IHK Ratgeber

Informationssicherheit

Rear view of young man typing and looking at computer monitor while sitting at the table in dark room
© g-stockstudio

Phishing E-Mails, Hackerangriffe, etc.– Digitale Angriffe nehmen rasant zu. Schützen Sie Ihr Unternehmen vor Cyberattacken und sorgen Sie dafür, dass Ihre Geschäftsgeheimnisse und IT-Systeme sicher sind.

Inhalt

Aktuelles

Bin ich betroffen? Welcher Hacker interessiert sich schon für mich?

Möglicherweise sagen Sie sich: Bei mir gibt es nichts zu holen! Ich bin für Hacker völlig uninteressant! Mich wird schon kein Hacker angreifen.

Das stimmt insofern, als dass Hacker sich gut überlegen, wen sie wie angreifen: Bei großen Unternehmen ist ein digitaler Einbruch nicht so einfach. Dort muss man als Angreifer gezielt und mit viel Aufwand arbeiten. Dafür erscheint der „kriminelle Lohn“ vielversprechend.

Bei kleinen Unternehmen gehen Hacker nach dem Prinzip „die Masse macht‘s“ vor und nutzen vollautomatische Werkzeuge, mit denen sie unter hunderttausenden Angriffen jene Ziele identifizieren, die nicht gut gesichert sind.

Mitarbeiter sensibilisieren

Entscheidend für eine sichere IT ist nicht nur die Technik, sondern auch die Anwender.

Aus Sicht von Mitarbeitern ist die IT ein unverzichtbares Werkzeug um arbeiten zu können. Dabei wird große Flexibilität und hohe Sicherheit erwartet. Diese beiden Ziele gleichzeitig zu erreichen ist eine große Herausforderung an die IT.

Nur im Zusammenspiel von Technik und Anwender kann die notwendige Verfügbarkeit, Vertraulichkeit und Integrität von IT erreicht werden.

Daher ist es nötig, Mitarbeiter zum Thema IT- und Informationssicherheit zu sensibilisieren und Wissen aufzubauen. Damit bekannt ist, was in welchen Situationen zu tun ist.

Hier finden Sie Tipps, um Mitarbeiter beim Thema Informationssicherheit mit ins Boot zu holen:

Seminare findet man z. B. auf https://wis.ihk.de mit dem Stichwort "awareness".

Beispiele für Awareness-Kampagnen und -Materialien:

Zurück zur Übersicht

Phishing-E-Mails: Besonders zu Krisen sehr häufig

phishing_e_mails_erkennen
Quelle: Bundesamt für Sicherheit in der Informationstechnik

Zuverlässig mit jeder größeren Krise bekommen Sie Mails mit der Aufforderung zu helfen. Viele davon sind seriös, aber leider nutzen auch Kriminelle Krisenzeiten für eigene Zwecke: Sie verschicken Mails angeblich im Namen seriöser Einrichtungen und fordern z. B. auf, Mailanhänge zu öffnen.

Tipps für den Umgang mit E-Mails und Messenger-Nachrichten:

E-Mails oder Messenger-Nachrichten mit Schadsoftware oder Links zu gefährlichen Websites sind ein gängiges Angriffsmittel von Cyberkriminellen.

Bleiben Sie misstrauisch: Gerade E-Mails sind sehr leicht zu fälschen und sehen authentisch aus, sind es aber nicht. Wenn dann auch noch das Thema "Corona" oder "Ukraine" dazukommt, ist man leicht versucht, schnell zu klicken.

Die BSI-Drei Sekunden für mehr E-Mail-Sicherheit hilft bei der schnellen Einschätzung:

  • Ist der Absender bekannt?
  • Ist der Betreff sinnvoll?
  • Wird ein Anhang von diesem Absender erwartet?

Das sollte Anhaltspunkte geben, ob die E-Mail als vertrauenswürdig einzustufen ist.

Dabei gilt:

  • Nicht unter Druck setzen lassen!
  • Namen sind Schall und Rauch: Selbst wenn der Absender einer E-Mail die Weltgesundheitsorganisation ist, muss die E-Mail noch lange nicht von der WHO kommen.

