Nicht ganz klar ist, ob die Angreifer die Apple-Cloud per Brute-Force-Attacke geknackt oder einfach die Passwörter der Stars entwendet haben, um an die Bilder zu gelangen. Das spielt aber auch keine Rolle. Schließlich ist schon länger klar, dass Daten in öffentlichen Cloud-Speichern bei Cyber-Kriminellen eher Begehrlichkeiten wecken als in abgeschlossenen Netzwerken.
Trotzdem werden sowohl private als auch Business-User die Cloud immer mehr nutzen, nicht zuletzt wegen des wachsenden Einsatzes mobiler Geräte und des hohen Bequemlichkeitsfaktors, zu jeder Zeit und an jedem Standort völlig transparent auf beliebige Daten zugreifen zu können - frei nach der Formel "mobil + Cloud = bequem". Die wachsende Bequemlichkeit verlangt aber auch nach mehr Verantwortung, die bei Unternehmen in die Erkenntnis münden sollte, dass eine Cloud nicht die allein selig machende Alternative zu professionellem Datenmanagement sein kann. Vielmehr gilt es, eine differenzierte Strategie für die Nutzung, Erzeugung und Speicherung von Daten zu entwerfen, und sie natürlich wirkungsvoll umzusetzen. Das heißt übrigens auch, sie Mitarbeitern einzuschärfen. Das ist ein Schritt, der aus unerfindlichen Gründen immer wieder gern ignoriert wird. Nur mit einem solchen Maßnahmenpaket können die Gefahren von Datenklau oder -sabotage minimiert werden. Die Cloud kann dabei durchaus eine zentrale Rolle spielen - wohl wissend, dass wirklich unternehmenskritische Daten dort nichts zu suchen haben.
- Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ... - Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert. - Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll. - Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen. - Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden. - Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht. - Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle. - Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift. - Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!
Drei einfache Regeln
1. Definieren, welche Daten in die Cloud dürfen
Als aller ersten Schritt auf dem Weg zu mehr Datensicherheit müssen Unternehmen sich eingestehen, dass mobile und Cloud-basierte Applikationen ein immanentes Sicherheitsrisiko darstellen. Manche Daten dürfen niemals in die Cloud, andere nur unter strengsten Sicherheitsmaßnahmen. Es gilt, diese Arten von Daten zu definieren, diese Definition Mitarbeitern mitzuteilen und ihnen deren Wichtigkeit immer wieder einzuschärfen.
2. Das schwächste Glied in der Daten-Austausch-Kette stärken
Schwache Passwörter sind und bleiben ein ständiges Risiko, nicht nur im privaten Umfeld. Wenn auch immer möglich, sollte auf eine starke Zwei-Faktor-Authentifizierung zurückgegriffen werden, vor allem bei kritischen Daten. Token, Rückrufe auf einer zweiten Telefonnummer, biometrische Verfahren oder Einmalpasswörter gehören zu den sicheren Verfahren. Weitere Schwachstellen sind Apps auf mobilen Geräten, die auf eine Cloud zugreifen, zumal dann, wenn es kein vernünftiges Monitoring gibt oder die PINs für die Devices schlicht zu kurz sind - wie es meistens leider der Fall ist.
3. Sich auf den Datenverlust vorbereiten
Jedes Unternehmen muss sich mit einem guten Reporting-Prozess auf einen etwaigen Datenverlust vorbereiten. Es ist wichtig, den Umfang und die Art der gestohlenen oder verschwundenen Daten möglichst schnell zu identifizieren und die Tragweite des Verlusts zu erkennen. Dann sollte eine Checkliste parat liegen, wer in welcher Reihenfolge zu informieren ist. Zu den ersten, die zu benachrichtigen sind, wird in der Regel auch die Polizei oder der Verfassungsschutz gehören.
Weitere Informationen zu sicherem Datenmanagement sind auch abrufbar unter: https://www.allianz-fuer-cybersicherheit.de. (bw)