Warenkorb

keine Produkte im Warenkorb

Sophos Empfehlungen – Cybersecurity Best Practices

Sophos hat eine Liste mit neun Cybersecurity Best Practices herausgegeben, die darauf abzielt, Unternehmen daran zu erinnern, dass man durch einfache, aber effektive Massnahmen die IT-Sicherheit erheblich steigern kann.

Um einen optimalen Schutz vor Cyberangriffen zu gewährleisten, reicht es nicht aus, modernste Sicherheitslösungen zu implementieren. Ein wesentlicher und oft vernachlässigter Aspekt ist die richtige Konfiguration dieser Systeme. Wir stellen immer wieder fest, dass in Unternehmen, die wir neu betreuen dürfen, zwar eine Sophos Firewall installiert ist, aber nicht alle Sicherheitsfunktionen aktiviert oder richtig konfiguriert sind, was zu erheblichen Sicherheitslücken führen kann.

Daher ist es von grosser Bedeutung, dass man nicht nur auf hochwertige Cybersecurity-Lösungen setzt, sondern diese auch fachgerecht einrichtet und konfiguriert. Ein verantwortungsbewusstes und informiertes Handeln ist zudem unerlässlich, um potenzielle Risiken zu minimieren.

Im Folgenden werden eine Reihe von Cybersecurity Best Practices vorgestellt, die dazu beitragen können, die Sicherheitslage nachhaltig zu verbessern und ein solides Fundament für die Sicherheit des Unternehmens zu schaffen:

Patchen: Regelmässig und sofort!

Im Jahr 2021 waren ungepatchte Schwachstellen die Ursache für fast die Hälfte aller von Sophos untersuchten Cybervorfälle. Es zeigt sich deutlich, dass ein schnelles und regelmässiges Patchen die Sicherheit des Systems erheblich erhöht und das Risiko minimiert, dass diese Schwachstellen ausgenutzt werden.

Keine Software ist vollkommen sicher, in jeder gibt es potenzielle Sicherheitslücken. Regelmässige Updates sind daher unerlässlich, auch wenn sie manchmal als lästig empfunden werden. Sie bringen nicht immer nur neue Funktionen, sondern beheben oft auch kritische Sicherheitsprobleme, die nicht unbedingt in den Release Notes aufgeführt werden.

Obwohl ein Update gelegentlich zu Problemen führen kann, ist das Risiko, ein Update auszulassen, weitaus grösser. Es ist daher ratsam, proaktiv zu bleiben und Patches kontinuierlich und sofort einzuspielen.

Backups: Automatisiert und nicht im Büro

Laut dem Sophos Ransomware-Report 2022 konnten 73 % der befragten IT-Manager nach einem Cyberangriff die verschlüsselten Daten durch ihre Backups wiederherstellen.

Es wird dringend empfohlen, Backups zu verschlüsseln. Dies dient nicht nur dem Schutz vor Ransomware-Angriffen, bei denen Daten verschlüsselt werden, um Lösegeld zu erpressen, sondern auch dem Schutz vor Datendiebstahl. Angreifer könnten versuchen, sensible Daten zu entwenden, um das Unternehmen später mit der Androhung der Veröffentlichung dieser Daten zu erpressen. Die Verschlüsselung von Backups stellt somit eine wichtige Barriere dar, die den Zugriff auf die Daten erheblich erschwert.

Ebenso wichtig ist es, Backups offline und ausserhalb der Büroräume zu speichern. Dies schützt vor physischen Schäden durch Naturkatastrophen oder Einbrüche und stellt sicher, dass in Krisensituationen immer auf die benötigten Daten zugegriffen werden kann.

Darüber hinaus sollte die Datenwiederherstellung regelmässig getestet werden. So kann im Falle eines Datenverlusts schnell und effektiv reagiert werden und die Funktionsfähigkeit der Backups im Ernstfall ist gewährleistet.

