, die dies unterstützen. Kurzzeit-Codegeneratoren wie von Google und Microsoft Authenticator sollten nach Möglichkeit verwendet werden. Verwenden Sie ausserdem einen Passwort-Manager, um sicherzustellen, dass Sie für jedes Konto eindeutige Passwörter generieren und für jeden Service im Internet ein anderes Passwort verwenden. Biometrische Authentifizierungsmöglichkeiten sind heute selbstverständlich immer mehr im Einsatz und können punktuell je nach Anforderungen zum Einsatz kommen.
6.) Öffentliche WLAN Hotspots
Nutzen Sie ihren persönlichen Hotspot auf dem Smartphone, wenn Sie nicht zu Hause oder im Büro sind. Öffentliches WLAN ist von Natur aus unsicher, da alle anderen Benutzer im selben WLAN Netz den Datenverkehr unter anderem abhören können. Wenn Sie aus irgendeinem Grund die Verwendung eines ungeschützten öffentlichen WLANs nicht vermeiden können, stellen Sie sicher, dass Sie verschlüsselte E-Mail-, Messaging- und Kommunikationskanäle wie VPN verwenden, um sicher unterwegs arbeiten zu können. Führen Sie niemals Dinge wie Zahlungsabwicklung oder Bankgeschäfte durch, während Sie mit einem öffentlichen WLAN-Hotspot verbunden sind.
7. Mischen Sie nicht Arbeit und Spass
In der Regel sollten ihre Arbeitsgeräte gemäss den Unternehmensrichtlinien-, oder Weisungen für nichts anderes als Arbeitsaufgaben vorgeschrieben sein. Dies dient nicht nur dem Schutz Ihres Unternehmens, sondern auch Ihrem und weltweit haben viele Unternehmen noch keine Datenschutzrichtlinie für Daten oder Aktivitäten im Home Office oder auf Arbeitsgeräte wie Notebooks, Tablets und Smartphones mit Business Apps. (Stichwort: Compliance, GDPR)
8. Ignorieren Sie keine Software und Betriebssystem Updates
Dies sollte auch durch Unternehmensrichtlinien vorgeschrieben sein. Wenn Ihr Gerät jedoch nicht zentral von der IT verwaltet wird, müssen Sie auf Benachrichtigungen über Software- und Betriebssystemaktualisierungen achten. Warum ist es so wichtig, Updates rechtzeitig anzuwenden? Sobald Anbieter einen Patch veröffentlichen, versuchen Hacker und Reverse Engineers herauszufinden, was die Sicherheitsanfälligkeit in der vorherigen Version war und wie sie ausgenutzt werden kann. Spielen Sie daher regelmässig Sicherheitsupdates ein.
9. Wurden Sie gehackt, was tun?
Ist ein Computer gehackt worden, Sie kommen nicht mehr auf Ihre Unternehmensdaten, der Webshops ist nicht mehr verfügbar oder unter Kontrolle von kriminellen Hackern, dann rufen Sie unser Incident Response & Forensik Team an.
Die überwiegende Mehrheit der Probleme tritt auf, weil eine oder mehrere der oben genannten Praktiken ignoriert wurden. Um kriminelle Hacker einen harten Tag im Büro zu ermöglichen, ist kein Masterabschluss in Cybersicherheit erforderlich, sondern lediglich das Bewusstsein und die Praxis der Grundprinzipien, die gelten, unabhängig davon, ob Sie von zu Hause aus, im Büro oder unterwegs im Zug arbeiten.
Wenn Sie wissen möchten, wie das home of Security Team Ihren Mitarbeitern und Ihrer Organisation helfen kann in Krisenzeiten sicher zu bleiben, kontaktieren Sie uns oder fordern Sie eine kostenlose Demo unsere Security-Services, Trainings und Softwarelösungen an.