
Hackers Inside
Die Zahl der Cyberkriminalität steigt täglich, die Ausgaben für IT leider nicht

Das war eine Erkenntnis aus unserem Webinar „Hackers Inside“. Aber wir durften noch viel mehr lernen, z.B. welche Angriffspunkte bei Cyberkriminalität existieren. Allen Usern ist klar, es gibt unterschiedliche Angriffspunkte für Hacker. Zum einen gibt es den physischen Angriff: wie weit kommt der Hacker mit einem gefälschten Ausweis etc. und dann geht es weiter zur (IT-) technischen Sicherheit und als letzter ausschlaggebender Punkt: der Faktor Mensch. Was bedeutet eigentlich Social Eningeering und wie kann ich mich als User schützen?
Ist eine Mehrfaktor-Authentifizierung wirklich sicher ?
Natürlich wissen wir, dass Hacker fast alles können, aber es war doch ziemlich erschreckend zu sehen, wie schnell in einem simulierten Hackerangriff auf sehr sensible Daten und Systeme zugegriffen werden konnte. Schnell stellte sich bei den Teilnehmern die Frage: “Sind wir also immer hilflos ausgeliefert?” Nein sind wir nicht. Wichtig ist z.B. eine Mehrfaktor-Authentifizierung. Eine Mehrfaktor-Authentifizierung teilt sich bestenfalls auf in etwas was man weiß (wie ein Passwort), etwas das man besitzt (wie ein Sicherheitstoken) und etwas das man ist (also etwas von mir darstellt, so wie den Fingerabdruck- oder der Iris-Scan). Hier kam natürlich die Frage auf, ob ein Hacker eine MFA nicht auch umgehen kann. Die Antwort auf diese Frage finden Sie hier: https://www.planet33.com/hackers-inside/
Wie schütze ich mich als Handybenutzer ?
Eine MFA ist also eine sichere Lösung, doch wie verhalte ich mich als Handybenutzer? Das Handy ist erwiesenermaßen immer öfter das Ziel von Hackern. Zum Teil sind die Angriffe so automatisiert, dass sie sogar auf einem Prepaidhandy oder einem Seniorenhandy ohne Webzugriff landen. Hier ist es weniger das Ziel einen umfangreichen Virenschutz auf dem Handy installiert zu haben, es ist vielmehr wichtig, wie man das Handy absichert! Die Authentifizierung sollte also mit einem Code UND dem Fingerabdruck passieren. Ein weiterer wichtiger Punkt ist, dass man beispielsweise seine Accounts, die auf dem Handy laufen, minimiert. Auch hier ist ein Sicherheitsmerkmal das Gebot der Datensparsamkeit, d.h. möglichst wenig auf dem Gerät installieren, dann kann von diesem Gerät auch wenig abgegriffen werden. Wer es noch genauer wissen möchte, kann es hier nachlesen: https://www.planet33.com/hackers-inside/
Müll ist gefährlich – auch in der IT
Danach lernten wir etwas zu den verschiedenen Angriffsmöglichkeiten. Wussten Sie was Dumpster Diving ist und was ein Hacker damit alles anstellen kann? Dabei durchsuchen Hacker den Müll von Firmen. Die Erkenntnis der Teilnehmer: Sie sollten demnächst auch das unwichtigste Papier lieber durch den Reißwolf jagen!

Das Homeoffice boomt – die IT Sicherheit nicht
Über 50 Prozent der Unternehmen investieren weniger als 10 Prozent der IT-Ausgaben in Cyber-Sicherheit. Das BSI empfiehlt hingegen, mindestens 20 Prozent des IT-Budgets für Sicherheit aufzuwenden. (Quelle BSI Umfrage) Die Pandemie ist im zweiten Jahr und viele von uns sind wieder oder immer noch im Homeoffice. Das Homeoffice hat viele Unternehmen vor eine Vielzahl von Herausforderungen gestellt. Nicht nur die technische Ausstattung, die interne Organisation oder der Zusammenhalt als Kollegium war und ist schwierig, auch die IT-Security ist außerhalb der Firmen kaum vorhanden. Wo vorher eine MFA und anspruchsvolle Passwörter vorherrschten, gab es im Homeoffice oftmals nicht mal mehr eine Firewall. Gründe dafür waren nicht nur der Mangel an IT-Personal, sondern auch Budgetgründe oder der fehlende Gedanke, dass jeder Homeoffice-Platz zum Unternehmen gehört und entsprechend geschützt werden muss.
Wie oft muss ein sicheres Passwort geändert werden?
Zu diesem Thema kam während des Webinars die Frage auf, wie oft ein sicheres Passwort geändert werden sollte. Die Antwort war schnell gefunden: Grundsätzlich gilt, wenn ein sicheres Passwort erstellt wurde (siehe BSI Empfehlung) und dieses eine Passwort für einen Passwortmanager gilt, ist man auf der sicheren Seite. Da der Passwortmanager genau das macht was der Mensch oftmals versäumt. Er legt für jede Seite, jedes Portal, das wir nutzen, ein eigenes Passwort an und das absolut kryptisch, so das hier jede Wörterbuch-Attacke ins Leere läuft. Anstelle der Frage: “Wie viele Passwörter muss ich haben?” sollten wir die Frage stellen: “Wie oft muss ich die Passwörter ändern? “Mehr zu dem Thema gibt es hier https://www.planet33.com/hackers-inside/
Um also ein Unternehmen (und auch die Homeoffice-Arbeitsplätze) zu schützen, sollte ein Passwortmanager und eine MFA der Standard sein.
Möchten Sie gern eine Beratung, wie eine MFA in ihrem Unternehmen aussehen könnte? Dann klicken sie bitte hier!