Den richtigen Passwort-Manager finden

Benutzen Sie als Passwort passwort oder passwort12345? Fühlen Sie sich erwischt? Dass diese zu den unsichersten gehören, wissen Sie wahrscheinlich selbst schon und doch ist die Verlockung groß, da es leicht zu merkende Passwörter sind. Wie soll man sich auch schon als Nutzer:in mehrere Passwörter merken, die alle am besten eine Länge von 12 Zeichen haben sowie Groß- und Kleinschreibung und Satzzeichen enthalten sollten? Da kommen Sie sicherlich durcheinander und nach 3 Fehlversuchen dürfen Sie sich eventuell damit herumschlagen ein neues Passwort zu generieren. Abhilfe verschaffen kann hier ein Passwort-Manager.

Dabei handelt es sich nicht um eine:n Mitarbeiter:in in Ihrem Unternehmen, der alle Passwörter auf dem Laufwerk abspeichert – was Sie prinzipiell nie machen sollten –, sondern um ein Programm auf Ihrem Desktop oder Smartphone. 

In einem Passwort-Manager können Sie einzelne Zugangsdaten abspeichern und jederzeit wieder abrufen – ähnlich wie bei einer Datenbank. Dabei werden pro Eintrag folgende Daten abgespeichert

  • Passwort
  • Nutzername
  • ein Name zum Eintrag 
  • Link zu der Login-Seite
  • je nach Programm auch Notizen

Ein solcher Passwort-Manager ist wie ein gut behütetes Tagebuch, dass sie mit einem eigenen Schloss mit Zahlenkombination versehen haben. Denn ein Passwort-Manager funktioniert über eine Verschlüsselung und einem Master-Passwort. Sie legen ein Passwort an für den Zugriff zum Passwort-Manager, dass sie sich auf jeden Fall merken müssen! Über das Tool können Anwender:innen zudem eine 2-Faktor-Authentifizierung einstellen, die über die gewünschte Methode wie bspw. biometrische Daten durchgeführt wird. 

Mit dieser Methode müssen Sie sich nicht mehr unzählige Passwörter merken und selbstständig ein Passwort generieren. Das einzige Passwort, das für Sie dann nur noch zählt, ist das Master-Passwort. Dieses sollte zum einen sehr sicher sein und zum anderen müssen Sie sich das leicht merken können.

Was sollte ein guter Passwort-Manager beinhalten?

Sicherheit ist im Web der wichtigste Faktor. Aus dem Grund sollte Ihr Passwort-Manager gewisse Standards und Funktionen erfüllen.

  1. Verschlüsselung: Um im Falle eines Datenleaks nicht direkt alle Daten offen bereitzuhaben, sollte der Passwort-Manager gespeicherte Daten mit einer sicheren Ende-zu-Ende-Verschlüsselung absichern.
  2. Passwortgenerator: Dadurch, dass Sie einen Passwort-Manager in Betracht ziehen, wollen Sie sich vermutlich das Passwort-Management so einfach wie möglich gestalten. Aus dem Grund sollte das von Ihnen gewählte Passwort-Management-System einen Passwortgenerator beinhalten. Dieser generiert ein zufälliges und sicheres Passwort für Ihr Konto. 
  3. Automatisches Ausfüllen von Anmeldedaten: Damit Sie nicht immer wieder erst einmal Ihr Programm öffnen und die einzelnen Abfragedaten Kopieren und Einfügen müssen, sollte das Programm im Browser mithilfe einer Erweiterung laufen und die Anmeldedaten automatisch ausfüllen.
  4. Prüfung auf Datenleaks: Nichts ist schlimmer, als wenn die eigenen Daten irgendwo im Netz herumschwirren. Ihr Passwort-Manager muss daher zwingend gespeicherte Passwörter dauerhaft überprüfen, ob Sie in geleakten Datenbanken vorkommen und entsprechend einen Hinweis geben, dieses zu ändern. 
  5. Regelmäßige Sicherheitsupdates: Um auf den neuesten Sicherheits-Standards zu bleiben, sollte das verwendete System regelmäßige Updates durchführen.

