Sie machen sich Gedanken darüber, ob die Netzwerksicherheit Ihres Unternehmens gegeben ist? Damit sind Sie nicht allein. In Zeiten, in denen Cyberkriminalität an der Tagesordnung steht und Angriffe auf Unternehmen schnell über die Medien die Runde machen, ist das auch nicht verwunderlich. Zwar ist nicht jedes Unternehmen gleichermaßen von Cyberattacken bedroht, doch die Netzwerksicherheit sollte auch in Ihrem Unternehmen oberste Priorität haben. Nachfolgend haben wir die sechs häufigsten Probleme zusammengestellt, die die Sicherheit Ihres Unternehmensnetzwerks gefährden können.
Das Wichtigste in Kürze
- Viele Firewalls in Unternehmen sind für den geschäftlichen Einsatz nicht robust genug oder decken nicht alle Punkte ab, an denen Daten ein- und ausgehen.
- Virenscanner nützen nur, wenn sie fachgerecht installiert, regelmäßig aktualisiert und nicht von Mitarbeitern abgeschaltet werden.
- Phishing – insbesondere gezieltes Spear-Phishing – ist eines der größten Einfallstore; Security-Awareness-Schulungen sind die beste Gegenmaßnahme.
- Ungesicherte WLAN-Router und schwache Passwörter machen es Angreifern leicht; Passwörter sollten mindestens 8 bis 12 Zeichen lang sein.
- BYOD („Bring Your Own Device“) erfordert ein eigenes IT-Sicherheitskonzept mit VPN, Verschlüsselung und klarem Rechte-Management.
1. Firewalls fehlen oder sind nicht robust genug
Eine der wichtigsten Sicherheitsmaßnahmen, um Ihr Unternehmensnetzwerk zu schützen, ist die Einrichtung einer sogenannten Firewall (zu Deutsch: Brandschutzmauer). Sie fungiert als eine Art Barriere zwischen dem zu schützenden Netzwerk und der Außenwelt, indem sie den eingehenden Datenverkehr prüft und entweder zulässt oder blockiert.
Firewalls gibt es in verschiedenen Ausführungen, wie z. B. Hardware-Firewalls (On-Premise), Firewalls in der Cloud oder Kombinationslösungen.
Meist verfügen Unternehmen zwar über eine entsprechende Firewall. In vielen Fällen sind diese für den geschäftlichen Einsatz jedoch nicht stabil genug bzw. decken nicht das gesamte Netzwerk an den Punkten ab, an denen Daten ein- und ausgehen. Wenn Sie unsicher sind, ob die in Ihrem Unternehmen genutzte Firewall den Ansprüchen genügt, lohnt sich eine fachkundige Prüfung.
2. Anti-Viren-Scanner werden nicht gewartet
Neben einer korrekt konfigurierten Firewall ist auch eine kluge Antivirus-Lösung für die Netzwerksicherheit entscheidend. So sollten auf allen Firmencomputern und anderen technischen Geräten (z. B. E-Mail-Servern) Antiviren-, Spyware- und Malware-Scanner installiert sein.
Obwohl solche Vorkehrungen in den meisten Unternehmen getroffen werden, kommt es immer wieder vor, dass Scans nicht aktualisiert werden – z. B. weil Mitarbeiter den Scanner während der Arbeitszeit einfach ausschalten. Ein weiteres Problem ist, dass keine regelmäßigen Updates der Scanner stattfinden. Dadurch haben Viren, Würmer, Trojaner, Ransomware und Spyware leichtes Spiel, in ein Unternehmensnetzwerk einzudringen.
Um die Sicherheit Ihres Unternehmensnetzwerks zu gewährleisten, achten Sie darauf, dass Scanner sowohl fachgerecht installiert als auch regelmäßig gewartet werden.
3. Veraltete E-Mail-Übertragungsmethoden
Wenn Sie cloudbasierte Optionen wie z. B. Microsoft 365 oder Exchange verwenden, sind Ihre E-Mail-Übertragungssysteme auf dem neuesten Stand und damit grundsätzlich sicher.
Falls Sie jedoch noch immer E-Mail-Systeme wie z. B. POP (Post Office Protocol) oder andere Systeme verwenden, die keine Passwörter verschlüsseln, besteht die Gefahr, dass Dritte mit entsprechendem Know-how und den richtigen Tools Anmeldeinformationen erfassen und Ihre Daten manipulieren können. In diesem Fall sollten Sie schnellstmöglich auf moderne E-Mail-Übertragungsmethoden umstellen.
4. Phishing-E-Mails als Eintrittstor zum Unternehmensnetzwerk
Vielleicht haben Sie oder Ihre Mitarbeiter auch schon versehentlich auf eine Phishing-Mail geklickt. Dann sind Sie keine Ausnahme, denn seit der Corona-Pandemie ist ein massiver Zuwachs von Spam- und Phishing-Kampagnen zu verzeichnen.
Der mit der Pandemie verbundene Trend zum Home-Office spielt Cyberkriminellen zusätzlich in die Hände. Denn viele Firmen waren nicht darauf vorbereitet, ihren Mitarbeitern in kurzer Zeit eine ausreichend gesicherte Infrastruktur zur Verfügung zu stellen. Die so entstandenen Sicherheitslücken sind größtenteils noch immer nicht behoben.