Dateityp anzeigen lassen

In den Betriebssystemen Windows und macOS werden Dateierweiterungen standardmässig nicht angezeigt. Es wird jedoch empfohlen, die Sichtbarkeit zu aktivieren, um potenziell gefährliche Dateitypen wie z. B. JavaScript-Dateien zu erkennen. Natürlich sollten solche Dateiendungen ohnehin nicht per E-Mail empfangen werden. Mit einer Lösung wie z. B. Sophos Central Email kann dies unter anderem blockiert werden, sodass der Benutzer solche Dateien gar nicht erst empfangen kann.

Liste von Sophos mit den Dateierweiterungen, die blockiert werden sollten.

In der Vergangenheit haben wir selbst einen Test durchgeführt und genau das ausgenutzt. Wir haben USB-Sticks mit einer als Bewerbung getarnten HTML-Datei an verschiedene Unternehmen geschickt. Viele dachten wahrscheinlich, dass es sich um ein PDF- oder Word-Dokument handelte, wurden aber beim Öffnen der Datei auf eine Webseite weitergeleitet. Weitere Details zu diesem Experiment: Experiment – Warum Sie diesen USB-Stick besser nicht eingesteckt hätten.

Trotz der Möglichkeit, Dateierweiterungen zu erkennen, ist es unerlässlich, die Mitarbeiter entsprechend zu schulen. Nur so kann sichergestellt werden, dass sie in der Lage sind, verdächtige Dateien effektiv zu erkennen und entsprechend vorsichtig zu handeln.

Scripts mit Texteditor öffnen

Das Öffnen einer JavaScript-Datei in einem Texteditor verhindert die Ausführung möglicher schädlicher Skripte und ermöglicht eine sichere Überprüfung des Dateiinhalts. Vorausgesetzt natürlich, man verfügt über das nötige Know-How.

Es ist ratsam, mit ausführbaren Dateien vorsichtig umzugehen, da diese häufig für Malware verwendet werden. Dabei ist zu beachten, dass nicht nur JavaScript-Dateien, sondern auch Dateianhänge mit den Endungen .exe, .bat, .scr und .vbs u.a. potenziell gefährlich sein können und die Möglichkeit haben, Skripte auszuführen, die erheblichen Schaden anrichten können. Davon betroffen sind natürlich auch Office-Dateien – Thema Makro, aber dazu später noch mehr.

Daher sollte man Dateianhänge nur aus vertrauenswürdigen Quellen öffnen und im Zweifelsfall den Inhalt zunächst in einem Texteditor überprüfen.

In letzter Instanz hilft eine gute Endpoint Protection Lösung oder im Worst Case das oben erwähnte Backup 😋.

Makros: Nope

Bereits vor einigen Jahren hat Microsoft die automatische Ausführung von Makros aus Gründen der Sicherheit deaktiviert. Zahlreiche Infektionen sind nur möglich, wenn man Makros aktiviert. Daher sollte man es vermeiden, Makros zu aktivieren!

E-Mail-Anhänge: Vorsicht auch bei bekannten Absendern

Cyberkriminelle nutzen oft ein altes Problem aus: Eigentlich sollte man ein Dokument nur öffnen, wenn man sicher ist, dass es harmlos ist. Um diese Sicherheit zu erlangen, muss man es aber erst einmal öffnen. In solchen Situationen ist es ratsam, einen verdächtigen Anhang im Zweifelsfall nicht zu öffnen.

Anzumerken ist, dass gehackte Mailserver gerne zum Versenden schädlicher Anhänge missbraucht werden. Der Angreifer, der die Kontrolle über den Mailserver hat, kann nicht nur von einer legitimen Domäne aus senden, sondern auch die Konversationen einsehen und kontextbezogene Antworten geben, indem er KI-Techniken einsetzt. Dies macht es extrem schwierig, solche E-Mails zu erkennen, da sie sehr spezifisch und auf die vorherige Konversation zugeschnitten sind.

Administratorrechte: Weniger ist mehr

Es sollte periodisch überprüft werden, wer im Netzwerk lokale Administratorrechte und Domänenadministratorrechte besitzt. Es ist ratsam, genau zu kontrollieren, wer diese Rechte hat und sie zu entziehen, wenn sie nicht benötigt werden. Ausserdem sollte man sich nur so lange wie unbedingt nötig als Administrator anmelden.

