3 schnelle Wege für mehr digitale Sicherheit in der Bau- und Handwerksbranche

Nichtsdestotrotz ist es wichtig, der Online-Sicherheit genügend Aufmerksamkeit zu schenken, insbesondere da die Branche weitere Schritte in Richtung Digitalisierung und Automatisierung unternimmt. Oder wie es Dmitri Alperovitch, hochrangiger Mitarbeiter eines der damals marktführenden Antiviren-Hersteller schon 2011 sagte: “Es gibt nur zwei Arten von Unternehmen – solche, die bereits erfolgreich angegriffen wurden und solche, die es noch nicht wissen”.

In diesem Blog führen wir drei „Quick Wins“ auf, mit denen Sie die Online-Sicherheit in Ihrem Bau- oder Handwerksunternehmen verbessern können.

1.     Sorgen Sie für eine sichere Anmeldung mit Multi-Faktor-Authentifizierung

Bei vielen Systemen, in denen wir wichtige Daten speichern, melden wir uns mit einem Benutzernamen und einem Passwort an. Das ist nicht sehr sicher, vor allem wenn man weiß, dass Kollegen oft dasselbe (leicht zu knackende) Passwort für alle möglichen Systeme verwenden. Um wirklich sichere, schwer zu knackende Passwörter zu bekommen, müssten diese sehr lang und komplex sein, wie die folgende Grafik verdeutlicht, in der zu sehen ist wie schnell ein Passwort je nach Länge und Komplexität zu knacken ist:

Wie realistisch ist es, dass alle ihre Mitarbeiter und Geschäftspartner bei der Vielzahl an zu verwaltenden Online-Accounts hier immer ein gute, sichere Wahl treffen?

Eine zusätzliche Sicherheitsebene durch Multi-Faktor-Authentifizierung (MFA) ist daher immer eine gute Idee. Mit MFA müssen Ihre Mitarbeiterinnen oder Mitarbeiter einen oder mehrere Berechtigungsnachweise liefern, bevor sie auf das System zugreifen können.

Welche Klassen von Faktoren gibt es bei einer Multi-Faktor-Authentifizierung?

• Im ersten Schritt wird die Kombination aus Benutzername und Passwort überprüft
• Der zweite Schritt ist eine zusätzliche Verifizierung, die auf etwas basiert, das Sie
  • besitzen, z. B. einen Code in der Microsoft Authenticator-Anwendung, sog. physische Besitzobjekte
  • wissen, z.B. eine PIN oder Sicherheitsfrage, sog. geheimes Wissen oder
  • sind, z.B. die Augeniris, die Stimme oder ein Fingerabdruck, sog. eindeutige physische Merkmale.

Diese zusätzliche Überprüfung erschwert es Cyberkriminelle, auf Ihre Systeme zuzugreifen, selbst wenn Sie die Kombination aus Benutzername und Passwort bereits kennen oder in Erfahrung bringen. Denn nur wenn neben dieser Information auch der zusätzliche Faktor im zweiten Schritt verifiziert werden kann, dann wird der Zugriff gewährt.

Praxistipp: Wer mit einer auf Microsoft-Technologie basierenden IT-Landschaft arbeitet, kombiniert zusätzliche Sicherheit und Benutzerfreundlichkeit mit Multi-Faktor-Authentifizierung und Single Sign-On (SSO). Die Mitarbeitenden durchlaufen zu Beginn ihres Arbeitstages den aufwändigeren MFA-Anmeldeprozess, haben dann aber per SSO direkten Zugriff auf z. B. eine ERP-Lösung auf Basis von Microsoft Dynamics 365 Business Central und die bekannten Microsoft 365-Anwendungen. Je nach Kritikalität des Systems oder sogar der zugegriffenen Daten und Funktionen innerhalb eines Systems wird in konfigurierbarer Häufigkeit oder z. B. nach dem Entsperren des Bildschirmschoners der zweite Faktor erneut geprüft.

2. Fordern Sie Ihr Team heraus und arbeiten Sie am Bewusstsein

Es ist verlockend zu denken: “Das wird mir nicht passieren”, aber die Zahlen sprechen eine andere Sprache. Deutsche Unternehmen sind ein beliebtes Angriffsziel – mehr als 220 Milliarden Euro Schaden entstehen pro Jahr in der deutschen Wirtschaft, damit sieht jedes zehnte Unternehmen seine geschäftliche Existenz als bedroht (vgl. Bitkom e.V. 2021). Die Mitarbeiter dieser Unternehmen sind sich der Gefahren der Internetkriminalität oft nicht bewusst. Es ist daher ratsam, von Zeit zu Zeit zu überprüfen, wie gut die Kollegen verdächtige Situationen erkennen. Eine gute Möglichkeit, dies zu testen, ist die Simulation eines Phishing-Angriffs. Mit Microsoft 365 Defender können Sie Ihren Kolleginnen und Kollegen eine Vielzahl verdächtiger E-Mails senden: von E-Mails mit verdächtigen Anhängen bis hin zu E-Mails, die Ihre Kolleginnen und Kollegen dazu verleiten sollen, persönliche Daten online einzugeben, um einen Gutschein zu gewinnen.

Je nach Ergebnis und Reaktion Ihrer Kollegen können Sie dann gezielt Schulungen durchführen, um sie für die Gefahren zu sensibilisieren. Durch kontinuierliche Wiederholung dieser Simulationen halten Sie die Wachsamkeit hoch und können auch neue Angriffsarten im Unternehmen auf sichere Art erfahrbar machen, um vor den echten Angreifern geschützt zu sein.

3. Systeme auf dem neuesten Stand halten

Das Eingangstor zur Lagerhalle, der Zaun um die Baustelle oder die Alarmanlage im Bürogebäude: Sie schützen unsere Anlagen vor ungebetenen Gästen. Wir überprüfen regelmäßig, ob alle Schlösser noch in Ordnung sind und ob die Alarmanlage immer funktioniert. Beim Zugriff auf unsere IT-Systeme stellen wir fest, dass Unternehmen oft mit veralteten Systemen arbeiten, die den heutigen Bedrohungen nicht mehr gewachsen sind. Manche Software wurde seit Jahren nicht mehr aktualisiert, was ein erhebliches Risiko darstellt, da Cyberkriminelle diese Schwachstellen gerne ausnutzen. Vermeiden Sie Probleme und sorgen Sie dafür, dass Ihre Software immer auf dem neuesten Stand ist. Noch besser ist es, sich für eine Software wie 4PS Construct aus der Cloud nach dem Software –as-a-Service-Modell zu entscheiden. Das sind IT-Lösungen, die Sie als Service aus der Cloud beziehen. Diese Software ist immer aktuell und auf dem neuesten Stand, Sie müssen nicht mehr selbst Updates einspielen oder Server aktualisieren. Und da Cloud-Anbieter wie Microsoft jedes Jahr Millionen investieren, um ihre Software an neue Online-Bedrohungen anzupassen, die Sicherheitslandschaft zu überwachen und ihre Server auf dem neuesten Stand zu halten, arbeiten Sie immer mit der aktuellen und sichersten Software.

Möchten Sie mehr erfahren?

Möchten Sie mehr über die Online-Bedrohungen erfahren, mit denen sich Unternehmen aus dem Bau- und Installationsbereich auseinandersetzen müssen? Fragen Sie sich, wie Sie Ihr Unternehmen davor schützen können? Dann lesen Sie auch unser Whitepaper “Sicheres Arbeiten in der Cloud für Bau- und Handwerksunternehmen” und begrenzen Sie Ihre Online-Risiken.