- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Zehn praktische Tipps für mehr IT-Sicherheit


Mehrstufige Authentifizierung (MFA) für den Zugriff auf Ihr Netzwerk und seine Anwendungen kann die Gefahr von Angriffen auf Identitäten mindern
Vorschläge auf Basis weltweiter Bedrohungsdaten

- Anzeigen -





F5 Networks hat aus weltweiten Analysen aktueller Cybergefahren zehn praktische Tipps für Unternehmen entwickelt. Damit können sie ihren IT-Sicherheitsansatz verbessern. Die Vorschläge wurden gemeinsam mit aktuellen Erkenntnissen im Whitepaper "Entmystifizierung der Bedrohungslandschaft" veröffentlicht.

Beim Thema Sicherheit gibt es nach wie vor viele Mythen. Doch Unternehmen sollten ihre Entscheidungen nur auf Basis harter Fakten treffen. Zum Beispiel zielen heute 72 Prozent der Angriffe auf Benutzeridentitäten und Anwendungen. Trotzdem werden nur 10 Prozent des IT-Sicherheitsbudgets für deren Schutz ausgegeben. Ebenfalls unterschätzt wird weiterhin die Gefahr durch interne Mitarbeiter. Laut Fortune würde jeder fünfte Arbeitnehmer seine persönlichen Firmenpasswörter verkaufen, davon fast die Hälfte für weniger als 1.000 Dollar.

Über 4 Millionen Datensätze werden täglich kompromittiert. Mehr als 2 Milliarden kompromittierter Accounts stehen online zum Kauf bereit. Vergangenes Jahr entdeckte Google jede Woche zwischen 9 und 49 Millionen Malware-Websites sowie 22 bis 54 Millionen Phishing-Websites.

"Angesichts dieser Zahlen ist heute tatsächlich nicht mehr die Frage, ob ein Unternehmen angegriffen wird, sondern wann", erklärt Andreas Riepen, Vice President DACH bei F5. "Doch nur wenige Firmen sind wirklich ausreichend auf den Fall der Fälle vorbereitet. So wurden alleine im vergangenen Jahr über 26,5 Millionen Websites gehackt. Ein umfassender Schutz durch eine integrierte Sicherheitsarchitektur ist aber kein Hexenwerk. Und selbst mit ein paar einfachen Tipps lässt sich in der Praxis schon viel erreichen."

Folgende 10 Punkte erhöhen die Sicherheit:

1. Verstehen Sie die Motive, Ziele und Taktiken der Hacker
Bei den meisten Hackern handelt es sich um Cyberkriminelle, die nur auf eines aus sind: Geld. Und obwohl sie in dem Ruf stehen, unaufhörlich die raffiniertesten Pläne zu schmieden, sind viele ihrer Methoden in Wahrheit ausgesprochen schlicht. Letzten Endes wählen sie immer den Weg des geringsten Widerstands und suchen sich leichte Ziele.

2. Passen Sie Ihr Budget an Ihre Bedrohungslandschaft an – und planen Sie auch eine Cyberversicherung ein
Planen Sie in Ihrem Budget unbedingt eine Cyberversicherung ein. Ein kleiner Betrag für das Vertrauen der Verbraucher wird Ihr Unternehmen kaum ruinieren, die durch einen Hackerangriff verursachte Datenschutzverletzung und die damit verbundenen Kosten möglicherweise schon.

3. Schulen Sie alle Mitarbeiter – von der Verwaltung bis zum Vorstand
Bei der Sicherheit kommt es auf jeden Einzelnen an, und deshalb ist es wichtig, jeden Einzelnen zu sensibilisieren. Schulen Sie Ihre Nutzer mit Nachdruck, damit sie gezielte Phishing-Angriffe erkennen und abwehren können. Machen Sie ihnen klar, wie wichtig ein ordnungsgemäßes Passwortmanagement ist (und welche Gefahr ungeschützte Passwörter darstellen können), und stellen Sie ihnen Tools wie Password Safes zur Verfügung.

