Ratgeber IT-Sicherheit | Teil 1: Erste Schritte und Grundregeln für IT-Sicherheit im Alltag
von | vor 3 Jahren
Die Themen Datenschutz, Datensicherheit und Privatsphäre sind seit einiger Zeit fester Bestandteil unserer öffentlichen Debatte. Häufige Meldungen von neu entdeckten Gefahren für die Sicherheit Ihrer persönlichen Daten und die Ihrer Gäste und Kunden führen verständlicherweise zu Verunsicherung. Den fachlichen Diskussionen der Experten kann man nur schwer folgen und das immer komplexer werdende Thema der IT-Sicherheit hängt viele Menschen zunehmend ab.
Um dem entgegenzuwirken haben wir in dieser Beitragsserie sinnvolle Empfehlungen und Informationen für mehr Sicherheit zusammengetragen. Im ersten Artikel lernen Sie viele allgemeine Maßnahmen kennen, die Ihnen bereits viel Schutz bieten. Im zweiten Artikel erfahren Sie Details zum richtigen Umgang mit Gästedaten im Hotelbetrieb, der korrekten Umsetzung der DSGVO und Sie lernen, warum eine Hotelsoftware in der Cloud in der Regel sogar sicherer ist, als eine lokal installierte Software.
Cyberkriminalität: Film versus Realität
Hollywood zeichnet ein Bild von Hackern und Cyberkriminellen, das nur sehr bedingt der Realität entspricht. Sie kennen sicher Filmszenen, in denen sich Hacker oder auch Regierungsorganisationen auf spektakuläre Weise, zielgerichtet, von jedem Ort der Welt und in kürzester Zeit Zugang zu Computersystemen verschaffen. In der Realität sind die meisten Cyber-Attacken jedoch wesentlich weniger spektakulär und beginnen mit der Installation von Schadsoftware. Diese kann durch Öffnung eines infizierten E-Mail-Anhangs oder auch mittels „Drive-by-Infection“ (unbemerkte Infektion beim Besuch von präparierten Webseiten) erfolgen. Eine weitere Variante ist die Verteilung der Schadsoftware über soziale Netzwerke. Beim sogenannten “Social-Engineering” beschaffen sich Kriminelle in den Sozialen Medien, oder anderen öffentlich verfügbaren Quellen, Informationen zu MitarbeiterInnen, deren Freunden und Angehörigen. Die gefundenen Daten, das können z.B. die privaten E-Mail Adressen sein, nutzen sie dann um deren Geräte mit Schadsoftware zu infizieren. Bei Erfolg können sich Hacker die E-Mail Konten der Betroffenen zu nutzen machen, Kommunikation ausspähen und Nachrichten in deren Namen versenden. Ist ein plausibles Szenario wie z.B. eine Einkaufsliste oder ein Urlaubsangebot gefunden, versenden die Angreifer ihre Schadsoftware als E-Mail eines Verwandten getarnt an die MitarbeiterInnen des Unternehmens. Auch “Blackmailing”, also Erpressung von MitarbeiterInnen, kann dafür genutzt werden die Betroffenen zur aktiven Installation von Schadsoftware auf den Geräten des Unternehmens zu bewegen.
Ungeschützte IT-Systeme laden Hacker geradezu ein. Es werden großflächig schlecht geschützte oder ungeschützte Systeme gesucht und leider immer noch allzu häufig gefunden. Dabei werden weltweit Systeme, vollautomatisch auf Schwachstellen, z.B. fehlende Passwortsicherung “abgetastet”. Auf diese Weise können schutzlose Systeme innerhalb kürzester Zeit entdeckt werden. Eine visuelle Darstellung der Häufigkeit von Cyberangriffen, liefert z.B. das Sicherheitstacho der Deutschen Telekom AG, welches die weltweiten Cyberangriffe auf die Honeypot-Infrastruktur der Telekom und ihrer Partner zählt. Ein Honeypot ist die Attrappe eines Computersystem, welches als lohnendes Ziel für Cyberangriffe platziert und zu deren Analyse, als auch zur Ablenkung genutzt wird.
