Monat des Bewusstseins für Cybersicherheit 2023

20 Jahre Monat des Bewusstseins für Cybersicherheit

Im Oktober 2023 jährt sich der Cybersecurity Awareness Month zum 20. Mal. Dieser Monat ist der Sensibilisierung für digitale Sicherheit gewidmet und soll jeden dazu befähigen, seine persönlichen Daten vor digitalen Formen der Kriminalität zu schützen.

In diesem Jahr befassen sich führende Regierungsvertreter und Branchenexperten mit der Frage, wie weit wir in den letzten 20 Jahren gekommen sind und wohin wir gehen müssen, um unsere digitale Zukunft zu sichern.

Lesen Sie unseren Blog: Schlüsselfaktoren für eine erfolgreiche 20-jährige Partnerschaft: Exclusive Networks und Fortinet teilen ihr Geheimnis

Als globaler Cybersicherheitsspezialist für digitale Infrastrukturen setzt sich Exclusive Networks dafür ein, den Übergang zu einer vollständig vertrauenswürdigen digitalen Welt zu beschleunigen. Wir arbeiten weiterhin mit unseren Anbietern und Partnern zusammen, um Technologien zu sichern, kritische Infrastrukturen zu schützen und die Lücke bei den Cybersecurity-Karrieren durch innovative Lösungen, Services und Schulungen zu schließen, um unsere Welt mit den dringend benötigten Cyberwächtern von morgen auszustatten. Dazu gehört auch unsere Exclusive Academy-Initiative, ein spezielles Schulungsprogramm, das junge Talente anspricht und ihnen praktische Erfahrungen in der Praxis sowie theoretische Schulungen durch Experten von Exclusive Networks vermittelt.

Wir freuen uns, den Cybersecurity Awareness Month 2023 offiziell zu unterstützen.

Der diesjährige Monat des Bewusstseins für Cybersicherheit fördert die folgenden vier Schlüsselverhaltensweisen, die sowohl für Einzelpersonen als auch für Unternehmen einfach und umsetzbar sein sollen:

1. Erstellen Sie sichere Passwörter und verwenden Sie einen Passwort-Manager
2. Aktivieren Sie die Multi-Faktor-Authentifizierung
3. Aktualisieren Sie Ihre Software
4. Erkennen und melden Sie Phishing-Versuche

Wir helfen unseren Partnern und ihren Kunden, ihre Daten auf vielfältige Weise zu schützen, aber die Befolgung dieser wenigen einfachen Schritte kann einen großen Beitrag dazu leisten, dass jeder sicher im Internet bleibt.

Erstellen Sie sichere Passwörter und verwenden Sie einen Passwort-Manager

Schwache oder gestohlene Passwörter sind für 81 % der Datenschutzverletzungen verantwortlich. Würden Sie glauben, dass die am häufigsten verwendeten Passwörter im Jahr 2023 immer noch "123456789" und "password" sind? Cyberkriminelle können ein schwaches oder leicht zu erratendes Passwort innerhalb weniger Stunden knacken. Bei komplexeren, "starken" Kennwörtern hingegen kann es mehr als ein Leben lang dauern, sie zu entschlüsseln.

Microsoft definiert ein sicheres Kennwort wie folgt:

• Mindestens 12 Zeichen lang, besser sind 14 oder mehr
• Eine Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen
• Kein Wort, das in einem Wörterbuch zu finden ist, oder der Name einer Person, einer Figur, eines Produkts oder einer Organisation
• Es sollte sich deutlich von Ihren bisherigen Passwörtern unterscheiden - gestohlene Passwörter werden oft online weitergegeben, damit andere Cyberkriminelle sie verwenden können.
• Für Sie leicht zu merken, aber für andere schwer zu erraten, z. B. eine einprägsame Phrase wie "6MonkeysRLooking^".

Um Konten und Geräte sicher zu halten, sollten Sie Benutzernamen und Kennwörter nie an andere weitergeben und sie nicht aufschreiben. Wenn man bedenkt, dass der durchschnittliche Benutzer 27 verschiedene Arbeitsanwendungen hat, die überprüft werden müssen, kann ein Passwortmanager eine große Hilfe sein, wenn man viele Konten hat und sich nur schwer mehrere Passwörter merken kann. Viele Passwort-Manager aktualisieren die gespeicherten Passwörter automatisch, halten sie verschlüsselt und verlangen für den Zugriff eine Multi-Faktor-Authentifizierung.

Aufgrund der Risiken, die eine schlechte Passworthygiene mit sich bringt, wenden sich viele Unternehmen nun der passwortlosen Authentifizierung zu.