Ebenso wichtig ist es, die Sicherheit des Netzwerks durch geeignete Vorkehrungen zu gewährleisten. Eine dieser Massnahmen sollte sein, darauf zu achten, dass keine Ports unnötig offen gelassen werden, um potenzielle Sicherheitslücken zu vermeiden. Der RDP-Zugang und andere Remote-Management-Protokolle des Unternehmens sollten konsequent gesperrt werden, um unbefugten Zugriff zu verhindern. Also kurz gesagt, ein anständig konfigurierte Firewall.

Darüber hinaus ist es ratsam, eine Zwei-Faktor-Authentifizierung zu implementieren, die eine zusätzliche Sicherheitsebene bietet, indem die Identität des Benutzers durch eine zweite Komponente bestätigt wird. Daneben sollte sichergestellt werden, dass sich Remote-Benutzer immer über ein VPN authentifizieren, um eine sichere und verschlüsselte Verbindung zu gewährleisten, welche die Integrität und Vertraulichkeit der Daten schützt. Natürlich wäre hier Zero Trust noch der bessere Ansatz.

Verwenden Sie sichere Passwörter

Zum Schluss noch ein Thema, das einen eigenen Blogpost verdient hätte. Es gibt ja auch den Welt-Passworttag, der immer am ersten Donnerstag im Mai stattfindet, um das Thema immer wieder in Erinnerung zu rufen. Darum, das Wichtigste in Kürze.

Wenn man das Passwort 3 Sekunden anschaut und es sich merken kann, ist es mit hoher Wahrscheinlichkeit scheisse 💩. Das kann man an dieser Stelle auch nicht schönreden. Die Schlaumeier, die jetzt glauben, dass 5 Sekunden alles besser machen, ja, aber irgendwie doch nicht.

  • Länge: Es kommt hier schon auf die Länge an. Es sollte aus mindestens 12 Zeichen bestehen.
  • Komplexität: Es sollte eine Mischung aus Gross- und Kleinschreibung, Zahlen und Sonderzeichen enthalten.
  • Kein Bezug zu persönlichen Informationen: Vermeide die Verwendung leicht zugänglicher Informationen wie Geburtsdaten, Namen oder Adressen.
  • Unvorhersehbarkeit: Es sollte nicht aus leicht zu erratenden Wortkombinationen oder gängigen Phrasen bestehen.
  • Einzigartigkeit: Jedes Passwort sollte einzigartig sein und nicht für mehrere Konten verwendet werden.
  • Regelmässige Aktualisierung: Es ist ratsam, Passwörter regelmässig zu ändern, um die Sicherheit zu erhöhen.
  • Zufälligkeit: Verwende zufällig generierte Passwörter, die nicht auf Wörtern basieren, die im Wörterbuch zu finden sind. Es gibt Passwortgeneratoren.
  • Verwendung von Passphrasen: Manchmal ist es sicherer, eine Passphrase zu verwenden, die aus mehreren Wörtern besteht, die durch Sonderzeichen getrennt sind.
  • Zwei-Faktor-Authentifizierung (2FA): Wo immer möglich, sollte die Zwei-Faktor-Authentifizierung aktiviert werden, um eine zusätzliche Sicherheitsebene zu schaffen.
  • Vermeidung von Wiederholungen: Vermeide die Verwendung ähnlicher oder identischer Passwörter für verschiedene Dienste.

🙏 Amen! Oder für alle nicht religiösen 🖐️🎤

Patrizio
Patrizio

Patrizio ist ein erfahrener Netzwerk-Spezialist mit dem Schwerpunkt auf Sophos Firewalls, Switches und Access Points. Er unterstützt Kunden oder deren IT-Abteilung bei der Konfiguration und Migration von Sophos Firewalls und sorgt für eine optimale Netzwerksicherheit durch saubere Segmentierung und Firewall-Regelmanagement.

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.