Must-Do-Sicherheitsmaßnahmen
Nur wenn Sie diese Gefahren kennen, schärfen Sie Ihre Sinne und agieren aufmerksamer. Das schützt Sie vor unüberlegten Handlungen, wie dem Öffnen von nicht vertrauenswürdigen E-Mail-Anhängen, versetzt Sie in die Lage Ungereimtheiten auf täuschend echt aussehenden Websites zu erkennen und reduziert Unsicherheiten. Dieses Wissen können Sie dazu nutzen Ihr Verhalten im Umgang mit dem Internet und der verbundenen Technologien zu optimieren. Je intensiver Sie sich mit dem Thema auseinandersetzen, desto unwahrscheinlicher wird es, dass Sie zum Opfer von Cyber-Kriminellen und Hackern werden. Dabei ist es wichtig zu wissen, dass es keinen absoluten Schutz gibt. Sie können jedoch erreichen, dass der erforderliche Ressourceneinsatz und das nötige technische Know-How auf Seiten der Angreifer erheblich erhöht werden muss.
Unabhängig von Ihrem individuellen Wissensstand, ist es oft schwierig einen Einstieg in die Thematik zu finden. Beginnen Sie mit der Umsetzung der folgenden Empfehlungen für alle Ihre Geräte und Benutzerkonten, beruflich als auch privat:
1.Verwenden Sie sichere Passwörter
Die Sicherheit eines Passwortes steigt mit den Faktoren Passwortlänge, verwendete Zeichenarten und Zufälligkeit der gewählten Zeichen.
Um dem entgegenzuwirken haben wir in dieser Beitragsserie sinnvolle Empfehlungen und Informationen für mehr Sicherheit zusammengetragen. Im ersten Artikel lernen Sie viele allgemeine Maßnahmen kennen, die Ihnen bereits viel Schutz bieten. Im zweiten Artikel erfahren Sie Details zum richtigen Umgang mit Gästedaten im Hotelbetrieb, der korrekten Umsetzung der DSGVO und Sie lernen, warum eine Hotelsoftware in der Cloud in der Regel sogar sicherer ist, als eine lokal installierte Software.
Cyberkriminalität: Film versus Realität
Hollywood zeichnet ein Bild von Hackern und Cyberkriminellen, das nur sehr bedingt der Realität entspricht. Sie kennen sicher Filmszenen, in denen sich Hacker oder auch Regierungsorganisationen auf spektakuläre Weise, zielgerichtet, von jedem Ort der Welt und in kürzester Zeit Zugang zu Computersystemen verschaffen. In der Realität sind die meisten Cyber-Attacken jedoch wesentlich weniger spektakulär und beginnen mit der Installation von Schadsoftware. Diese kann durch Öffnung eines infizierten E-Mail-Anhangs oder auch mittels „Drive-by-Infection“ (unbemerkte Infektion beim Besuch von präparierten Webseiten) erfolgen. Eine weitere Variante ist die Verteilung der Schadsoftware über soziale Netzwerke. Beim sogenannten “Social-Engineering” beschaffen sich Kriminelle in den Sozialen Medien, oder anderen öffentlich verfügbaren Quellen, Informationen zu MitarbeiterInnen, deren Freunden und Angehörigen. Die gefundenen Daten, das können z.B. die privaten E-Mail Adressen sein, nutzen sie dann um deren Geräte mit Schadsoftware zu infizieren. Bei Erfolg können sich Hacker die E-Mail Konten der Betroffenen zu nutzen machen, Kommunikation ausspähen und Nachrichten in deren Namen versenden. Ist ein plausibles Szenario wie z.B. eine Einkaufsliste oder ein Urlaubsangebot gefunden, versenden die Angreifer ihre Schadsoftware als E-Mail eines Verwandten getarnt an die MitarbeiterInnen des Unternehmens. Auch “Blackmailing”, also Erpressung von MitarbeiterInnen, kann dafür genutzt werden die Betroffenen zur aktiven Installation von Schadsoftware auf den Geräten des Unternehmens zu bewegen.
Ungeschützte IT-Systeme laden Hacker geradezu ein. Es werden großflächig schlecht geschützte oder ungeschützte Systeme gesucht und leider immer noch allzu häufig gefunden. Dabei werden weltweit Systeme, vollautomatisch auf Schwachstellen, z.B. fehlende Passwortsicherung “abgetastet”. Auf diese Weise können schutzlose Systeme innerhalb kürzester Zeit entdeckt werden. Eine visuelle Darstellung der Häufigkeit von Cyberangriffen, liefert z.B. das Sicherheitstacho der Deutschen Telekom AG, welches die weltweiten Cyberangriffe auf die Honeypot-Infrastruktur der Telekom und ihrer Partner zählt. Ein Honeypot ist die Attrappe eines Computersystem, welches als lohnendes Ziel für Cyberangriffe platziert und zu deren Analyse, als auch zur Ablenkung genutzt wird.
