It's All About Security!

In Österreich werden jährlich tausende Unternehmen gehackt. Der Blick auf die Jahr für Jahr steigenden Zahlen ist erschreckend. Mit einem Anstieg von rund 30 Prozent zum Vorjahr liegt die Zahl der Anzeigen 2017 bereits bei 16.800 (Quelle: Kriminalstatistik des BMI). Die ernüchternde Wahrheit ist: KEIN SYSTEM IST ABSOLUT SICHER. Wie die Vergangenheit gezeigt hat, ist selbst das Pentagon keine Ausnahme.
Was also tun? Den Kopf in den Sand stecken und hoffen, dass das eigene Unternehmen nicht betroffen ist. NEIN!  Ziel ist es, Hackern einen Angriff so schwer und damit so unattraktiv wie möglich zu machen. Wie? 
Um diese Frage zu beantworten, hat TOGETHER CCA in Kooperation mit Atos und TrendMicro eine Kampagne gestartet, die einerseits Awareness für dieses Thema schaffen soll und andererseits mit Tipps und Tricks einen Einblick gibt, wie Sie in Ihrem Unternehmen einem Hacking Angriff vorbeugen und Ihre Security verbessern können.


Warum informieren wir über dieses Thema ?
Cyber Security ist auch heute noch ein Thema, das von vielen Unternehmen unterschätzt wird. Das häufigste Argument: „Bei mir gibt es nichts Interessantes zu holen!“ Doch beinahe jede Information kann für einen Hacker auf irgendeine Weise wertvoll sein. Und das Einschleichen passiert innerhalb weniger Sekunden, erstreckt sich über Wochen und fällt meist erst nach Monaten auf. Doch dann ist es zu spät. Deshalb wollen wir Aufmerksamkeit schaffen, damit Sie nicht eine der Personen sind, bei denen es zu einem bösen Erwachen kommt.


Sie wollen News immer aktuell haben und persönlich informeirt werden, wenn es etwas Neues zum Thema gibt? Dann melden Sie sich zu unserem Newsletter an und seien Sie immer auf dem neusten Stand.

Wer ist für die Sicherheit im Unternehmen verantwortlich?

Security beginnt bei der Awareness der Mitarbeiter und Mitarbeiterinnen
Mitarbeiter und Mitarbeiterinnen müssen zu Themen wie (Daten-)Sicherheit geschult werden. Für TOGETHER CCA ist dies einer der wichtigsten Aspekte, weshalb auch eine Verpflichtung zur Teilnahme an Schulungen zu Sicherheitsthemen für alle Mitarbeiter und Mitarbeiterinnen besteht. Die Themen, die bei diesen Schulungen behandelt werden, beginnen bereits bei Basics wie grundsätzlichen Dos and Don’ts zum Thema Security, die beispielsweise darauf aufmerksam machen sollen, dass Büros, Kästen und Bildschirme beim Verlassen der Büros stets versperrt zu halten sind, USB-Sticks nicht unbeaufsichtigt gelassen, fremde USB-Sticks nicht verwendet, sowie fremde Personen im Haus nicht alleine gelassen werden sollen. Neben diesen in regelmäßigen Abständen erfolgenden Schulungen gibt es außerdem spezielle Workshops, die für einzelne Mitarbeitergruppen zugeschnitten werden. So werden beispielsweise Mitarbeiter aus Entwicklung und Betrieb innerhalb eines Security Awareness Trainings gezielt durch Experten in Hacking Angriffen geschult, oder das Krisenkommunikationsteam regelmäßig zu Präventivmaßnahmen, Früherkennung und Wege der Alarmierung im Ernstfall trainiert. 

System-Sicherheit bei TOGETHER CCA
Ein großer Teil der Security ist selbstverständlich aber auch im System selbst zu sehen. Bei TOGETHER CCA wird die Systemsicherheit durch eine Reihe miteinander interagierender Maßnahmen gewährleistet. Konkret werden von TOGETHER CCA alle Festplatten verschlüsselt. Veraltete Festplatten werden gelöscht und anschließend geschreddert. Backups werden täglich – bei manchen Systemen sogar stündlich – erstellt. Zudem hat TOGETHER CCA stets einen aktuellen Virenscanner in Verwendung und auch verdächtige Mailanhänge werden vorab gefiltert und bei Bedarf ausgeschieden. Weiters wird das System einer periodischen Überprüfung von Schwachstellen unterzogen, die ca. alle zwei Monate in Zusammenarbeit mit Atos stattfindet. Auch für die Sicherheit der Daten setzt TOGETHER CCA auf das Rechenzentrum von Atos. 

Wir möchten Sie auf drei große Gefahren für jedes Unternehmen hinweisen, die nach wie vor immer wieder unterschätzt werden.

