6 alternative ways to promote cyber security

cyber security

The biggest gap in corporate security is usually between the desk and the keyboard. And most people go for convenience and not for safety. “A lot of people are absolutely unaware of the risks of links and attachments in emails” states an IT specialist on an online forum. “Recently we had a phishing test carried out at our office. And no less than 25% of all employees casually entered their login details on the phishing site.”

cyber security

There have been many studies trying to understand what does and does not work in the area of ​​awareness to cyber security. Posters with warnings about cyber security hardly seem to have any effect. Interactive lectures score very high, but as a small company you can’t just invite a speaker for six people. And with the large companies you can’t reach everyone with presentations. So let’s list a few alternatives:

Organise a cyber treasure hunt

You hide at least 10 cyber security threats and let everyone search. A USB stick with a possible virus, a mobile phone with security code 0000, a file with personal data lying around on a desk, a forgotten document in the printer, a non-locked computer screen, etc. The result is that usually employees find more dangers than the ones that you have originally hidden.

Explain the cyber risks in normal human language

IT specialists often forget that ordinary employees do not have enough digital knowledge. Employees don’t understand the scope of clicking on a phishing email or using a weak password. Research by the British internet provider Beaming showed that 31% don’t want to work with a supplier who has become a victim of cyber crime due to negligence.

Hackers are increasingly trying to get into small companies as a handy stepping stone to attack large companies. The use of specially developed software for information security can do a lot against this, but employees have to cooperate.

Reward reporting data breaches

Should you reward an employee that has caused a data breach? A director decided to do that because she knew that many employees withheld data breaches, such as sending an email with personal data to the wrong person. 

When a few people received a small gift because they had quickly reported a data breach, suddenly everyone was talking about how important it is not to withhold data breaches and that you will not be punished if it happens to you. In fact, you even received a gift because you tried to limit the consequences. Sometimes companies discover after six months that they have been hacked, because an employee has clicked on a phishing email and didn’t find it necessary to point it out to the IT department.

Abuse computers that are not locked (for a good cause)

From all computers that employees leave  unattended, send an email to a non-existent email address: “I hereby offer my resignation.” When they return, they are shocked by the email that they have sent from their computer.

Explain clearly to employees what the dangers of not locking your computer are, how they can recognise phishing emails and how they can remember hundreds of complicated passwords. This is possible through a presentation or an e-learning course. Even a cyber quiz can greatly increase their level of knowledge.

Choose practical and easier solutions

Many employees forget to change their password very often. Studies show that this primarily results in false safety. University College London (UCL) wanted to encourage staff and students to choose stronger passwords. Longer passwords had to be replaced less often than short and weak passwords. For words from the dictionary the employees received penalty points (these are cracked very quickly by automatic hacking programs).

The new policy proved to be a success. In the long run most employees opted for stronger passwords in exchange for a longer lifespan. Show employees how simple is to come up with hackable passwords, just a new sentence every time. For example, in January the sentence: Ik_wil_3_kilo_afvallen! And in February the sentence: Ik_ga_op_wintersport02! Or even easier: enter a password manager as a solution against all password frustrations.

Think of playful ways to raise awareness

Spending money on expensive IT tools is throwing money away if employees don’t understand how hackers work.  An example is someone who happened to be on vacation during a phishing email test. The holiday maker saw the phishing email too late and emailed back: “I was not present last week, you can send the link again, because it no longer works.”

Use simple ways to train the less alert employees. When a colleague has not touched his computer for a while, a screen saver with prevention tips pops up automatically. The company app also occasionally shows a prevention tip about opening suspicious emails, sharing confidential information or making fake payments. Create engaging educational videos about privacy and cyber crime on the intranet.

About the author:

Maria Genova (1973) is a journalist and writer. She received the Looijer Debutantenprijs for her debut in 2007 for her book The Idea for Communism, Sex and Lies . After her debut, she wrote many other books including several bestsellers such as Will a woman come to the h @ cker , an eye-opener about digital dangers. In 2014 she was named Writer of the Year. Maria works for various newspapers and magazines. She develops e-learning courses and quizzes and is one of the most requested speakers in the Netherlands in the field of identity fraud, privacy and information security. More about Maria Genova on her website or on Twitter: @ genova2

Backup, Verschlüsselung und Blockchain: Diese drei Technologien sind für den Datenschutz unverzichtbar

Technologien im Datenschutz

Technologien im Datenschutz

Daten sind das Lebenselixier eines jeden Unternehmens. Ob Kundendaten, geistiges Eigentum der Firma oder Informationen über Wettbewerber: All diese Daten und Ressourcen sind für Unternehmen unverzichtbar.

Doch je stärker die Masse der Daten, ihre Vielfalt, ihr Wert und die Geschwindigkeit ihrer Verarbeitung wachsen, desto größer werden auch die Sicherheitsrisiken bei ihrer Speicherung und gemeinsamen Nutzung. Obwohl Datensicherung wie Datensicherheit entsprechend von großer Wichtigkeit sind, haben 47 Prozent der kleinen Unternehmen eigenen Angaben zufolge nicht ausreichend Zeit und Ressourcen, um ihre diesbezüglichen Praktiken zu verbessern.

Bei Verstößen drohen hohe Bußgelder, gerade hat es British Airways erwischt. Entsprechend wichtig ist es für kleine wie große Unternehmen, kritische Daten ordnungsgemäß zu sichern, zum Beispiel mithilfe von Verschlüsselung, einem Datensicherungsprogramm und anderen Datenschutztechnologien.

In diesem Artikel werden verschiedene Datenschutztechnologien vorgestellt, die kleine Unternehmen recherchieren und einsetzen sollten.

Daten-Backup und -Wiederherstellung sind bei Datenverlusten und Sicherheitsverletzungen der Rettungsanker

Wie bereits erwähnt, sind Daten die wichtigste Ressource von Unternehmen. Sie sind so wichtig, dass 70 Prozent der kleinen Firmen, die einen großen Datenverlust erleiden, innerhalb eines Jahres ihr Geschäft aufgeben müssen. Und das nur, weil sie kein Backup ihrer Daten erstellt und keine ausreichenden Vorsorgemaßnahmen zur Notfallwiederherstellung getroffen hatten.

Bei Backups geht es darum, eine zusätzliche Kopie der Daten sicher aufzubewahren. Mithilfe von Datenwiederherstellungstechniken kann diese Kopie im Falle eines Datenverlusts hervorgeholt und mit ihr gearbeitet werden, um Ausfallzeiten zu verringern.

Die meiste Software für das Daten-Backup verfügt über integrierte Optionen zur Datenwiederherstellung, was gerade für kleine Unternehmen ideal ist. So bekommen sie die beiden kritischen Datenschutztechnologien Backup und Notfallwiederherstellung im Paket zu einem günstigeren Preis.

Statistik zu Datenschutz und Datenverlust

Aus einem Small Business Trends-Report (Quelle)

Viele Firmen nutzen noch immer USB-Sticks und externe Festplatten für das Backup von Daten. Auch wenn Daten schnell von ihnen wiederhergestellt werden können, stellen USB-Sticks jedoch eine Sicherheitsbedrohung dar. Hacker und böswillige Angestellte können mit ihnen Malware verbreiten oder Daten stehlen, außerdem besteht immer das Risiko, die Datenträger zu verlieren. Deshalb empfiehlt sich ein Blick auf Daten-Backup- und Wiederherstellungstechnologien, die helfen können, diese Fehlerquelle auszumerzen.

Im Laufe der Jahre haben Daten-Backup-Technologien zahlreiche Verbesserungen erfahren: Die Kopiergeschwindigkeit ist gestiegen, genau wie RPO (Recovery Point Objective bzw. maximal tolerierbarer Datenverlust) und RTO (Recovery Time Objective bzw. die Zeit, die ein System oder Geschäftsprozess maximal ausfallen darf). Zu den neueren Daten-Backup-Technologien gehören die folgenden:

  • Cloud-Backup:Bei Cloud- bzw. Online-Backups wird eine Kopie der Daten remote oder offsite auf einem Backup-Server gespeichert. Je nachdem, wo sie gespeichert sind, kopiert man die lokalen Daten in die Cloud oder entscheidet sich für ein Cloud-to-Cloud-Backup. Diese Technologie ist deutlich billiger als viele On-Premises-Speicheroptionen. Sie bietet Funktionen zur Notfallwiederherstellung und ist somit für kleine Unternehmen eine gute Option. Mit Cloud-Backup-Software lassen sich auch Daten von Mobilgeräten sichern. Hier ist nur bei der Auswahl des Dienstes Vorsicht geboten: Nicht alle sind vollständig DSGVO-kompatibel.
  • Software-Defined Storage:Diese Software verwaltet Datenspeicherressourcen und -funktionen unabhängig von der zugrundeliegenden physischen Speicherhardware. Software-Defined Storage-Tools können auf physischen Servern oder virtuellen Maschinen gehostet werden, von denen aus Nutzer mehrere Speicherressourcen kontrollieren können. Außerdem bieten sie Funktionen zur Verwaltung von Datenspeicherungsrichtlinien beispielsweise zu Replikationen, Snapshots und Backups.
  • Festplatten und Solid State Drives:Festplatten sind eine schnelle und zuverlässige Methode zur lokalen Speicherung. Festplattenlaufwerke (HDD bzw. Hard Disk Drive) werden so häufig verwendet, weil problemlos mehrere Terabyte an Daten auf ihnen gespeichert werden können und sie zudem kostengünstiger sind als Cloud-Speicher. Sie bieten allerdings keine Optionen zur einfachen Wiederherstellung und könnten verloren gehen oder zerstört werden. Solid State Drives sind technisch fortgeschrittener und gleichzeitig teurer: Sie unterstützen das schnellere Kopieren von Daten, haben eine längere Lebensspanne und niedrigere Ausfallraten.

Die 3-2-1-Backup-Strategie

Um den Verlust von Daten auszuschließen, empfiehlt es sich, eine Kopie in der Cloud und eine weitere auf einem lokalen Speichergerät zu speichern. Bewährt hat sich die 3-2-1-Backup-Strategie. Dabei speichert man:

  • 3 Kopien der Daten (einschließlich der Originalversion)
  • 2 lokale Kopien auf unterschiedlichen Speichersystemen
  • 1 Offsite-Backup auf Cloud-Servern

Zentrale Merkmale von Daten-Backup und Wiederherstellung

Daten-Backup-Technologien verfügen über zahlreiche Funktionen, die kleinen Unternehmen große Vorteile bieten:

  • Kontinuierliches/automatisches Daten-Backup:So wird sichergestellt, dass Änderungen an Dateien zeitgleich auch an den Backup-Speicherort kopiert werden. Auf diese Weise können auch kürzlich erfolgte Änderungen bei einem Datenverlust wiederhergestellt und somit das Recovery Point Objective gesenkt werden.
  • Inkrementelle Backups:Bei inkrementellen Backups werden nur die Änderungen kopiert, nicht die gesamten Dateien. Dies reduziert die für das Kopieren erforderliche Zeit, ohne die Arbeit selbst zu verlangsamen.
  • Instant Recovery:Mit dieser Funktion kann ein Backup-Snapshot temporär auf einem sekundären Speicher ausgeführt werden, um die Downtime einer Anwendung zu reduzieren.
  • Datendeduplikation:Bei der Deduplikation werden redundante Datenblöcke identifiziert und eliminiert, bevor die Daten auf den Backup-Speicher übertragen werden. So werden die Netzwerklast und der erforderliche Speicherplatz reduziert.
  • Fehlerfreie Kopien:Daten-Backup-Software stellt sicher, dass die von einer Quelle kopierten und auf einem Backup-Server gespeicherten Daten identisch sind und keine Fehler enthalten.