4. Kontrollieren Sie den Zugang ordnungsgemäß
Begrenzen Sie die Zahl der Benutzeridentitäten.
Mehrstufige Authentifizierung (MFA) für den Zugriff auf Ihr Netzwerk und seine Anwendungen kann die Gefahr von Angriffen auf Identitäten mindern.
Verwenden Sie keine unsicheren oder vorgegebenen Benutzername/Passwort-Kombinationen.
Hash-Passwörter bieten praktisch überhaupt keinen Schutz.
Denken Sie daran, dass Zugang ein Privileg ist.

5. Managen Sie Ihre Schwachstellen
Verwenden Sie für jedes Netzwerk, jedes System und jeden Softwaretyp eine Scanning-Lösung.
Priorisieren Sie das Schwachstellenmanagement für Webanwendungen.
Automatisieren Sie das Schwachstellenmanagement für Webanwendungen.
Patchen Sie alle Geräte – Desktops, Laptops, Server usw. – monatlich, insbesondere wenn Sie Windows nutzen.

6. Sorgen Sie stets für die nötige Transparenz, insbesondere bei Ihren kritischen Daten, denn was Sie nicht sehen, können Sie nicht schützen
Intrusion Detection/Prevention-Systeme (IDS/IPS), Security Information Event Manager (SIEM), Data Loss Prevention (DLP) und andere Systeme müssen ordnungsgemäß aufgebaut, implementiert und laufend gemanagt werden.

7. Engagieren Sie einen Hacker und/oder richten Sie ein Bug-Bounty-Programm ein
Wenn ein erfolgreicher Angriff auf eine bestimmte Anwendung Ihrem Unternehmen erheblichen Schaden zufügen könnte, lohnt es sich, einen Techniker zu beauftragen, der diese zu hacken versucht.

8. Nutzen Sie Experten, insbesondere in den Bereichen Compliance und Incident Response
Security-as-a-Service ist eine großartige Option für das effektive Management von Hochrisikokontrollen, die eine schnelle 24x7-Reaktion kompetenter Techniker erfordern.

9. Verfolgen Sie eine DDoS-Strategie
Mittlerweile kann praktisch jeder ohne großen Aufwand IoT-Botnets aufbauen, mit deren Hilfe sich Angriffe in der Größenordnung von einigen Terabyte pro Sekunde durchführen lassen. Wenn Sie noch keinen Plan zur Bekämpfung von DdoS-Angriffen haben, sollten Sie rasch einen entwickeln.

10. Kommunizieren Sie die Wahrscheinlichkeit und Auswirkungen eines Angriffs
Informieren Sie Ihren Vorstand, den Prüfungsausschuss und die Geschäftsleitung über mögliche Angriffe und ihre Folgen. Auf gar keinen Fall sollten Sie sie irgendwann mit einer völlig unerwarteten Sicherheitsverletzung überraschen.
(F5 Networks: ra)

eingetragen: 06.11.17
Home & Newsletterlauf: 06.12.17


F5 Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Wieder neue Masche beim CEO-Betrug

    Im letzten Dezember war es noch ein angeblicher Mitarbeiter des Bundeskanzleramts, aktuell meldet sich "Daniel Fischer" vom Auswärtigen Amt per E-Mail oder am Telefon bei deutschen Unternehmen - die Details wechseln, aber in allen Fällen handelt es sich um einen Betrugsversuch. "Daniel Fischer" bittet um ein vertrauliches Gespräch mit der Geschäftsleitung des Unternehmens. In diesem Gespräch erläutert er, dass die Bundesregierung für den Freikauf deutscher Geiseln in Mali finanzielle Unterstützung der Privatwirtschaft benötige.