Mobiles Arbeiten

Besonders häufig unterschätzt werden die Gefahren des Arbeitens mit mobilen Geräten wie Laptops, Tablets und vor allem Smartphones. Eines der größten Gefahrenpotentiale besteht dabei in der Nutzung von privaten Endgeräten, allen voran das Mobiltelefon. Hier werden oftmals notwendige Sicherheitsstandards und eine strikte Nutzungsvereinbarung mit Mitarbeitern und Mitarbeiterinnen vernachlässigt. Zudem sind in jedem Fall Geräteverlust und Datenklau nur zwei von zahlreichen Gefahren, die Ihrem Unternehmen schließlich schaden können. Die Mindeststandards, die also auf keinem Gerät fehlen sollten, sind die Verschlüsselung der Geräte durch Passwörter, regelmäßige Backups, sowie ein aktueller Virenschutz. 

Schadprogramme

Viren und Trojaner sind aktuell leider keine Seltenheit mehr. Malware nimmt jährlich zu und ändert dabei laufend die Infektionswege. Besonders hier ist demnach Achtsamkeit geboten. Woran können Sie erkennen, dass Ihr Computer infiziert ist? Grundsätzlich gilt: Achten Sie auf die Performance! Sie kennen Ihren Computer am besten. Werden Prozesse und Anwendungen nicht wie gewohnt ausgeführt oder ist das System unüblich langsam, so ist das das erste Zeichen, dass Sie genauer hinsehen sollten. Gerade in Bezug auf das Thema Malware sollte das eigene E-Mail-Postfach im Blick behalten werden. Meldungen zu unzustellbaren Mails, die Sie aber eigentlich nie verschickt haben, oder klagende Kollegen und Kolleginnen, die von Ihnen Spam-Mails erhalten, können Indizien liefern.

Menschliches Versagen

Ein nach wie vor hohes Gefahrenpotential geht zudem von Mitarbeitern und Mitarbeiterinnen im Unternehmen aus. Hier muss noch nicht einmal mit Absicht agiert werden. Bildschirme werden nicht versperrt, Daten werden gelöscht, das Firmenhandy geht verloren. Vieles kann durch Softwarelösungen und Sicherheitsprotokolle abgefangen werden. Doch in jedem Fall gilt, Mitarbeiter und Mitarbeiterinnen müssen aktiv geschult und sensibilisiert werden. Zudem sollten diese dazu angehalten werden, es zu melden, sollte im Ausnahmefall doch mal ein Fehler passieren, damit Sie möglichst schnell reagieren und zu einer Lösung kommen können.

Maximale Verfügbarkeit in den Atos Datacentern​​​​​​​

Mehr als 5.000 Security-ExpertInnen von insgesamt 120.000 MitarbeiterInnen weltweit sorgen bei Atos dafür, dass KundInnen und Partner vor Cyberbedrohungen jeglicher Art gefeit sind: Sie erstellen Sicherheitskonzepte und etablieren Information Security Management Systeme auf Basis der als besonders streng geltenden, umfassenden internationalem Norm ISO 27001.

Auch in Österreich ist für maximale Sicherheit gesorgt: Die Atos Datacenter North und Datacenter South in Wien entsprechen höchsten Anforderungen in punkto Datensicherheit: Backups werden über ein eigenes Backup-LAN durchgeführt, die Daten werden via Dark-Fibre-Verbindungen im jeweils anderen Atos Rechenzentrum gesichert. Zudem werden die Backups über ein separates Netzwerk gesichert, sodass der Datenverkehr des Backupnetzes nicht die Performance der Produktivsysteme beeinflusst – somit sind Ausfallsicherheit, Störungsunabhängigkeit, Security und Wartung im Backup sichergestellt.

Die hohe Ausfallssicherheit der Atos Datacenter in Wien spiegelt sich auch in der TÜV-Klassifizierung TIER 3 wider. Dank der durchgehenden Redundanz aller relevanten Komponenten sind Single Point of Failure (SPOFs) ausgeschlossen und die AnwenderInnen verfügen so über ein äußerst fehlertolerantes System.


Johann Martin Schachner, CEO, Atos Österreich

„Cybersecurity und Datensicherheit sind ein Herzstück der Digitalisierung und ermöglichen es Unternehmen, Regierungen und BürgerInnen, neuen Technologien zu vertrauen und diese zu nutzen. Wir verfolgen einen Security-Ansatz, der auf dem individuellen Anwendungsfall basiert und an die spezifischen Anforderungen unserer KundInnen angepasst wird. Von der höchstmöglichen Verfügbarkeit der IT-Services, dem Einhalten der DSGVO, der Verbesserung der Datensicherheit oder der aktiven Vorhersage und Abwehr neuer Bedrohungen – wir bieten sämtliche Services und Lösungen an, die dafür benötigt werden und garantieren dabei maximale Verfügbarkeit und höchste Sicherheit in unserem Datacenter.“