Beachten Sie bei Ihrer Recherche nach einem Passwort-Management-System genau diese fünf Punkte. Schließlich wollen Sie sich das Internet-Leben einfacher machen. Das Sicherheitspaket ESET Smart Security Premium hilft Ihnen weiter. Das Paket enthält einen Schutz vor neuartigen Bedrohungen, Verschlüsselung sensibler Daten, sicheres Onlinebanking und Bezahlen, sicheres Heimnetzwerk, einen Viren- und Spyware-Schutz und einen Passwort-Manager. 

Der hauseigene Passwort-Manager von ESET bietet für alle gängigen Browser eine Erweiterung an und kann auf iOS- und Android-Geräten als App verwendet. Dafür ist nicht einmal erforderlich, dass auf allen Geräten ESET Smart Security Premium installiert ist. Haben Sie einmal das Paket, ist der Passwort-Manager für alle Geräte anwendbar. 

Falls Sie noch Fragen haben sollten zu unseren Produkten dann melden Sie sich bei uns per E-Mail unter kundenservice@esetshop.de. Wir helfen Ihnen gerne weiter.

Tipps für ein sicheres Heimnetzwerk im Homeoffice

Durch die Covid-19-Pandemie ist das Thema Homeoffice für viele Unternehmen und Privatleute neu aufgekommen und wird selbst drei Jahre später noch heiß diskutiert. Dabei kommt immer wieder die Frage auf, ob Homeoffice-Regelungen im Unternehmen Standard werden sollten. Für Unternehmen ist ein solcher Schritt schwierig, da einige Fragen geklärt werden müssen, bevor die eigenen Mitarbeiter:innen die Arbeit vom Homeoffice aus starten können. Darunter gehört auch die Frage, wie ein sicheres Heimnetzwerk entsteht, ohne dass sensible Daten nach außen gelangen. In der Folge bedeutet diese Entwicklung eine Überprüfung der aktuellen Sicherheitsstandards und eine potenzielle Erweiterung dieser im Unternehmen.

Allein die ESET Studie aus 2020 Quo Vadis, Unternehmen? Die Arbeitswelt im Wandel der Corona-Pandemie: Produktivität, Investitionen, Outsourcing und Digitalisierung zeigte nach kürzester Zeit, dass Homeoffice eine längerfristige Option für Arbeitnehmer ist. Die Studie befragte 2.045 Mitarbeiter:innen und etwa 68 % davon erhofften sich, dass nach der Coronapandemie die Arbeitsregelungen fürs Homeoffice gelockert werden. Etwa 29 % davon hoffen darauf, dass Sie nach der Pandemie mindestens einen Tag remote arbeiten können. 31 % wünschen sich, dass sie die Entscheidung flexibel treffen können und 8 % können sich vorstellen gar nicht mehr im Büro zu arbeiten und auf ihren festen Arbeitsplatz im Büro damit verzichten.

Ein großes Problem, das sich jedoch durch die Homeoffice-Regelung in der Covid-19-Pandemie ergab, war, dass viele Unternehmen nicht darauf vorbereitet waren. Entweder weil die nötige Hardware nicht existiert, um Mitarbeiter:innen von zu Hause arbeiten zu lassen oder weil das nötige Sicherheitsnetzwerk (noch) nicht auf- oder ausgebaut ist.

Gefahr durch das eigene Heimnetzwerk

Dass die Gefahr aus einem unsicheren Heimnetzwerk kommen kann, ist für gewöhnlich bekannt. Aus dem Grund bieten Unternehmen, die die finanziellen Mittel haben, ihren Mitarbeiter:innen eigene Geräte zur Verfügung, die hohe Sicherheitsstandards erfüllen. Doch wie geht man als Unternehmen damit um, wenn das eigene Privatgerät genutzt werden muss? Wie gelingt es Unternehmen und Privatleuten, den eigenen Arbeitsplatz im Homeoffice sicherzumachen?

Denn für gewöhnlich, wenn der Router im eigenen Heim installiert und eingerichtet ist, wird dieser nicht weiter beachtet und automatische Updates werden deinstalliert. Letzteres kann für Sicherheitslücken im Heimnetzwerk sorgen. Wir geben Ihnen im Folgenden ein paar Tipps, wie Sie jetzt noch Ihren Arbeits- bzw. Privatlaptop sichern können.