Vorteile von Cloud-Backups

Cloud-Backup-Tools bieten zahlreiche Vorteile, beispielsweise ihre Zugänglichkeit, die Möglichkeit, beschädigte Dokumente zu reparieren sowie Wiederherstellungsfunktionen. Die Hauptvorteile solcher Datensicherungsprogramme sind in der nachstehenden Grafik dargestellt.

Vorteile von Cloud Backups für Datensicherheit

Relevanz für kleine Unternehmen: HOCH

Menschen erzeugen jeden Tag etwa 2,5 Trillionen Bytes an Daten, wobei 90 Prozent aller Daten weltweit allein in den letzten zwei Jahren generiert wurden.

Selbst wenn kleine Unternehmen nur einen Bruchteil zu diesen Datenmengen beitragen, ist das dennoch eine riesige Menge Informationen. Umso wichtiger ist es, diese Daten vor Verlust und Beschädigung zu schützen und die richtigen Backup-Tools dafür zu verwenden.

80 Prozent der Unternehmen planen Umfragen zufolge, bis 2020 ihre Daten in der Cloud zu sichern.

Wer nicht ins Hintertreffen geraten möchte, sollte mithilfe der folgenden Schritte eine robuste Daten-Backupstrategie aufbauen.

Empfohlene Maßnahmen für das Daten-Backup in kleinen Unternehmen

Es empfiehlt sich, in folgender Reihenfolge vorzugehen:

  • Einen Daten-Backup-Plan vorbereiten:In diesem ersten Schritt identifiziert man kritische Datenressourcen, die kontinuierlich gesichert werden müssen. Es wird entschieden, welche Daten in der Cloud und welche lokal gesichert werden sollen. Besonders kritische Daten wie Systeminformationen, auf die im Katastrophenfall schnell zugegriffen werden muss, werden am besten vor Ort auf Laufwerken gespeichert.
  • Einen Daten-Backup-Anbieter auswählen:Sobald die Backup-Strategie entwickelt wurde, ist es an der Zeit, Backup-Anbieter zu recherchieren, die den eigenen Anforderungen an Speicherplatz, Geschwindigkeit, RPO, RTO und Kosten sowie den gesetzlichen Vorgaben entsprechen.

Die besten Daten-Backup-Anbieter nach durchschnittlicher Nutzerbewertung auf GetApp (Stand Februar 2019)

CrashPlan

Logo Crashplan

Cloudberry Backup

Logo Cloudberry

IntelligenceBank Digital Asset Management

Logo IntelligenceBank

Acronis Backup

Logo Acronis

GoodSync

Logo Goodsync

Eine ausführlichere Liste von Daten-Backup-Anbietern findet sich im Verzeichnis von Backup-Software von GetApp. Dort lassen sich Anbieter nach Funktionen, Budget, Ort, Bereitstellungsmodell und mehr filtern.

Technologien für den Cloud-Datenschutz sind unverzichtbar

Zwei Drittel aller Unternehmen nutzen Cloud-Technologien für das Ausführen von Anwendungen und das Speichern von Daten. Dabei setzen immer mehr Unternehmen auch Public-Cloud-Lösungen ein, was Maßnahmen zum Datenschutz noch wichtiger macht.

Technologien für den Cloud-Datenschutz stellen sicher, dass Daten bei der Übertragung und Speicherung in der Cloud nicht gehackt, manipuliert oder gestohlen werden. Gleichzeitig helfen diese Tools dabei, gesetzliche Anforderungen wie beispielsweise die DSGVO und andere Datenschutzgesetze einzuhalten.

Es gibt eine Vielzahl an unterschiedlichen Cloud-Datenschutztechnologien, die verschiedene Schutzebenen und -arten bieten. Im Folgenden wollen wir einige der wichtigsten Merkmale von Technologien für den Cloud-Datenschutz näher betrachten.

Zentrale Funktionen von Cloud-Datenschutztechnologien

Auf die folgenden Funktionen sollten kleine Unternehmen bei Technologien für den Cloud-Datenschutz nicht verzichten. Viele Cloud-Diensteanbieter (CSPs) bieten mindestens einige dieser Funktionen und es empfiehlt sich, genau zu vergleichen, wie stark die jeweiligen Funktionen sind und gegebenenfalls eigene Sicherheitskontrollen für einen zusätzlichen Schutz zu implementieren.

  • Verschlüsselung:Eine umfassende Verschlüsselung der Dateien ist das A und O aller Cloud-Sicherheitsmaßnahmen. Selbst wenn der Anbieter die gespeicherten Daten verschlüsselt, sollte eine zusätzliche Verschlüsselung erfolgen, damit die Daten beim Upload in die Cloud nicht ausgelesen werden können. Daten müssen sowohl bei der Speicherung als auch bei der Übertragung verschlüsselt sein, um das Risiko von Datensicherheitsverletzungen und -verlusten zu minimieren.
  • Tokenisierung:Bei diesem Vorgang wird ein sensibles Datenelement durch ein nicht sensibles Äquivalent ersetzt, was als Token bezeichnet wird. Der Token fungiert als Platzhalter, während die sensiblen Daten an einem anderen Ort gespeichert werden. Im Gegensatz zur Verschlüsselung kann die Tokenisierung nicht rückgängig gemacht werden. Sie wird primär zur Speicherung sensibler finanzieller Daten verwendet. Aufsichtsbehörden wie der PCI Security Standards Council betrachten die Tokenisierung als sicherere Form des Datenschutzes.
  • Endpunktsicherheit:Für den Zugriff auf cloudbasierte Ressourcen genutzte Endgeräte müssen gesichert werden, damit sie nicht zum Ziel von Hackerangriffen werden. Firewalls und Antivirenlösungen tragen zum Schutz von Endnutzergeräten bei, mit denen IaaS-, SaaS- oder PaaS-Tools genutzt werden.
  • Authentifizierung und Zugriffskontrollen:Diese Tools stellen sicher, dass nur autorisierte Personen Zugriffs- und Änderungsrechte für Cloud-Daten haben. So wird die Integrität der Daten gewahrt und das Risiko eines Datendiebstahls reduziert. Tools zur Verwaltung von Zugriffsberechtigungen (Privileged Access Management) verifizieren die Nutzeridentität und erlauben es nur autorisierten Personen, Daten einzusehen oder zu ändern.

Zusätzlich zu einigen der hier beschriebenen Funktionen können Cloud-Diensteanbieter auch begrenzte Daten-Backup- und Wiederherstellungsfunktionen anbieten. Vor dem Kauf zusätzlicher Cloud-Sicherheitstools lohnt es sich daher, die angebotenen Sicherheitsfunktionen zu recherchieren.

Hinweis: Einige der oben genannten Technologien sind möglicherweise auch als eigenständige Lösung verfügbar.

Vorteile von Cloud-Sicherheitssoftware

Die Hauptvorteile dieser Lösungen liegen in der verbesserten Datensicherheit durch Verschlüsselung und Zugriffskontrollen, der Einhaltung gesetzlicher Vorschriften und einer erhöhten Transparenz von Datenschutzmaßnahmen. Zusammengefasst sind sie noch einmal in der folgenden Grafik dargestellt:

Vorteile von Cloud Sicherheitstechnologie für den Datenschutz

Relevanz für kleine Unternehmen: HOCH

Es ist zu erwarten, dass schon 2020 mehr Daten in der Cloud als auf lokalen Geräten gespeichert werden und immer mehr Unternehmen den Großteil ihrer Anwendungen in die Cloud verlagern. Kleine Unternehmen, die im Alltagsbetrieb auf die Cloud setzen, müssen in die Cloud-Sicherheit investieren, um nicht ein hohes Risiko einzugehen, dass Hacker ihre wertvollen Daten stehlen oder manipulieren.

SaaS-Anwendungen werden zunehmend zur Speicherung kritischer Unternehmensdaten genutzt, was die Bedeutung von Technologien für den Cloud-Datenschutz immer schneller ansteigen lässt.

Empfohlene Maßnahmen für kleine Unternehmen

  • Sicherheitsfunktionen von Cloud-Anbietern verstehen:Viele Anbieter bieten Sicherheitsfunktionen wie Verschlüsselung und Anti-Malware-Tools mit Datenspeicheroptionen. Vor der Entscheidung für ein Tool sollte man genau herausfinden, wie (und wie gut) es funktioniert, wie die Nutzungsbedingungen aussehen und ob beim Zugriff auf die Sicherheitsfunktionen des Cloud-Anbieters zusätzliche Kosten entstehen. Sicherheitsexpert*innen können dabei unterstützen, die richtigen Cloud-Sicherheitstools für das eigene Unternehmen zu finden.
  • In Cloud-Sicherheitslösungen investieren:Cloud-Anwendungen lassen sich unkompliziert in andere Anwendungen integrieren und unterstützen Datenübertragungen. Um mögliche Maßnahmen für den Schutz von gespeicherten und übertragenen Daten zu ermitteln, sollten Fachleute zu Rate gezogen werden. Unser Verzeichnis mit Cloud-Sicherheitssoftware bietet einen guten Anhaltspunkt für den Vergleich verschiedener Softwaretools. Die Produkte lassen sich nach Funktionen, Preis, Abomodellen usw. filtern und Nutzerbewertungen geben Aufschluss darüber, wie sich die Tools im realen Einsatz bewährt haben.

Blockchain ist die neue Technologie für mehr Datensicherheit

Blockchain ist eine revolutionäre Technologie, die das Potential hat, die Datensicherheit, -integrität und -authentizität zu verbessern. Die Art und Weise, auf die Daten gespeichert und kontrolliert werden, wird komplett verändert und ist nahezu unmöglich zu manipulieren.

Eine Blockchain ist eine Kette von aneinandergereihten Datensätzen, die Zeitstempel und Verweise auf die vorherigen Einträge enthalten. Alle Datensätze in einer Blockchain sind kryptographisch gesichert und jedes Mitglied des Netzwerks verifiziert die Richtigkeit der Daten mithilfe privater und öffentlicher Schlüssel. Sobald Daten zur Blockchain hinzugefügt wurden, können sie nicht mehr verändert oder manipuliert werden.

Die Technologie klingt vielversprechend, ist aber noch nicht im Mainstream angekommen. Wer sich bereits mit den Funktionsweisen und Vorteilen der Blockchain vertraut macht, kann sein Unternehmen jetzt schon darauf vorbereiten, die Technologie reibungslos einzuführen, sobald sie ausgereifter ist.