Generali


Gegen Cyber-Angriffe richtig Vorsorgen
Cyber-Attacken stellen für Private ebenso wie für Freiberufler und Unternehmen eine zunehmende Bedrohung dar. Als negativer Nebeneffekt der Vernetzung und Digitalisierung mussten bereits unzählige Personen und Betriebe in den letzten Jahren ihre Erfahrungen mit der Sicherheit persönlicher und vertraulicher Informationen im Internet machen. Nur die wenigsten Angriffe dringen an die Öffentlichkeit. Das Risiko, mit einem Cyber-Angriff konfrontiert zu werden, wird häufig unterschätzt.  
Besonders für KMUs besteht verstärkter Aufklärungsbedarf. Es gilt das Bewusstsein für Cyber-Risiken bei den Unternehmern zu schärfen. Ein wichtiges Thema in diesem Zusammenhang ist die Sensibilisierung der eigenen Mitarbeiter. Denn viele Cyberangriffe können mit einfachen Verhaltensweisen bzw. Vorsorgen verhindert werden.
Im Gewerbebereich hat die Generali Versicherung eine einzigartige Versicherungslösung für Cyber-Crime-Risiken entwickelt, die aus drei wesentlichen Säulen besteht:

  • Das automatisierte Präventionstool RiskCheckIT zeigt dem Kunden nicht nur bei Vertragsabschluss, sondern monatlich etwaige Schwachstellen in der IT auf. Notwendige Maßnahmen zur Behebung der erkannten Schwachstellen werden unmittelbar eingeleitet. 

  • Experten des Generali IT Assistance Teams stehen rund um die Uhr (24/7) für Anfragen bzw. zur Behebung von Schwachstellen zur Verfügung. Kunden erhalten via Telefon, Mail oder Remote-Sitzung Unterstützung bei allen Fragen und Problemen hinsichtlich ihrer IT. 

  • Eine umfassende Versicherungslösung zur Abdeckung eines Datenverlustes bzw. einer Betriebsunterbrechung steht zur Verfügung.

Mit dem automatisierten Risikotool und einem 24/7 Consulting Service unterstützt die Generali Betriebe dabei, sich selbst zu schützen und auf mögliche Cyber-Angriffe vorzubereiten. Denn die Schadeneintritts-Wahrscheinlichkeit erheblich zu reduzieren, ist die effektivste Cyber-Lösung. Sollte dennoch ein Schaden eintreten, besteht umfassender Versicherungsschutz. 

Auch für Privatkunden bietet die Generali eine IT Assistance zu Cyber-Security an. Dabei stehen IT Experten rund um die Uhr beim Umgang mit den allgemeinen Gefahren des Internetgebrauchs mit Rat und Tat zur Seite – wie zum Beispiel bei Cyber-Mobbing durch Verunglimpfungen in sozialen Netzwerken oder bei Cyber-Crime durch das Ausspähen von Passwörtern und Zugangsdaten („Phishing“).


UNIQA


Gegen Cyber-Angriffe aktiv schützen

Sicherheit und Datenschutz - Zwei Themen mit Top-Priorität  - implementiert nach Risikomanagementkriterien 

Bei UNIQA gestalten wir neue technische Entwicklungen aktiv unter Security und Datenschutzgesichtspunkten. Ein gutes Beispiel ist unsere Businesstransformation ‚UNIQA Insurance Plattform‘ (UIP). Hier haben wir Datenschutz und Security schon frühzeitig einbezogen. So konnten wir den Handlungsgrundsatz ‚privacy & security by design‘ sicherstellen.

Die hier angeführten Schwerpunkte zeigen, wie UNIQA von Anfang an erkannt hat, dass gerade im Bereich von Security und Datenschutz der Schlüssel zum breiten und dauerhaften Erfolg bei den Mitarbeitern liegt. Sie müssen die Anliegen von Security und Datenschutz kennen und verstehen. Aus diesem Grund rollt UNIQA ein mehrphasiges Awareness Programms aus. Dieses besteht aus Class Room Trainings, E-Learnings und Gewinnspielen.

Es dient dazu, den Mitarbeitern die Risiken aufzuzeigen und klar zu machen, dass jeder einzelne für die Sicherheit im Unternehmen Verantwortung trägt.


UNIQA Cyberversicherung für Industriekunden – viel mehr als nur eine Versicherung

Die Bedrohung durch Cyber-Angriffe oder Datenschutzverletzungen geschädigt zu werden, ist den meisten Industrieunternehmen zunehmend bewusst. Nur wenige wissen jedoch wie sie sich entsprechend absichern können. UNIQA bietet eine Cyberversicherung speziell für Industriekunden, die den komplexen Anforderungen eines Unternehmens in diesem Segment gerecht wird: von der technologischen Risikoerfassung und Analyse, über die versicherungs-technische Absicherung, bis hin zum schnellen und effizienten Schadenhandling.




