Sicher durch die Sommerferien
Für viele steht die Urlaubszeit vor der Tür. Leider nehmen Cyberbösewichte darauf keine Rücksicht, ganz im Gegenteil. Mit diesen zehn Tipps von WatchGuard kann einem bösen Erwachen nach der Rückkehr aus den Ferien souverän vorgebeugt werden.
- Sichern Sie Ihre wichtigsten Dateien gegebenenfalls persönlich: In den meisten Unternehmen erfolgt die Sicherung der für den Arbeitsalltag relevanten Daten in der Regel automatisch über die IT-Abteilung und spezielle Programme. Wenn Sie sich diesbezüglich allerdings nicht sicher sind, kann es auch nicht schaden, selbst ein Backup der wichtigsten Dateien vorzunehmen und die Informationen, die Sie in den entsprechenden Ordnern auf Ihrem Computer gespeichert haben, an einen anderen Ort zu kopieren. Backups sollten dabei nicht lokal, sondern dezentral gespeichert werden. Eine einfache Möglichkeit ist die Übertragung einer Kopie dieser Dateien auf ein USB-Speichergerät. Für den Fall, dass während Ihrer Abwesenheit etwas schiefgeht, können Sie bei Ihrer Rückkehr alle Dateien genau in dem Zustand wiederherstellen, in dem Sie sie zurückgelassen haben. Klären Sie dies jedoch vorher in jedem Fall mit der IT-Abteilung ab. Möglicherweise gibt es dort Richtlinien für das Verschieben von Dateien von Firmencomputern.
- Schalten Sie alle Computer und Geräte aus, die während Ihres Urlaubs nicht in Benutzung sind: Heutzutage lassen viele von uns ihre Laptops, Computer, Smartphones oder IoT-Geräte ständig eingeschaltet – egal ob auf Arbeit oder Zuhause. Auf diese Weise kann im Alltag schließlich wichtige Zeit eingespart werden. Wenn Sie die Geräte im Urlaub jedoch nicht dringend benötigen, sollten sie diese lieber ausschalten. Denn meist ist ein eingeschaltetes Gerät auch online und damit anfällig für Angriffe (abhängig von den vorhandenen Schutzmaßnahmen). Wenn es abgemeldet ist, kann es nicht gehackt werden. Das Ausschalten gilt natürlich nicht für IoT-Überwachungsgeräte wie Kameras, auf die es gerade dann ankommt, während Sie nicht da sind. Aber grundsätzlich gilt: Was nicht gebraucht wird, muss auch nicht an bleiben.
- Führen Sie vor dem Start in den Urlaub alle erforderlichen Updates durch: Wenn Software nicht wie empfohlen aktualisiert wird, öffnen sich möglicherweise entscheidende Schlupflöcher für Angreifer. Führen Sie daher vor Ihrer Abreise alle anstehenden Systemaktualisierungen durch und schauen Sie nach Ihrer Rückkehr direkt nach, ob es neue Update-Empfehlungen gibt, die sofort umgesetzt werden sollten. Zahlreiche IT-Abteilungen verfügen in dem Zusammenhang über Prozesse oder Tools, die Aktualisierungen erzwingen und automatisieren. Wenn dies der Fall ist, müssen Sie möglicherweise nichts unternehmen. Manchmal verlangen diese automatisierten Lösungen jedoch nach Bestätigung durch den jeweiligen Nutzer, bevor sie eine Aktualisierung, die einen Neustart erfordert, durchführen. In dem Fall sollten Sie sicherstellen, dass Sie die Updates genehmigen, bevor Sie das Unternehmen in Richtung Ferien verlassen.
- Fallen Sie nicht auf einen Phishing-Angriff herein: Auch im Sommer sind Hacker auf der Pirsch und Phishing-Angriffe nicht ausgeschlossen. Wenn Sie also eine verdächtige E-Mail erhalten, in der Sie beispielsweise aufgefordert werden, dringend Ihr Passwort zu ändern oder eine unaufschiebbare Zahlung an einen Lieferanten zu leisten bzw. irgendetwas anderes merkwürdig erscheint: Seien Sie vorsichtig! Selbst wenn die E-Mail von einem bekannten Absender stammt, könnte es sich um Phishing handeln. Überprüfen Sie die Adresse und öffnen oder beantworten Sie die Nachricht im Zweifelsfall nicht.
- Vermeiden Sie den Zugriff auf Ihre Firmen-E-Mails über öffentliche Netze ohne den richtigen Schutz: Ihr Hotel oder Ihre Ferienwohnung verfügt wahrscheinlich über WLAN. Wenn Sie während Ihres Urlaubs auf geschäftliche E-Mails oder Firmendokumente zugreifen müssen, sollten Sie es jedoch nach Möglichkeit vermeiden, dies über ein öffentliches Netzwerk zu tun. Versuchen Sie in dem Fall, zumindest ein passwortgeschütztes WLAN zu nutzen, das grundsätzlich nicht jedem frei zugänglich ist. Im Zuge der massiv zugenommenen Remote-Arbeit ist der Nutzung öffentlicher Netze seitens der IT-Abteilung zwar meist nicht mehr so konsequent wie früher ein Riegel vorgeschoben, allerdings gibt es häufig spezifische Vorgaben. Unabhängig davon, ob Sie sich in ein öffentliches oder privates WLAN einklinken, das nicht von Ihnen oder Ihrem Unternehmen kontrolliert wird, sollten entsprechende Sicherheitsvorkehrungen im Zuge von Endpoint Security zum Tragen kommen, beispielsweise Anti-Malware- oder Host-Firewall-Funktionalität. Greifen Sie zudem stets auf VPN zurück, um Ihre Verbindung zusätzlich zu verschlüsseln und es anderen Nutzern zu erschweren, Ihre E-Mails oder andere Daten abzufangen. Öffentliches WLAN ist gerade für die reisende Belegschaft zur Realität geworden – umso mehr kommt es darauf an, Endgeräte zielgenau abzusichern.