Wichtige Funktionen der Blockchain-Technologie

Blockchain ist aufgrund folgender Funktionen nützlich für den Datenschutz:

  • Dezentralisierung:Daten werden nicht auf einen Cloud-Server hochgeladen oder an einem einzigen Ort gespeichert, sondern auf ein Netzwerk von Computern verteilt. Jeder Computer oder Knoten im Netzwerk verfügt dabei über eine Kopie der Daten. Durch diese Vielzahl von vergleichbaren Kopien ist es kaum möglich, Daten in der Blockchain zu manipulieren.
  • Verschlüsselung:Die in einem Blockchain-Netzwerk gespeicherten oder hinzugefügten Daten sind verschlüsselt. Die Technologie nutzt Kryptographiemethoden wie öffentliche Schlüssel, um die Identität der Nutzer*innen zu schützen und Transaktionen zu sichern.
  • Validierung:Aufgrund des dezentralen Charakters des Blockchain-Modells können die gespeicherten Daten einfach überprüft werden. Dateisignaturen können in allen Registern auf allen Netzwerkknoten abgeglichen werden, um sicherzustellen, dass keine Daten geändert wurden.

Vorteile der Blockchain-Technologie

Die Technologie bietet zahlreiche Datenschutzvorteile, beispielsweise Zuverlässigkeit, manipulationssichere Daten und Transparenz.

Vorteile von Blockchain für Datensicherheit

Relevanz für kleine Unternehmen: NIEDRIG

Die Blockchain-Technologie wird bisher noch für verschiedene Anwendungsfälle in Unternehmen getestet. Die für den Betrieb eines Blockchain-Netzwerks erforderlichen leistungsstarken Computerressourcen machen es kostenintensiv. Außerdem kann es bei der Implementierung zu technischen oder andersartigen Problemen kommen, beispielsweise wenn Anwendungen nicht kompatibel sind oder rechtliche Bedenken auftreten.

Für die Einführung in kleinen Unternehmen ist die Blockchain bisher kaum geeignet. Dem Hype Cycle for Data Security von Gartner zufolge (Bericht nur für Gartner-Kunden verfügbar) wird die Blockchain für die Datensicherheit innerhalb der nächsten 5 bis 10 Jahre ausgereift sein und weite Verbreitung finden.

Empfohlene Maßnahmen für kleine Unternehmen

Blockchain-Anwendungsfälle studieren. Viele Datensicherheitsanwendungen haben Blockchain-Technologien integriert. Auch einige Großunternehmen experimentieren mit den Möglichkeiten der Blockchain für den Datenschutz. Kleinen Unternehmen empfehlen wir, sich zunächst einmal durch die Beschäftigung mit Anwendungsfällen und Machbarkeitsstudien mit den Prinzipien und Funktionsweisen der Blockchain vertraut zu machen.

 

 

Nächste Schritte: Daten klassifizieren und Angestellte schulen

Mit den folgenden Schritten lassen sich die Datenbestände kleiner Unternehmen zusätzlich sichern:

  1. Daten klassifizieren: Auch wenn sie bereits 2018 in Kraft getreten ist, sind noch längst nicht alle kleinen Unternehmen mit der DSGVO bzw. Datenschutzgrundverordnung und ihren Anforderungen vertraut – und das sollte sich schleunigst ändern. Die Auseinandersetzung mit der DSGVO bietet eine gute Gelegenheit, um die eigenen Daten in unterschiedliche Datentypen aufzuteilen, die gegebenenfalls mit verschiedenen Datenschutztechnologien geschützt werden sollten.
  2. Die nötigen Technologien für den Datenschutz einführen: Hier sind beispielsweise Tools zur mehrstufigen Authentifizierung und der Verwaltung von Zugriffsberechtigungenzu nennen. In Zusammenarbeit mit dem IT-Team oder mit Sicherheitsexpert*innen sollte ermittelt werden, welche Datenschutztechnologien für welche Datenklasse am besten geeignet sind.
  3. Angestellte schulen: Ein großer Teil der Datensicherheitsverletzungen in kleinen Unternehmen wird durch riskantes Verhalten von Angestellten verursacht. Alle Mitarbeiter*innen sollten zu Datenschutzrichtlinien und Best Practices für die Sicherheitshygiene geschult werden, beispielsweise zur Identifizierung von Phishing-Versuchen, der Nutzung von sozialen Medien und der Arbeit mit Datenschutztechnologien beispielsweise zu Backup und Notfallwiederherstellung.

Bereit für den Vergleich verschiedener Softwarelösungen?

Unser Verzeichnis mit IT-Sicherheitssoftware hilft weiter.

 

¿Cuánto cuesta un software de seguridad informática?

Costes de seguridad informatica

Las pymes son un blanco fácil y constante de ciberataques, las consecuencias pueden ser catastróficas tanto en la economía como en la reputación de la empresa. Por lo tanto, al elegir un software de seguridad informática, el precio debería ser un factor secundario ya que se trata de proteger los datos de tu negocio.

De todos modos, conociendo los obstáculos a los que una pequeña empresa hace frente, también es muy importante valorar bien el precio al hacer cualquier compra, incluida una de software.

Si a este dilema le añadimos las dificultades que presenta desglosar el precio de las opciones a comprar, como hacer varias llamadas al equipo de ventas del producto o pasar horas navegando por páginas web, la búsqueda de software podría resultar una auténtica pesadilla.

Por suerte, con este artículo te ahorraras todo este trabajo.

Muchas empresas de software ofrecen precios personalizados o paquetes diferenciados que resuelven necesidades específicas, por lo que no es posible dar un precio exacto de solución de seguridad de redes para tu caso particular. Sin embargo, con este artículo podrás hacerte una idea de cuánto cuestan las soluciones de seguridad informática, en general.

Para llegar a esto, hemos calculado el coste medio de los sistemas de seguridad informática a lo que le hemos añadido un desglose de los modelos de precio más comunes.

Con esta información básica sobre los costes de la seguridad de redes, estarás más preparado para saber si la oferta de un sistema es buena o no. Como bien es sabido, a todos los pequeños negocios les viene estupendo una o dos ofertas buenas.

El precio medio de un software de seguridad de redes

Dinero paga seguridad de sistema de redes

Hemos analizado 50 sistemas de seguridad informática del catálogo de Capterra para calcular el precio medio del producto durante el primer año de uso en una empresa. Para ser coherentes, lo hemos calculado para cinco usuarios basándonos en el paquete más básico de cada empresa.

Los sistemas de seguridad informática más económicos cuestan tan solo 50 $ (45 € aprox.) al año. Incluso había dos sistemas que eran gratuitos para pequeños negocios. Los sistemas más caros pueden costar unos 6.000 $ (5.350 € aprox.) al año.

En conjunto, los datos han revelado que en el primer año de uso de un software de seguridad de redes, una empresa pequeña puede gastar en torno a 1.400 $ (1.250 €).

Guía de precios de seguridad de redes informáticas

El amplio rango de precio entre los sistemas de seguridad informática se debe a la extensa variedad de soluciones disponibles. En el extremo inferior de precios, se encuentran sistemas como VPN para negocios o soluciones de seguridad de correo electrónico que te ayudan a proteger tu empresa de amenazas concretas (como estafas por phishing) a pequeña escala.

Los sistemas de mayor precio, a menudo, son soluciones integrales de supervisión de redes con opciones avanzadas de detección y registro de eventos de seguridad. Pueden ayudarte a proteger tu organización de ataques a gran escala y a veces pueden predecir intrusiones antes de que ocurran.

En esta guía, hemos categorizado los sistemas de seguridad informática por sus modelos de precio, pero te recomendamos que evalúes qué tipo de sistema es mejor para las necesidades específicas de tu negocio.

Pagar por seguridad contra ciberataques

Modelo de precio: por licencia

Las cuotas por licencia son las que tienen un rango de precios más amplio, a menudo debido al menor o mayor grado de capacidad del programa. Por ejemplo, para un software básico de seguridad de correo electrónico, el coste medio es de unos 30 $ (27 € aprox.) por licencia. Sin embargo, si lo que buscas es una solución de supervisión de redes con capacidad predictiva, los precios por licencia son de miles de euros.

Recuerda que aunque la mayoría de las empresas definen sus precios por licencia como de “cuota única”, normalmente tendrás que pagar una renovación anual o una cuota de asistencia para asegurarte de tener siempre la versión más actualizada del sistema.

En total, el coste medio por licencia durante un año es de 1.000 a 2.000 $ (890 a 1.785 € aprox.).

Rango de precios por licencia: De 26 a 6.000 $ (23 a 5.350 € aprox.)

Modelo de precio: por usuario

Cuando se habla de usuarios en este contexto, normalmente se refiere a quienes usan el software para supervisar la red (el equipo de TI, por ejemplo). Sin embargo, conviene verificar esta definición, puesto que muchas empresas definen sus usuarios como aquellos que acceden a la red, lo que puede incluir a todo el personal de tu empresa.

De todas formas, el coste medio de sistemas con este modelo de precio es de 37 $ (33 € aprox.) por usuario al mes.

Rango de precios por usuario al mes: De 4 a 130 $ (3,5 a 115 € aprox.)

Modelo de precio: por terminal o dispositivo

En el mundo de las redes, dispositivo o terminal pueden referirse a lo mismo (un portátil puede ser ambos, terminal y dispositivo). Sin embargo, un terminal también puede referirse a un servidor o módem, lo que se sale un poco de la idea de dispositivo para la mayoría de las personas.

Por suerte, la mayor parte de las páginas web definen los términos que utilizan o detallan los costes que implica supervisar un servidor en comparación con proteger un ordenador, por ejemplo. Para evitar cargos sorpresa, asegúrate de preguntar a la empresa qué entienden por terminal o dispositivo si no está definido con claridad.

El coste medio de sistemas con este modelo de precio es de 2,25 $ (2 € aprox.) por dispositivo o terminal.

Rango de precios por terminal al mes: De 0,96 a 4,50 $ (0,85 a 4 € aprox.) 

Modelo de precio: paquetes por niveles

El precio de un paquete por niveles depende de las funciones específicas incluidas. Un paquete de bajo precio a menudo solo incluye funciones básicas o esenciales y los costes aumentan a medida que se requiere funciones avanzadas o añadir funciones distintas.

Los paquetes por niveles a menudo tienen en cuenta el número de usuarios de la red o el número de miembros del equipo, pero en la mayoría de los casos si tu empresa crece, tendrás que acceder a herramientas de supervisión de seguridad más avanzadas.

El coste medio de estos tipos de sistemas es de aproximadamente 500 $ (445 € aprox.) al mes por paquetes básicos que satisfacen las necesidades de equipos pequeños.

Rango de precios por paquetes por niveles: De 20 a 2000 $ al mes (18 a 1780 € aprox.)

¿Merece la pena el software de seguridad de redes?

Balance entre costes y seguridad informatica

Con toda esta información sobre precios, puede que ya hayas empezado a hacer números sobre las necesidades de seguridad de redes de tu empresa. Si estas cifras te empiezan a intimidar, puede que te estés preguntando “¿de verdad necesitamos este software de seguridad ahora?”.

Sí que lo necesitas.

