Lesezeit: 6 Minuten
Inhalt
Gefahren erkennen und richtig reagieren
Um eine gute Cybersicherheit umzusetzen und IT-Sicherheitsmaßnahmen ergreifen zu können, müssen unterschiedliche Angriffe erkannt und ausreichende Maßnahmen ergriffen werden. Wer die Sicherheitslücken erkennt, kann sie bereits vorab verringern oder im besten Fall ganz ausschalten.
Dabei gilt es einiges zu beachten. Einige grundlegende Ansätze erklären wir Ihnen in diesem Blogartikel. Dabei stellen wir uns zuerst die Frage, was bedeutet ein Phishing-Angriff und was bedeutet Social Engineering?
Phishing und Social Engineering
Bei Phishing und Social Engineering geben sich Angreifer als jemand anderes aus, um so auf unterschiedliche Weise zum Beispiel Zugangsdaten abzugreifen. Das kann dadurch passieren, dass die Opfer auf eine gefälschte Homepage weitergeleitet werden, auf der Sie auf täuschend echten Login-Portalen Ihre Zugangsdaten eingeben sollen. Aber auch, über mögliche Antwort-E-Mails oder ähnliches können Betrüger dazu auffordern, Daten anzugeben.
Bei Social Engineering können gefälschte Anrufe dazu führen Zugriff auf die Daten oder Geräte zu erlangen. Ein klassisches Beispiel ist dabei ein gefälschter Anruf eine vermeintlichen IT-Supports, der sich auf das Gerät aufschalten möchte, um Wartungsarbeiten durchzuführen oder gezielt Zugangsdaten abfragt.
Blog-Tipp: IT-Sicherheitskonzept für Unternehmen und Steuerberaterkanzleien
Ungewöhnliche Anfragen kritisch hinterfragen
Ein klassisches Beispiel Phishing-Angriffe zu erkennen, sind zum Beispiel abweichende oder leicht veränderte E-Mail-Adressen von Firmen und Ansprechpartner, aber auch Rechtschreibfehler und uneindeutige Links.
Auch wenn zu dringenden Handlungen aufgerufen wird, sollten Nutzer stutzig werden. Gerade wenn mit Sperrungen von Konten gedroht wird, weshalb man Daten eingeben sollte oder ähnlichem, sollte man misstrauisch werden. Auch wenn vermeintliche Banken dazu auffordern, wegen seltsamer Kontobewegungen über einen Link sich bei der Bank anzumelden, deutet das auf einen Phishing-Versuch hin. Phishing-Angreifer spielen nicht selten mit Ängsten oder Emotionen der Empfänger, um diese unvorsichtig zu machen.
Merkmale von Phishing-Mails können sein:
- ungewöhnliche E-Mail-Adressen und Website-URLs (achten Sie auch auf ähnliche Schreibweisen, die erst beim zweiten Hinsehen erkennbar sind)
- unpersönliche oder falsche Anrede
- Angebote und Versprechen die unseriös bzw. unrealistisch wirken
- Rechtschreib- und Grammatikfehler
- Hinweise auf dringenden Handlungsbedarf
- Anhänge die nicht angefordert wurden oder seltsam betitelt sind
- Anhänge von unbekannten Absendern
Um Social Engineering zu verhindern, sollten Sie bei Anfragen, die Ihnen ungewöhnlich vorkommen den Anrufer immer verifizieren, keine Zugangsdaten herausgeben und niemand unbekannten den Zugriff zu Ihren Systemen ermöglichen.
Neue Software sicher implementieren
Wenn sich Unternehmen und Steuerberaterkanzleien dazu entschließen, neue Systeme oder neue Softwarelösungen einzuführen, dann ist es wichtig bereits vor der Einführung die IT-Sicherheit im Blick zu haben.
Neue Software- und Systemlösungen können die Effektivität in Unternehmen und Steuerberaterkanzleien verbessern, aber auch ein Einfallstor für die IT-Sicherheit werden. Daher ist es wichtig diese Bereits bei der Planung mit zu berücksichtigen.
Um IT-Systeme sicher zu implementieren kann man unterschiedliche Schritte umsetzen.
Blog-Tipp: Richtig reagieren bei Cyberangriffen
Installationsquellen und Software prüfen
Grundsätzlich sollten nicht ungeprüft Installationen von Software heruntergeladen werden. Quellen und Software sollten immer durch einen Fachmann geprüft werden und nur von vertrauenswürdigen Quellen heruntergeladen und installiert werden.