So erkennen Sie Phishing-E-Mails

Poster „Neue Phishing-Taktiken durch Corona“

Zurück zur Übersicht

Fake-Angebote erkennen

Gefälschte Internet-Verkaufsplattformen, kurz Fake-Shops, sind auch ohne brisanten Anlass ein großes Ärgernis. So beklagte ein Münchner Einzelhändler, dass ein Fake Shop seine exklusiven Waren extrem günstig anbot, dafür aber gar nicht lieferte. Es dauerte einige Zeit, bis zumindest dieser Onlineshop abgestellt werden konnte.

In Zeiten rarer Antivirus-Schutzausrüstung erscheinen Fake-Shops umso verlockender. Entweder um für Bestellungen Geld einzunehmen - ohne zu liefern. Oder Surfer auf gefährliche Websites zu locken.

Allerdings sind gefälschte Angebote auch auf den großen Verkaufsplattformen zu finden. Dort sind selbst durchgehend sehr gute Bewertungen kein verläßliches Merkmal für die Seriosität des Angebotes.

Wie erkennt man Fake-Shops?

  • Impressum: Ein unvollständiges Impressum ist ein deutliches Indiz für genaueres Hinsehen. Verdächtig sind z. B. fehlende Angaben zu Geschäftsführer, Straße und Ort. In der weiteren Onlinerecherche sollten die Angaben im Impressum weitere Indizien für die Seriosität des Angebotes liefern - oder eben nicht.
    Suche im Handelregister
    mehr zu den Impressumspflichten auf Websites
  • Preis: Vorsicht ist geboten bei unwirklich tiefen Preisen oder der Verfügbarkeit von sehr raren Produkten. Zwar wäre es schön, etwas eigentlich sehr wertvolles sehr billig zu bekommen. In der Praxis ist aber meist ein wichtiger Haken dabei.
  • Ist die Internet-Adresse des Onlineshops plausibel? Eine Adresse .../schuhe/ passt nicht zum Verkauf von elektronikartikeln
  • Bezahlmethoden: Wenn nur auf Vorkasse geliefert wird, könnte es sein dass keine ware kommt. Im Zweifel gilt: "Erst die Ware, dann das Geld"
  • weitere Infos finden Sie unter www.bsi-fuer-buerger.de


Zurück zur Übersicht

Die eigene Website sichern

Websites werden ständig nach Schwachstellen gescannt. Schauen Sie nach, aus welchen Ländern Ihre Website „kontaktiert“ wird. Vollautomatisiert werden Ihre, und alle anderen im Internet verfügbaren Websites durchleuchtet und Versuche unternommen, sich dort einzuloggen.

Woran erkenne ich, ob meine Website angegriffen wird?

Wenn Sie eine Website betreiben, setzen Sie möglicherweise Tracking-Software wie Piwik oder Google Analytics ein. Dort sehen Sie die Statistik der Seitenabrufe: Welche Seite wird wie oft abgerufen? Aus welchen Ländern kommen die Nutzer? Neben den Seiten mit Ihren Inhalten gibt es üblicherweise auch Seiten, die der Pflege Ihrer Website dienen, z.B. die Seite, die Sie nutzen, um sich einzuloggen und Ihre Seiten zu aktualisieren. Es wäre nicht überraschend, wenn solche Seiten aufgerufen werden, ein nicht erfolgreicher Login ausprobiert wurde und sich dieses Muster oft wiederholt.

Wenn das über die Analytics Tools nicht zu sehen ist, können Sie auch die Logfiles Ihrer Webseite prüfen, in denen viel mehr protokolliert wird. Fragen Sie im Zweifelsfall bei Ihrem Webdienstleister (Webserver-Hoster, Web-Agentur, o.ä.) nach.

Sich um die Sicherheit der eigenen Website zu kümmern, sollte übrigens nicht nur zum eigenen Schutz erfolgen, sondern auch aus der rechtlichen Pflicht (z.B. im Zusammenhang mit der Datenschutzgrundverordnung §32). Das Grundprinzip ist, die Website immer auf dem Stand der Technik zu halten. Was genau der Stand der Technik bedeutet, können Sie › hier nachlesen. In der Praxis stellt sich die Frage: Was muss ich selbst machen? Was regelt mein Dienstleister (z.B. Hosting-Dienste Ihrer Website)? Unabhängig davon sind am Ende immer Sie verantwortlich als Betreiber der Website.

