[Artikel am 8.8.2024 aktualisiert.]
Auch die grossen Player wie Facebook, Yahoo oder Digitec Galaxus sind von Hackerangriffen betroffen. Doch der Fokus liegt aktuell, vor allem auf KMUs. Dort erfolgen in der Schweiz aktuell die Meisten Cyberattacken. Es gibt ein paar einfache, aber wichtige Massnahmen, wie Sie sich und Ihre Organisation schützen können:
1 – Immer Up-to-Date: Der Schlüssel zu maximaler Sicherheit
Die Geräte und Software immer auf dem neusten Stand zu halten, ist einer der fundamentalsten und wichtigsten Schritte für mehr Online-Sicherheit.
Aktualisieren Sie jede noch so kleine Software aber auch Skripts und Plugins, die Sie irgendwo auf Ihrer Website verwenden regelmässig.
Aktualisieren Sie aber auch das Betriebssystem Ihres Endgeräts (Microsoft, Apple, etc.) und Ihren Internet-Browser (Chrome, Opera, Safari, etc.).
Open-Source-Versionen sind öffentlich zugänglich und via deren Quellcode können Hacker potenzielle Schlupflöcher entdecken.
Falls Sie für Ihre Website WordPress nutzen, können Sie den online Schutz von onlineKarma aktivieren - wir warten Ihre Website kontinuierlich, das ganze Jahr: WordPress Wartung
2 – Verschlüsseln oder Verlieren: Warum HTTPS/SSL unverzichtbar ist
Website, E-Mails und Co. sollten immer mit HTTPS/SSL verschlüsselt sein. Falls Ihre Website nicht schon HTTPS verwendet, wird es höchste Zeit dafür (dies ist übrigens auch eine Voraussetzung gemäss DSGVO).
Websiten, die noch HTTP (Hypertext Transfer Protocol), das Standardprotokoll zum Transport von Daten zwischen Ihrem Server und dem Browser des Users, nutzen, sind anfällig für Hacker-Angriffe (aktuelle News zu Hacker-Angriffen).
Besonders wichtig ist die HTTPS/SSL-Verschlüsselung für Websiten mit E-Commerce und alle, die Formulare mit sensiblen Nutzerdaten oder persönlich identifizierbaren Informationen (PII) benutzen.
Eine mit HTTPS/SSL verschlüsselte Website erscheint im Browser so, wie z.b. www.onlinekarma.ch:
3 – Gefahr durch Erweiterungen: Vorsicht vor schädlichen Plugins
Moderne Browser, Geräte und CMS (Content Management System) bieten eine schiere Unendlichkeit von Erweiterungsmöglichkeiten, Plugins und Add-ons.
Achten Sie hierbei darauf, dass die Erweiterungen:
aus legitimen Quellen stammen,
regelmässig aktualisiert werden,
bereits eine Vielzahl an Downloads aufweisen
und ausreichend gute Bewertungen vorliegen.
Vorsicht vor kostenlosen Versionen von Premium-Plugins: Diese sind meistens raubkopiert und mit Malware infiziert.
„Jede Software kann angegriffen werden und die Software Ihrer Website ist da leider keine Ausnahme. “
4 – Nur das Original zählt: Der Wert von Vertrauen bei Software
Verwenden Sie ausschliesslich Original-Software von einem bekannten und vertrauenswürdigen Anbieter.
Das gleiche Prinzip gilt auch bei E-Mails, SMS und WhatsApp mit seltsam wirkenden Links und Anhängen. Öffnen Sie nur Dateien und Links von Absendern, denen Sie zu 100 % vertrauen können.
Achtung: E-Mails können unterdessen sehr legitim aussehen, sind es aber nicht zwingend. Ein Absender kann vorgetäuscht werden - aka “Phishing”. Hier zwei Beispiele:
Melden Sie Phishing E-Mails mit einem Klick hier bei offiziellen Anti-Phishing Seite der Schweiz.
👉 Tipps wie Sie Phishing E-Mails erkennen können (auf englisch)
Auf Social Media bemerken wir eine starke Zunahme an betrügerischen Direktnachrichten an Unternehmensseiten.
Bleiben Sie wachsam und beachten Sie die folgenden Punkte:
Social-Media-Plattformen werden Ihre Seite bei Problemen nicht über Direktnachrichten anschreiben. Klicken Sie somit auf keinerlei Links oder Anhänge in solchen Direktnachrichten, welche sich als vermeintliche Kontaktpersonen der jeweiligen Plattform ausgeben.
Melden Sie die Nachrichten als Spam.
Führen Sie ihr erfolgreiches Community Management weiter und bleiben Sie aufmerksam.
Ihre Sicherheit und das für Sie bestmögliche Social Media Management hat für uns oberste Priorität.
5 – Passwörter der Zukunft: Ihre erste Verteidigungslinie
Klar, dass dieser Punkt nicht fehlen darf. Sichere Passwörter sind das A und O für Sicherheit im Web – sowohl für Ihre Firma als auch für Sie privat.
Passwort Tipp 1
Es gibt eine einfache Formel, die die 3 essenziellen Anforderungen an ein sicheres Passwort zusammenfasst: CLU (Complex, Long, Unique).
Ein Passwort sollte komplex sein, sprich zufällig angeordnet. Kein Geburtsdatum, keine Haustiernamen und auch keine echten Worte.
Passwörter sollten auch mindestens 20 Zeichen lang sein.
Und natürlich sollten Sie auch nicht das gleiche Passwort an mehreren Orten benutzen.
Passwort Tipp 2
Jetzt denken Sie sich wahrscheinlich: Und wie soll ich mir unzählige zufällige, 20 Zeichen lange Passwörter merken? Dafür gibt es z.B. LastPass, ein Passwort-Manager, der alle Ihre Passwörter verschlüsselt abspeichert und auch für Sie zufällige Passwörter generiert.
Passwort Tipp 3
Auch die sichersten Passwörter nützen nichts, wenn sie nicht richtig angewendet werden. Darum: Sperren Sie Ihr Handy, Ihren Laptop oder Computer, wenn Sie das Gerät gerade nicht brauchen. Und schützen Sie es mit einem Passwort 😉.
Passwort Tipp 4
Schicken Sie keine Passwörter per Mail und vor allem auch nie das Passwort zusammen mit dem Benutzernamen und dem Verwendungszweck. Ein praktisches Tool für das Versenden von Passwörtern ist übrigens https://pwpush.com/.
6 – Schützen Sie Ihre Privatsphäre: Vermeiden Sie öffentliche Netzwerke
Wenn Sie vertrauliche Informationen verwenden während des Surfens - z.B. E-Banking oder Shopping - sollten Sie dies auf einem Gerät tun, das Ihnen gehört und in einem Netzwerk, dem Sie vertrauen.
In einem öffentlichen gratis WLAN, mit dem Handy eines Kollegen oder auf einem öffentlich zugänglichen Computer könnten Ihre Daten gestohlen werden.
Auch ist Vorsicht geboten, welche privaten Informationen Sie auf Sozialen Netzwerken teilen. Die “bösen Buben” könnten mit diesen Angaben wertvolle Infos über Sie erhalten.
7 – Starke Verteidigung: Warum ein Antivirus nicht fehlen darf
Schützen Sie sich für Viren, die Ihren Computer schwächen und für Angriffe empfindlicher machen. Installieren Sie ein Antivirus-Paket.
Kostenlos ist z.B. Avira, eine kostenpflichtige Software wird Ihnen jedoch umfangreicheren Schutz bieten.
8 – Weniger ist mehr: Beschränkung von Zugriffsrechten
Falls mehrere Benutzer Ihre Website bearbeiten können, gehen Sie idealerweise nach dem Prinzip Least Privilege vor: Zugriff nur für die Anwendungen und Ressourcen geben, die für die Arbeit eines Benutzers unabdingbar sind und für die er oder sie autorisiert ist.
Das heisst, falls jemand “nur” Blog-Beiträge verfasst auf Ihrer Website, dann sollte er nicht die Berechtigung haben, das Design der ganzen Seite anzupassen.
Besonders bei Gastbeiträgen darauf achten, dass der neue Benutzer nicht mehr Rechte als wirklich nötig erhält.
9 – Sicherer Hoster, sicherer Betrieb: Worauf es ankommt
Nicht der Preis sollte das ausschlaggebende Argument für die Wahl des Webhosters sein, sondern vielmehr Sicherheitsaspekte.
Der Webhoster Ihres Vertrauens sollte einen SSL-sicheren Server haben (erforderlich für HTTPS, siehe oben), sicheren E-Mail-Support, ein sicheres Rechenzentrum und regelmässige Backups anbieten.
Falls Sie, wie viele kleinere Firmen, Ihre Website auf einem Shared Hosting Server haben, fragen Sie beim Anbieter nach den Sicherheitsmassnahmen.
Gerne helfen wir Ihnen bei der Wahl des richtigen Webhosters und mehr.
10 – Surfen mit Schutz: Sicherheitstools für Ihren Browser
Auch während des Surfens im Internet können Sie sich schützen: Mit dem Sicherheits-Tool des Browsers Ihrer Wahl.
Diese können z.B. Popups blockieren, Do-not-Track-Anforderungen an Websites senden, unsichere Flash-Inhalte deaktivieren, den Zugriff auf Ihre Webcam limitieren und potenziell gefährliche Downloads blockieren.
Diese Sicherheitstools finden Sie in den Einstellungen Ihres Browsers.
11 – Doppelt hält besser: Multi-Faktor-Authentifizierung nutzen
In der heutigen digitalen Welt reicht ein einfaches Passwort oft nicht mehr aus, um unsere Daten zu schützen. Hier kommt die Multi-Faktor-Authentifizierung (MFA) ins Spiel.
MFA bietet eine zusätzliche Sicherheitsebene, indem sie einen zweiten Faktor zur Verifizierung verlangt, wie einen SMS-Code oder eine Authenticator-App. Diese zusätzliche Barriere kann entscheidend sein, um unbefugten Zugriff auf sensible Informationen zu verhindern.
Unternehmen sollten MFA überall dort implementieren, wo es möglich ist, um ihre Sicherheitsstrategie zu stärken und sich effektiv vor Cyberangriffen zu schützen.
12 – Nichts dem Zufall überlassen: Regelmässige Backups durchführen
Datenverlust kann sowohl durch Cyberangriffe als auch durch Hardwarefehler oder menschliche Fehler verursacht werden. Regelmässige Backups sind ein einfacher, aber effektiver Schutz, um sicherzustellen, dass wichtige Informationen nicht dauerhaft verloren gehen.
Unternehmen sollten einen Backup-Plan erstellen, der sowohl automatische als auch manuelle Backups umfasst. Diese sollten sicher auf externen Laufwerken oder in der Cloud gespeichert werden, um im Notfall einen schnellen und vollständigen Datenwiederherstellungsprozess zu gewährleisten.
13 – Wissen ist Macht: Cybersecurity-Schulungen für Mitarbeiter
Der Mensch ist oft die schwächste Stelle in der Sicherheitskette. Angesichts dessen sind regelmässige Schulungen der Mitarbeiter zu Themen wie Phishing, Passwortsicherheit und sicherem Online-Verhalten unerlässlich.
Indem Unternehmen ihre Mitarbeiter für die Risiken sensibilisieren und über aktuelle Bedrohungen informieren, können sie eine Sicherheitskultur fördern, die das Risiko von Cyberangriffen signifikant reduziert.