Como veíamos al principio de este artículo, el precio del software debería ser un factor secundario a la hora de valorar opciones de seguridad informática. Es cierto, siempre hay que ser realista sobre lo que tu negocio puede o no permitirse pero también hay que serlo sobre los costes de una brecha de seguridad.

Un ciberataque efectivo a una pyme puede costar entre 75.000 y 300.000 € y eso es sin tener en cuenta el coste en términos de reputación de tu organización, es decir, que los consumidores y clientes de tu marca pierdan la confianza en tu capacidad de proteger sus datos.

De hecho, consume tanto tiempo, esfuerzo y dinero reparar el daño ocasionado por un ciberataque que la mayoría de pequeñas y medianas empresas quiebran en un plazo de seis meses desde que cayeron en las redes de la ciberdelincuencia.

¿El balance final? No proteger tus redes resulta mucho más caro que comprar el software de seguridad adecuado.

Qué otros factores deben tenerse en cuenta al evaluar los costes de seguridad informática

Cada negocio tiene necesidades de seguridad distintas, por lo que la mayoría de las empresas de software no dan información de precios. En lugar de eso, te piden que les llames para que te preparen un presupuesto personalizado basado en la evaluación de tus necesidades. Durante la llamada, suelen agendar una demostración para que veas el sistema en acción.

Aunque este proceso no va tan al grano como encontrar una guía de precios y calcular cuánto te costaría, puede ser una forma estupenda de asegurarte de que el nuevo sistema cubre todos los huecos de seguridad.

Incluso si el coste del sistema es muy claro, es buena idea que pidas una prueba gratis para asegurarte de que satisface tus necesidades. También hay que comprobar si la empresa ofrece descuentos por primeras compras para garantizar que consigues la mejor oferta.

 ¿Estás buscando software de seguridad informática? Consulta el listado de Capterra con los mejores productos de seguridad de red.

Nutzerstudie 2019: Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen

Zeichen für Datenschutz auf einem Bildschirm

Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen

Beginn dieses Jahres kam es zu einem immensen Datenleak in Deutschland. Ein 20-Jähriger hackte und veröffentlichte 2,2 Milliarden E-Mail-Adressen und die dazugehörigen Passwörter von privaten Nutzern, Abgeordneten und Prominenten. Dieser jüngste Angriff zeigt, wie leicht sensible Daten gestohlen und manipuliert werden können.

Deutsche Unternehmen sind ein begehrtes Ziel für Cyberangriffe. Insbesondere der Mittelstand wird als leichte Beute betrachtet. Während große Konzerne besser gegen Attacken gerüstet sind und sich schneller von den Schäden erholen können, fehlt es im Mittelstand oft an den notwendigen Ressourcen und Anschläge werden nur schwer verkraftet. Unternehmen mit 100 bis 500 Mitarbeitern werden laut Bitkom am häufigsten angegriffen.

Cyberkriminalität verursacht jedes Jahr einen immensen wirtschaftlichen Schaden. Datendiebstahl, Industriespionage oder Sabotage verursachten bei deutschen Industrieunternehmen laut Bitkom in den vergangenen zwei Jahren einen Schaden von mehr als 43 Milliarden Euro. In der gesamten deutschen Wirtschaft waren es sogar fast 110 Milliarden Euro. Unternehmen laufen Gefahr das Vertrauen ihrer Kunden, vertrauliche Dokumente, Ideen und Patente durch den Datendiebstahl zu verlieren.

Die Rettung? 

Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen

Im Mai 2018 änderte die Einführung der Datenschutz-Grundverordnung (DSGVO) in Europa die Art und Weise, wie Unternehmen personenbezogenen Daten ihrer Nutzer speichern und verwalten. Die Regelung verschärft Datenschutzbestimmungen und hat zum Ziel, die gefährlichen Angriffe vorzubeugen und Nutzerdaten zu schützen. Durch die DSGVO soll das Vertrauen in die Digitalwirtschaft gestärkt werden.

Capterra führte eine Umfrage mit 250 IT-Service-Mitarbeitern aus Deutschland durch, um einen Überblick über den Stand der IT-Sicherheit in KMU für 2019 zu geben.

Highlights der Studie: 

  • Ein Fünftel der Unternehmen schätzen ihr Unternehmen als schlecht vorbereitet ein, Datenschutzbestimmungen einzuhalten.
  • Lediglich 30 % vertrauen bei der Datenspeicherung auf die Cloud.
  • 60 % der KMU speichern ihre Daten auf internen Servern.
  • 56 % der deutschen KMU sind nicht gut mit der DSGVO vertraut.
  • 30 % der deutschen KMU überprüfen Datenschutzbestimmungen halbjährlich, knapp 40 % jährlich.
  • Die Hälfte aller Unternehmen haben nicht genug Zeit bzw. Ressourcen, die zur Einhaltung von Datenschutzbestimmungen benötigt werden.

Deutsche KMU sind nicht genügend vorbereitet 

Ein Fünftel der deutschen KMU schätzen ihr Unternehmen als nicht gut vorbereitet ein, Datenschutzbestimmungen einzuhalten.

Statistik zu Vorbereitung auf Datenschutzbestimmungen

Die Einhaltung von Datenschutzbestimmungen nimmt seit der Einführung der DSGVO eine wichtigere Rolle ein. Neben der erhöhten Gefahr von Cyberangriffen sind auch die Bußgelder bei Nichteinhaltung um ein Mehrfaches erhöht wurden. Der Bußgeldrahmen kann bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes betragen.

Statistik zu DSGVO

Der erste Schritt um die Bestimmungen ordnungsgemäß umzusetzen ist, sich mit ihnen vertraut zu machen. Das meist genannte Hindernis in Unternehmen beim Implementieren der Datenschutzbestimmungen sind jedoch fehlende Zeit und Ressourcen, gefolgt von mangelndem Wissen zu Datenschutzthemen. 

Bei der Überprüfung von Datenschutzbestimmungen sind Unternehmen sehr gewissenhaft. In 30 % der deutschen KMU werden Datenschutzbestimmungen halbjährlich überprüft, in knapp 40 % jährlich. In 81 % der KMU gibt es einen Datenschutzbeauftragten, dieser ist zu 66 % sogar aus dem eigenen Haus. Einen Datenschutzbeauftragten zu bestellen, ist von dem Umgang mit personenbezogenen Daten im Unternehmen abhängig. Meistens wird ein Datenbeauftragter jedoch ab 10 Mitarbeitern zur Pflicht.

Ist billig wichtiger als sicher?

Statistik zu Faktoren bei der Softwareauswahl

Für knapp 40 % der Unternehmen sind die Funktionen bei der Softwareauswahl am wichtigsten. Ein Viertel der IT-Mitarbeiter nennen den Preis als wichtigstes Entscheidungsmerkmal. Datensicherheit schafft es, vor Integrationen und Nutzerbewertungen, lediglich mit einem Fünftel der Stimmen auf Platz 3 der entscheidenden Faktoren für einen Softwarekauf. 

Der Preis spielt bei der Softwareanschaffung eine wichtige Rolle, steht jedoch dem Sicherheitsaspekt häufig entgegen. Die Software-Riesen aus den USA bieten viele top Produkte für wenig Geld an. Werden Daten jedoch in den USA gespeichert, werden diese nach amerikanischem Recht behandelt und sind häufig nicht mit den deutschen Sicherheitsstandards konform. 

Deutsche Softwareanbieter sind im Vergleich zu der amerikanischen Konkurrenz häufig teurer. Sie haben in der Regel jedoch Rechenzentren in Deutschland, auf denen die Anwendungen und Services bereitgestellt werden. Ebenfalls sind Tools, bei denen deutschlandspezifische Standards und Normen wie z.B. GoBD (Anforderungen des Finanzamts an die IT-gestützte Buchführung) in der Software benötigt werden, in der Entwicklung aufwändig und häufig für den Preisunterschied verantwortlich.

Amerikanische Softwarehersteller melden sich vermehrt bei dem EU-US Privacy Shield an. Diesem kommt vor allem seit der DSGVO eine hohe Bedeutung zu. Es regelt die DSGVO-konforme Übertragung personenbezogener Daten aus der Europäischen Union in die USA. Das Datenschutzschild unterliegt einer Selbstverpflichtung der Unternehmen und ist daher starker Kritik ausgesetzt.

66 % der deutschen KMU geben in unserer Umfrage an, nicht gut mit dem EU-US Privacy Shield vertraut zu sein. Es ist jedoch entscheidend amerikanische Softwareanwendungen auf das Privacy Shield zu überprüfen. 

Wer also auf Nummer sicher gehen will, sollte neben dem Privacy Shield auch auf eine länderspezifische Konformität achten oder über eine (wahrscheinlich etwas teurere) Software-Anwendung aus Deutschland nachdenken. 

Cloud-Technologien übernehmen Datensicherheit

Cloud-Technologien sind auf dem Vormarsch. Sie bringen Unternehmen viele Vorteile und neue Trends wie künstliche Intelligenz setzen Cloud-Technologien voraus. Die Vorteile reichen von der Flexibilität, über die Skalierbarkeit, bis hin zur Kostenkontrolle ohne Investitionsaufwand.

Statistik zur Speicherung der Kundendaten

Viele Unternehmen stehen Cloud-Software noch skeptisch gegenüber. So speichern 61 % der KMU in Deutschland Kundendaten auf dem eigenen Server. Lediglich 30 % setzen Cloud-Tools zur Datenspeicherung ein.  

Seriöse Cloud-Anbieter sichern Daten in Rechenzentren in Deutschland nach deutschen Sicherheitsstandards mit doppelt redundanten Speicherlösungen und Informationssicherheitsmanagement mit ISO-Zertifizierung. Weiterhin stellen die Anbieter IT-Sicherheitsexperten zur Verfügung, die sich ausschließlich mit dem Datenschutz der Anwendung beschäftigen. 

Aufgaben, die Kompetenz, Fachpersonal und Zeitaufwand fordern, sowie Installation, Konfiguration und Software-Updates fallen mit Cloud-Nutzung aus dem Aufgabenbereich von Unternehmen. Als weiterer entscheidender Vorteil kann die Auslagerung von Datensicherheitsmaßnahmen an Experten angesehen werden.

Wie können KMU ihre Sicherheitsstrategie verbessern? 

1. Richtlinie zur Datenklassifizierung implementieren

Laut dem neusten Datenrisiko-Report von Varonis Systems, Inc. sind durchschnittlich 22 % der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich. In jedem zweiten Unternehmen können alle Mitarbeiter auf mehr als 1000 sensible Dateien zugreifen und bei fast ebenso vielen (51 Prozent) unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung. Um dem entgegenzuwirken, können Unternehmen verschiedenen Klassifizierung aufstellen, unter diese Unternehmensdaten fallen. 

Laut Gartner beschreibt eine Datenklassifikationspolitik “die unternehmensweite Verantwortung für die Identifizierung sensibler Daten durch Klassifizierung. Viele Unternehmen integrieren einen grundlegenden Rahmen und definieren Klassifizierungsstufen, die verwendet werden müssen.”

Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen: Tabelle zur Datenklassifizierung

Um Daten effektiv zu klassifizieren, schlägt die CEB vor, die folgenden fünf Faktoren zu berücksichtigen:

  • Kritikalität: Wie kritisch sind die Daten für den Betrieb des Unternehmens?
  • Sensibilität: Wie würde sich die unbefugte Veröffentlichung dieser Daten auf das Unternehmen auswirken?
  • Verfügbarkeit: Wie fristgerecht und zuverlässig ist der Zugang und die Nutzung dieser Daten?
  • Integrität: Wurden diese Daten ordnungsgemäß verarbeitet und gespeichert?
  • Einbehaltung: Bist du befugt diese Daten zu speichern und für wie lange?

Nachdem sich Unternehmen für eine passende Klassifizierung entschieden haben, können sie im nächsten Schritt entscheiden, wie mit diesen Daten umgegangen werden soll. Dazu gehört auch, wer wann und zu welchem Zweck Zugriff darauf hat.

2. Acceptable Use Policy

Menschen machen Fehler. Nach Angaben der IT Governance kommen 4 von 5 Datenverstößen aufgrund von menschlichem Versagen vor. Nutzungsrichtlinien darüber, wie Mitarbeiter Daten und Geräte eines Unternehmens nutzen können helfen, diese Bedrohung zu verringern.

Die Acceptable Use Policy (AUP) ist ein Leitfaden, der erklärt, welche Praktiken innerhalb des Unternehmens tolerierbar sind. Anstatt eine Liste mit reinen Verboten aufzustellen, werden Mitarbeiter bei ihrer täglichen Arbeit ermutigt, mit gesundem Menschenverstand und Urteilsvermögen mit Hard- und Software umzugehen. 

Eine verhaltensbasierte AUP kann beispielsweise lauten: “Vermeiden Sie die übermäßige Nutzung von Streaming-Sites von Drittanbietern” anstelle von “Wir verbieten die Nutzung von YouTube”.

Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen: Grafik zur AUP

So können sich alle Mitarbeiter des Unternehmens, und nicht nur die Mitarbeiter der IT-Abteilung, verantwortungsbewusst verhalten und die Sicherheit der verwendeten Daten und Geräte gewährleisten.

3. Das perfekte Duo: Cyber Security Software und Cyber-Risk-Versicherungen 

Unternehmen, die sich im Internet bewegen sind dem ständigen Risiko von Cyberangriffen ausgesetzt. Es ist daher besonders wichtig in IT-Sicherheitsmaßnahmen zu investieren. Jedes Unternehmen sollte eine Cyber Security Software einsetzen, die den unbefugten Zugriff auf elektronisch gespeicherte Daten zu verhindern versucht. Die Anwendungen können Systemsicherheitsbedrohungen in Form von bösartiger Software wie Viren, Spyware usw. erkennen und eindämpfen und die Systemnutzung durch Dritte verhindern. 

Hacker werden cleverer und Angriffe besser, daher kann eine Cyber Security Software zwar das Risiko verringern, jedoch nicht verhindern. Daher ist die Schadensbegrenzung eine wichtige Maßnahme für KMU, die besonders stark unter den wirtschaftlichen Schäden leiden. Der Abschluss einer Versicherung gegen Cyberattacken kann KMU daher empfohlen werden. Wird das Unternehmen angegriffen und erleidet eine Unterbrechung des Geschäftsbetriebs, kommt die Versicherung für den Schaden auf und bietet Notfall-Serviceleistungen an. 

Cyber Security Software wehrt die gefährlichen Angriffe ab und Cyber-Risk-Versicherungen helfen gegen die Restrisiken. Die richtige Kombination der beiden Elemente führt zur maximalen Absicherung in Unternehmen. 

Infographik zu Datenschutz und Datensicherheit in deutschen KMUDeutsche Unternehmen werden Themen wie Datenschutz und Cyberkriminalität gegenüber immer sensibler, jedoch ist mangelnde Zeit und Wissen häufig ein Problem bei der Umsetzung von verstärkten Sicherheitsbestimmungen. Es wird jedoch immer wichtiger sich vor den gefährlichen digitalen Angriffen zu schützen, um starke wirtschaftliche Schäden, Kundenverlust und Vertrauensverluste zu verhindern.

Möchtest du nicht riskieren, dass ein 20-Jähriger Hacker deine Unternehmensdaten klaut und veröffentlicht, dann investiere mehr Zeit und Ressourcen in Datensicherheit, halte Datenschutzgesetze ein, investiere in Cyber Security Software und schließe eine Versicherung ab.  

 


Methodologie der Studie

Um die Daten für diesen Report zu sammeln, haben wir eine Online-Umfrage durchgeführt. Die Antworten stammen aus einer Stichprobe des Zielmarktes Deutschland. Die Ergebnisse sind für diese Umfrage repräsentativ, jedoch nicht unbedingt für die Bevölkerung als Ganzes. Die Umfrage wurde an 2000 Personen verschickt, woraufhin sich durch Screeningfragen 250 Teilnehmer für die Vervollständigung der Umfrage qualifiziert haben. Qualifizierte Teilnehmer sind berufstätig (vollzeitbeschäftigt, teilzeitbeschäftigt oder selbstständig), arbeiten in einem kleinen bis mittleren Unternehmen (1–250 Mitarbeiter) sind in der IT-Abteilung ihres Unternehmens tätig und sind in den Entscheidungsprozess involviert, welche Software und Technologien im Unternehmen verwendet werden.

Was ist VPN? Die größten Vorteile für Unternehmen

Frau steht vor VPN Server

Frau steht vor VPN Server

Weltweit werden im Internet etwa 73.944 GB Traffic pro Sekunde verarbeitet, darunter 2.807.677 E-Mails und 75.104 Google-Suchen. Die Kommunikation im eigenen Unternehmen – intern oder mit Kunden und Lieferanten – macht von diesen riesigen Zahlen nur einen winzigen Teil aus.

Umso größer sind jedoch die Folgen, wenn Unternehmensdaten einem Angriff oder Datenleck zum Opfer fallen und übers Internet verbreitet werden: Solche Katastrophen können bekanntlich schnell zu Kosten in Millionenhöhe führen.

Auch im deutschen Mittelstand wurde einer Forsa-Umfrage zufolge jedes dritte Unternehmen bereits Opfer von Cyberangriffen, jedes zehnte Unternehmen sogar mehrfach. Die zunehmende Verbreitung von Praktiken wie dem Mitbringen eigener Geräte (BYOD bzw. Bring Your Own Device) und der Remote-Arbeit lässt Cyberrisiken weiter ansteigen.

Große Unternehmen mit entsprechend hohem Budget haben tendenziell bessere (wenn auch nicht optimale) Voraussetzungen für die Bereitstellung von IT-Sicherheitslösungen. Kleine Unternehmen müssen noch wachsamer sein.

Es gibt eine Vorkehrung, die jedes Unternehmen unabhängig von seinem Budget treffen sollte: die Investition in einen VPN-Service (Virtual Private Network). Was ist ein VPN? Das virtuelle private Netzwerk verschlüsselt die übertragenen Daten und verschleiert die Identität der Nutzer*innen, wodurch ihre Online-Aktivitäten geschützt werden.

In diesem Artikel erläutern wir, welche Vorteile VPNs bringen und wie sie funktionieren. Außerdem behandeln wir die wichtigsten Funktionen von VPN-Lösungen und stellen einige VPN-Softwareanbieter vor.

 

Was ist VPN?

Ein VPN ist ein sicherer Tunnel für das Surfen im Internet. Die Technologie ermöglicht sichere, verschlüsselte Verbindungen zwischen Geräten und Servern über das Internet. Sie maskiert die Identität der Geräte und verschlüsselt die Daten, die PCs oder Mobiltelefone ins Internet übertragen.

Um die Frage „Was ist VPN eigentlich?“ genauer beantworten zu können, wollen wir zunächst ansehen, wie das Surfen im Internet ohne VPN aussieht:

Abbildung zur Internetnutzung ohne VPN

Ohne VPN liegen die über das Internet gesendeten Daten völlig offen (vor allem bei Websites ohne HTTPS-Verschlüsselung) und sind kaum geschützt. Hacker können die Daten bei der Übertragung einsehen, ihrem Pfad folgen und so die IP-Adresse, von der sie stammen, identifizieren und erreichen. Wenn es sich bei den Daten um vertrauliche Informationen handelt, beispielsweise zu einer Ausschreibung oder einer Fusion, kann das ein enormes Risiko darstellen. Außerdem können Hacker Server oder Geräte indirekt kompromittieren, um Cyberangriffe durchzuführen.

Ein VPN sichert die Internetkommunikation, indem ein virtuelles Netzwerk erstellt wird. Die Anfragen erreichen den Zielserver nicht mehr direkt, sondern werden über einen VPN-Server weitergeleitet. Der Zielserver identifiziert den VPN-Server und nicht den tatsächlichen Ursprung des Datenverkehrs.

Abbildung zur Internetnutzung mit VPN

Datenanfragen werden von der VPN-Software verschlüsselt, bevor sie auch nur vom Internetdienstanbieter (ISP) empfangen werden. So können Hacker oder Malware die Informationen nicht auslesen.

Warum VPN?

Von einem VPN profitieren alle Internetnutzer, egal ob Privatanwender, Startups, Kleinunternehmen oder Großkonzerne. Es sichert die Internetkommunikation und minimiert Datendiebstahl.

Für kleine Unternehmen sind beispielsweise folgende Anwendungsfälle sinnvoll:

  • Remote-Arbeitskräfte:Viele Angestellte oder freiberufliche Mitarbeiter*innen arbeiten von unterschiedlichen geografischen Standorten aus. Es kann eine Herausforderung sein, ihre Online-Aktivitäten zu überwachen und ihnen sicheren Zugriff auf das IT-Netzwerk zu gewähren.
  • BYOD-Richtlinien:85 Prozent der Unternehmen bieten ihren Angestellten BYOD-Optionen an. Dadurch werden zwar die Infrastrukturkosten im Unternehmen reduziert, aber die Sicherheitsrisiken steigen. Außerhalb des Büros verbinden Mitarbeiter*innen ihre Geräte möglicherweise mit ungesicherten Netzwerken und setzen die Daten somit Risiken aus.
  • Angestellte reisen an Kundenstandorte:Wenn Angestellte zu Kunden reisen, um Verträge abzuschließen oder Kunden nach dem Kauf zu betreuen oder zu beraten, benötigen sie am Kundenstandort meist Zugriff auf ihr privates Unternehmensnetzwerk. Häufig müssen sie auch unterwegs arbeiten und greifen dafür auf öffentliches WLAN an Flughäfen und in Hotels zu, was Sicherheitsrisiken erhöht.
  • Sichere Kommunikation und Surfen:Auch wenn immer mehr Websites HTTPS einsetzen, nutzen noch immer viele nur HTTP, also die ungesicherte Variante. Angestellte landen schnell einmal auf einer dieser Websites und gefährden so möglicherweise sensible Daten wie Passwörter oder Unternehmensdaten.

Genau hier liegt einer Umfrage von PCMag zufolge auch der Hauptgrund für die VPN-Nutzung:

52 % der VPN-Nutzer*innen in den USA setzen die Technologie zu Sicherheitszwecken ein.

