Deshalb soll jährlich am 30. November daran erinnert werden, Endgeräte wie z.B. Computer und Smartphones zu sichern und vertrauliche Daten mit geeigneten Schutzmaßnahmen zu versehen. "Eine geeignete Sicherheitsstrategie darf nicht nur die Reaktionen bei einem erfolgten Angriff umfassen", erläutert Thiele. Mindestens ebenso wichtig seien die richtigen Maßnahmen im Vorfeld, die eine Angreifbarkeit verringern oder ganz verhindern sollen. Dabei müssten mehrere Aspekte betrachtet werden: So könnten die richtigen technischen Tools auch moderne und ausgefeilte Angriffstechniken erkennen und blockieren. "Um Social Engineering-Angriffe erfolgreich abwehren zu können, braucht es aber auch geschulte und sensibilisierte Mitarbeiter, die bei diesen Tricks rechtzeitig misstrauisch werden und z.B. nicht am Telefon Anweisungen zu dringenden Finanztransaktionen entgegen nehmen", berichtet Thiele aus seiner langjährigen Praxis.
Grundsätzlich sei es möglich, bereits mit fünf kleinen und niedrigschwelligen Maßnahmen mehr Sicherheit zu schaffen. Thiele nennt hier starke und unterschiedliche Passwörter und den Einsatz von Zwei-Faktor-Authentifizierung, wo neben Benutzernamen und Passwort ein weiteres Kriterium wie z.B. eine mobile TAN abgefragt wird. Ebenfalls wichtig seien das rasche Einspielen aktueller Sicherheitsupdates und das regelmäßige Erstellen von Sicherheitskopien. Diese müssten unbedingt direkt nach der Erstellung vom Netzwerk getrennt werden, damit eine Infektion mit Ransomware nicht auch das Backup "verseucht".
Für den Sicherheitsexperten Thiele aber der wichtigste Schritt: "Ein Unternehmen muss seine Schwachstellen kennen und sich selbst aus Sicht eines Hackers sehen. Mit diesen Erkenntnissen können gezielt die Einfallstore geschlossen und die Gesamtsicherheit signifikant erhöht werden." Dazu sei nicht notwendigerweise ein komplexer und somit teurer Penetrationstest notwendig. Am Markt gebe es sehr gute automatisierte Programme, bei deren Ergebnissen selbst gestandene IT-Leiter erstmal schlucken mussten. "Wenn Schwachstellen aufgedeckt werden, heißt das nicht, dass die IT-Abteilung ihre Arbeit nicht gut gemacht hätte," betont Thiele. Die Ursachen seien vielfältig, Ziel müsse aber sein, das Unternehmen und dessen Arbeitsfähigkeit bestmöglich abzusichern. Und dafür sei ein einziger Computersicherheitstag im Jahr natürlich viel zu wenig.