Von Passwortmanagern bis zu Notfallplänen

Wer auf sichere Passwörter für sämtliche Firmenkonten und Online-Dienste setzt, kommt um die Nutzung eines Passwortmanagers kaum herum. Die Anwendungen sichern alle hinterlegten Zugangsdaten verschlüsselt ab und schützen diese über ein Master-Passwort.

Ein sicheres Tool sollte den No-Knowledge-Bestimmungen entsprechen. Das heißt, die Informationen sind nur für den Benutzer zugänglich, da alle Daten lokal verschlüsselt und entschlüsselt werden. Nicht einmal die Entwickler der Tools oder Cloud-Provider für die Synchronisation sind dazu fähig, die Daten einzusehen.

Eine Auswahl empfehlenswerter Passwort-Manager finden Sie in unserem Praxis-Beitrag "Die besten Passwort-Manager im Vergleich".

Verlässt ein Mitarbeiter das Unternehmen, sollten auch alle Zugänge und Online-Konten möglichst zeitnah deaktiviert werden. Entsprechend gilt es sicherzustellen, dass ehemalige Mitarbeiter keinen Zugriff mehr auf freigegebene Dokumente, Firmen-E-Mail-Konten oder andere Anwendungen haben, die möglicherweise vertrauliche Informationen enthalten. Nur so lässt sich die Gefahr eines Datenabflusses eindämmen.

Hat ein PC oder ein Smartphone im Unternehmen ausgedient, müssen die darauf befindlichen Daten unwiederbringlich gelöscht werden. Nur so lässt sich ausschließen, dass kritische Daten wiederhergestellt werden können. Zum sicheren Löschen stehen Administratoren bei älteren Systemen verschiedene File-Shredder zur Verfügung, die Festplatten mehrfach überschreiben und damit ein Wiederherstellen technisch verhindern.

Bei Mobilgeräten gilt es zudem darauf zu achten, diese von sämtlichen Online-Konten abzumelden und abschließend auf die Werkseinstellungen zurückzusetzen.

Laut den Kryptoexperten sei es außerdem stets eine gute Idee, die Datensicherheit im Unternehmen auf den Prüfstand zu stellen. Nur so lässt sich herausfinden, wo potenzielle Schwachstellen liegen. Hierzu können Unternehmen entweder interne Sicherheitstest durchführen oder diese von externen Agenturen durchführen lassen. Bei Letzteren handelt es sich zumeist um Sicherheitstestfirmen, die das Verhalten von Hackern imitieren.

In der Praxis prüfen die Tester dann je nach Bedarf, ob sie online oder auch physisch unbemerkt auf die Systeme im Unternehmen zugreifen und Daten abgreifen können. Dabei kommen sowohl komplexe Penetrationstest (Pen-Tests) sowie simple Phishing-Taktiken zum Einsatz.

Im Anschluss an die Tests analysiert das Sicherheitsteam die Schwachstellen im Unternehmen und zeigt Wege auf, wie sich diese beheben lassen.

Angesichts der steigt zunehmenden Bedrohungslage wird früher oder später jede noch so gute Unternehmens-IT mit einem erfolgreichen Angriff konfrontiert. Daher sollten Firmen ihre Mitarbeiter für den Ernstfall schulen und konkrete Pläne für das Vorgehen bei einem Hacker-Angriff definieren.

Dabei empfiehlt sich etwa, eine genaue Protokollierung und Validierung des Angriffs, damit im Anschluss die Schwachstelle genau definiert werden kann. Diese gilt es nun zu beheben, um weitere Angriffe zu vereiteln. Abschließend müssen noch sämtliche Eigentümer der Daten über den Vorfall informiert werden.