 

VPN bietet viele Vorteile und wenige Nachteile

Die Einrichtung eines VPN schützt die Kommunikation, verbessert den Datenschutz und ermöglicht es, geografische Einschränkungen zu umgehen.

Vorteile von VPN

Tabelle mit Vorteilen von VPN

  • erbesserte Datensicherheit:Ein VPN verbessert die Sicherheit von Websitzungen, indem es die Daten durch einen sicheren Tunnel leitet und verschlüsselt. Einige VPNs können außerdem Malware in aus dem Internet heruntergeladenen Dateien erkennen und entsprechende Warnungen ausgeben.
  • Mehr Privatsphäre im Internet:Privatsphäre und Datenschutz im Internet sind heutzutage ein wachsendes Problem. Ein VPN hilft dabei, über neue IP-Adressen die eigene Identität im Internet zu verbergen. Die Verschlüsselung der übertragenen Daten sorgt zusätzlich dafür, dass die Informationen vor neugierigen Blicken geschützt sind.
  • Umgehen von Geoblocking: Nicht nur auf YouTube sorgt die Meldung „Dieses Video ist in deinem Land nicht verfügbar“ regelmäßig für Unzufriedenheit, auch für den Unternehmensbetrieb notwendige Inhalte können von Ländersperren betroffen sein. Ein VPN umgeht das Geoblocking, indem der Anschein erweckt wird, die Zugriffsanfrage stamme von einer IP-Adresse aus einem nicht beschränkten Land.
  • Geringe Kosten:VPNs sorgen für mehr Sicherheit beim Surfen im Internet und kosten dabei meist weniger als 10 Euro im Monat. Ein einzelnes VPN-Abonnement bzw. eine Lizenz unterstützt üblicherweise zwischen 3 und 10 Geräte. Die meisten Anbieter von VPN-Software bieten außerdem Mehrjahreslizenzen zu reduzierten Preisen an.

Wirkliche Nachteile bei der VPN-Nutzung gibt es nicht, doch sie könnten das Surfen im Internet verlangsamen, da zur Verschlüsselung von Datenanfragen und der Übertragung an weitere (VPN-)Server zusätzliche Schritte nötig sind.

Sobald man das VPN abschaltet, surft man wieder mit voller Geschwindigkeit. Während bestimmter Internetaktivitäten empfiehlt es sich jedoch, das VPN zu nutzen, vor allem in öffentlichen WLAN-Netzwerken oder beim Senden vertraulicher Daten.

Wichtige Funktionen von VPN-Software

Bei der Suche nach guter VPN-Software sollten die folgenden Funktionen ausschlaggebend sein:

Funktionen Beschreibung
Kill-Switch-Funktion Wenn die VPN-Verbindung unterbrochen wird, verhindert eine Not-Aus-Funktion sofort, dass Geräte oder ausgewählte Programme weiter Daten über das Internet austauschen.
Peer-to-Peer-Unterstützung Unterstützt Peer-to-Peer-Traffic (P2) durch die Verbindung mit einem P2P-Server. Ein P2P-Netzwerk ist ein selbstorganisiertes Netzwerk, in dem jedes verbundene Gerät gleichzeitig als Client und Server fungiert.
Anonymes Surfen Standort und andere persönliche Daten werden verborgen, indem IP-Adressen geändert und Suchaktivitäten verborgen werden und die Verbindung mit dem Internet über Remote-Server von Drittanbietern erfolgt.
Schutz vor DNS-Leaks Es wird sichergestellt, dass alle DNS-Anfragen durch das VPN und nicht über den DNS-Server des ISP geleitet werden.
Remotezugriff Angestellte können sich von Remote-Standorten aus sicher mit dem privaten Netzwerk des Unternehmens verbinden.
Verschlüsselung Datenanfragen werden verschlüsselt, um sicherzustellen, dass nur der eigene VPN-Client und -Server sie lesen kann. Zu den häufig genutzten Verschlüsselungsprotokollen gehören IPsec (nutzt Kryptographie zum Verschlüsseln und Authentifizieren des Datenverkehrs zwischen Punkten), OpenVPN und die 256-Bit-Verschlüsselung.

Idealerweise sollte ein VPN-Service außerdem Folgendes bieten:

  • Mehrere Serverstandorte:In je mehr Ländern sich die Server eines VPN-Anbieters befinden, desto mehr IP-Adressen stehen zur Verfügung. Dies verbessert die Möglichkeiten zur Umgehung von Ländersperren. Eine höhere Zahl an Servern reduziert außerdem den Internet-Traffic und verbessert die Surfgeschwindigkeit.
  • No-Logs-Richtlinien:Um den Datenschutz zu wahren, ist es wichtig, darauf zu achten, dass ein VPN-Anbieter die Online-Aktivitäten nicht protokolliert. Die Protokollierung ist von landesspezifischen Gesetzen abhängig und kann in manchen Ländern verpflichtend sein. Bei seinem VPN-Anbieter erfährt man mehr Einzelheiten zu diesem Thema.
  • Mobile Apps:Die Verwaltung von Geschäftsprozessen auf Smartphones und Tablets ist mittlerweile völlig alltäglich. Dementsprechend muss ein VPN auch mobile Geräte abdecken und man sollte überprüfen, ob der bevorzugte VPN-Service mobile Apps für iOS, Android und Windows bietet.

Einer Umfrage von PCMag zufolge machen sich kleine Unternehmen am meisten Gedanken über die Geschwindigkeit von VPN-Services sowie den Preis des Tools. Auch die Zahl der Server und die Kompatibilität werden berücksichtigt.

Statistik zur Wichtigkeit der Funktionen von VPN


Die nachfolgend in alphabetischer Reihenfolge aufgeführten drei VPN-Softwareprodukte haben die höchste durchschnittlichen Kundenbewertung auf GetApp (Stand April 2019).

3 Beispiele für VPN-Software

  1. GOOSE VPN

Screenshot von Goose VPN

GOOSE VPN ist für 12,99 € pro Monat verfügbar (ab 2,99 € im 2-Jahres-Paket) und bietet u. a. 256-Bit-Verschlüsselung, eine Kill-Switch-Funktion, Unterstützung von IPSec und No-Logs-Richtlinien. Außerdem ermöglicht sie Nutzer*innen, Bandbreitenbegrenzungen durch ISPs zu vermeiden. GOOSE VPN funktioniert auf allen Geräten und Betriebssystemen einschließlich Windows, Mac, Android und iOS.

Sichere Verbindung mit GOOSE VPN

  1. NordVPN

Screenshot von NordVPN

Der Cloud-Sicherheits-Service NordVPN bietet Funktionen wie 256-Bit-Verschlüsselung, Kill-Switch-Funktion, DNS-Leak-Schutz, No-Logs-Richtlinien und Aktivitätsmanagement und ist für 10,50 € monatlich verfügbar (im 3-Jahres-Paket bereits für 2,62 € im Monat).

Einstellungen in NordVPN

  1. PureVPN

Screenshot von PureVPN

Der P2P-fähige VPN-Service PureVPN bietet für 9,60 € im Monat (ab 2,92 € im 1-Jahres-Paket) sichere Dateiübertragung, 256-Bit-Verschlüsselung, Internet-Kill-Switch und DDoS-Schutz und verhindert die ISP-Begrenzung. Das Tool hilft dabei, IP-Adressen zu maskieren, DNS-Leaks zu verhindern und Adware zu blockieren. PureVPN funktioniert auf unterschiedlichen Gerätetypen einschließlich Smart-TVs, PCs, Mobiltelefonen und Routern.

Verschiedene Verbindungsmodi in PureVPN

 

Nächste Schritte: Das eigene VPN einrichten

Wenn du noch über kein VPN verfügst, solltest du nicht warten, bis eine Datensicherheitsverletzung auftritt, sondern dich sofort bei einem VPN-Service anmelden. Eine Übersicht der verschiedenen Anbieter findest du in unserem Verzeichnis von VPN-Softwarelösungen.

Sobald das VPN eingerichtet ist, solltest du alle Angestellten anhalten, sämtliche geschäftliche Arbeit über das Internet nur noch über das VPN durchzuführen. Wenn die Mitarbeiter*innen das VPN die meiste Zeit ausgeschaltet lassen, kann es schließlich seinen Zweck nicht erfüllen und ihre Online-Aktivitäten bleiben ungeschützt.

Hast du bereits VPN-Software und denkst über ein Upgrade nach? In diesem Fall lohnt sich ein Blick auf VPN-Tools, die ein schnelleres Surfen ermöglichen und moderne Verschlüsselungsmethoden wie SSL und L2TP unterstützen.

 

Enquête : comment les PME abordent-elles la question de la sécurité des données à l’heure du RGPD ?

Enquête comment les PME abordent elles la question de la sécurité des données à l'heure du RGPD

Enquête comment les PME abordent elles la question de la sécurité des données à l'heure du RGPD

En mai 2018, la mise en place en Europe du règlement général sur la protection des données (RGPD) a chamboulé la façon dont les entreprises stockent et gèrent les informations personnelles de leurs utilisateurs. Les entreprises du monde entier (et pas seulement les entreprises européennes) ont dû se plier à cette nouvelle exigence et appliquer de nouvelles politiques de sécurité informatique au sein de leur activité pour rentrer dans le cadre de la loi.

Chaque fois qu’un utilisateur Internet souscrit à un service, effectue un achat sur un site ou remplit un formulaire, il sème autant d’informations personnelles derrière lui. Les sites web sont désormais tenus d’afficher un pop-up invitant (ou sommant) l’internaute d’accepter des cookies et, de manière plus tacite, d’autoriser le partage de ses données avec des “partenaires commerciaux”. Ces mystérieux partenaires, selon l’entreprise, peuvent se compter par dizaines, voire par centaines.

Sécurité informatique : les PME à l’épreuve des cyberattaques

Les cyber risques sont la plus grande menace actuelle pour les entreprises. Fuites de données, interruption d’activité, ransomwares… Rien qu’en 2018, 92 % des entreprises françaises ont subi une ou plusieurs cyberattaques. Si les grands groupes sont bien équipés pour se remettre de pertes conséquentes, rien n’est moins vrai pour les PME pour qui une telle attaque peut sonner le glas. 

Comment les PME anticipent-elles ces risques ? Sont-elles prêtes à garantir l’intégrité de ces données confidentielles qui attisent tant la convoitise de pirates chevronnés ? Les données personnelles des utilisateurs sont-elles entre de bonnes mains ? Capterra a mené l’enquête auprès de 104 employés de services informatiques en France et livre un panorama de la sécurité informatique dans les PME en 2019.

Des entreprises pas toujours bien préparées

les pme sont-elles préparées à protéger leurs données

Les entreprises sont plus ou moins conscientes des risques : 53 % se disent “un peu préparées” et seules 44 % s’estiment “très préparées” à respecter les réglementations relatives à la protection des données informatiques. Une petite partie n’est pas ou peu préparée et devrait urgemment s’enquérir des mesures à prendre : une attaque est vite arrivée, et avec elle, pertes et fracas. Puisque l’information a bien circulé dans la presse et sur le web et que des mesures ont été prises au sein des entreprises, ces taux de préparation ne devraient-ils pas être proches des 100 % ? Une éducation reste à effectuer afin que les entreprises, petites ou grandes, mettent en place de manière efficace des mesures visant à protéger leurs données et à prévenir tout acte malfaisant qui pourrait compromettre leur activité.

