Informationssicherheit für Unternehmen-Intro

Informationssicherheit für Unternehmen

Halten Sie mit einfachen Massnahmen die Informationssicherheit in Ihrem Unternehmen hoch.

Informationssicherheit für Unternehmen-Tab-Haus

Organisatorische Massnahmen                

  • Definieren Sie eine Richtlinie (Policy) «Informations-Sicherheit» und lassen Sie diese durch die Geschäftsführung abnehmen. 
  • Überprüfen Sie regelmässig Ihre Risiken im Bereich «Informations-Sicherheit» und legen Sie diese der Geschäftsleitung vor. 
  • Stellen Sie sicher, dass Verantwortlichkeiten bezüglich IT und den damit verarbeiteten Daten geregelt sind. Achten Sie auch darauf, Zuständigkeiten zwischen Ihnen als Anwender und Ihrem IT-Dienstleister klar zu regeln. Schulen Sie Ihre Mitarbeitenden regelmässig im Umgang mit der IT-Infrastruktur hinsichtlich Sicherheit. 
  • Lassen Sie Ihre IT-Systeme sporadisch von einem externen Spezialisten prüfen. 

Technische Massnahmen                

  • Sichern Sie Ihre Daten.
    Vergewissern Sie sich, dass regelmässige Backups aller relevanten Daten angefertigt werden. Denken Sie dabei auch an die Daten auf Ihrem Smartphone. Vor allem beim Einsatz von cloud-basierten Speichern ist eine vorgängige Verschlüsselung des 
    Backups ratsam. Kontrollieren Sie nach der Sicherung, ob Ihre Daten tatsächlich gespeichert worden sind und auch wieder korrekt zurückgespielt werden können.
  • Schützen Sie sich gegen digitale Schädlinge
    Installieren Sie auf jedem Computer ein Anti-Malware Programm (Virenschutzprogramm) der neusten Generation. Aktualisieren Sie Ihr Anti-Malware Programm, sobald Updates verfügbar sind (meist täglich).
  • Schützen Sie sich vor Eindringlingen
    Überprüfen Sie, ob Sie eine Firewall installiert haben und ob diese aktiviert ist, bevor Sie Ihren Computer mit einem Netzwerk verbinden. Setzen Sie zusätzlich zur auf dem Arbeitsplatz-Computer aktiven Firewall eine dezidierte Firewall bei Internetzugängen ein – allenfalls ist sogar eine Proxy-Infrastruktur angebracht. Eine regelmässige Überprüfung der Firewall-Logs wird empfohlen.
  • Beugen Sie mittels Software-Updates vor
    Aktualisieren Sie Ihre Betriebssysteme (Windows, Mac OS X, Linux etc.) sowie Ihre Programme regelmässig mit den offiziellen Updates der Hersteller. Denken Sie auch an Ihre Zusatzgeräte wie Smartphones oder die Firmware von Routern, Telefonanlagen, internetfähigen Fernsehgeräten etc.
  • Software-Portfolio
    Laden Sie nur die für Ihr Geschäftsmodell benötigte Software auf Ihre Systeme.

Verhaltens-Massnahmen                

Legen Sie eine gesunde Portion Skepsis an den Tag.

  • Überlegen Sie gut, wo und wem Sie Ihre persönlichen Daten preisgeben (das gilt auch am Telefon).
  • Verhält sich eine Anwendung (insb. Online-Anwendungen wie E-Banking oder Web-Mail) merkwürdig, nehmen Sie Kontakt mit dem entsprechenden Dienstleister oder Hersteller auf.
  • Öffnen Sie Anhänge von E-Mails mit Vorsicht – dies gilt leider auch, wenn Ihnen der Absender bekannt ist.
  • Wählen Sie sichere Passwörter (siehe «Sichere Passwörter») und geben Sie die Passwörter niemandem bekannt.
  • Wir raten grundsätzlich von der Passwort-Speicherungs-Funktion einiger Anwendungen ab (z.B. Auto-Vervollständigung und Passwort-Speichern im Browser).
  • Lesen Sie Warnhinweise und Fehlermeldungen von Anwendungen (online und offline) genau durch und fragen Sie im Zweifelsfall bei einer versierten und vertrauenswürdigen Person nach.
  • Lassen Sie Ihren gesunden Menschenverstand walten: werden auf der Webseite Ihres Finanzdienstleisters beispielsweise seltsame Meldungen angezeigt (z.B. Wartung ohne Vorankündigung oder Rechtschreibefehler) sollten Sie sicherheitshalber mit dem Dienstleister Kontakt aufnehmen.

