CSU Mittelstandsunion - MU - Seite 15 von 29

Liebe MU-Mitglieder, liebe Gäste,

ich darf Ihnen eine Information der IHK für München und Oberbayern zum Thema Cyberangriffe weiterleiten. Schützen Sie Ihre Daten, es kann jeden von uns treffen.„

Viele Grüße
Christine Unzeitig

Liebe Selbstständige,

wer heute Nachrichten verfolgt, kommt an Begriffen wie Cyberangriff, IT-Sicherheit oder Hacker kaum vorbei. Es wäre allerdings leichtfertig zu denken, dass diese Themen ausschließlich große Unternehmen, Versorgungsbetriebe oder Behörden betreffen. Auch Computer-Netzwerke kleiner Unternehmen und Solo-Selbstständiger werden angegriffen. Doch dies ist kein Grund in Panik zu verfallen, denn es gibt einige einfache und wirksame Wege, die eigene digitale Präsenz und Kommunikation vor fremden Eingriffen zu schützen und für den Ernstfall vorzusorgen. Wir stellen Ihnen in diesem und in den folgenden Newslettern vor, wie Sie Ihre IT-Sicherheit wesentlich verbessern können. Dabei zeigen wir Ihnen, wie Sie mit einfachen Schritten Website, Passwörter, E‑Mails, Kommunikation und Daten schützen können.

Ihre IHK für München und Oberbayern

Bin ich betroffen?
Welcher Hacker interessiert sich schon für mich?

Möglicherweise sagen Sie sich: Bei mir gibt es nichts zu holen! Ich bin für Hacker völlig uninteressant! Mich wird schon kein Hacker angreifen.
Das stimmt insofern, als dass Hacker sich gut überlegen, wen sie wie angreifen: Bei großen Unternehmen ist ein digitaler Einbruch nicht so einfach. Dort muss man als Angreifer gezielt und mit viel Aufwand arbeiten. Dafür erscheint der „kriminelle Lohn“ vielversprechend. Bei kleinen Unternehmen gehen Hacker nach dem Prinzip „die Masse macht‘s“ vor und nutzen vollautomatische Werkzeuge, mit denen sie unter hunderttausenden Angriffen jene Ziele identifizieren, die nicht gut gesichert sind.

Die eigene Website sichern

Websites werden ständig nach Schwachstellen gescannt. Schauen Sie nach, aus welchen Ländern Ihre Website „kontaktiert“ wird. Vollautomatisiert werden Ihre, und alle anderen im Internet verfügbaren Websites durchleuchtet und Versuche unternommen, sich dort einzuloggen.

Woran erkenne ich, ob meine Website angegriffen wird?

Wenn Sie eine Website betreiben, setzen Sie möglicherweise Tracking-Software wie Piwik oder Google Analytics ein. Dort sehen Sie die Statistik der Seitenabrufe: Welche Seite wird wie oft abgerufen? Aus welchen Ländern kommen die Nutzer? Neben den Seiten mit Ihren Inhalten gibt es üblicherweise auch Seiten, die der Pflege Ihrer Website dienen, z.B. die Seite, die Sie nutzen, um sich einzuloggen und Ihre Seiten zu aktualisieren. Es wäre nicht überraschend, wenn solche Seiten aufgerufen werden, ein nicht erfolgreicher Login ausprobiert wurde und sich dieses Muster oft wiederholt.
Wenn das über die Analytics Tools nicht zu sehen ist, können Sie auch die Logfiles Ihrer Webseite prüfen, in denen viel mehr protokolliert wird. Fragen Sie im Zweifelsfall bei Ihrem Webdienstleister (Webserver-Hoster, Web-Agentur, o.ä.) nach.

Sich um die Sicherheit der eigenen Website zu kümmern, sollte übrigens nicht nur zum eigenen Schutz erfolgen, sondern auch aus der rechtlichen Pflicht (z.B. im Zusammenhang mit der Datenschutzgrundverordnung §32). Das Grundprinzip ist, die Website immer auf dem Stand der Technik zu halten. Was genau der Stand der Technik bedeutet, können Sie › hier nachlesen. In der Praxis stellt sich die Frage: Was muss ich selbst machen? Was regelt mein Dienstleister (z.B. Hosting-Dienste Ihrer Website)? Unabhängig davon sind am Ende immer Sie verantwortlich als Betreiber der Website.

Das können Sie tun, um die Sicherheit Ihrer Website zu garantieren:

Achten Sie darauf, regelmäßig Updates auszuführen, oder ausführen zu lassen.
Legen Sie regelmäßig Backups der Website inklusive der Datenbanken an.
Stellen Sie sicher, dass die Übertragung zu Ihrer Website verschlüsselt ist. Dies erkennen Sie am Kürzel „https“ (Hypertext Transfer Protocol Secure) vor der Adresse
Ihrer Website (https://). Oft ist dies im Service des Hosting-Dienstleisters enthalten und sollte keine oder geringe zusätzliche Kosten für Sie bedeuten. Auf Seiten wie z.B. › SSL-Check können Sie Ihre Website dazu testen.
Schützen Sie den Zugang zum Pflegebereich Ihrer Website durch sichere Passwörter, 2‑Faktor-Authentifizierung und eine klare Regelung, wer welchen Zugriff erhält.

Mehr Infos und Hilfsmittel zum Thema Informationssicherheit finden Sie › auf unserer Website.

IHK-Tipp!

Sie wollen und können sich nicht selbst um Ihre IT-Sicherheit kümmern und suchen einen passenden Dienstleister? Nutzen Sie den Kriterienkatalog der IHK zur Auswahl vertrauenswürdiger Dienstleister.
Alle Informationen unter › IT-Dienstleistungen — aber sicher

Sichere Passwörter

Passwörter sind die Schlüssel zu Ihren persönlichen Daten. Die Folgen unerlaubter Zugriffe reichen von Diebstahl der privaten wie geschäftlichen Geheimnisse, über Missbrauch von Kundendaten wie z.B. Zahlungsinformationen bis hin zur Beschädigung von Systemen. Sie wollen wissen, ob Ihre Daten bereits einmal in fremde Hände geraten sind? Mit dem › Identity Leak Checker des Hasso-Plattner-Instituts oder unter › haveibeenpwned können Sie anhand Ihrer E‑Mail-Adresse prüfen, ob Ihre persönlichen Identitätsdaten bereits im Internet veröffentlicht wurden. Per Datenabgleich wird kontrolliert, ob Ihre E‑Mail-Adresse in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte. Wenn Ihre E‑Mail-Adresse dort gefunden wird, sollten Sie die Passwörter bei den betreffenden Websites ändern.

Wie sieht ein sicheres Passwort aus?

Ein sicheres Passwort ist gar nicht schwer zu erstellen. In manchen Fällen wird bei der Erstellung eines Passwortes im Internet sogar ein sicherer Vorschlag gemacht.

Nach diesen Regeln erstellen Sie ein sicheres Passwort:

Verwenden Sie eine Mischung aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen.
Verwenden Sie mehr als 8 Zeichen.
Keine Passwörter mit persönlichem Bezug (Namen, Geburtsdaten, etc.).
Keine Wiederholungs- oder Tastaturmuster („12345“, „qwertzui“).
Nutzen Sie bei mehreren Passwörtern keine Schemata („101010A“, „101010B“).
Für jede Website, jedes Programm ein eigenes Passwort wählen.
Speichern Sie die Passwörter nicht unverschlüsselt auf Ihrem PC.

Wissen Sie, wie lange ein Hacker braucht, um folgende Passwörter zu knacken?

“ihkMünchen” in 25 Sekunden
“ihkMünchen1” in 4 Minuten
“ihkMünchen1!” in 17 Stunden
“ihkMünchen1!!!” in 5 Jahren
“Ih3K+1H.WlieHidS!” in Jahrhunderten

Nicht den Überblick verlieren: Wie speichere ich meine Passwörter?

Für jede Website ein eigenes Passwort? Das ist sehr zu empfehlen! Allerdings zugegeben: Das wird schnell unübersichtlich und so viele Eselsbrücken kann man gar nicht bauen. Der Ausweg: ein Passwortmanager! Das sind digitale Passwortsafes, die auch sehr gute Passwörter erzeugen und abspeichern. Man kann zwischen einem eigenständigen Passwort-Manager-Programm und einem Browser-integrierten Passwort-Manager unterscheiden. Die sicherste Variante ist der eigenständige Passwort-Manager. Hier werden alle Passwörter gespeichert. Sobald ein Online-Dienst genutzt wird und Zugangsdaten erforderlich werden, meldet sich dieses Programm automatisch. Über ein zentrales Masterpasswort wird dann die Eintragung der passenden Informationen erledigt.

Anbieter von Passwortmanagern finden Sie zum Beispiel hier:

› https://www.chip.de
› https://www.heise.de

Weitere Informationen zum Thema Passwortmanager finden Sie unter › BSI — Passwortmanager (bund.de).

Tipp!

Verwalten Sie auf keinen Fall Ihre Passwörter in einem unverschlüsselten Dokument auf dem Computer. Wird Ihr Computer von außen angegriffen, wären Ihre Passwörter auf einem Silberteller präsentiert.

Darüber hinaus ist es empfehlenswert, wo immer möglich, eine Zwei-Faktor-Authentisierung einzurichten.

Zwei-Faktor-Authentisierung (2FA)

Vom Onlinebanking kennen Sie vermutlich die Zwei-Faktor-Authentisierung: Für einen Login müssen Sie etwas wissen und etwas haben. „Wissen“ ist zumeist ein Nutzername und ein Passwort. „Haben“ ist ein Gerät (oft das Handy), an das ein zusätzlicher Code geschickt wird. Dieser Code gilt nur für kurze Zeit und muss zusätzlich zum „Wissen“ eingegeben werden. Genau das Gleiche können Sie für andere Logins einstellen: z.B. für den Login zur Pflege Ihrer Website oder Ihrer Social-Media Präsenz. Das ist zwar etwas aufwändiger, aber sich nur auf Nutzername und Passwort zu verlassen, ist leider viel riskanter.

Weitere Informationen hierzu finden Sie unter › bsi.bund.de.

Die bayerischen IHKs bieten im März eine kostenfreie Webinar-Reihe für Unternehmen an. Seien Sie mit dabei:

M	D	M	D	F	S	S
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31
« Apr				Jun »