14 – Privat bleibt privat: Sicher surfen in eigenen Netzwerken
Die Nutzung öffentlicher WLAN-Netzwerke kann ein erhebliches Sicherheitsrisiko darstellen, da Datenübertragungen leicht abgefangen werden können. Unternehmen sollten ihre Mitarbeiter dazu ermutigen, nur sichere, private Netzwerke zu verwenden, besonders wenn sie auf sensible Unternehmensdaten zugreifen.
Zusätzlich sollten Sicherheitsmassnahmen wie WPA3-Verschlüsselung in drahtlosen Netzwerken implementiert werden, um unbefugten Zugriff zu verhindern und die Integrität der übertragenen Daten zu gewährleisten.
15 – Informiert bleiben: Vertrauen Sie auf seriöse Quellen
Es ist wichtig, stets auf dem Laufenden über die neuesten Sicherheitsbedrohungen und -massnahmen zu bleiben. Websites wie die Cybersecurity & Infrastructure Security Agency (CISA) bieten umfassende Informationen und Leitfäden, die helfen können, die Sicherheitsstrategie eines Unternehmens zu verbessern.
Regelmässige Konsultationen solcher vertrauenswürdigen Quellen können helfen, Best Practices zu identifizieren und aufkommende Bedrohungen rechtzeitig zu erkennen.
16 – Keine Lücken lassen: Sicherheitsüberprüfungen als Muss
Regelmässige Sicherheitsaudits sind entscheidend, um Schwachstellen im System zu identifizieren und zu beheben, bevor sie ausgenutzt werden können. Ein gründliches Audit sollte alle Aspekte der IT-Infrastruktur abdecken, von der Netzwerksicherheit bis zu Software-Anwendungen.
Unternehmen sollten spezialisierte Dienstleister in Betracht ziehen, um unabhängige Audits durchzuführen, die dabei helfen, Sicherheitslücken zu schliessen und die gesamte Sicherheitsstrategie zu optimieren.
17 – Immer verbunden, immer geschützt: VPN für mehr Sicherheit
Für Mitarbeiter, die von unterwegs oder im Homeoffice arbeiten, ist die Nutzung eines VPNs (Virtual Private Network) unerlässlich. Ein VPN verschlüsselt die Internetverbindung und schützt so vor unautorisiertem Zugriff auf vertrauliche Informationen. (VPN-Test: Die besten VPN-Anbieter im Vergleich)
Durch die Nutzung eines VPNs können Unternehmen sicherstellen, dass ihre Daten auch ausserhalb des Büros geschützt sind und die Privatsphäre der Mitarbeiter gewahrt bleibt.
Bonus Tipp – ICT Sicherheit
Gerne empfehlen wir die Sicherheitslösung von Sowacom weiter. Vom Cyber Schutz über die Daten Sicherheit bis zur Cyber Versicherung kann Ihnen der ICT Partner kompetent weiterhelfen. Hier erfahren Sie mehr zum Angebot Cybersecurity für KMUs.
Cybersecurity Zusammenfassung
Das waren die 10 Tipps, mit denen Sie für mehr Sicherheit für sich und Ihre Website sorgen können. Natürlich gibt es keine Garantie, dass Ihre Website niemals angegriffen oder gehackt wird, auch wenn Sie alle Tipps befolgen.
Allerdings sollten Sie damit gegen die Mehrheit der automatisierten Angriffe geschützt sein und zumindest wir das gesamte Risiko drastisch verringert.
Das könnte Sie auch noch interessieren:
Unser Angebot: Modernes, schönes, effizientes und sicheres Webdesign
Blogbeitrag: Weshalb Nutzererfahrung UX im Zeitalter der Digitalisierung so wichtig ist.
Blogbeitrag: DSGVO Checkliste für Schweizer Firmen und Vereine
Blogbeitrag auf Englisch: Phishing and Spam Mails Masking as Brands