  • Vier Tipps, um Hackern Tür und Tor zu öffnen

    Nach wie vor setzen viele Unternehmen und Anbieter alleine auf das traditionelle Passwort, um ihre Anwendungen zu schützen. Große Datenlecks wie das Rekord-Beispiel Yahoo haben allerdings gezeigt, dass diese Art der Absicherung längst nicht mehr zeitgemäß ist. Oft sind es die Verbraucher selbst, die Hacker durch lasche Kennwörter einladen, in ihre digitalen Konten einzudringen. Pascal Jacober, Sales Manager DACH bei Ping Identity gibt vier Empfehlungen, wie es Hackern besonders leicht gemacht wird.

  • Wie funktionieren Endpoint-Attacken?

    Bei Cyber-Attacken führen die Angreifer meistens verschiedene Schritte durch, um an ihr Ziel zu kommen. Deshalb ist es besonders wichtig, diese Schritte zu kennen. Dabei hat sich eine umfassende Verteidigungsstrategie mit überlappenden Schutzschichten als bester Ansatz für die Cybersicherheit erwiesen. Bei der Angriffskette lassen sich sieben Stufen identifizieren, über die man Klarheit haben sollte: Aufklärung, Art des Angriffs, Weg der Infizierung, Art des Schadprogramms, Installation, Command & Control und letztlich die Aktion oder Ausführung. Diese komplexe und sich teils überschneidende Standardkette ist oftmals komplizierter als nötig. Daher reicht es tatsächlich, mit einer einfacheren, endpunktspezifischen Angriffskette zu beginnen, die nur aus drei wesentlichen Schritten besteht.

  • Kluft zwischen IT-Teams und Chefetage

    "Führungskräfte müssen sich direkt mit Cloud- und Sicherheitsexperten auseinandersetzen, sonst versäumen sie es, wertvolle Ressourcen zu nutzen. Durch eine enge Zusammenarbeit über alle Ebenen hinweg lassen sich die Geschäftsergebnisse verbessern und gleichzeitig der Schutz für Anwendungen, Betriebsgüter und Kundendaten erhöhen", sagte Andreas Riepen, Vice President DACH, F5 Networks. Die Zahl der Sicherheitsverletzungen ist im Vergleich zum Vorjahr um 27 Prozent gestiegen. Gleichzeitig haben Unternehmen 2017 durchschnittlich 22 Prozent mehr für ihre Cybersicherheit ausgegeben (9,5 Millionen Euro). Das belegt eine Studie, die das Ponemon Institut im Auftrag von F5 Networks durchgeführt hat. Doch nicht immer werden diese Mehraufwände strategisch eingesetzt.

  • Shadow IT: Ein erhebliches Compliance-Risiko

    Die EU-Datenschutzgrundverordnung (DSGVO) kommt und es besteht auf Unternehmensseite noch immer akuter Handlungsbedarf. Kaseya gibt Tipps, wie Firmen mit der richtigen Technologie schneller und einfacher zum Ziel der DSGVO-Konformität kommen. Stilllegen von Devices: Verlorene oder gestohlene Geräte müssen auf jeden Fall außer Betrieb genommen werden. Das gilt auch, wenn der Mitarbeiter das Unternehmen verlässt oder das Gerät entfernt wird. Der Nutzer und seine Zugangsmöglichkeiten müssen für alle Systeme genauso sorgfältig aufgehoben werden, wie sie aufgesetzt wurden. Ganz gleich, ob es um Angestellte, Kunden, Admins oder Partner geht. Neben dem Aufheben von Nutzerrechten ist es wichtig, Daten zu beseitigen und zwar so, dass sie nicht wiederhergestellt werden können. Mit regulären Methoden lassen sich die Daten nicht sicher vernichten. Landet das Gerät dann als Spende in der nächsten Schule oder einfach auf dem Müll, droht das Unternehmen DSGVO-Vorgaben zu verletzen. Wurde ein Gerät gestohlen oder ist es verloren gegangen, muss die Firma in der Lage sein, es per Fernzugriff abzuschalten, Daten zu verschlüsseln oder es sogar zu formatieren.