IT-Sicherheit ernst nehmen, aktuell halten und automatisieren


Nichts ist so ärgerlich, wie unnötige Angriffsflächen durch nicht genutzte oder vergessene Sicherheitsfunktionen. Halten Sie Ihre Systeme immer auf dem neuesten Stand — und zwar am besten über automatisierte Aktualisierungen.


Ausführbare Dateien über E-Mail nicht annehmen!


Diese Empfehlung ist nicht neu, doch es gibt es auch heute noch Unternehmen und Privatanwender, die den Ratschlag missachten – und dies hoffentlich nicht teuer bezahlen müssen. Denn es stellt eine Einladung für Angreifer dar, die mit wenigen Mausklicks in der Sicherheitssoftware gestoppt werden kann. Ausführbare Dateien sind an ihrer Dateiendung zu erkennen – die bekannteste ist „.exe“, es gibt aber auch viele weitere.


Eine zuverlässige Backup-Strategie ist das A und O


Die Bedrohung durch Ransomware, also Erpresser-Software, hält unvermindert an. Die aktuelle Emotet-Angriffswelle verdeutlicht dies schmerzhaft. Deshalb dürfen Unternehmen diese Gefahr nicht außer Acht lassen, und eine effiziente Backup-Strategie gehört (neben einer guten Schutzlösung) immer noch unbedingt zur Grundausstattung.


Vorsicht vor der Chef-Masche!


Bei der so genannten „Chef-Masche“ (auch als „Business Email Compromise“ bekannt) werden Mitarbeiter in gefälschten E-Mails vermeintlich im Namen der Firmenleitung dazu aufgefordert, Geldbeträge zu überweisen. Als Gegenmaßnahme ist das Vier-Augen-Prinzip zu empfehlen, sodass Überweisungen nicht von einer einzigen Person angewiesen werden dürfen. Als Unternehmensleitung sollte man seine Mitarbeiter zur Aufmerksamkeit anhalten und zur Rückfrage ermutigen. Je strenger ein Klima im Unternehmen ist, desto erfolgreicher sind die Angreifer! Und dies ist leider häufig der Fall: Das FBI schätzt den weltweiten Schaden, der durch diese Angriffsmethode in den vergangenen drei Jahren entstanden ist, auf über 26 Milliarden US-Dollar.


Notfallpläne aufstellen


Leider bietet keine Sicherheitsmaßnahme oder -lösung 100-prozentige Sicherheit. Unternehmen sollten sich deshalb auf den Ernstfall vorbereiten und Notfallpläne aufstellen, wie sie auf stattgefundene Angriffe reagieren können. Dazu gehören technische Aspekte ebenso wie vordefinierte Prozesse und Kommunikationswege. Mit Hilfe eines Notfallplans lassen sich Ausfallzeiten verkürzen und die Schäden minimieren. Eine Mustervorlage stellt das deutsche Bundesamt für Sicherheit in der Informationstechnik bereit.


Ein letzter Security Check vor dem Feierabend

•    Mein Schreibtisch ist aufgeräumt: es liegen keine USB-Sticks, personenbezogene Daten, etc. unbeaufsichtigt herum. 
•    Alle Schränke mit wichtigen Daten, Dokumenten, etc. sind fest verschlossen. 
•    Mein PC/ Laptop ist abgeschaltet oder versperrt, die Festplatte ist verschlüsselt. 
•    Mein Smartphone ist mit Passwort verschlüsselt, macht automatische Backups und hat einen aktiven Virenschutz. 
•    Ich habe eine aktive Versicherung gegen Cyber-Angriffe. 
•    Meine Bürotür ist verschlossen. 


Gute Vosätze für das nächste Jahr

•    Virenschutz auf allen Endgeräten 
•    Festplattenverschlüsselung 
•    Security Awareness Trainings mit allen Mitarbeitern durch Experten 
•    Schulung eines Krisenkommunikationsteams zu Präventivmaßnahmen, Früherkennung und Wege der Alarmierung im Ernstfall 
•    Versicherung gegen Cyber Angriffe abschließen 
•    Tipps von Security Experten einholen und beachten 
•    Übliche Do’s and Don’ts beachten, z.B. Büros, Kästen und Bildschirme beim Verlassen der Büros stets versperrt halten, USB-Sticks nicht unbeaufsichtigt liegen lassen, fremde USB-Sticks nicht verwenden, fremde Personen im Haus nicht alleine lassen, etc. 


Kontakt

Handelskai 388/4/5
1020 Wien

Montag bis Donnerstag 08:00 bis 17:00
Freitag 08:00 bis 14:00

+43 1 907 4111 - 77

service@tis-cca.com