Infos für Selbstständige

Liebe MU-Mit­glieder, liebe Gäste,

ich darf Ihnen eine Infor­ma­tion der IHK für München und Ober­bay­ern zum The­ma Cyberan­griffe weit­er­leit­en. Schützen Sie Ihre Dat­en, es kann jeden von uns treffen.„

Viele Grüße
Chris­tine Unzeitig

Liebe Selb­st­ständi­ge,

wer heute Nachricht­en ver­fol­gt, kommt an Begrif­f­en wie Cyberan­griff, IT-Sicher­heit oder Hack­er kaum vor­bei. Es wäre allerd­ings leicht­fer­tig zu denken, dass diese The­men auss­chließlich große Unternehmen, Ver­sorgungs­be­triebe oder Behör­den betr­e­f­fen. Auch Com­put­er-Net­zw­erke klein­er Unternehmen und Solo-Selb­st­ständi­ger wer­den ange­grif­f­en. Doch dies ist kein Grund in Panik zu ver­fall­en, denn es gibt einige ein­fache und wirk­same Wege, die eigene dig­i­tale Präsenz und Kom­mu­nika­tion vor frem­den Ein­grif­f­en zu schützen und für den Ern­st­fall vorzu­sor­gen. Wir stellen Ihnen in diesem und in den fol­gen­den Newslet­tern vor, wie Sie Ihre IT-Sicher­heit wesentlich verbessern kön­nen. Dabei zeigen wir Ihnen, wie Sie mit ein­fachen Schrit­ten Web­site, Pass­wörter, E‑Mails, Kom­mu­nika­tion und Dat­en schützen können.

Ihre IHK für München und Oberbayern

© Foto: Adobe Stock, Song about summer
© Foto: Adobe Stock, Song about summer

Bin ich betroffen? 
Welch­er Hack­er inter­essiert sich schon für mich?

Möglicher­weise sagen Sie sich: Bei mir gibt es nichts zu holen! Ich bin für Hack­er völ­lig unin­ter­es­sant! Mich wird schon kein Hack­er angreifen.
Das stimmt insofern, als dass Hack­er sich gut über­legen, wen sie wie angreifen: Bei großen Unternehmen ist ein dig­i­taler Ein­bruch nicht so ein­fach. Dort muss man als Angreifer gezielt und mit viel Aufwand arbeit­en. Dafür erscheint der „krim­inelle Lohn“ vielver­sprechend. Bei kleinen Unternehmen gehen Hack­er nach dem Prinzip „die Masse macht‘s“ vor und nutzen vol­lau­toma­tis­che Werkzeuge, mit denen sie unter hun­dert­tausenden Angrif­f­en jene Ziele iden­ti­fizieren, die nicht gut gesichert sind.

Die eigene Web­site sichern

Web­sites wer­den ständig nach Schwach­stellen ges­can­nt. Schauen Sie nach, aus welchen Län­dern Ihre Web­site „kon­tak­tiert“ wird. Vol­lau­toma­tisiert wer­den Ihre, und alle anderen im Inter­net ver­füg­baren Web­sites durch­leuchtet und Ver­suche unter­nom­men, sich dort einzuloggen.

Woran erkenne ich, ob meine Web­site ange­grif­f­en wird?

Wenn Sie eine Web­site betreiben, set­zen Sie möglicher­weise Track­ing-Soft­ware wie Piwik oder Google Ana­lyt­ics ein. Dort sehen Sie die Sta­tis­tik der Seit­enabrufe: Welche Seite wird wie oft abgerufen? Aus welchen Län­dern kom­men die Nutzer? Neben den Seit­en mit Ihren Inhal­ten gibt es üblicher­weise auch Seit­en, die der Pflege Ihrer Web­site dienen, z.B. die Seite, die Sie nutzen, um sich einzu­loggen und Ihre Seit­en zu aktu­al­isieren. Es wäre nicht über­raschend, wenn solche Seit­en aufgerufen wer­den, ein nicht erfol­gre­ich­er Login aus­pro­biert wurde und sich dieses Muster oft wiederholt.
Wenn das über die Ana­lyt­ics Tools nicht zu sehen ist, kön­nen Sie auch die Log­files Ihrer Web­seite prüfen, in denen viel mehr pro­tokol­liert wird. Fra­gen Sie im Zweifels­fall bei Ihrem Web­di­en­stleis­ter (Web­serv­er-Hoster, Web-Agen­tur, o.ä.) nach.

Sich um die Sicher­heit der eige­nen Web­site zu küm­mern, sollte übri­gens nicht nur zum eige­nen Schutz erfol­gen, son­dern auch aus der rechtlichen Pflicht (z.B. im Zusam­men­hang mit der Daten­schutz­grund­verord­nung §32). Das Grund­prinzip ist, die Web­site immer auf dem Stand der Tech­nik zu hal­ten. Was genau der Stand der Tech­nik bedeutet, kön­nen Sie › hier nach­le­sen. In der Prax­is stellt sich die Frage: Was muss ich selb­st machen? Was regelt mein Dien­stleis­ter (z.B. Host­ing-Dien­ste Ihrer Web­site)? Unab­hängig davon sind am Ende immer Sie ver­ant­wortlich als Betreiber der Website.

Das kön­nen Sie tun, um die Sicher­heit Ihrer Web­site zu garantieren:

  • Acht­en Sie darauf, regelmäßig Updates auszuführen, oder aus­führen zu lassen.
  • Leg­en Sie regelmäßig Back­ups der Web­site inklu­sive der Daten­banken an.
    Stellen Sie sich­er, dass die Über­tra­gung zu Ihrer Web­site ver­schlüs­selt ist. Dies erken­nen Sie am Kürzel „https“ (Hyper­text Trans­fer Pro­to­col Secure) vor der Adresse
  • Ihrer Web­site (https://). Oft ist dies im Ser­vice des Host­ing-Dien­stleis­ters enthal­ten und sollte keine oder geringe zusät­zliche Kosten für Sie bedeuten. Auf Seit­en wie z.B. › SSL-Check kön­nen Sie Ihre Web­site dazu testen.
  • Schützen Sie den Zugang zum Pflege­bere­ich Ihrer Web­site durch sichere Pass­wörter, 2‑Fak­tor-Authen­tifizierung und eine klare Regelung, wer welchen Zugriff erhält.

Mehr Infos und Hil­f­s­mit­tel zum The­ma Infor­ma­tion­ssicher­heit find­en Sie › auf unser­er Web­site.

IHK-Tipp!

Sie wollen und kön­nen sich nicht selb­st um Ihre IT-Sicher­heit küm­mern und suchen einen passenden Dien­stleis­ter? Nutzen Sie den Kri­te­rienkat­a­log der IHK zur Auswahl ver­trauenswürdi­ger Dienstleister.
Alle Infor­ma­tio­nen unter › IT-Dien­stleis­tun­gen — aber sicher

Sichere Pass­wörter

Pass­wörter sind die Schlüs­sel zu Ihren per­sön­lichen Dat­en. Die Fol­gen uner­laubter Zugriffe reichen von Dieb­stahl der pri­vat­en wie geschäftlichen Geheimnisse, über Miss­brauch von Kun­den­dat­en wie z.B. Zahlungsin­for­ma­tio­nen bis hin zur Beschädi­gung von Sys­te­men. Sie wollen wis­sen, ob Ihre Dat­en bere­its ein­mal in fremde Hände ger­at­en sind? Mit dem › Iden­ti­ty Leak Check­er des Has­so-Plat­tner-Insti­tuts oder unter › haveibeen­pwned kön­nen Sie anhand Ihrer E‑Mail-Adresse prüfen, ob Ihre per­sön­lichen Iden­titäts­dat­en bere­its im Inter­net veröf­fentlicht wur­den. Per Daten­ab­gle­ich wird kon­trol­liert, ob Ihre E‑Mail-Adresse in Verbindung mit anderen per­sön­lichen Dat­en (z.B. Tele­fon­num­mer, Geburts­da­tum oder Adresse) im Inter­net offen­gelegt wurde und miss­braucht wer­den kön­nte. Wenn Ihre E‑Mail-Adresse dort gefun­den wird, soll­ten Sie die Pass­wörter bei den betr­e­f­fend­en Web­sites ändern.

Wie sieht ein sicheres Pass­wort aus?

Ein sicheres Pass­wort ist gar nicht schw­er zu erstellen. In manchen Fällen wird bei der Erstel­lung eines Pass­wortes im Inter­net sog­ar ein sicher­er Vorschlag gemacht.

Nach diesen Regeln erstellen Sie ein sicheres Passwort:

  • Ver­wen­den Sie eine Mis­chung aus Klein- und Großbuch­staben, Zahlen und Sonderzeichen.
  • Ver­wen­den Sie mehr als 8 Zeichen.
  • Keine Pass­wörter mit per­sön­lichem Bezug (Namen, Geburts­dat­en, etc.).
  • Keine Wieder­hol­ungs- oder Tas­tatur­muster („12345“, „qwertzui“).
  • Nutzen Sie bei mehreren Pass­wörtern keine Schema­ta („101010A“, „101010B“).
  • Für jede Web­site, jedes Pro­gramm ein eigenes Pass­wort wählen.
  • Spe­ich­ern Sie die Pass­wörter nicht unver­schlüs­selt auf Ihrem PC.

Wis­sen Sie, wie lange ein Hack­er braucht, um fol­gende Pass­wörter zu knacken?

“ihk­München” in 25 Sekunden
“ihkMünchen1” in 4 Minuten
“ihkMünchen1!” in 17 Stunden
“ihkMünchen1!!!” in 5 Jahren
“Ih3K+1H.WlieHidS!” in Jahrhunderten

Nicht den Überblick ver­lieren: Wie spe­ichere ich meine Passwörter?

Für jede Web­site ein eigenes Pass­wort? Das ist sehr zu empfehlen! Allerd­ings zugegeben: Das wird schnell unüber­sichtlich und so viele Esels­brück­en kann man gar nicht bauen. Der Ausweg: ein Pass­wort­man­ag­er! Das sind dig­i­tale Pass­wort­safes, die auch sehr gute Pass­wörter erzeu­gen und abspe­ich­ern. Man kann zwis­chen einem eigen­ständi­gen Pass­wort-Man­ag­er-Pro­gramm und einem Brows­er-inte­gri­erten Pass­wort-Man­ag­er unter­schei­den. Die sich­er­ste Vari­ante ist der eigen­ständi­ge Pass­wort-Man­ag­er. Hier wer­den alle Pass­wörter gespe­ichert. Sobald ein Online-Dienst genutzt wird und Zugangs­dat­en erforder­lich wer­den, meldet sich dieses Pro­gramm automa­tisch. Über ein zen­trales Mas­ter­pass­wort wird dann die Ein­tra­gung der passenden Infor­ma­tio­nen erledigt.

Anbi­eter von Pass­wort­man­agern find­en Sie zum Beispiel hier:

https://www.chip.de
https://www.heise.de

Weit­ere Infor­ma­tio­nen zum The­ma Pass­wort­man­ag­er find­en Sie unter › BSI — Pass­wort­man­ag­er (bund.de).

Tipp!

Ver­wal­ten Sie auf keinen Fall Ihre Pass­wörter in einem unver­schlüs­sel­ten Doku­ment auf dem Com­put­er. Wird Ihr Com­put­er von außen ange­grif­f­en, wären Ihre Pass­wörter auf einem Sil­berteller präsentiert.

Darüber hin­aus ist es empfehlenswert, wo immer möglich, eine Zwei-Fak­tor-Authen­tisierung einzurichten.

Zwei-Fak­tor-Authen­tisierung (2FA)

Vom Onlinebank­ing ken­nen Sie ver­mut­lich die Zwei-Fak­tor-Authen­tisierung: Für einen Login müssen Sie etwas wis­sen und etwas haben. „Wis­sen“ ist zumeist ein Nutzer­name und ein Pass­wort. „Haben“ ist ein Gerät (oft das Handy), an das ein zusät­zlich­er Code geschickt wird. Dieser Code gilt nur für kurze Zeit und muss zusät­zlich zum „Wis­sen“ eingegeben wer­den. Genau das Gle­iche kön­nen Sie für andere Logins ein­stellen: z.B. für den Login zur Pflege Ihrer Web­site oder Ihrer Social-Media Präsenz. Das ist zwar etwas aufwändi­ger, aber sich nur auf Nutzer­name und Pass­wort zu ver­lassen, ist lei­der viel riskanter.

Weit­ere Infor­ma­tio­nen hierzu find­en Sie unter › bsi.bund.de.

Die bay­erischen IHKs bieten im März eine kosten­freie Webi­nar-Rei­he für Unternehmen an. Seien Sie mit dabei:

WordPress Cookie Plugin von Real Cookie Banner