Massnahmen prüfen
Vergeben Sie Zugriffsrechte richtig
Zugriffsrechte oder Berechtigungen legen fest, welche Benutzerinnen oder Benutzer was sehen und bearbeiten können. Seien Sie sparsam beim Vergeben von Zugriffsrechten. Nur wenige Mitarbeitende (Administratoren) benötigen besondere Berechtigungen, zum Beispiel zum Installieren von Software. Alle anderen Mitarbeitenden benötigen genug Rechte, damit sie angenehm arbeiten können – aber nicht mehr. Mit durchdachten Zugriffsrechten erschweren Sie es Angreifern, in das System einzudringen und Schaden anzurichten.
Wichtige Massnahmen zur Vorbeugung von Risiken beim Berechtigungsmanagement
Vergeben Sie so viele Rechte wie nötig und so wenig wie möglich
Überlegen Sie sich, wer auf welche Daten und Systeme zugreifen muss
Definieren Sie Rollen, zum Beispiel Buchhaltung, Personalverwaltung, Sekretariat, Systemverwaltung, Verkauf
Legen Sie fest, welche Berechtigungen eine Rolle benötigt
Erstellen Sie getrennte Konten für Admin-Aufgaben und «normale» Aufgaben
Verwenden Sie nur persönliche Konten. Vermeiden Sie anonymen Konten, die sich mehrere Personen teilen
Externe Dienstleister benötigen separate, persönliche Benutzerkonten
Sperren Sie bei Austritten die Benutzerkonten
Häufig gestellte Fragen
Welche Rolle spielt die Schwachstelle Mensch? Sind Angestellte als Sicherheitsrisiko anzusehen?
Der Mensch ist oftmals das Eintrittstor Nummer 1 eines Angriffes. Auch die besten technischen Massnahmen können nicht verhindern, dass ein Mitarbeitender einem Angreifer Tür und Tor öffnet.
Bei Phishing-E-Mails, einer der häufigsten Arten des Social Engineering, versuchen Kriminelle mit professionell gestalteten E-Mails an Logindaten oder Kreditkarteninformationen ihrer Opfer zu gelangen. Oftmals nutzen die Angreifer öffentlich zugängliche Informationen ihrer Opfer, sodass die E-Mails täuschend echt aussehen und die Informationen mit dem Opfer in Verbindung stehen.
Häufig wird beim Phishing das Opfer beim Klicken auf einen Link im E-Mail auf eine gefälschte Website weitergeleitet, auf der heikle Informationen abgefragt werden, oder die Daten werden direkt über das vertrauenswürdig wirkende E-Mail des Angreifers eingeholt. Ebenso ist es möglich, dass das Opfer durch das Ausführen einer Datei im E-Mail eine Schadsoftware installiert.
Welchen Einfluss haben Homeoffice bzw. mobiles Arbeiten auf die Cybersicherheit?
Gerade in Zeiten von Homeoffice spielt die Vermischung von privatem und beruflichem Netzwerk eine entscheidende Rolle. Viele Mitarbeitende arbeiten heute von zu Hause aus und nutzen dazu die häufig weniger sicheren privaten Netzwerke. Dies kann von Angreifern dazu verwendet werden, auf die Firmensysteme zuzugreifen und Daten abzugreifen.
Was sind die populärsten Maschen der Betrüger?
Die meisten Angriffe, die das nationale Zentrum für Cybersicherheit NCSC derzeit beobachtet, sind den Kategorien «Betrug» und «Phishing» zuzuordnen.
Bei Betrug sind vor allem Fake Support und Fake Extortion Angriffe häufig. Bei einem Fake Support Angriff gibt sich ein Anrufer bzw. eine Anruferin als Mitarbeitender einer Firma, typischerweise Microsoft, aus und gibt vor, dass der Computer repariert werden muss. Auf diese Weise erlangt er oder sie Zugriff aud das Gerät. Bei Fake Extortion handelt es sich um gefälschte Drohmails im Namen von Strafverfolgungsbehörden.
Mit Phishing-E-Mails, einer Sonderform von Social Engineering, werden die Opfer auf eine gefälschte Website z.B. einer Bank gelockt, bei der sie ihre Zugangsdaten preisgeben und den Angreifern somit den Zugang zum Bankkonto ermöglichen. Ebenso können sich Kriminelle mit Phishing-E-Mails Zugang zum Unternehmensnetzwerk ergaunern und auf diese Weise Ransomware ins System einschleusen. Die Folge ist eine Verschlüsselung der Unternehmensdaten und das Opfer wird zum Bezahlen von Lösegeld aufgefordert, um die Daten wieder zu erhalten bzw. deren Veröffentlichung im Dark Net zu verhindern.
Anbieter finden
Sie brauchen Unterstützung?
In unserem Verzeichnis finden Sie Anbieter, die Ihnen bei verschiedensten Cybersicherheitsfragen behilflich sein können. Filtern Sie nach denjenigen Dienstleistungen, die für Ihr Unternehmen relevant sind.
News
Über Cybersicherheit informiert bleiben
Halten Sie sich stets über aktuelle Themen im Bereich der Cybersicherheit auf dem neuesten Stand. So stellen Sie sicher, dass Sie mit aktuellen Entwicklungen, Bedrohungen und Lösungen vertraut sind.