Verwenden Sie ein sicheres Passwort

Passwörter sind der Schlüssel zu Ihren sensiblen und persönlichen Daten. Umso wichtiger ist es, dass Dritte nicht an Ihren «Schlüssel» rankommen. Erfahren Sie hier, wie Sie ein sicheres Passwort festlegen und wie Sie es sich trotzdem einfach merken können.

Kriterien für ein sicheres Passwort                

  • Wählen Sie mindestens 12 Zeichen
  • Verwenden Sie eine Mischung aus Ziffern, Gross- und Kleinbuchstaben sowie Sonderzeichen
  • Verwenden Sie keine Tastaturfolgen wie z. B. «yxcvb» oder «45678»
  • Wählen Sie kein Wort einer bekannten Sprache, das Passwort sollte keinen Sinn ergeben
  • Verwenden Sie nicht überall dasselbe Passwort (benutzen Sie ebenso nicht dieselben Passwörter im Privat- und Geschäftsleben).
  • Schreiben Sie das Passwort nicht auf und speichern Sie es nicht unverschlüsselt.
  • Speichern Sie Ihre Passwörter nicht im Browser.

Zwei Methoden um ein sicheres Passwort zu erstellen, das Sie sich einfach merken können                

Methode 1: Verwenden Sie einen Satz als Vorlage und bilden Sie Ihr Passwort mit den Anfangsbuchstaben und den Ziffern:

  • Beispiel 1: Aus dem Satz «Meine Tochter Tamara hat am 19. Januar Geburtstag!» wird das Passwort «MTTha19.JG!»
  • Beispiel 2: «Trinkst du mindestens 1.5 Liter Wasser pro Tag?» wird zu «Tdm1.5LWpT?»

Sie können auch kürzere Sätze verwenden, Sie sollten jedoch mindestens 10 Zeichen verwenden. Verzichten Sie auf Sprichwörter, Bauernregeln etc.

Methode 2: Verschmelzen Sie Wörter und ergänzen Sie sie mit Sonderzeichen und Zahlen:

Beispiel:

  1. Verwendete Wörter: Katze & Hund
  2. werden zu: KatH&uzend
  3. daraus resultiert das Passwort: (mit Sonderzeichen und Zahl ergänzt)

Passwörter sicher speichern                

Idealerweise sollten Sie Passwörter nicht aufschreiben. Aufgrund der Vielzahl von Profilen und Zugängen (E-Banking, E-Mail-Konten, Soziale Netzwerke, Onlineshops etc.), die viele Nutzer besitzen, ist es jedoch schwierig, die Übersicht zu behalten.

Auf der Seite «eBanking aber sicher» finden Sie eine Auflistung von verschiedenen Passwort-Managern, mit denen Sie Ihre Passwörter verschlüsselt sichern können. Auf der Seite finden Sie zudem weitere Informationen zum Thema Passwortsicherheit.

eBanking aber sicher! (Schritt 4 - Schützen der Online-Zugänge, Abschnitt «Passwort-Manager»)

NCSC - Nationales Zentrum für Cybersicherheit (Schützen Sie Ihre Konten/Passwörter)

E-Banking Benutzung

Tipps zur Sicherheit vor, während und nach dem Login ins E-Banking.

Vor dem Einloggen                

  • Öffnen Sie das E-Banking der LUKB immer über unsere Webseite lukb.ch in Ihrem Browserfenster. Tippen Sie die Adresse dabei immer manuell ein. Klicken Sie nie auf Links in einer E-Mail, um auf die Seite zu gelangen.
  • Nutzen Sie das E-Banking nur von einem bekannten und sicheren Computer aus.
  • Öffnen Sie in Ihrem Browser keine weiteren Internetseiten (beispielsweise über weitere Registerkarten).
  • Achten Sie darauf, dass Sie über eine sichere Verbindung («https» und Schlosssymbol in der Adresszeile) mit der LUKB-Seite verbunden sind und überprüfen Sie das Zertifikat. Auf ebas.ch erfahren Sie, wie Sie das Zertifikat überprüfen können.
  • Treten während des Logins ungewöhnliche Fehlermeldungen auf (z. B. «Das System ist derzeit überlastet. Bitte haben Sie etwas Geduld und probieren Sie es später noch einmal»), beenden Sie bitte sofort die Verbindung und kontaktieren Sie den Helpdesk Electronic Banking.

