Kategorien
Allgemeines zu IT-Strafrecht & Cybercrime

Cybercrime: Wie schütze ich mich vor einem Hackerangriff?

Bevor man sich damit beschäftigen muss, wie man mit einem Hack-Angriff umgeht, ist es sinnvoller über die Vorsorge nachzudenken – also zu verhindern, dass überhaupt ein erfolgreicher Angriff auftritt. Dies ist inzwischen sogar Pflicht, mit dem IT-Sicherheitsgesetz sind Sie verpflichtet, zumindest grundsätzliche Sicherheitsaufgaben zu erledigen. Das bedeutet in aller Kürze: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.

Zum Thema Cyberangriff weitere Artikel von mir:

Vorbereitung auf den Hacker-Angriff

Mit pauschalen Hinweisen, wie man sich schützen kann, möchte ich zurückhaltend sein – ich denke, hier kann es nur rudimentäre Hinweise geben, in Form von thematischen Hinweisen, damit der Fokus auf einzelne Gebiete gelegt ist:

  • Backup-Politik: Ohne eine vernünftige Backup-Politik kann es keine Vorsorge geben. Dazu gehören rotierende Backups ebenso wie fortlaufende Sicherungen und eine Verschlüsselung der Backups.
  • Passwort-Politik: Gleich ob Privatperson oder Verbraucher gehört ein gutes Passwort-Management zum Alltag. Ich habe beschrieben, was aus meiner Sicht ein sicheres Passwort sein kann. Überall das gleiche Passwort verwenden ist dumm, die Mitarbeiter zu zwingend alle X Tage das Passwort zu ändern ist ein überholtes Konzept.
  • Mail-Postfächer: Der Transport der Mails sollte verschlüsselt stattfinden, Mails die für eine Kundenkommunikation verwendet werden sollten nicht für Accounts genutzt werden (was wohl nur bei KMU und EinPersonBetrieben eine Rolle spielen dürfte).
  • Nachdenken bevor man etwas tut: Gleich ob Privatperson oder Mitarbeiter – mitdenken ist gefragt. Emails sollten in Ruhe bearbeitet werden, Verdachtsmomente nicht übersprungen werden, am Telefon nicht leichtfertig mit Informationen umgegangen werden. Es ist der profanste Hinweis hier, aber tatsächlich ließen sich zahlreiche Cyberangriffe durch schlichtes Nachdenken verhindern.
  • Mitarbeiter schulen: In Unternehmen sollten Mitarbeiter geschult werden, es sollte zudem einen Handreicher geben zum Umgang mit Kommunikationsmitteln.
  • Virenscanner: Es ist hochgradig umstritten, ob man überhaupt noch Virenscanner braucht oder ob diese nicht sogar schädlich sind oder eigene Gefahrenquellen sein können. Gleichwohl sollte eine Software-Firewall angedacht sein, Unternehmen sollten über professionelle Produkte nachdenken und mindestens softwareseitigen Schutz aktivieren, der in vielen Routern nicht zwingend als Standard aktiviert ist.
  • Netzwerke sauber einrichten: Freigaben im Netzwerk müssen durchdacht sein, Intranetze dürfen nicht von außen erreichbar sein. Es klingt einfach, aber heute nutzen viele die automatischen Funktionen zur Freigabe von Daten im Netzwerk ohne zu verstehen oder zu prüfen, wie genau sie da frei geben und welche Rechte existieren.
  • Unterwegs aufpassen: Seien Sie unterwegs vorsichtig, übertragen Sie keine sensiblen Daten unverschlüsselt in fremden Netzen (mehr zur IT-Sicherheit untergwegs und im Urlaub hier von mir)

Notfallkarte für Mitarbeiter

Es mag auf den ersten Blick befremdlich erscheinen, macht aber durchaus Sinn – das BSI hat eine “Notfallkarte” zur Verfügung gestellt, mit der man erste Hinweise im Fall eines IT-Notfalls für seine Mitarbeiter bereit halten kann. Eine solche Karte, die sofort zur Verfügung steht und Abläufe Standardisiert, sollte in jedem Fall in Betracht gezogen und ggfs. auch sofort auffindbar ausgehangen werden:

Weitere Hinweise zur Vorbereitung auf einen Cyberangriff

Eine sehr schöne Grafik des NCSC bringt die Tipps auch grafisch aufbereitet auf den Punkt aus Sicht von kleineren Unternehmen:

Quelle: NCSC,  Contains public sector information licensed under the Open Government Licence v3.0., http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

Es gibt auch weitere Artikel zum Thema, die aber alle am Ende wohl auf das gleiche hinauslaufen wenn man es allgemein halten möchte:

Grafik von EUROPOL “Know the enemy”

Zugehörige Downloads

DateiBeschreibungDateigröße
pdf IT-Notfallkarte_DINA4 IT-Notfallkarte des BSI
IT-Notfallkarte des BSI
67 KB
pdf Massnahmenkatalog_Notfallmanagement MASSNAHMEN- KATALOG ZUM NOTFALLMANAGEMENT - Fokus IT-Notfälle -
MASSNAHMEN- KATALOG ZUM NOTFALLMANAGEMENT - Fokus IT-Notfälle -
181 KB
mm

Von Strafverteidiger & Fachanwalt für IT-Recht Jens Ferner

Strafverteidigung & Unternehmensberatung im IT-Recht, Cybersecurity & Cybercrime: Rechtsanwalt & Fachanwalt für IT-Recht im Raum Aachen, spezialisiert auf Cybercrime & Cybersicherheit sowie IT-Recht & Datenschutzrecht; dazu biete ich umfangreiche technische Erfahrung als Programmierer, Linux-Systemadministrator & Sicherheitsberater inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.