Tipp 1: Antiviren-Software installieren

Dass der Tipp kommt, dachten Sie sich wahrscheinlich schon und doch setzen viele gerade bei Privatlaptops auf den eigenen Virenschutz vom Gerätehersteller. Der eigene Virenschutz von Windows oder Apple-Geräten reicht für das Nötigste, sichert jedoch nicht alle Bereiche ab, um sicher mit sensiblen Daten arbeiten zu können. Eine gute und moderne Software ist nämlich das A und O für das sichere Arbeiten, sei es vom Büro oder eigenen Heim aus.

Eine gute Sicherheitssoftware sollte folgende Aspekte im besten Fall abdecken: einen Virenschutz, einen Ransom-Blocker, eine Firewall, einen Banking- und Shopping-Schutz und einen Diebstahlschutz.

In unserem Produktportfolio finden Heimanwender:innen zum einen ESET Internet Security und zum anderen ESET Smart Security Premium, mit denen Sie sich ganz sicher im Homeoffice fühlen können.

Tipp 2: Regelmäßig aktualisieren

Für gewöhnlich führen Hardware und Software Updates automatisch durch. Doch je nach Einstellungen von Anweder:innen kann diese Option ausgestellt sein, sodass manuelle Updates ausgeführt werden müssen. Aktualisierungen für die eigene Hardware und Software bringen nicht nur nette Features mit sich, sondern auch für gewöhnlich Sicherheitspatches, die das eigene Arbeitsgerät auf den neuesten Sicherheitsstandard halten. Ein Blick in den Einstellungen schadet entsprechend nicht. Vergessen Sie bei diesem Prozedere den Router nicht!

Tipp 3: 2-Faktor-Authentifizierung einstellen

Es mag zwar lästig klingen, dass man bei jeder Anmeldung in einen Account nach einer PIN gefragt wird, jedoch erschweren Sie so den Zugriff für mögliche Angriffe an Ihrem Konto. Je nachdem, ob Sie die Option über eine App oder SMS nutzen, kriegen Sie auf die letztere Art und Weise vermutlich mit, wenn sich jemand Unbefugtes versucht hat Zugriff zu gewähren.

Tipp 4: Verschlüsselung aktivieren

Arbeiten Sie mit sensiblen Daten, die nicht nach außen geraten sollen? Dann sollten Sie die Verschlüsselung an Ihrem Gerät einschalten. Unter der Datenverschlüsselung versteht man die Konvertierung von lesbaren Daten in ein kodiertes Format. Damit das kodierte Format wieder lesbar ist, muss dieses wieder entschlüsselt werden. Mit einer derartigen Verschlüsselung erschweren Sie um einiges den Zugang zu ihren Daten für Cyberkriminelle.

Windows-Geräte können über den Einstellungen und dann über Update und Sicherheit diese aktivieren bzw. deaktivieren. Genaueres dazu finden Windows:Nutzer:innen auf der Microsoftseite zur Geräteverschlüsselung.

Apple- bzw. Mac-Nutzer:innen finden auf der Apple-Support-Seite genauere Informationen, wie Sie die Verschlüsselung je nach Version aktivieren können.

Tipp 5: VPN-Verbindung nutzen

VPN (Virtual Private Network) wird von Anwender:innen genutzt, wenn sie eine sichere Verbindung in einem öffentlichen Netzwerk aufbauen möchten. Eine VPN-Verbindung sorgt dafür, dass Ihre gesendeten Daten abhörsicher sind und sie verschleiert Ihre Identität in der Online-Welt.

Mit einfachen Schritten das Homeoffice sicher machen

Wie Sie sehen, können Sie mit ein paar Einstellungen und Installationen für ein sicheres Arbeiten im eigenen Heimnetzwerk sorgen. Die letzteren beiden Tipps sind für Arbeitnehmer:innen gedacht, die tagtäglich mit hochsensiblen Daten arbeiten und damit Cyberkriminellen vollkommen ausgesetzt wären. Für alle anderen Anwender:innen sind die ersten drei Tipps ein MUSS.

Ob Sie nun Heimanwender:in, ein Unternehmen oder eine Institution sind, wir bieten Ihnen je nach Schutzmaßnahme ein passendes Produkt an. Ansonsten stehen wir Ihnen für Fragen zu unseren Produkten telefonisch 0241 / 559 468 115 oder per E-Mail unter kundenservice@esetshop.de gerne zur Verfügung.