Lesen Sie mehr über Thales FIDO2 passwortlose Geräte

Lesen Sie mehr

Aktivieren Sie die Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene zusätzlich zu Passwörtern, um zu verhindern, dass unbefugte Benutzer auf Konten und Geräte zugreifen, selbst wenn ein Passwort erraten oder gestohlen wurde. Sie erfordert mehr als eine Art von Berechtigungsnachweis, um sich anzumelden. MFA gibt es in verschiedenen Formen, die alle sicherstellen, dass Sie die einzige Person sind, die auf Ihr Konto zugreifen kann.

Zu den MFA-Methoden gehören:

• Etwas, das Sie kennen: Kennwörter, PINs und Sicherheitsfragen
• Etwas, das Sie haben: Hardware- oder Software-Tokens, Zertifikate, E-Mail, SMS und Telefonanrufe
• Etwas, das Sie sind: Fingerabdrücke, Gesichtserkennung, Iris-Scans und Handabdruck-Scans
• Ihr Standort: Quell-IP-Bereiche und Geolokalisierung

Die zunehmende Nutzung der Cloud, mobiler Geräte und erweiterter Lieferketten veranlasst Unternehmen dazu, nach starken MFA-Lösungen zu suchen. Die oben genannten Methoden basieren auf einer Vielzahl von Technologien, allen voran One-Time-Passwörter (OTPs) und Public Key Infrastructure (PKI). Laut Thales funktionieren diese Technologien wie folgt.

OTPs sind eine Form der "symmetrischen" Authentifizierung, bei der ein Einmalpasswort gleichzeitig an zwei Stellen generiert wird - auf dem Authentifizierungsserver und auf dem Hardware- oder Software-Token, den Sie in Ihrem Besitz haben. Wenn das von Ihrem Token generierte OTP mit dem vom Authentifizierungsserver generierten OTP übereinstimmt, ist die Authentifizierung erfolgreich, und Sie erhalten Zugang.

Bei der PKI-Authentifizierung handelt es sich um eine Form der "asymmetrischen" Authentifizierung, da sie auf einem Paar unterschiedlicher Chiffrierschlüssel beruht - nämlich einem privaten und einem öffentlichen Chiffrierschlüssel. Hardware-Tokens, die auf PKI-Zertifikaten basieren, wie z. B. Smartcards und USB-Tokens, sind dafür ausgelegt, Ihren geheimen privaten Verschlüsselungsschlüssel sicher zu speichern. Wenn Sie sich z. B. beim Netzwerkserver Ihrer Organisation authentifizieren, gibt der Server eine numerische "Herausforderung" aus. Diese Aufforderung wird mit Ihrem privaten Chiffrierschlüssel signiert. Wenn es eine mathematische Korrelation oder "Übereinstimmung" zwischen der signierten Aufforderung und Ihrem öffentlichen Chiffrierschlüssel (der dem Netzwerkserver bekannt ist) gibt, ist die Authentifizierung erfolgreich, und Sie erhalten Zugang zum Netzwerk.

Sehen Sie sich The Science of Secrecy mit Simon Singh an, um mehr über die Kryptographie mit öffentlichen Schlüsseln zu erfahren

Hier ansehen

Aktualisieren Sie Ihre Software

Viele Benutzer gehen davon aus, dass Software-Updates veröffentlicht werden, um neue Produktfunktionen einzuführen, aber sie enthalten auch wichtige Patches zur Behebung von IT-Sicherheitslücken und Fehlern. Das Gleiche gilt auch für Gerätebetriebssysteme (OS). Aktuelle Software ist eine wichtige Voraussetzung, um den Bedrohungsakteuren, die von Software-Schwachstellen profitieren, einen Schritt voraus zu sein.

Die meisten IT-Teams stellen automatische Software-Updates für die Unternehmensanwendungen und das Betriebssystem Ihres Geräts bereit. Dies führt in der Regel dazu, dass Ihr Gerät neu gestartet wird. Wenn Sie Software selbst aktualisieren, sollten Sie immer darauf achten, dass Sie sie von einer offiziellen Quelle herunterladen, da inoffizielle Software oft Malware enthält. Viele Geräte und Anwendungen verfügen über eine automatische Aktualisierungsoption, so dass Sie sich keine Gedanken über veraltete Versionen oder fehlende wichtige Sicherheits-Patches machen müssen.

Scannen Sie mit Tenable Nessus nach Schwachstellen in Ihrem Unternehmen

Erfahren Sie mehr

Erkennen und melden Sie Phishing-Versuche

Phishing ist ein Betrug, der darauf abzielt, sensible Informationen oder Passwörter zu stehlen, Geräte zu kompromittieren oder Geld an Cyberkriminelle zu überweisen. Dies geschieht in der Regel per E-Mail, kann aber auch in Form von irreführenden Textnachrichten (bekannt als Smishing, eine Kombination aus SMS und Phishing), Social Posts, Web-Pop-ups, Telefonanrufen (bekannt als Vishing - oder Voice-Phishing) und sogar über Collaboration-Tools wie Microsoft Teams erfolgen - eine neue Art von Risiko.