Das können Sie tun, um die Sicherheit Ihrer Website zu garantieren:

  • Achten Sie darauf, regelmäßig Updates auszuführen, oder ausführen zu lassen.
  • Legen Sie regelmäßig Backups der Website inklusive der Datenbanken an.
  • Stellen Sie sicher, dass die Übertragung zu Ihrer Website verschlüsselt ist. Dies erkennen Sie am Kürzel „https“ (Hypertext Transfer Protocol Secure) vor der Adresse Ihrer Website (https://). Oft ist dies im Service des Hosting-Dienstleisters enthalten und sollte keine oder geringe zusätzliche Kosten für Sie bedeuten. Auf Seiten wie z.B. SSL-Check können Sie Ihre Website dazu testen.
  • Schützen Sie den Zugang zum Pflegebereich Ihrer Website durch sichere Passwörter, 2-Faktor-Authentifizierung und eine klare Regelung, wer welchen Zugriff erhält.

Zurück zur Übersicht

Sichere Passwörter

Passwörter sind die Schlüssel zu Ihren persönlichen Daten. Die Folgen unerlaubter Zugriffe reichen von Diebstahl der privaten wie geschäftlichen Geheimnisse, über Missbrauch von Kundendaten wie z.B. Zahlungsinformationen bis hin zur Beschädigung von Systemen. Sie wollen wissen, ob Ihre Daten bereits einmal in fremde Hände geraten sind? Mit dem Identity Leak Checker des Hasso-Plattner-Instituts oder unter haveibeenpwned können Sie anhand Ihrer E-Mail-Adresse prüfen, ob Ihre persönlichen Identitätsdaten bereits im Internet veröffentlicht wurden. Per Datenabgleich wird kontrolliert, ob Ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte. Wenn Ihre E-Mail-Adresse dort gefunden wird, sollten Sie die Passwörter bei den betreffenden Websites ändern.

Wie sieht ein sicheres Passwort aus?

Ein sicheres Passwort ist gar nicht schwer zu erstellen. In manchen Fällen wird bei der Erstellung eines Passwortes im Internet sogar ein sicherer Vorschlag gemacht.

Nach diesen Regeln erstellen Sie ein sicheres Passwort

  • Verwenden Sie eine Mischung aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen.
  • Verwenden Sie mehr als 8 Zeichen.Keine Passwörter mit persönlichem Bezug (Namen, Geburtsdaten, etc.).
  • Keine Wiederholungs- oder Tastaturmuster („12345“, „qwertzui“).
  • Nutzen Sie bei mehreren Passwörtern keine Schemata („101010A“, „101010B“).
  • Für jede Website, jedes Programm ein eigenes Passwort wählen.
  • Speichern Sie die Passwörter nicht unverschlüsselt auf Ihrem PC.

Wissen Sie, wie lange ein Hacker braucht, um folgende Passwörter zu knacken?

ihkMünchen25 Sekunden
ihkMünchen14 Minuten
ihkMünchen1!17 Stunden
ihkMünchen1!!!5 Jahre
Ih3K+1H.WlieHidS!Jahrhunderte

Nicht den Überblick verlieren: Wie speichere ich meine Passwörter?

Für jede Website ein eigenes Passwort? Das ist sehr zu empfehlen!

Allerdings zugegeben: Das wird schnell unübersichtlich und so viele Eselsbrücken kann man gar nicht bauen. Der Ausweg: ein Passwortmanager!

Das sind digitale Passwortsafes, die auch sehr gute Passwörter erzeugen und abspeichern. Man kann zwischen einem eigenständigen Passwort-Manager-Programm und einem Browser-integrierten Passwort-Manager unterscheiden. Die sicherste Variante ist der eigenständige Passwort-Manager. Hier werden alle Passwörter gespeichert. Sobald ein Online-Dienst genutzt wird und Zugangsdaten erforderlich werden, meldet sich dieses Programm automatisch. Über ein zentrales Masterpasswort wird dann die Eintragung der passenden Informationen erledigt.

Anbieter von Passwortmanagern finden Sie zum Beispiel hier:

Weitere Informationen zum Thema Passwortmanager finden Sie unter BSI - Passwortmanager.

Darüber hinaus ist es empfehlenswert, wo immer möglich, eine Zwei-Faktor-Authentisierung einzurichten.

Zurück zur Übersicht

Zwei-Faktor-Authentisierung (2FA)

Vom Onlinebanking kennen Sie vermutlich die Zwei-Faktor-Authentisierung: Für einen Login müssen Sie etwas wissen und etwas haben.

Wissen“ ist zumeist ein Nutzername und ein Passwort. „Haben“ ist ein Gerät (oft das Handy), an das ein zusätzlicher Code geschickt wird. Dieser Code gilt nur für kurze Zeit und muss zusätzlich zum „Wissen“ eingegeben werden. Genau das Gleiche können Sie für andere Logins einstellen: z.B. für den Login zur Pflege Ihrer Website oder Ihrer Social-Media Präsenz. Das ist zwar etwas aufwändiger, aber sich nur auf Nutzername und Passwort zu verlassen, ist leider viel riskanter.

Weitere Informationen hierzu finden Sie unter bsi.bund.de.

Zurück zur Übersicht

Daten sichern - So gehen Sie vor

Daten können aus unterschiedlichsten Gründen verloren gehen: Vom Absturz bis zur Zerstörung des Rechners reicht die Bandbreite.

Wenn Sie Ihren PC rechtzeitig und regelmäßig sichern, ist eine Schadensbegrenzung viel leichter möglich. Im IHK-Merkblatt "Datensicherung" erfahren Sie, wie sie dabei vorgehen und worauf Sie achten sollten.

Zum IHK-Merkblatt "Datensicherung"

Zurück zur Übersicht

Die eigenen Rechner schützen

Neben dem Backup des Rechners sollte geprüft werden, wie man sich noch besser schützen kann. Tests der verschiedenen Anbieter zu Antiviren-Software dazu finden Sie z. B. unter folgenden Links:

Hinweis: Das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Einsatz von Kaspersky Produkten.

Selbstcheck: Testen Sie mit wenigen Clicks Ihre IT auf Sicherheitsprobleme

Zwei von drei Unternehmen in Deutschland verzeichnen Cyberangriffe auf Ihre IT. Die Angriffsszenarien reichen von Spam bis hin zu gezielten Angriffen auf die Produktion. Testen Sie mit wenigen Clicks, ob Ihre Systeme infiziert sind.

IT-Sicherheitsvorfall - Und jetzt?

Bei einem ungewöhnlichen IT-Sicherheitsvorfall können Sie sich an die Polizei (Zentrale Ansprechstelle Cybercrime für die Wirtschaft – ZAC) oder den Verfassungsschutz (Cyber Allianz Zentrum Bayern) wenden.

Notfallkontakte

LKA: Zentrale Ansprechstelle Cybercrime (ZAC)

Die Staatsanwaltschaft und Polizei ist gemäß der Strafprozessordnung grundsätzlich verpflichtet, bei Verdacht einer Straftat einzuschreiten (Legalitätsprinzip). Die „Zentrale Ansprechstelle Cybercrime (ZAC)“ der Polizei berät Wirtschaftsunternehmen rund um Cybersicherheit.

Nach einem strafrechtlich relevanten Sicherheitsvorfall in Ihrer Organisation können Sie als bayerisches Unternehmen zunächst telefonisch Kontakt mit dem ZAC Kontakt aufnehmen:

Cyber Allianz Zentrum Bayern (CAZ)

Für die Verfassungsschutzbehörden gilt das Opportunitätsprinzip: Dieses überläßt dem Verfassungsschutz die Entscheidung, ob wegen einer Straftat eingeschritten wird. Wenn z. B. ein Erkenntnisgewinn zu erwarten ist, muss der Verfassungsschutz nicht unmittelbar einzugreifen.
Ohne Strafverfolgungszwang hat der Verfassungsschutz Raum für umfassende Analysen und Methodik. Im Gegensatz zur Polizei kann er „flächendeckende“ Strukturerkenntnisse sammeln.
Allerdings ist das Tätigkeitsfeld des Verfassungsschutz auf die Wirtschaftsspionage begrenzt: Damit ist die staatlich gelenkte Ausforschung von Wirtschaftsunternehmen durch fremde Nachrichtendienste gemeint.

Kontakt zum CAZ:

Bundesamt für Verfassungsschutz

Das Bundesamt für Verfassungsschutz (BfV) informiert in seinen Publikationen über die Themen Geheim-, Sabotage-, Wirtschafts- und Spionageschutz. Hier können Sie den aktuellen Verfassungsschutzbericht abrufen.

Kontakt zu den Expertinnen und Experten der Cyberabwehr des Bundesamtes für Verfassungsschutz:

Förderprogramme IT-Sicherheit

Der Bund und der Freistaat Bayern haben Förderprogramme, die bei der Verbesserung der eigenen IT-Sicherheit unterstützen.

Digitalbonus (Bayern)

Der Digitalbonus ermöglicht den Unternehmen, sich durch Hard- und Software zu digitalisieren und die IT-Sicherheit zu verbessern.
Beim Digitalbonus Standard erhalten Sie einen Zuschuss von bis zu 10.000 Euro. Der Fördersatz beträgt bei kleinen Unternehmen bis zu 50 Prozent und bei mittleren Unternehmen bis zu 30 Prozent der förderfähigen Ausgaben.

Zum IHK Ratgeber "Digitalbonus Bayern"



Digital Jetzt (Bund)

Am 07.09.2020 statet das Bundesministerium für Wirtschaft und Energie mit „Digital Jetzt – Investitionsförderung für KMU“ eine Förderung für die Digitalisierung des Mittelstands. Das Programm bietet finanzielle Zuschüsse und soll Firmen dazu anregen, mehr in digitale Technologien sowie in die Qualifizierung ihrer Beschäftigten zu investieren. Insbesondere ein Ziel des Programmes ist "höhere IT-Sicherheit in Unternehmen".
Anträge können mittelständische Unternehmen aus allen Branchen mit 3 bis 499 Beschäftigten einreichen, die entsprechende Digitalisierungsvorhaben planen, zum Beispiel Investitionen in Soft- / Hardware und / oder in die Mitarbeiterqualifizierung.
Die maximale Fördersumme beträgt 50.000 Euro pro Unternehmen, bei Investitionen von Wertschöpfungsketten und/oder -netzwerken kann sie bis zu 100.000 Euro pro Unternehmen betragen. Die minimale Fördersumme beträgt 17.000 Euro in Modul 1 und 3.000 Euro in Modul 2.
Der jeweilige Förderzuschuss bemisst sich anteilig an den Investitionskosten des Unternehmens. Die Förderquote (in % der Investitionskosten) ist nach Unternehmensgröße gestaffelt (30 bis 50%).

go-digital (Bund)

Mit seinen drei Modulen „Digitalisierte Geschäftsprozesse“, „Digitale Markterschließung“ und „IT-Sicherheit“ richtet sich go-digital gezielt an kleine und mittlere Unternehmen der gewerblichen Wirtschaft und an das Handwerk.
Hier finden Sie die vom BMWi autorisierten Beratungsunternehmen.
Diese Unternehmen werden gefördert:

  • Aus der gewerblichen Wirtschaft einschließlich des Handwerks mit technologischem Potenzial
  • Beschäftigung von weniger als 100 Mitarbeitern
  • Jahresumsatz oder eine Jahresbilanzsumme des Vorjahres von höchstens 20 Millionen Euro
  • Betriebsstätte oder Niederlassung in Deutschland
  • Förderfähigkeit nach der De-minimis-Verordnung



Staat­li­che Ein­rich­tun­gen & In­itia­ti­ven

Transferstelle IT-Sicherheit in der Wirtschaft

Kleine und mittlere Unternehmen (KMU), Handwerksbetriebe, Selbstständige und Freiberufler stehen in besonderer Weise vor der Herausforderung, aus einer Vielzahl von bestehenden Angeboten die passenden zu finden und umzusetzen. Das Bundesministerium für Wirtschaft und Energie hat daher die Einrichtung einer Transferstelle IT-Sicherheit im Mittelstand beschlossen. Sie schafft ein bundesweites Angebot für kleinere und mittlere Unternehmen, das passgenaue Aktionen für mehr IT-Sicherheit im Betrieb zielgruppengerecht bereitstellt.

www.tisim.de

www.bsi.bund.de bietet zahlreiche Informationen zur IT-Sicherheit.

Mit der 2012 gegründeten Allianz für Cyber-Sicherheit verfolgt das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Ziel, die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken.

www.bsi-fuer-buerger.de informiert und warnt Bürger und Unternehmen schnell, kompetent und kostenfrei vor Viren, Würmern und Sicherheitslücken in Computeranwendungen. Auf der Website finden Sie außerdem den Newsletter „Sicher • Informiert“ sowie die aktuellsten technischen Warnmeldungen.‎

Das Bundeskriminalamt (BKA) informiert Bürger über aktuelle Gefahren und Schutzmaßnahmen im Internet und im Umgang mit täglichen Gefahren (z.B. Links in E-Mails etc.).

Das vom Bundesministerium für Wirtschaft und Energie geförderte Netzwerk ‎„Mittelstand Digital“‎ hat für kleine und mittlere Unternehmen zahlreiche Publikationen zur IT-Sicherheit veröffentlicht.

Suche nach Dienstleistern zur IT-Sicherheit

Möchten Sie einen Dienstleister beauftragen, sollten Sie Vereinbarungen beispielsweise zur Geheimhaltung treffen. Dafür können Sie Musterverträge der IHK nutzen.

Die folgenden Netzwerk-Einrichtungen unterstützen Sie bei der Suche nach einem passenden Dienstleister und bieten Kontakte in die IT-Sicherheitsbranche.

IT-Si­cher­heits­bran­che: Netz­wer­ke, Kontakte...

Die Initiative Deutschland sicher im Netz will KMU, Behörden/ Institutionen, Privatnutzer sowie Kinder und Jugendliche für die vielfältigen Gefahren im Internet sensibilisieren und informieren. Insbesondere für kleine und mittelständische Unternehmen ist das ‎„IT-Sicherheitspaket Mittelstand“‎ hilfreich.

Das Sicherheitsnetzwerk München ist ein Verbund von Unternehmen und Forschungseinrichtungen der IT- und Cyber-Sicherheit zielt auf Kooperationen ab.

Im IT-Sicherheitscluster e.V. arbeiten IT-Unternehmen, Unternehmen, die IT-Sicherheitstechnologien nutzen, Hochschulen und weitere Forschungs-/ Weiterbildungseinrichtungen sowie Juristen zusammen.

Auf dem Portal www.it-sicherheit.de finden Sie Anbieter und Produkte der IT-Sicherheit. Anwenderberichte zeigen, wie Sicherheit in der Praxis umgesetzt wird.

Das BSI hat gemäß § 3 BSIG die Aufgabe, Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik zu beraten und zu unterstützen. Hierzu kann auch auf qualifizierte Sicherheitsdienstleister verwiesen werden.

Mit der Benennung von themenspezifischen Qualitätskriterien und der Identifikation geeigneter Dienstleister möchte das BSI betroffenen Unternehmen eine Hilfestellung bei der Suche und Auswahl geeigneter Dienstleister bieten, um die Unternehmen im Ernstfall von einem eigenen zeitintensiven Rechercheaufwand zu entlasten. Gleichzeitig soll auf diese Weise ein gewisses Qualitätsniveau in der jeweiligen Branche etabliert werden.

Dazu führt das BSI die Liste "Qualifizierte APT-Response Dienstleister". APT steht für "Advanced Persistent Threat", was für gezielte und umfangreiche Angriffe steht.

Aufgabe der Digitalen Ersthelfer ist es, Betroffene bei der Behebung von kleineren IT-Störungen- und IT-Sicherheitsvorfällen mit Ersthilfe zu unterstützen.

Registrierte Digitaler Ersthelfer finden Sie hier.

Weitere Infos: So kann man über den "Basiskurs für die Qualifikation als Digitaler Ersthelfer" selbst aktiv werden.

Hilfreiche Leitfäden, Merkblätter und Broschüren