 

 

Mit Antivirenprogrammen gegen Cyberkriminalität vorgehen

Anfang Mai 2022 erschien der Lagebericht Cybercrime 2021 des Bundeskriminalamts. Laut deren Ergebnissen erlebt Cyberkriminalität einen richtigen Aufschwung. Doch nicht nur die Quantität der Antivirenangriffe steigt, sondern auch die Qualität steigt mit ihnen. Im Jahr 2021 stieg die Anzahl der Angriffe auf etwa 12 % im Vergleich zum Vorjahr. Davon sind Ransomware-Angriffe die aktuell größere Bedrohung, da sie jeden Bereich betreffen, darunter öffentliche Einrichtungen, E-Commerce, Gesundheits- und Bildungssektoren. Die Folgen davon haben ein hohes Schadenspotential. Die größten Ransomware-Angriffe sind auf kritische Infrastrukturen, öffentliche Verwaltungen und internationale Lieferketten, da sie den höchsten monetären Schaden und die Funktionsfähigkeit des Gemeinwesens mit sich bringen.

 

Unternehmen müssen naives Denken ablegen

Administrator:innen sind sich der Gefahr von externen Einflussfaktoren zwar bewusst, jedoch herrscht die Annahme, dass Mitarbeiter:innen vorsichtig genug sind und das interne Netzwerk schon nicht belasten werden. Doch dieser naiver Gedankensatz führt dazu, dass Unternehmen ihre Sicherheitskultur nicht richtig ernst nehmen. Dabei spielen 3 Faktoren eine wichtige Rolle:

  1. Agieren noch bevor eine Bedrohung stattfinden kann: Administrator:innen neigen dazu, erst bei einer Bedrohung schnell zu reagieren, das kann jedoch schon zu spät sein.
  2. Angriffe „nur“ abzuwehren ist nicht mehr zeitgemäß: Antivirenprogramme müssen mittlerweile mehr können, als nur Spam- und Phishing-Filter einzusetzen.
  3. Nur Externe können als Gefahr gelten: Es herrscht der Irrglaube, dass nur das eigene interne Netzwerk im Bürogebäude sicher und ungefährlich ist.

Mit den Remote-Regelungen, die in den letzten Jahren einen Aufschwung erleben, haben Unternehmen ein Sicherheitsproblem, dass intern geregelt werden muss. Denn Mitarbeiter:innen, die von der Remotearbeit zur Büroarbeit zurückkehren oder regelmäßig zwischen diesen Optionen wechseln, stellen für Unternehmen ein Sicherheitsrisiko dar, das gerne übersehen wird.

Zwar können Mitarbeiter:innen über VPN-Tunnel Zugriff zum Unternehmen aufbauen, doch die Gefahr, die man als Mitarbeiter:in mitbringen kann, wenn man vorher aus weniger sicheren Netzwerken seine Verbindung aufgebaut hat, besteht weiterhin. Speziell die Nutzung von Cloud-basierten Diensten führt zu einem vergrößerten Risiko im Unternehmen. Zumal immer mehr in Zukunft auf hybride Arbeitsmöglichkeiten wie eigene Räumlichkeiten, Cloud-Dienste, externe Arbeitsplätze und Dienstleistern gesetzt wird.

Unternehmen müssen sich deswegen die Frage stellen, wie Sie die Sicherheitskultur intern auf- bzw. ausbauen. Als ersten Schritt muss man sich als Administrator:in die Frage stellen: Wie verschaffen sich überhaupt Cyberkriminelle Zugang zu unserem Unternehmensnetzwerk? Diese Frage führt dann schon zu der Lösung, die eingesetzt werden muss.

 

Vorgehen bei Cyberkriminalität

Es gibt einige Punkte, die Täter:innen im Auge behalten, wenn sie ein Unternehmen angreifen, die es ihnen auch ermöglichen einen vereinfachten Zugriff zu bekommen. Dazu gehören die vier Bereiche:

  • Unsichere Datenverbindungen
  • Keine Überprüfung der Mitarbeiteridentität
  • Malware
  • und der Mensch als Risikofaktor

Administrator:innen sind sich in der Regel dieser Punkte bewusst, werden aber in Zeiten vor häufigen Einsatz von Remote Arbeit leicht vergessen, da durch wechselnde Arbeitsplätze und Digitalisierung der Faktor Mensch leicht vernachlässigt wurde. Ein Erfolgsfaktor, auf die Täter:innen setzen. Es wird lediglich die richtige Kombination aus Benutzername und Passwort benötigt, damit man sich in das Unternehmenskonto einloggen kann. Was kann da schon schiefgehen? In Zeiten von Darknet, in denen man sich illegal hinzugezogene Zugangs- und Datenbankinformationen heranholen kann, ist es für Hacker:innen ein Einfaches sich Zugang mittels Brute Force zu verschaffen.