Lesen Sie mehr über Blockieren von Viren, Malware und Phishing mit Mimecast Protection for Microsoft Teams

Lesen Sie mehr

Beim Phishing nutzen Cyberkriminelle Social Engineering, um Sie zur Weitergabe privater und vertraulicher Daten wie Bankkontonummern oder Anmeldeinformationen zu verleiten. Sie fragen möglicherweise nach Ihrem Namen, Kontoinformationen, Geburtsdatum, Kennwörtern und anderen sensiblen oder geheimen Informationen. Sie locken Sie oft dazu, einen Link oder eine Datei in einer legitim aussehenden Nachricht zu öffnen. Vergewissern Sie sich immer zuerst, ob ein Link legitim aussieht, und wenn Sie Zweifel haben, klicken Sie nicht darauf, sondern melden Sie ihn. Achten Sie darauf:

Beim Phishing nutzen Cyberkriminelle Social Engineering, um Sie zur Weitergabe privater und vertraulicher Daten wie Bankkontonummern oder Anmeldeinformationen zu verleiten. Sie fragen möglicherweise nach Ihrem Namen, Kontoinformationen, Geburtsdatum, Kennwörtern und anderen sensiblen oder geheimen Informationen. Sie locken Sie oft dazu, einen Link oder eine Datei in einer legitim aussehenden Nachricht zu öffnen. Vergewissern Sie sich immer zuerst, ob ein Link legitim aussieht, und wenn Sie Zweifel haben, klicken Sie nicht darauf, sondern melden Sie ihn. Achten Sie auf:

• Ein unspezifischer Absender, jemand, den Sie nicht kennen, oder der nicht mit der Absenderadresse übereinstimmt
• Ungewohnte, ungewöhnliche oder generische Grußformeln
• Rechtschreib- und Grammatikfehler
• Ein verdächtiger Link, der nicht mit der URL der Webseite in der E-Mail übereinstimmt
• Ein Link zu Bildern oder Videos von Personen, die Sie nicht kennen
• Ein Link oder Anhang, um etwas Unerwartetes anzusehen, z. B. um ein unbekanntes Paket zu verfolgen
• Anhänge mit falschen oder verdächtigen Dateinamen oder verdächtigen Dateierweiterungen (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx)
• Niedrig aufgelöste Bilder

Um geschäftliche E-Mails, die sensible Daten enthalten, zu verfolgen und zu verschlüsseln, sollten Sie RPost in Betracht ziehen.

Finden Sie mehr heraus

Allgemeines, alltägliches Phishing ist in der Regel nicht zielgerichtet und leichter zu erkennen. Andere Arten von Phishing sind:

• Spear-Phishing: zielt auf eine bestimmte Person ab und studiert sie, um eine überzeugendere, legitim aussehende Nachricht zu verfassen, die sie dazu verleitet, ihre Wachsamkeit zu vernachlässigen und sensible Informationen preiszugeben.
• Whaling: zielt speziell auf CEOs und Mitglieder des Führungsteams ab.
• Shared Document Phishing: Imitiert eine E-Mail von File-Sharing-Websites wie Dropbox, Google Drive oder OneDrive, in der behauptet wird, dass ein Dokument mit Ihnen geteilt wurde, aber der Link führt zu einer gefälschten Anmeldeseite, die Ihre Kontodaten stiehlt.

Um Phishing zu bekämpfen, investieren viele Unternehmen in erheblichem Umfang in die formale Aufklärung ihrer Mitarbeiter über Cybersicherheit und machen sie zu ihrer wichtigsten Verteidigungslinie gegen Cyberangriffe.

Lesen Sie mehr über Proofpoint's Security Awareness Training und Phish Simulation Platform

Lesen Sie mehr

Cybersecurity muss nicht kompliziert oder überwältigend sein. Schon das Üben dieser 4 grundlegenden Schritte hilft dabei, sichere Gewohnheiten zu entwickeln, die leicht in das tägliche Leben integriert werden können. Wenn jeder Einzelne und jede Organisation ihren Teil dazu beiträgt, verringern wir gemeinsam Cyberrisiken und sorgen dafür, dass unsere digitale Lebensweise geschützt und vertrauenswürdig bleibt.

Erfahren Sie mehr

Erfahren Sie mehr darüber, wie Organisationen die Verbreitung von Cybersicherheitskompetenzen unterstützen können:

• Exclusive Networks Trainingskurse
• Aufbau der nächsten Generation von Cybersicherheitsexperten - das Modell der "Exclusive Academy".
• Über den Cybersecurity Awareness Month