Où sont stockées les données personnelles ?

Près de 60 % des interrogés affirment que les données sont stockées localement, sur les appareils de l’entreprise, solution qui semble la plus logique car la plus historiquement ancienne. 28 % utilisent le stockage en ligne ou dans le cloud, solution qui gagne du terrain, mais qui ne s’est pas encore entièrement démocratisée. Cela s’explique certainement par le manque d’informations sur les produits cloud, et les suspicions quant à leur fiabilité face à une cyberattaque. Pourtant, les outils garantissant l’intégrité du contenu qu’ils hébergent ne manquent pas et leur prise en main est généralement simplissime, en plus de permettre une synchronisation en temps réel sur tous les appareils concernés. Il faut cependant s’assurer que l’outil choisi réponde bien aux normes de sécurité établies par le RGPD.

Comment sont choisis les logiciels ?

Au moment de choisir son ou ses logiciels, seuls 27 % des interrogés considèrent la sécurité des données comme critère premier. Bien sûr, les fonctionnalités semblent logiquement être les éléments essentiels à considérer pour 35 % des répondants, mais cela pourrait bien se retourner contre l’entreprise si ces mêmes fonctionnalités ne garantissent pas la protection des données personnelles de ses clients.

Quelles mesures pour renforcer la cybersécurité de sa PME ?

L’erreur est humaine et malheur à celui par qui le scandale arrive.

Les politiques appliquées au sein de l’entreprise définissent un cadre non seulement pour les employés et l’utilisation faite de ces données, mais également pour la sécurité des informations et des données, internes et externes.

quelles politiques les entreprises appliquent elles en matière de comportement des employés

L’utilisation acceptable

La politique d’utilisation acceptable est un guide expliquant quelles pratiques sont tolérables ou non au sein de l’entreprise. Plutôt que de se voir imposer une liste d’interdictions pures et dures, les employés sont invités à user de bon sens et de leur jugement dans leur quotidien au travail, que ce soit vis-à-vis de leur utilisation du matériel ou bien celle des logiciels. Par exemple, on peut conseiller d’éviter l’utilisation excessive de plateformes de streaming, plutôt que d’interdire strictement l’utilisation de YouTube : une manière souple de responsabiliser les individus.

Une telle politique peut prendre la forme de ce schéma :

Système de politique d'utilisation acceptable

Cela permet à tous les collaborateurs de l’entreprise, pas seulement à ceux du département informatique, d’user d’un comportement responsable garantissant la sécurité des données stockées et utilisées.

La classification des données

La classification des données permet quant à elle de “ranger” les données afin de mieux les protéger.

Une entreprise regorge de données en tous genres, des plus anecdotiques aux plus sensibles. Un stagiaire, par exemple, ne devrait naturellement pas pouvoir consulter des données ultra confidentielles accessibles au top management. Gartner conseille le classement suivant (disponible pour les clients Gartner), en vue de hiérarchiser les données et leur accès :

  1. Criticité : quelle importance ces données recouvrent-elles dans le déroulement des activités de l’entreprise ?
  2. Sensibilité : quelles seraient pour l’entreprise les conséquences d’une publication non autorisée de ces données ?
  3. Disponibilité : l’accès à ces données est-il fiable et aisé ?
  4. Intégrité : ces données ont-elles été manipulées et stockées correctement ?
  5. Conservation : avez-vous le droit de conserver ces données et pour combien de temps ?

Une fois la classification établie, il vous faut répartir les données en catégories. Cela implique de décider qui dispose d’un accès à quoi, de quelle manière et dans quel but.

Elles peuvent être alors rangées de la manière suivante :

classification des données

Le respect des réglementations telles que le RGPD

Le RGPD exige la ”nécessité de garantir un niveau de sécurité adapté au risque numérique, ainsi que le droit d’être informé en cas de piratage des données. Il insiste en outre sur “l’importance d’apprécier et traiter les risques sur les personnes” et la mise en place de “mesures techniques ou organisationnelles appropriées”, qui incluent, entre autres, le chiffrement des données et des “moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience”.

Révision des politiques de sécurité : bien, mais peut mieux faire

Les entreprises françaises interrogées sont plutôt assidues et révisent leur politique de collecte de données une fois par an (33 %) ou deux fois par an (25 %). Reste que 42 % n’admettent réexaminer ces mesures que moins d’une fois par an ou seulement s’il y a eu violation. Il est crucial d’être à jour niveau réglementations : en cas d’incident, l’amende peut être salée (jusqu’à 4 % du chiffre d’affaires annuel mondial) et la crédibilité auprès de vos prospects remise en cause, sans parler des fuites de données qui ont particulièrement fait scandale dernièrement.

Une ombre vient cependant s’ajouter au tableau ; à la question “qu’est-ce qui empêche votre entreprise de mettre en place ou d’améliorer les pratiques en matière de sécurité des données ?”, 59 % des interrogés admettent n’avoir pas assez de temps ou les ressources nécessaires. Il existe cependant une liste exhaustive de solutions, en accord avec le RGPD, pour garantir la viabilité de vos activités et l’intégrité des données personnelles recueillies.

protection des données personnelles au travail

Globalement, les PME ont pris conscience des règles de ce nouveau monde impitoyable, mais tardent à être entièrement responsables, faute de temps ou de moyens. Il n’est cependant pas trop tard pour renforcer la sécurité informatique de votre entreprise. Alors si vous ne souhaitez pas qu’il vous arrive la même “mésaventure” qu’à Mark Zuckerberg et ses millions d’utilisateurs de Facebook, ne tardez pas à tout miser sur la cybersécurité et à respecter les dernières lois mises en œuvre.

 

* Méthodologie de l’enquête : pour collecter les données de ce rapport, nous avons mené une enquête en ligne entre janvier et février 2019. Les réponses proviennent d’un échantillon du marché cible français. Le sondage a été envoyé à 1009 personnes, parmi lesquelles 104 se sont qualifiées au moyen de questions de sélection. Les participants qualifiés occupent tous un emploi dans un département informatique (à temps plein, à temps partiel ou sont à leur compte) et sont issus de divers secteurs d’activité.

 

Wie Multi-Faktor-Authentifizierung kleine Unternehmen schützt

Pc und Smartphone auf Tisch

Pc und Smartphone auf Tisch

Sieben von zehn Unternehmen wurden in den letzten beiden Jahren Opfer eines Cyberangriffs und besonders kleine und mittlere Unternehmen sind betroffen. Die meisten Unternehmen wissen, dass sie Nachholbedarf haben und der deutsche Cyber-Sicherheitsrat rät zu einer dringenden Verbesserung im IT-Schutz.

Die Zahl der Cyberangriffe nimmt stetig zu und das Handelsblatt nimmt an, dass pro Tag 390.000 neue Varianten hinzukommen. Kleine Unternehmen sollten daher jetzt darüber nachdenken, wie sie ihre IT-Sicherheit stärken und auf den neusten Stand bringen.

Bislang bestand eine beliebte und einfach zu implementierende Methode zur Abwehr von Cyberattacken in der Zwei-Faktor-Authentifizierung (2FA). Aber die Vorgehensweise der Cyberkriminellen wird immer ausgefeilter, sodass 2FA nicht mehr ausreicht.

Wir haben aber auch gute Nachrichten: Selbst wenn nicht genug Zeit und Ressourcen für die Überarbeitung des gesamten Cybersecurity-Plans vorhanden sind, können Daten immer noch geschützt werden. Die Einführung der Multi-Faktor-Authentifizierung (MFA) fügt den Sicherheitsbestrebungen eine weitere Ebene hinzu, die Hacker erst einmal knacken müssen.

Was ist Multi-Faktor-Authentifizierung?

Die Multi-Faktor-Authentifizierung oder Multi-Factor-Authentication ist eine Weiterentwicklung der mittlerweile anfällig gewordenen Zwei-Faktor-Authentifizierung.

Hinter der Zwei-Faktor-Authentifizierung steckt der Gedanke, etwas zu nutzen, „was man hat“, und etwas „was man weiß“, um auf Daten, Programme, Hardware und Software zuzugreifen. Um sich online bei seinem Bankkonto anzumelden, muss man bspw. nicht nur sein Kennwort eingeben (etwas, was man weiß), sondern auch eine PIN, die über einen Tan-Generator gesendet wird (etwas, was man hat).

Bei der Multi-Faktor-Authentifizierung kommt nun noch eine dritte Komponente hinzu, „etwas, was man einfach noch zur Absicherung hat“.

Die Idee hinter der Multi-Faktor-Authentifizierung ist simpel: Je mehr Schritte Nutzer*innen unternehmen müssen, um auf sensible Informationen zugreifen oder eine Transaktion vornehmen zu können, desto schwerer ist es für Hacker, Schaden anzurichten.

In der Multi-Faktor-Authentifizierung werden viele der Methoden eingesetzt, die auch schon bei der Zwei-Faktor-Authentifizierung zum Tragen kommen. Ein Nutzername zusammen mit einem Kennwort ist eine der häufigsten Vorgehensweisen zur Nutzeridentifizierung. Verifizierungscodes werden häufig per E-Mail, SMS oder über eine unabhängige App als zweite Schutzebene gesendet.

MFA ermöglicht allerdings auch eine Anzahl von weiteren Authentifizierungsmethoden, wobei zurzeit ein Token sehr beliebt ist. Ein Token kann eine Karte sein, die Nutzer*innen durchziehen, ein Anhänger, der vorgezeigt wird, oder ein USB-Gerät, das ein Kennwort erstellt, wenn es an einen Computer angeschlossen wird.

Der Einsatz von Hardware-Tokens für die starke Authentifizierung ist eine Reaktion darauf, dass Cyberkriminelle schwache Kennwörter oder Sicherheitsfragen knacken oder per SMS oder E-Mail gesendete 2FA-Codes abfangen können. Der Mädchenname der Mutter lässt sich möglicherweise noch durch eine Google-Suche finden, aber ein Gerät muss erstmal in die Hände eines Hackers gelangen.

Probleme bei der Multi-Faktor-Authentifizierung vermeiden

Der Schutz sensibler Daten ist von höchster Wichtigkeit für ein Unternehmen und seine Kunden, sodass die Multi-Faktor-Authentifizierung als der wichtige nächste Schritt erscheint. Bei der Einführung der Multi-Factor-Authentification können jedoch einige (vermeidbare) Schwierigkeiten auftreten.

Akzeptanz der Mitarbeiter*innen

Jede Geschäftssoftware steht und fällt mit den Mitarbeiter*innen und damit, wie viele von ihnen das neue System auch wirklich unter Berücksichtigung der Vorgaben einsetzen. Niemand möchte ein System, das den Alltag noch komplizierter gestaltet. Egal wie nötig die neuen Maßnahmen für die Cybersicherheit sind, Mitarbeiter*innen außerhalb der IT- und Sicherheitsabteilungen werden kein Programm nutzen, das nicht gut funktioniert.