Während der E-Banking-Benutzung                

  • Drücken Sie Warnungen und Meldungen nicht einfach weg, sondern lesen Sie diese vor dem Bestätigen.
  • Kommt es beim E-Banking während der Internetsitzung zu einem Systemunterbruch, beenden Sie sofort die Verbindung und benachrichtigen Sie im Zweifelsfall unseren Helpdesk Electronic Banking.

E-Banking beenden                

Abmelden

Beenden Sie die E-Banking-Benutzung immer, indem Sie sich mittels des Knopfes «Logout» ausloggen. Das Schliessen des Browsers, ohne ein Logout in der Applikation durchzuführen, beendet die E-Banking-Sitzung nicht.

Browser Cache löschen

Nach dem Beenden Ihrer E-Banking Applikation empfehlen wir den Cache Ihres Browsers zu löschen. Sämtliche Anleitungen zum Löschen des Browser-Cache finden Sie unter «eBanking aber sicher!».

Smartphone-Nutzung und E-Banking-App

Die LUKB E-Banking-App ist so sicher wie das LUKB E-Banking. Ergänzend zu den E-Banking Sicherheitsmassnahmen sollten Sie folgende Punkte zwingend beachten:

Sicherer Umgang mit Ihrem Smartphone                

  • Schützen Sie Ihr Smartphone mittels Codesperre vor unbefugten Zugriffen. 
  • Smartphones enthalten standardmässig relativ hohe Schutzmechanismen. Diese funktionieren jedoch nur optimal, wenn die Geräte nicht durch den Benutzer modifiziert (Jailbreak bei Apple, Rooten bei Android) wurden. Wir raten daher ausdrücklich von einer Nutzung modifizierter Geräte ab.
  • Lassen Sie Ihr Gerät nie unbeaufsichtigt. Gehen Sie mit Ihrem Smartphone so sorgfältig um wie mit Ihrem PC.
    • Öffnen Sie keine E-Mails von Absendern, die Sie nicht kennen oder denen Sie nicht vertrauen.
    • Installieren Sie keine Apps von unbekannten Anbietern.
    • Aktualisieren Sie regelmässig das Betriebssystem, die Firmware und die installierten Apps.
  • Installieren Sie Apps ausschliesslich aus den offiziellen App-Stores der Anbieter (Android. Google Play Store, iOS . Apple App Store)
  • Setzen Sie falls möglich eine aktuelle Virenschutzsoftware und Personal Firewall ein. So können Sie Schadcode von Ihrem Gerät fern halten. Eine Auflistung erhalten Sie auf ebas.ch
  • Beachten Sie bitte auch das Faltblatt «Mobile Banking und Mobile Payment», welches in Zusammenarbeit mit der Hochschule Luzern und «E-Banking - aber sicher!» sowie mit der Schweizerischen Kriminalprävention (skppsc.ch) entstanden ist.

«10 Regeln für sicheres Mobile Banking» auf ebas.ch

Nutzung des Geräts                

  • Lassen Sie Ihr Gerät nie unbeaufsichtigt.
  • Achten Sie darauf, dass Ihnen bei der Eingabe von PIN und Logindaten niemand über die Schulter blickt.
  • Speichern Sie Ihre Zugangsdaten nicht auf Ihrem Mobilgerät ab.
  • Installieren Sie nur wirklich notwendige Apps und achten Sie darauf, dass diese nur aus seriösen Quellen stammen.
  • Deaktivieren Sie Funktionen wie Bluetooth, WLAN und Infrarot, wenn Sie diese nicht benötigen.
  • Verwenden Sie bei der Funktion WLAN eine WPA oder WPA2 Verschlüsselung (keine WEP Verschlüsselung!).
  • Akzeptieren Sie keine Verbindungsanfrage, wenn unklar ist, welches Gerät Sie kontaktieren möchte.
  • Seien Sie vorsichtig beim Öffnen von MMS. Über MMS kann ebenfalls Schadcode («Malware») verbreitet werden. Löschen Sie MMS von unbekannten Absendern sofort.
  • Schalten Sie die Einstellung «Automatische Rufannahme» ab, da diese für einen unbemerkten Aufbau einer Verbindung missbraucht werden könnte.

Mobiler Zugriff auf WLAN                

  • Aktualisieren Sie vor einem Reiseantritt das Betriebssystem und alle installierten Programme oder Apps. Erstellen Sie zudem eine Sicherung Ihrer Daten.
  • Meiden Sie unbekannte und unverschlüsselte WLANs. Diese sind oft nur unzureichend abgesichert und Unbefugte könnten den gesamten Datenverkehr mitlesen.
  • Seien Sie vorsichtig bei öffentlichen Computern und bearbeiten Sie darüber keine vertraulichen Daten. Insbesondere beim Zugriff auf das E-Banking sollten Sie auf das Verwenden von öffentlichen Geräten verzichten.
  • Deaktivieren Sie nicht benötigte Funkverbindungen wie WLAN, Bluetooth oder NFC (Near Field Communication), wenn Sie diese nicht verwenden.

Sicherheitsvorkehrungen bei der Verwendung des E-Banking App                

  • Beenden Sie das E-Banking nach der Verwendung der E-Banking App immer mittels «Logout»-Button.

Erkennen Sie betrügerische E-Mails – Schutz vor «Phishing»

Immer wieder tauchen in der Schweiz Phishing E-Mails auf, die darauf abzielen, an persönliche Daten von Internetnutzern zu gelangen. Beachten Sie die folgenden Tipps, um sich vor Phishing-Angriffen zu schützen.

Phishing ist englisches Kunstwort, das sich aus «password» und «fishing» zusammensetzt. Mit gefälschten Webseiten, E-Mails oder Kurznachrichten versuchen Betrüger, an persönliche Daten (Logindaten, Passwörter, Konto- und Telefonnummern etc.) zu gelangen. Das Ziel ist es beispielsweise, mit den Daten das Konto eines Opfers zu plündern oder online die Identität des Opfers zu übernehmen (Identitätsdiebstahl).

Folgende Phishing-Methoden existieren                

  • Das Opfer wird per E-Mail dazu verleitet, beispielsweise seine Konto-, Kreditkarten- und Telefonnummer anzugeben. Anschliessend wird es von den Betrügern angerufen und unter dem Vorwand einer Sicherheitsverbesserung dazu bewegt, Logindaten anzugeben. Diese Telefonanrufe sind sehr professionell gemacht und erfolgen beispielsweise auch in perfektem Schweizerdeutsch.
  • Das Opfer erhält eine E-Mail mit der Aufforderung, sich auf einer Website einzuloggen, die der Originalwebsite täuschend ähnlich aussieht. Die Angreifer stehlen die hier eingegebenen Daten.
  • Mit der Hilfe von «Malware» (Überbegriff für «bösartige» Software, die Ihren PC und/oder Mobiltelefon infiltriert und persönliche Daten stiehlt/zerstört) schalten sich die Betrüger zwischen den Kommunikationsweg eines Bankkunden und der Bank, um Daten abzugreifen. Eine solche Schadsoftware kann sich beispielsweise beim Öffnen von Anhängen oder beim Anklicken von Links unbemerkt auf dem Gerät des Opfers installieren.
  • Bekannte Varianten von Phishing
    • Gefälschte Rechnungen (Netflix, Swisscom, etc.), Dateidownloads von Cloud-Diensten, angebliche Kontosperrungen, Anfragen von Paketzustelldienste, etc.

Weitere aktuelle Informationen zu sich im Umlauf befindlichen Methoden finden Sie auf der Seite «eBanking aber sicher!»

Hinweis: Dies ist keine abschliessende Auflistung.

So schützen Sie sich vor Schaden durch Phishing                

Beim Verwenden von E-Mail-Diensten

  • Verwenden Sie niemals einen Link aus einer E-Mail, um sich beim E-Banking anzumelden. Ausnahme: Sie haben vorgängig aus Eigeninitiative die LUKB kontaktiert und erhalten im Anschluss ein E-Mail, in welchem sich die LUKB auf das Gespräch bezieht. Speichern Sie die Adresse zur Anmeldeseite eines Finanzinstituts auch nicht in den Favoriten/Lesezeichen Ihres Browsers ab. Geben Sie die Adresse immer manuell über die Adresszeile des Browsers ein.
  • Geben Sie unter keinen Umständen persönliche oder vertrauliche Daten an, wenn Sie per E-Mail dazu aufgefordert werden, sondern löschen Sie die E-Mail umgehend.
  • Löschen Sie E-Mails unbekannter Herkunft im Zweifel sofort, ohne diese vorher zu öffnen. Seien Sie besonders vorsichtig bei E-Mails mit Anhängen. Diese Anhänge können Viren (Malware) enthalten. Sollten Sie bereits einen Anhang geöffnet haben, lassen Sie einen aktuellen Virenscanner die gespeicherten Anhänge überprüfen.
  • Öffnen Sie niemals E-Mails oder Anhänge, von denen Sie nicht genau wissen, was sich dahinter verbirgt.
  • Seien Sie misstrauisch und lassen Sie Ihren gesunden Menschenverstand walten.

Beim Surfen im Internet

  • Achten Sie darauf, dass Sie stets über eine «sichere» Verbindung («https» und Schlosssymbol in der Adresszeile) mit Ihrem Finanzinstitut verbunden sind und überprüfen Sie das Zertifikat.
  • Seien Sie misstrauisch und lassen Sie Ihren gesunden Menschenverstand walten.

Bei Telefongesprächen

  • Seien Sie misstrauisch und lassen Sie Ihren gesunden Menschenverstand walten.
  • Beenden Sie umgehend Telefongespräche, bei denen Sie nach Passwörtern, Kreditkartendaten oder anderen persönlichen Informationen gefragt werden. Geben Sie persönliche Daten wie Passwörter nie einer anderen Person bekannt!

Das können Sie tun, wenn Ihre Daten abhanden gekommen sind

  • Falls Sie Passwörter oder Kreditkartendaten, wie oben beschrieben, einem Betrüger angegeben haben, sollten Sie sich umgehend an den E-Banking Helpdesk wenden (Telefon 0844 844 866 ), oder vasb@yhxo.pu). Wenden Sie sich ebenfalls bei Unsicherheit oder Unklarheit an uns.

Weitere Informationen zum Thema Phishing: https://www.ebas.ch/de/ihr-sicherheitsbeitrag/phishing

Schutzmassnahmen E-Mail-Betrug bei Unternehmen

Vorsicht bei Aufforderung zur Anpassung der Begünstigtenangaben des Lieferanten 

Unternehmen, insbesondere gezielte Mitarbeitende in der Finanzabteilung, erhalten -unter anderem per E-Mail- Aufforderungen zur Anpassung der «Begünstigtenangaben» für künftige Rechnungen. Die Kontaktaufnahme erfolgt in aller Regel über gefälschte oder gehackte E-Mail-Konten. Die Betrüger geben sich als Unternehmensleitung oder Mitglied der Geschäftsleitung aus und versuchen künftige Lieferantenzahlungen auf ihr Konto umzuleiten. Auf diese Weise erbeuten Kriminelle erhebliche Geldsummen von Unternehmen.

Die Kriminellen verwenden namhafte Banken in der Schweiz und im Ausland für ihre betrügerischen Transaktionen. Nach erfolgter Transaktion werden die Gelder weitergeleitet.

So können Sie Ihr Unternehmen vor Kriminellen schützen                

Kreditorenbewirtschaftung

  • Sensibilisieren Sie Ihre Mitarbeitenden, vor allem in der Finanzabteilung (Kreditoren-Abteilung), über solche Betrugsvorgehen.
  • Geben Sie bei ungewöhnlichen Kontaktaufnahmen keine Information heraus.
  • Fragen Sie im Zweifel bei Ihren Lieferanten persönlich/mündlich nach, ob der diesbezügliche Kreditor und deren Daten insbesondere Zahlungsdaten geändert werden sollen. 
  • Rückfragen dürfen nicht über denselben Kanal wie die Kontaktaufnahme, beispielsweise E-Mail, erfolgen.
  • Setzen Sie evtl. auch bei solchen Mutationen – und nicht nur bei den Überweisungen – das Vieraugenprinzip mit Kollektivunterschrift ein.

Zahlungen

  • Verifizieren Sie beim Erfassen einer Transaktion bzw. bei deren Freigabe nicht nur den Empfänger-Name sondern auch die Zahlungsdetails (Kontodaten). Wie oben erwähnt empfiehlt sich hier das Vieraugenprinzip mit Kollektivunterschrift. 

Verhalten beim Erhalt einer kriminellen E-Mail                

  • Verdächtige Inhalte und Ereignisse können Sie jeweils dem Bundesamt für Polizei, fedpol, melden. Fedpol nimmt Meldungen über verdächtige Sachverhalte im Internet entgegen und stellt auf ihrer Website weitere Informationen zur Verfügung.

Vorgehen bei einem Betrugsvorfall                

  • Erstatten Sie eine Strafanzeige bei der jeweiligen Kantonspolizei.
  • Informieren Sie Ihren Kundenberater über den Vorfall.

Geben Sie Kriminellen keine Chance. Die Empfänger-Konten werden in aller Regel gesperrt, damit andere Unternehmen den betrügerischen Machenschaften nicht zum Opfer fallen.

Informationssicherheit für Unternehmen-Mehr-zum-Thema