Must-Do-Sicherheitsmaßnahmen
Nur wenn Sie diese Gefahren kennen, schärfen Sie Ihre Sinne und agieren aufmerksamer. Das schützt Sie vor unüberlegten Handlungen, wie dem Öffnen von nicht vertrauenswürdigen E-Mail-Anhängen, versetzt Sie in die Lage Ungereimtheiten auf täuschend echt aussehenden Websites zu erkennen und reduziert Unsicherheiten. Dieses Wissen können Sie dazu nutzen Ihr Verhalten im Umgang mit dem Internet und der verbundenen Technologien zu optimieren. Je intensiver Sie sich mit dem Thema auseinandersetzen, desto unwahrscheinlicher wird es, dass Sie zum Opfer von Cyber-Kriminellen und Hackern werden. Dabei ist es wichtig zu wissen, dass es keinen absoluten Schutz gibt. Sie können jedoch erreichen, dass der erforderliche Ressourceneinsatz und das nötige technische Know-How auf Seiten der Angreifer erheblich erhöht werden muss.
Unabhängig von Ihrem individuellen Wissensstand, ist es oft schwierig einen Einstieg in die Thematik zu finden. Beginnen Sie mit der Umsetzung der folgenden Empfehlungen für alle Ihre Geräte und Benutzerkonten, beruflich als auch privat:
1.Verwenden Sie sichere Passwörter
Die Sicherheit eines Passwortes steigt mit den Faktoren Passwortlänge, verwendete Zeichenarten und Zufälligkeit der gewählten Zeichen.
- nutzen Sie die vom Anbieter zugelassene Passwortlänge aus
- verwenden Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
- wählen Sie eine möglichst zufällige Zeichenfolge
Die Verwendung eines Passwort-Managers, also einer separaten Software zur Erstellung und Verwaltung von Passwörtern, wie z.B. 1password.com oder lastpass.com, kann hilfreich sein.
2.Schützen Sie WLAN und Router mit guten Passwörtern
Die oben genannten Regeln sollten Sie insbesondere auch für den Schutz Ihres internen Netzwerks berücksichtigen, um einen ungewollten Zugriff zu verhindern. Beschränken Sie den WLAN-Zugriff auf Ihnen vertraute Personen und richten Sie für Kunden und Gäste zusätzlich ein Gast-WLAN ein.
3.Verwenden Sie Passwörter niemals für mehrere Accounts
Die nach den oben genannten Kriterien erstellten Passwörter bieten ein hohes Maß an Sicherheit für Ihre Benutzerkonten, doch haben Sie keinen Einfluss auf die Sicherheit der Systeme verschiedener Anbieter. Bei einem “Data-Breach” könnten Ihre persönlichen Daten, sowie das genutzte Passwort also gestohlen werden und Kriminelle könnten diese dann wiederum nutzen um sich Zugang zu anderen von Ihnen genutzten Systemen (E-Mail, Online-Banking) zu verschaffen. Sie müssen das Rad nicht jedes Mal neu erfinden, variieren Sie einfach einige Zeichen in Ihren Passwörtern.
4.Nutzen Sie (wenn angeboten) zusätzliche Sicherheitsmaßnahmen
Zwei-Faktor-Authentifizierung: wichtig ist hier, dass Sie zwei unterschiedliche und insbesondere unabhängige Komponenten verwenden (Bsp.: PC und Smartphone).
Sicherheitsfragen: Beantworten Sie Sicherheitsfragen niemals wahrheitsgemäß. Denn die Menschen in Ihrer Umgebung könnten diese Informationen (wie z.B. den Namen Ihres Haustiers) ebenfalls haben und die Sicherheit Ihrer Daten ist damit erneut gefährdet.
5.Aktivieren Sie die Auto-Update Funktion auf allen Geräten
Nutzen Sie die Möglichkeiten der Auto-Update Funktionen für alle Devices und Anwendungen die Sie, Ihre Angestellten oder Angehörigen regelmäßig benutzen. Ein zu 100% gepatchtes System, also eines, das immer auf dem aktuellen Stand ist, ist weniger anfällig für viele Bedrohungen.
6.Benutzerkonten und Zugriffsberechtigungen verwalten
Nutzen Sie mehrere Benutzerkonten für Ihren PC und regeln Sie die Zugriffsberechtigungen. Erstellen Sie z.B. einen Administrator und schützen Sie diesen Benutzer mit einem besonders sicheren Passwort. Dieses Passwort werden Sie selten benötigen. Arbeiten Sie nicht im Administratorzugang, sondern erstellen Sie weitere Benutzer und schränken Sie die Zugriffsberechtigungen für diese weitgehend ein. Das schützt Ihre Daten vor fremden Zugriffen, erschwert die Installation schadhafter Software und Veränderungen an Ihrem Betriebssystem. Den Arbeitszugang können Sie dann mit einem eigenen, sicheren aber leichter zu merkenden Passwort schützen.
7.Programmeinstellungen sinnvoll anpassen
Installieren Sie nur Programme aus vertrauenswürdigen Quellen. Schränken Sie die Berechtigungen aller genutzten Programme sinnvoll ein. Das betrifft insbesondere das Erstellen von Screenshots, Kamerazugriff, Mikrofonzugriff und den Zugriff auf Ihre Kommunikation. Prüfen Sie die Einstellungen Ihres Browsers und schränken Sie z.B. automatische Downloads ein. Gleiches gilt für Ihr E-Mail-Programm. Schränken Sie automatische Downloads sinnvoll ein und entscheiden Sie selbst, welche Anhänge Sie herunterladen.
8.Vorsicht bei externen Speichermedien
Vermeiden Sie wenn möglich die Nutzung von fremden Speichermedien aller Art (z.B. USB-Sticks und CDs), da diese Viren und Schadprogramme einschleusen können.
MitarbeiterInnen sensibilisieren und schulen
Auch innerhalb Ihrer Belegschaft sollten Sie die Wichtigkeit des Datenschutz regelmäßig thematisieren und dabei zum Beispiel folgende Maßnahmen umsetzen:
2.Schützen Sie WLAN und Router mit guten Passwörtern
Die oben genannten Regeln sollten Sie insbesondere auch für den Schutz Ihres internen Netzwerks berücksichtigen, um einen ungewollten Zugriff zu verhindern. Beschränken Sie den WLAN-Zugriff auf Ihnen vertraute Personen und richten Sie für Kunden und Gäste zusätzlich ein Gast-WLAN ein.
3.Verwenden Sie Passwörter niemals für mehrere Accounts
Die nach den oben genannten Kriterien erstellten Passwörter bieten ein hohes Maß an Sicherheit für Ihre Benutzerkonten, doch haben Sie keinen Einfluss auf die Sicherheit der Systeme verschiedener Anbieter. Bei einem “Data-Breach” könnten Ihre persönlichen Daten, sowie das genutzte Passwort also gestohlen werden und Kriminelle könnten diese dann wiederum nutzen um sich Zugang zu anderen von Ihnen genutzten Systemen (E-Mail, Online-Banking) zu verschaffen. Sie müssen das Rad nicht jedes Mal neu erfinden, variieren Sie einfach einige Zeichen in Ihren Passwörtern.
4.Nutzen Sie (wenn angeboten) zusätzliche Sicherheitsmaßnahmen
Zwei-Faktor-Authentifizierung: wichtig ist hier, dass Sie zwei unterschiedliche und insbesondere unabhängige Komponenten verwenden (Bsp.: PC und Smartphone).
Sicherheitsfragen: Beantworten Sie Sicherheitsfragen niemals wahrheitsgemäß. Denn die Menschen in Ihrer Umgebung könnten diese Informationen (wie z.B. den Namen Ihres Haustiers) ebenfalls haben und die Sicherheit Ihrer Daten ist damit erneut gefährdet.
5.Aktivieren Sie die Auto-Update Funktion auf allen Geräten
Nutzen Sie die Möglichkeiten der Auto-Update Funktionen für alle Devices und Anwendungen die Sie, Ihre Angestellten oder Angehörigen regelmäßig benutzen. Ein zu 100% gepatchtes System, also eines, das immer auf dem aktuellen Stand ist, ist weniger anfällig für viele Bedrohungen.