Hinzu kommt, dass Kriminelle immer geschickter vorgehen. Bei den sogenannten Spear-Phishing-Mails spähen Angreifer auf der Firmenhomepage oder in den sozialen Medien ihre Opfer aus und erstellen dann maßgeschneiderte Phishing-Mails. Dabei nehmen sie beispielsweise gezielt auf ein Ereignis Bezug, von dem nur der Mitarbeiter weiß, oder lesen mittels Malware (z. B. Emotet) bestehende E-Mail-Verläufe aus und verschicken innerhalb der Organisation E-Mails mit einem infizierten Anhang. Somit wird es für Mitarbeiter immer schwieriger, echte von falschen Nachrichten zu unterscheiden.
Die beste Maßnahme, um zu verhindern, dass Ihre Mitarbeiter Phishing-Mails anklicken, sind umfangreiche Security-Awareness-Schulungen. Hier geht es darum, das Bewusstsein für IT-Sicherheitsrisiken zu schärfen, sodass Angestellte künftig vorsichtiger und kritischer – unter anderem im Umgang mit Phishing-Mails – agieren.
5. Sicherheitsrisiko durch WLAN und andere drahtlose Netzwerke
Ob zur Verknüpfung von Computern, Druckern oder Netzwerkbaugruppen: Drahtlose Netzwerke sind allgegenwärtig und ermöglichen Mitarbeitern, auch während der Arbeitszeit online zu gehen.
Oft verfügen Unternehmen jedoch lediglich über eine Haupt-Internetverbindung kombiniert mit mehreren drahtlosen Routern. Diese Methode spart zwar Geld, ist aber in vielen Fällen ein Sicherheitsrisiko für das Unternehmensnetzwerk. Vor allem dann, wenn für die Router keine Passwörter festgelegt werden, kann sich jeder, der in Reichweite ist, mit dem betreffenden Netzwerk verbinden. Für Hacker ist dies ein „gefundenes Fressen“, denn sie suchen gezielt nach solchen Schwachstellen, um das Netzwerk anzugreifen.
Doch nicht nur eine fehlende Passwortvergabe erleichtert es Angreifern, Daten zu erfassen. Auch Passwörter, die zu leicht zu erraten sind, stellen ein Sicherheitsrisiko dar. Achten Sie deshalb darauf, dass (Router-)Passwörter mindestens 8 bis 12 Zeichen lang sind. Überlegen Sie sich am besten einen Satz, der mindestens eine Zahl enthält und sich gut merken lässt, etwa: „Am liebsten fahre ich 5 Mal im Jahr in den Urlaub, besser alle 2 Wochen.“ Für das Passwort werden nur die ersten Buchstaben eines jeden Wortes sowie die Zahlen verwendet und mathematische Operatoren (+-*/) als Zeichen geschrieben. Daraus ergibt sich das sichere Passwort: Alfi5*iJidU,ba2W
6. Sicherheitsrisiko BYOD („Bring Your Own Device“)
In den meisten deutschen Unternehmen ist BYOD („Bring Your Own Device“) schon ein Normalzustand. Das bedeutet, dass Mitarbeiter ihre privaten mobilen Endgeräte wie Computer, Smartphones, Tablets, Laptops und USB-Sticks auch am Arbeitsplatz (im Unternehmen und/oder im Home-Office) nutzen.
Was grundsätzlich erst einmal nach einer guten Idee klingt, stellt viele Unternehmen jedoch vor große Herausforderungen – vor allem in Bezug auf die Sicherheit. Das Problem dabei ist, dass viele Geräte ungeschützt sind, über unzureichende Identifizierungstechnologien oder veraltete Programme verfügen. Darüber hinaus ist es für IT-Administratoren schwierig, sämtliche Software-Aktualisierungen manuell oder halbautomatisiert vorzunehmen, weil es zu viele verschiedene privat genutzte Geräte, Anwendungen und Betriebssysteme gibt.
Wenn Sie dennoch nicht auf BYOD verzichten wollen, ist ein entsprechendes IT-Sicherheitskonzept ratsam, das folgende Punkte berücksichtigen sollte:
- Einrichtung einer Firewall und eines Virtual Private Networks (VPN)
- Regelmäßige Aktualisierung der Virenscanner sowie Updates von Software und Betriebssystem
- Sicherstellung des Rechte- und Zugriffsmanagements
- Trennung von privaten und beruflich genutzten Geräten mittels Virtualisierung (Unternehmensdaten sollten im Firmennetzwerk gespeichert werden und nicht auf privaten Geräten)
- Verschlüsselung aller Geräte
- Komplette Löschung der Unternehmenssoftware und -daten auf privat genutzten Geräten im Falle einer Beendigung des Arbeitsverhältnisses
Netzwerksicherheit im Unternehmen – Fazit
Netzwerksicherheit ist ein komplexes Thema, und sofern Sie keinen eigenen IT-Fachmann im Haus haben, kann es sehr nützlich sein, sich in Sachen IT-Sicherheit von einem externen Dienstleister beraten zu lassen.
Darüber hinaus können Sie über entsprechende Schulungen Ihre Mitarbeiter für das Thema sensibilisieren. Denn das schwächste Glied in der Kette sind nach wie vor Menschen – und der größte Angriffspunkt beim Hacking ist immer das Social Engineering, hierbei explizit das Phishing (das „Fischen“ nach Passwörtern). Gern beraten wir Sie unverbindlich.
Häufige Fragen
Reicht eine vorhandene Firewall aus, um das Unternehmensnetzwerk zu schützen?
Wie schütze ich meine Mitarbeiter am besten vor Phishing-Mails?
Wie sieht ein sicheres Router-Passwort aus?
Ist BYOD im Unternehmen grundsätzlich unsicher?
Passende Leistungen
Verfasst von
Maximilian DalichowIT-Projektleitung