Aufgrund dessen sollten Unternehmen den Zugang zu Unternehmenskonten verschärfen. Zum einen sollte auf VPN-Tunnels und eine Multi-Faktor-Authentifizierung gesetzt werden. Mit diesen beiden Methoden gehen Sie sicher, dass zum einen überprüft wird, dass über den richtigen und sichersten Weg Zugang zum Unternehmenskonto verschafft wird und zum anderen, wird die Identität der einloggenden Person überprüft.

 

Mit der Zero Trust Methode gegen Cyberkriminalität vorgehen

Nimmt man sich diese Punkte zu Herzen und setzt auf die Sicherheit von ESET, ist man als Nutzer:in sehr gut geschützt. Denn die ESET Produkte setzen auf die Zero Trust Security. Dabei handelt es sich um einen dreistufigen, aufeinander aufbauenden Reifegradmodell, die die Sicherheit einstufen. Je hoher die Stufe, umso sicherer ist auch die Schutzwirkung.

Die erste Stufe ist auch die Basisstufe, die jede IT-Abteilung eines Unternehmens mindestens erfüllen sollte. Die Basisstufe Grundschutz Plus folgt dem Prinzip Multi Secured Endpoint, welches bereits ein ausgereiftes und umfassendes Schutzniveau bietet. Dabei setzt ESET auf hauseigene Technologien, die stetig ausgebessert werden und über die Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) hinausgehen.

Schauen Sie sich doch gerne unsere Produktpalette an. Bei Fragen zu Bestellungen nehmen Sie gerne Kontakt zu uns auf. Sie erreichen uns telefonisch unter (0241) 55 94 68 15 und über kundenservice@esetshop.de

Phishing E-Mails: Awareness Trainings sind immer noch ein wichtiger Bestandteil in der Sicherheitskultur eines Unternehmens

Spam-E-Mails sind ein leidiger alltäglicher Bürobegleiter, den es zu beseitigen gilt. Zum Glück sind unsere E-Mail-Programme mittlerweile so gut darauf programmiert, dass sie diese direkt als Spam erkennen und in dem Ordner auch landen. Jedoch wurden einige Formen der Spam-E-Mails in den letzten Jahren perfektioniert, sodass sie als solche nicht mehr leicht zu erkennen sind. Eine Form davon sind Phishing-E-Mails.

Was sind Phishing-E-Mails?

Phishing ist eine Form der Betrugsmasche, bei der mithilfe von gefälschten Websites, SMS, Telefon und E-Mails sich jemand als vertrauenswürdiger Kontakt ausgibt. Ziel bei solchen Phishing-E-Mails sind zum Beispiel an sensible Daten des Benutzers bzw. Unternehmens heranzukommen, um an Kontoinformationen zu gelangen oder auch Identitätsdiebstahl zu begehen.
Bei der Phishing-Methode ist der Faktor „Mensch“ der Schlüssel zum Betrugstor. Mit einem Klick laufen Nutzer: innen in die Gefahr sich einen Trojaner, Bots oder Ransomware einzufangen. Die Schadsoftware wird anschließend dafür genutzt, um an hochsensible Informationen heranzukommen, die zu einem wirtschaftlichen Schaden führen können. Wir raten aus dem Grund Unternehmen Ihre Mitarbeiter: innen darauf zu schulen Phishing-E-Mails zu erkennen, denn die Tricks sind in den letzten Jahren ausgefeilt worden. Früher ließen sich solche E-Mails anhand von auffälligen Tippfehlern, seltsamen Umlauten, Hexcodes und vielem mehr erkennen.

