Gegen Datenklau ist kein Mensch gefeit. Auch nicht die zig Tausend Schuldner der Schweizer Tochter der EOS-Gruppe, deren Daten einem Hacker zum Opfer fielen, wie die «Süddeutsche Zeitung» am Mittwoch publik machte. EOS gab im Bericht ein Datenleck zu, äusserte sich aber nicht im Detail zum Fall. Eine Anfrage von BLICK blieb bislang unbeantwortet. Fakt ist, dass dem Unternehmen eine Sicherheitslücke zum Verhängnis wurde.
Das müssen Firmen tun
Damit Hacker nicht einfaches Spiel haben, sind Unternehmen in der Verantwortung, die Daten ihrer Kunden zu schützen. Die Zeitschrift «Computerworld» gibt Firmen folgende Tipps, um sich gegen Datenklau zu wappnen:
Zunächst müssen die Verantwortlichen eine firmenweite IT-Sicherheitsstrategie festlegen und umsetzen. Grundsätzlich gilt: Je sensibler die Daten, desto strenger müssen die Sicherheitsvorkehrungen sein. Datenbestände sollten in die Sicherheitsklassen «geheim», «vertraulich», «intern» und «öffentlich» eingeordnet werden.
Die geheimen und vertraulichen Daten gehören in einen «virtuellen Tresorraum» (Digital Vault). Dabei handelt es sich um einen speziellen Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet, erklärt Sicherheitsexperte Cyber-Ark.
Es braucht klare Regeln für Mitarbeiter
Um zu verhindern, dass vertrauliche Daten aus dem Unternehmen «getragen» werden, braucht es eindeutige Regeln für jeden Angestellten. Diese beinhalten den Zugriff, die Änderung und Übermittlung von Daten.
Firmenkritische Systeme, Anwendungen und Datenbanken sollten ermittelt und ein Passwort-Management eingeführt werden. Es sollte automatisch protokolliert werden, wer, wann, welches Passwort genutzt hat.
Das Kennwort-Management muss laut Cyber-Ark zentral administriert und überwacht werden. Geheime Informationen und Daten gehören in jedem Fall verschlüsselt, automatisiert wie beim Versand von E-Mails.
Rechenzentren etc. gehören durch eine physische Zugangskontrolle gesichert. Zum Beispiel mittels Fingerabdruck-Lesegeräten oder biometrische Erkennungsverfahren. Dann haben Hacker kein leichtes Spiel.
Das kann jeder Einzelne tun
Im Fall von EOS war der einzelne Konsument machtlos. Generell aber gilt: Wer möglichst sparsam mit seinen persönlichen Daten umgeht, kann die Risiken minimieren. Die Melde- und Analysestelle Informationssicherung «Melani» hat auf ihrer Website dazu Verhaltensregeln zusammengestellt.
«Schlecht gewählte oder zu kurze – also schwache – Passwörter stellen ein erhebliches Sicherheitsrisiko dar», heisst es dort. Der Rat: Die Mindestlänge des Passworts sollte bei acht Zeichen liegen und sowohl aus Buchstaben, Zahlen wie auch Sonderzeichen bestehen. Passwörter nie mehrfach verwenden, den Code immer wieder ändern und zur Vereinfachung der Verwaltung einen Passwort-Manager benutzen.
Die meisten elektronischen Schädlinge würden über E-Mail-Anhänge auf den Rechner übertragen. Der Rat: «Misstrauen Sie E-Mails, deren Absenderadresse Sie nicht kennen.» Im Zweifelsfall Mail löschen und keinesfalls Anhänge wie Dokumente oder Links im Mail öffnen. Eine Zweitmail-Adresse kann für Gästebuch-Einträge, Anfragen oder für das Ausfüllen von Webformularen gute Dienste leisten. Mit der Privat-Mail-Adresse sorgsam umgehen. Und natürlich: Das E-Mail-Programm laufend updaten.
Gefahren, die beim Surfen im Internet lauern, sind laut Melani Viren, Würmer, Trojanische Pferde und Spyware, die auf den Computer gelangen können. Der Rat: «Laden Sie keine unbekannten Programme (Spiele, Screensaver, usw.) vom Internet herunter.» Auf «Abbrechen» oder «Nein» klicken, wenn ungewollt ein Download-Fenster erscheint.
Vorsicht vor Social Engineering, Phishing und Betrug: Benutzernamen oder ein Passwort sollte man keinem Unternehmen bekannt geben. «Kein seriöser Anbieter wird Sie (auch telefonisch) nach Ihrem Passwort fragen», so Melani.
Beim Internet-Einkauf sollte man darauf achten, dass man seine Kreditkartennummer ausschliesslich bei Webseiten übermittelt, die eine Verschlüsselung der Daten garantieren. «Sie erkennen dies anhand eines kleinen, goldenen Schlosses am unteren linken Bildrand Ihres Browsers oder am verwendeten Protokoll in der URL (https an Stelle von http)», lautet der Hinweis. (uro)