Auch die Anbieter der Software sollten geprüft werden. Es sollten nur Anbieter und deren Softwarelösungen genutzt werden, die entsprechend sicher und vertrauensvoll sind.
Bewertung der Sicherheit vor Implementierung
Eine Bewertung von Softwarelösungen sollte immer vor deren Implementierung erfolgen und umfassend sein. Eine Sicherheitsbewertung ist dabei die Sache für einen IT-Sicherheits-Fachmann, der eine umfangreiche Bewertung der Systeme vornehmen kann.
Dabei werden auch die Risiken der Software z. B. durch Schnittstellen, die Weitergabe von Daten an Dritte und die Verschlüsselung der Daten geprüft. Außerdem sollten entsprechende Schutzmechanismen wie Passwortsicherheit, 2-Faktor-Autentifizierung und so weiter geprüft werden.
Datenschutz und regelmäßige Updates
Neben der Beurteilung der IT-Sicherheit gehört auch die Einhaltung der Datenschutzvorgaben zu einem wichtigen Bestandteil der Prüfung vor der Einführung einer neuen Software.
Wenn personenbezogene Daten verarbeitet werden, dann muss sichergestellt werden, dass dies nach den Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) erfolgt.
Werden KI-Systeme genutzt, gilt es auch die KI-Verordnung (KI-VO oder AI Act) ausreichend umzusetzen und die Systeme auf die Einhaltung hin zu prüfen.
Können diese Vorgaben nicht umgesetzt werden, kann eine Software im schlimmsten Fall nicht genutzt werden.
Blog-Tipp: Phishing-Simulationen zur Sensibilisierung in der IT-Sicherheit
Zugriffsrechte verwalten
Auch zum Datenschutz gehört die Vorgabe der Datenminimierung. Dabei gilt es, nur so viele personenbezogene Daten zu verarbeiten, wie unbedingt für den Zweck notwendig. Aber auch die Zugriffsrechte müssen geregelt werden, denn es sollten nur jene Mitarbeiter Zugriff auf die personenbezogenen Daten haben, welche diese auch verarbeiten.
Nicht befugte Dritte, dazu gehören auch Mitarbeiter ohne Befugnis, dürfen keinen Zugriff auf die Daten erlangen. Daher muss auch bei der Einführung neuer Software auf die Zugriffsrechte und Rollenvergabe geachtet werden.
Zur Umsetzung der sicheren Implementierung neuer Software, gehört auch das Löschen von Daten. Machen Sie sich daher schon vorher Gedanken, wie die (personenbezogenen) Daten nach den gesetzlichen Aufbewahrungs- und Löschfristen, gelöscht werden müssen und ob das System diese Vorgaben erfüllen kann. Berücksichtigen Sie auch, ob Datenschutzhinweise für Betroffene durch die Einführung neuer Software ergänzt werden müssen. Auch die Auskunftsrechte von Betroffenen sollten bei der Auswahl neuer Software eine Rolle spielen. Kann diesem in dem System nachgekommen werden?
Wenn die neue Software mit einer Auftragsverarbeitung im Sinne des Datenschutzes einhergeht, ist auch dies zu Berücksichtigen. Wenn die Daten durch die Verwendung der Software in nicht EU-Länder übertragen werden, muss auch hier unbedingt auf die Einhaltung des Datenschutzes geachtet werden.
Datenschutzbeauftragter, Betriebsrat und IT-Sicherheitsfachmann sollten immer in die Einführung von neuer Software eingebunden werden.
IT-Sicherheit umfassend umsetzen
Um die IT-Sicherheit in Unternehmen und Steuerberatungskanzleien sicher umzusetzen, müssen unterschiedliche Maßnahmen an unterschiedlichen Stellen im Unternehmen eingeführt werden.
Das Team von MC-Netzwerke betreut Steuerberater, Unternehmen und andere Organisationen bundesweit im Bereich Digitalisierung und unterstützt diese auch im Bereich IT-Sicherheit und Cloud-Lösungen. Nehmen Sie einfach mit uns Kontakt auf und wir erstellen Ihnen gerne ein praxisnahes und individuelles Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Sollten Sie sich unsicher sein, ob Ihre IT-Lösung Schwachstellen hat, nehmen Sie gerne mit uns Kontakt auf.