Doch wie schaffen es noch heute Cyberkriminelle erfolgreich mit Phishing-E-Mails zu sein?
Über die Jahre hinweg haben sich Cyberkriminelle ein Repertoire an möglichen Taktiken überlegt, die sie zum Ziel führen. Dazu gehören:

  • Gefälschte Absenderinformationen wie IDs, Domänen und Telefonnummern
  • Absenderkonten, in die sich Cyberkriminelle eingehackt haben und damit für Nutzer: innen kaum erkennbar
  • Vertrauen erwecken durch detailliertes Wissen, das Cyberkriminelle aus den sozialen Medien recherchieren konnten
  • Angst- oder Druckgefühl auslösen, sodass eine Entscheidung aus Affekt gefällt, wird
  • Links, die zur Schadsoftware führen sollen, werden oftmals verkürzt oder hinter Buttons dargestellt, um das Ziel zu verbergen
  • Websites und Anmeldeportale werden mittlerweile so erstellt, dass sie für Nutzer: innen als legitim betrachtet werden

Für Unternehmen kann das, wie bereits erwähnt, zu wirtschaftlichen Schäden führen, die sich in einem Millionenbetrag befinden können. Dabei sind betrügerische E-Mails keine Seltenheit. Laut dem ESET Threat Report T1 2022 sind betrügerische E-Mails von Januar bis April 2022 um knapp 37 % häufiger vorgekommen als im Zeitraum September bis Dezember 2021. Grund für den Anstieg in diesem Zeitraum lag überwiegend an den massenhaften E-Mai-Kampagnen des berüchtigten Emotet, die sich auf bösartige Microsoft Word-Dokumente stützen.

Phishing Awareness Training
Bei dieser steigenden Anzahl an betrügerischen E-Mails sollten sich Unternehmen die Zeit nehmen und sich um ein Phishing Awareness Training für die Mitarbeiter: innen kümmern. Damit Sie vor allen Phishing Methoden gewappnet sind, sollten das Training einige Kriterien erfüllen, um einen langfristigen Erfolg im Unternehmen zu vermerken:

Inhaltliche Anforderung:

  • Es sollten alle Phishing-Kanäle abgedeckt werden (E-Mail, Telefon, SMS, Soziale Medien, usw.)
  • Bestimmte Mitarbeiterrollen benötigen personalisierte Lektionen, die auf sie spezialisiert sind. So sollte das Finanzteam zusätzlich über BEC-Angriffe (CEO-Fraud) informiert und geschult werden
  • Nach vollendeter Schulung sollten Analysen zur persönlichen Leistung mitgegeben werden, so dass an den Schwachstellen weitergearbeitet werden, kann

Aufmachung:

Die Lektion sollten kurzweilig sein und kein Angstgefühl vor Phishing-Angriffen auslösen, sondern eine positive Verstärkung liefern

  • Realitäts- und praxisbezogene Simulationsübungen helfen zur Verdeutlichung
  • Gamification, Workshops und Quizspiele lösen das Gefühl von „ITler: innen belehrt zu werden“ ab
  • DIY-Phishing-Übungen: Einige Unternehmen arbeiten mit der Übung, dass Mitarbeiter: innen selbst Phishing-E-Mails erstellen sollen, um ein Gefühl dafür zu bekommen, wie diese funktionieren

Unternehmensseitig:

  • Alle Mitarbeiter: innen, die ein Unternehmenskonto und Netzwerkzugang besitzen, müssen an dem Training nehmen, einschließlich Zeitarbeiter: innen, Auftragnehmer: innen und leitende Angestellte
  • Die Schulungen sollten kontinuierlich über das ganze Jahr hinweg stattfinden, mit kurzen, verständlichen Lektionen in einer Länge von 15 Minuten

Mit dem richtigen Trainingsprogramm fördern Sie nicht nur die Awareness für betrügerische E-Mails, sondern auch die Sicherheitskultur in Ihrem Unternehmen. Dabei sollte es für die Mitarbeiter: innen die Möglichkeit geben, mögliche Phishing-Angriffe an die IT-Abteilung melden zu können.
Jedoch sind Phishing Awareness Training nur ein Teil einer Cybersecurity-Strategie. Zusätzlich dazu sollten Unternehmen auf Schutztechnologien auf Arbeitsgeräten setzen wie Anti-Phishing, um die Gefahr von betrügerischen E-Mails zu reduzieren.