Gerade aus Sicht der Cybersicherheit, wo die Mitarbeiter*innen eines Unternehmens häufig als größte Schwachstelle eingestuft werden, ist es wichtig, ein MFA-Programm einzusetzen, das sich so gut wie möglich in die Arbeitsroutine einfügt. Denn wenn es eine einfachere Möglichkeit gibt, auf Daten und Hardware zuzugreifen, werden die Mitarbeiter*innen sie auf jeden Fall finden und nutzen.

Fazit: Ein MFA-System sollte unbedingt aus der Nutzerperspektive betrachtet werden und nicht nur unter Sicherheitsaspekten. Wenn Mitarbeiter*innen sich nicht an neue Sicherheitsmaßnahmen halten, ist das Unternehmen nicht geschützt.

MFA-Programme sind kostspielig

Wenn für alle Mitarbeiter*innen im Unternehmen Tokens angeschafft werden, können die Kosten schnell in die Höhe schießen. Eine durchdachte MFA-Strategie kann hier Ausgaben und Zeit – siehe die Ausführungen zur Akzeptanz der Mitarbeiter*innen – sparen.

Anfangs mögen die Aufwendungen für eine starke Authentifizierung enorm erscheinen, aber dem gegenüber stehen die durchschnittlichen Verluste bei einem Datenleck, die sich pro Datensatz auf 165 EUR belaufen können. Weil es zunächst auf dem Konto besser aussieht, keine IT-Sicherheitsmaßnahmen zu ergreifen, kann ein Cyberangriff schnell jede finanzielle Sicherheit zerstören.

Fazit: Die Kosten einer Sicherheitsverletzung – sowohl bzgl. der Finanzen als auch dem Ruf des Unternehmens – sind bedeutend gravierender als die Ausgaben für angemessene Sicherheit.

Nichts geht ohne einen Backup-Plan

MFA und auch 2FA basieren darauf, dass die Nutzer*innen „etwas haben“, um ihre Identität zu beweisen. Hier muss jedoch auch menschliches Fehlverhalten berücksichtigt werden. Was, wenn Mitarbeiter*innen ihre Smartphones zuhause vergessen? Oder die Karte verlieren, die sie durchziehen müssen? Bei der Implementierung muss nicht nur eine neue Sicherheitsstrategie zum Tragen kommen, es muss auch ein Backup-Plan erstellt werden, falls die neue Methode nicht funktioniert.

Fazit: Kein Sicherheitsplan ist perfekt. Ein Backup-Plan sollte auf verschiedene Szenarien vorbereiten und auch menschliche Fehler berücksichtigen.

Beispiele für Multi-Faktor-Authentifizierung in kleinen Unternehmen

Nachfolgend haben wir einige Beispiele für MFA-Apps zusammengetragen, um einen Überblick für typische Lösungen zu schaffen und einige andere Features aufzuzeigen, die bei den Apps zum Tragen kommen.

OneLogin

für Multi-Faktor-Authentifizierung OneLogin

Mit der Authentifizierungs-App OneLogin Protect von OneLogin können Nutzer*innen ihre Identität über ihre Smartphones verifizieren. Diese Software lässt sich auch mit Authentifizierungsprogrammen von Dritten wie Google Authenticator und YubiKeys von Yubico integrieren und bietet eine Option zum einmaligen Anmelden für Unternehmens-Desktops.

Duo Security

für Multi-Faktor-Authentifizierung Duo Security

Duo Security kennen die meisten aufgrund der Zwei-Faktor-Authentifizierung, aber die Software bietet auch eine MFA-Option für Kunden, die sich eine weitere Sicherheitsebene wünschen. Wie OneLogin verfügt auch Duo über eine eigene Authentifizierungs-App (Duo Push). Duo setzt zur Verifizierung sowohl Smartphones als auch Token ein.

ThisData

für Multi-Faktor-Authentifizierung ThisData

ThisData bietet eine Zwei-Faktor-Authentifizierung zusätzlich zu einer kontinuierlichen Authentifizierungsstrategie. Kontinuierliche Authentifizierung bedeutet, dass Nutzer*innen sich nicht nur zu Beginn anmelden müssen, sondern auch während der Nutzung einer Anwendung ab und an zur Eingabe ihres Kennworts aufgefordert werden. Dies lässt sich mit der Eingabe einer neuen PIN bei einer zweiten Überweisung vergleichen.

Die starke Authentifizierung ist eingerichtet. Was nun?

Nicht vergessen, die Multi-Faktor-Authentifizierung ist nur ein Teil der Unternehmensstrategie für IT-Sicherheit. Die schnellste und einfachste Lösung für Schwächen in der Cybersecurity setzt häufig bei nicht-technischen Mitarbeiter*innen an und auch die übergreifende Netzwerksicherheit sowie die Datensicherung sollten in Betracht gezogen werden. Wie MFA einem gut vor Augen führt: Je mehr Sicherheitsebenen, desto besser.

 

Weitere Informationen zur IT-Sicherheit:

Cyber risques : 3 tendances pour mieux protéger votre entreprise digitale

cyber risques

cyber risques

Une cyberattaque coûte en moyenne environ 773 000 € à une entreprise. Ce chiffre inclut les bénéfices, les clients et les opportunités commerciales perdus ainsi que les frais de remise en route et de compensation. Pour protéger votre PME, vous devez absolument réduire son exposition aux cyber risques. Pourtant, ce n’est pas toujours facile :

  • Le paysage de risques change fréquemment à cause de l’adoption de nouvelles technologies comme l’Internet des objets (Internet of Things en anglais, ou IoT) et l’intelligence artificielle (IA).
  • Les nouvelles technologies de protection, comme la security analytics, sont complexes et leur adoption est coûteuse.

Les PME qui ignorent les dernières tendances en matière de cyber risk management seront incapables de se défendre contre de futures attaques informatiques. Pour assurer l’avenir de votre entreprise, vous devriez investir dans des technologies de sécurité informatique telles que la protection des données et les outils de protection automatisée.

Ce que vous trouverez dans cet article :

  • Entreprises digitales et cybersécurité
  • 3 tendances et quelques mesures à prendre
  • Technologies émergentes
  • Vulnérabilité des données
  • Comportements à risque des employés

Entreprises digitales et cybersécurité : vigilance constante exigée

La gestion des risques est une étape primordiale et fondamentale de l’amélioration de la cybersécurité d’une entreprise. Elle permet de réduire les risques et de prévenir les cyberattaques. Dans cet article, vous découvrirez les dangers potentiels et les techniques de protection adaptées.

Que sont les cyber risques ?

Les cyber risques recouvrent tous les préjudices causés aux finances ou à la réputation d’une entreprise par une faille de sécurité ou un sabotage de ses systèmes informatiques. Le risque quantifie la probabilité de survenance d’une cyberattaque.

Le vol de données, par exemple, est un risque auquel sont confrontées la plupart des PME. Il peut se matérialiser sous la forme d’une cyberattaque ou d’une faille de sécurité lorsque des menaces (hackers, par exemple) ciblent certaines vulnérabilités (informations non sécurisées, par exemple).

Les cyber risques actuels entraînent non seulement des périodes d’indisponibilité des systèmes ou des usurpations d’identité, mais aussi la perte de propriété intellectuelle, le vol de données clients, les atteintes à la réputation d’une entreprise ou encore la perte de confiance de ses partenaires commerciaux et/ou de ses clients.

Qu’est-ce que la gestion des cyber risques ?

La gestion des cyber risques vise à réduire la probabilité que des événements associés à des menaces Internet ne se produisent (virus, malware ou attaques DDoS) et n’aient un impact sur les finances ou la réputation d’une entreprise.

Les stratégies de cybersécurité incluent divers composants. Parmi les principaux, on compte :

  • L’investissement dans des technologies de protection active et passive comme l’analytique des comportements utilisateurs et les anti-malware pour identifier les menaces et y répondre.
  • L’amélioration de la vigilance et des connaissances des employés grâce à des programmes de sensibilisation.
  • La création de politiques de protection et le recrutement de spécialistes pour aider les employés à gérer les risques et à y répondre.

Votre stratégie de gestion des cyber risques devrait s’aligner sur les dernières tendances en matière de cybersécurité. Ci-dessous, vous trouverez 3 tendances de gestion des cyber risques et les mesures à prendre pour protéger votre PME et gérer efficacement les risques.

3 tendances de cyber risk management et les mesures à prendre

cyber risques

1. Technologies émergentes : réduisez les risques avec l’automatisation, l’intelligence artificielle et le machine learning

Les technologies émergentes telles que l’intelligence artificielle (IA), le machine learning (ML) et la security analytics aident les entreprises à renforcer leurs moyens de défense active.

L’IA, le ML et les outils de protection automatisée analysent des tonnes de données pour identifier des récurrences, les comparer avec leurs bases de données de malwares et déterminer la dangerosité des fichiers.

Les algorithmes de machine learning aident aussi à prévoir les menaces sur la base d’anciennes récurrences dans le trafic et ils peuvent même éliminer automatiquement les menaces. Quant à l’IA, elle est très utile de nombreux domaines comme la classification de sites web, la détection de malwares et le blocage d’IP malveillantes.

Les hackers exploitent de plus en plus de technologies comme l’IA pour cibler des systèmes et s’y introduire ; les entreprises doivent donc sans attendre utiliser les mêmes technologies avancées pour protéger leurs réseaux.

cyber risques

(Source)

Mesures à prendre

Créez une feuille de route. Pour prévoir vos investissements en cybersécurité, définissez vos objectifs à court et à long terme. Ils devraient notamment inclure l’adoption de stratégies de défense active et l’amélioration de la vitesse de récupération des données.

Planifiez les investissements technologiques correspondant à chacun de vos objectifs et faites-vous accompagner par des consultants en sécurité si nécessaire.

Investissez dans des solutions de security analytics et d’automatisation. L’analyse de réseau et de données de journal aide à identifier et à prévenir activement les cybermenaces.

L’investissement dans des outils de protection automatisée aide les PME à réduire les coûts de fonctionnement d’une équipe de sécurité informatique à part entière.

2. Vulnérabilité des données : exigez des technologies de protection de l’information (cryptage, authentification et enrichissement des sauvegardes)

Les stratégies de gestion des risques pesant sur les données resteront une priorité pour toutes les entreprises : 60 % des PME prévoient des dépenses en technologies de protection des données d’ici 2020 et les classent dans le top 3 des outils technologiques incontournables pour les PME.

La mise en œuvre de réglementations de protection des données personnelles plus strictes comme le RGPD pourrait jouer un rôle décisif. Des normes de ce type imposeront des contrôles de sécurité spécifiques pour le stockage d’informations personnelles.

L’augmentation massive du volume de données générées chaque jour constitue un argument encore plus pressant. En effet, nous créons quotidiennement plus de 2,5 quintillions de bits. Les objets connectés et l’usage croissant d’Internet, des réseaux sociaux, des e-mails et d’autres applications devraient encore renforcer le volume d’informations créées. