Am internationalen Tag der Computersicherheit, der am 30. November jedes Jahres stattfindet, erteilen fast alle Unternehmen der IT-Sicherheitsbranche Tipps, wie etwa die eigene Software oder Lösung zur Besserung der Lage beiträgt. Wir nehmen das zum Anlass, die allerwichtigsten Sicherheitshinweise passend zur aktuellen Bedrohungslage zusammenzufassen.

Passwörter

Ein Großteil der Einbrüche in Systeme gelingt über gestohlene oder geknackte Passwörter. Daher muss der erste Hinweis lauten: Nutzt, wo immer möglich, eine Zwei-Faktor-Authentifizierung (2FA). Etwa mit einem Authenticator, der ein kurzlebiges Einmalpasswort (Time-based One-Time Password, TOTP) erzeugt (mehr dazu in Zwei-Faktor-Authentifizierung schmerzfrei einsetzen). Oder zumindest in der einfacheren Variante, die ein Token per SMS schickt. Angreifer können etwa mit einem ausgespähten Passwort ohne den zweiten Faktor nichts anfangen.

Einige Systeme ließen sich in jüngerer Vergangenheit zudem aufgrund schwacher Passwörter oder fehlender Authentifikation knacken. Ob die eigenen Passwörter bereits als unbrauchbar gelten müssen, kann man etwa beim Hasso-Plattner-Institut prüfen, das mehrere Milliarden Zugangsdaten aus diversen Einbrüchen bei Online-Anbietern gesammelt hat. Zudem gibt der Praxis-Artikel "Gute Passwörter erzeugen und sicher verwenden" weiterreichende Tipps zum Thema.

Sicherheitsupdates

Es folgt ein eigentlich ausgestorben geglaubtes Problem: Veraltete Software mit fehlenden Sicherheitsupdates. Software, die bekannte Sicherheitslücken aufweist, ist fast schon eine Einladung an Kriminelle, diese auszunutzen. Der zweite wichtige Tipp lautet daher, haltet die Software auf dem aktuellen Stand, spielt verfügbare Sicherheitsupdates zeitnah ein! Wer das automatisch erledigen lässt, verpasst kein wichtiges Update.

Backups

Bei Angriffen mit täuschend echt nachgemachten E-Mails oder mit den vorgenannten Methoden installieren die Cyberkriminellen oftmals Erpressungstrojaner (Ransomware). Meist schlägt das Antivirenprogramm nicht an, da es entweder bereits außer Gefecht gesetzt wurde oder einfach noch keine Signatur für den Schädling hat. Dann sind trotz aller Sicherungsmaßnahmen erst mal alle Daten futsch.

Außer, man hat sich ein Backup angelegt. Beispielsweise auf einem externen Medium, das man an- und abstöpselt. Wer das zu wenig praxistauglich findet, nimmt ein neues Benutzerkonto, einen Backup-Administrator. Dann lässt man regelmäßig (täglich/wöchentlich) in dessen Kontext eine Sicherung auf ein Laufwerk laufen, auf das nur dieses Konto Zugriff hat. Ransomware kann dann die Sicherung mangels Berechtigungen nicht verschlüsseln. Der Praxis-Artikel "So gelingt das Backup ganz einfach" gibt weitere Handreichungen dazu.

Trotz des oftmaligen Versagens von Antivirensoftware bleibt sie empfehlenswerter Bestandteil der Sicherungsmaßnahmen. In einigen Fällen kann sie Angriffe doch abwehren. Auf dem privaten Windows 10/11-Rechner ist der ressourcenschonende, mitgelieferte Microsoft Defender Antivirus schon keine schlechte Wahl. Der bekommt vom Hersteller regelmäßig auch technische Aktualisierungen, die besseren Schutz versprechen.

Wissen hilft

Nur, wer um die Gefahren aus dem Internet weiß, kann sich davor auch schützen. Das bedeutet, dass Unternehmen ihre Mitarbeiter regelmäßig zu Themen der IT-Sicherheit schulen sollten. Das BSI liefert spezielle Informationen für Verbraucherinnen und Verbraucher und natürlich bringen wir auch hier bei heise regelmäßig Informationen zu Sicherheitsthemen. Für weitere Tipps haben die Kollegen von c't Security-Checklisten zusammengestellt. Die erklären kurz und kompakt, wie man PCs, Smartphones, WLAN-Router und vieles mehr effizient absichert. Das kompakte Booklet dazu gibts als kostenlosen PDF-Download.

(dmk)