6.Benutzerkonten und Zugriffsberechtigungen verwalten
Nutzen Sie mehrere Benutzerkonten für Ihren PC und regeln Sie die Zugriffsberechtigungen. Erstellen Sie z.B. einen Administrator und schützen Sie diesen Benutzer mit einem besonders sicheren Passwort. Dieses Passwort werden Sie selten benötigen. Arbeiten Sie nicht im Administratorzugang, sondern erstellen Sie weitere Benutzer und schränken Sie die Zugriffsberechtigungen für diese weitgehend ein. Das schützt Ihre Daten vor fremden Zugriffen, erschwert die Installation schadhafter Software und Veränderungen an Ihrem Betriebssystem. Den Arbeitszugang können Sie dann mit einem eigenen, sicheren aber leichter zu merkenden Passwort schützen.
7.Programmeinstellungen sinnvoll anpassen
Installieren Sie nur Programme aus vertrauenswürdigen Quellen. Schränken Sie die Berechtigungen aller genutzten Programme sinnvoll ein. Das betrifft insbesondere das Erstellen von Screenshots, Kamerazugriff, Mikrofonzugriff und den Zugriff auf Ihre Kommunikation. Prüfen Sie die Einstellungen Ihres Browsers und schränken Sie z.B. automatische Downloads ein. Gleiches gilt für Ihr E-Mail-Programm. Schränken Sie automatische Downloads sinnvoll ein und entscheiden Sie selbst, welche Anhänge Sie herunterladen.
8.Vorsicht bei externen Speichermedien
Vermeiden Sie wenn möglich die Nutzung von fremden Speichermedien aller Art (z.B. USB-Sticks und CDs), da diese Viren und Schadprogramme einschleusen können.
MitarbeiterInnen sensibilisieren und schulen
Auch innerhalb Ihrer Belegschaft sollten Sie die Wichtigkeit des Datenschutz regelmäßig thematisieren und dabei zum Beispiel folgende Maßnahmen umsetzen:
- Erstellen Sie klare Regeln für den Umgang mit firmeneigenen Geräten bezüglich der Internetnutzung und privater Kommunikation via E-Mail und Social Media.
- Schränken Sie den Zugriff auf Ihre Gästekommunikation und Ihren Auftritt in den Sozialen Medien sinnvoll ein. Schulen Sie insbesondere die MitarbeiterInnen mit Zugriff im sicheren Umgang mit diesen Medien.
- Erstellen Sie Regeln für die firmeninterne Kommunikation. Das können Regeln für das Versenden von Anhängen und Links sein, aber auch besondere Umgangsformen, Anreden und Betreffzeilen. Informieren Sie einander, wenn Sie eine ungewöhnliche E-Mail verschicken, oder fragen Sie nach wenn Sie eine erhalten.
- Informieren Sie Ihre MitarbeiterInnen über sinnvolle Schutzmaßnahmen für ihre privaten Geräte. Sensibilisieren Sie alle Beteiligten dafür, auch E-Mails von bekannten Adressen genau zu lesen. Nur so können Ihnen kleinste Ungereimtheiten auffallen.
- Beziehen Sie Ihre MitarbeiterInnen aktiv in das Thema ein. Wie wäre es zum Beispiel mit einer internen IT-Sicherheitsprüfung, die nach Bestehen mit einer Urkunde ausgezeichnet wird?
Wenn Sie diese Empfehlungen berücksichtigen, verfügen Sie über eine erste Barriere aus wirksamen Schutzmaßnahmen, vor allem gegen viele Arten von automatisierten (Bot-)Angriffen auf Ihre Systeme. Damit leisten Sie auch bereits einen wichtigen Beitrag zum Schutz der Daten Ihrer Gäste. In einem nächsten Schritt sollten Sie sich näher mit dem Schutz der Gästedaten in Ihrem Hotelbetrieb auseinandersetzen, die Vorgaben der DSGVO kennenlernen und prüfen, wie sicher Ihre Hotelsoftware ist.
Lesen Sie im Teil 2 dieser Beitragsserie: Der richtige Umgang mit Gästedaten, die wichtigsten Regeln der DSGVO und ein Einblick in die Vorteile von Cloud-Technologie für Ihre Hotelverwaltung.
Lesen Sie im Teil 2 dieser Beitragsserie: Der richtige Umgang mit Gästedaten, die wichtigsten Regeln der DSGVO und ein Einblick in die Vorteile von Cloud-Technologie für Ihre Hotelverwaltung.