- Laden Sie nur vertrauenswürdige Apps herunter: In Ihrer Freizeit möchten Sie vielleicht auch mal das ein oder andere Spiel oder eine spezifische App herunterladen – beispielsweise zur umgehenden Bearbeitung von Urlaubsschnappschüssen. Wenn Sie dabei das gleiche Gerät nutzen, das auch im beruflichen Alltag zum Einsatz kommt, ist jedoch besondere Vorsicht geboten. Schadhafte Apps können auf alle Daten auf Ihrem Telefon zugreifen – somit auch auf die Unternehmensinformationen – und zum Spielball von Cyberangriffen werden. Wenn Sie eine Anwendung herunterladen, dann im Idealfall nur von bekannten Quellen und Anbietern. Holen Sie sich für mobile Geräte beispielsweise nur Apps aus den offiziellen Apple- oder Google-Stores. Bei Computern gilt das Gleiche: Nutzen Sie die App-Stores von Microsoft oder Apple. Inoffizielle und unseriöse Quellen sind nicht selten der Ursprung allen Übels beim App-Download. Unterstützen Sie zudem keine Raubkopierer. Abgesehen davon, dass entsprechende Aktivitäten in den meisten Ländern illegal sind, warten auch viele solch fadenscheiniger Anwendungen mit Malware auf.
- Schützen Sie Ihre Identität: Geben Sie immer nur die zur Erfüllung einer Aufgabe unbedingt notwendigen Informationen an – nicht mehr. Scheuen Sie sich nicht zu fragen, wofür die angeforderten Informationen verwendet werden sollen. Ist es zum Beispiel zwingend erforderlich, einen Scan Ihres Reisepasses oder Ihrer Kreditkarte vorzulegen? Müssen nach erfolgter Zahlung noch die Kreditkartennummer, das Gültigkeitsdatum und der Sicherheitscode (CVV-Nummer) schriftlich hinterlegt werden? Überlegen Sie sich im Vorfeld, welche Folgen es haben könnte, wenn sie persönliche Informationen über sich preisgeben.
- Veröffentlichen Sie keine unüberlegten Details in sozialen Medien: So sollten Sie beispielsweise von Hinweisen zum aktuellen Aufenthaltsort absehen. Auch wenn es sich hierbei nicht um eine IT-Sicherheitsmaßnahme im eigentlichen Sinne handelt, darf niemals vergessen werden, dass sich jede gepostete persönliche Einzelheit auf vielfältigste, meist unerwartete Weise missbrauchen lässt. Einbrecher könnten es auf Ihr Haus abgesehen haben und Social Engineers hätten noch mehr Futter für gezieltes Spear-Phishing.
- Seien Sie vorsichtig, was Sie an Ihren Computer anschließen: Auch wenn es sich um eine alte Hacking-Technik handelt – infizierte USB-Sticks dienen Hackern nach wie vor erfolgreich als Mittel zum Zweck. Unterlassen Sie es daher auf jeden Fall, einen fremden, irgendwo gefundenen USB-Stick an Ihr Gerät anzuschließen.
- Aktivieren Sie die Zwei- oder Multifaktor-Authentifizierung (2FA/MFA), wann immer Sie können: Die Möglichkeiten von Angreifern, an Ihre Passwörter zu gelangen, sind nahezu unbegrenzt: Vielleicht gelingt es mit Phishing oder Malware, vielleicht über eine Ihnen bekannte, aber gehackte Website, auf der Sie sich unbedachterweise einloggen. Besonders groß ist das Problem, wenn sie ein- und dasselbe Passwort auch für andere Dienste verwenden. Hier hilft MFA. Denn selbst wenn das Passwort bekannt ist, bleibt dem Übeltäter der Weg zum Ziel verwehrt, wenn er die zweite Authentifizierungsinstanz nicht überwinden kann und beispielsweise nicht über das Handy verfügt, auf welches im Zuge des Logins eine Nachricht zur Bestätigung des Anmeldeversuchs geschickt wurde. Weiterer positiver Nebeneffekt: Dank einer solchen Nachricht auf Ihrem Mobiltelefon sind Sie auch jedes Mal darüber informiert, dass gerade jemand Fremdes versucht, sich Zugang zu Ihren Accounts zu verschaffen.
Es gibt zahlreichen Stolperfallen im Zuge der IT-Sicherheit, die sich jedoch nicht auf die Qualität des Urlaubs auswirken sollten. Der Entspannung steht sicher nichts entgegen, wenn man sich der Gefahr bewusst ist und weiß, was zu tun ist, um sowohl die Ferien als auch die Rückkehr vollends genießen zu können.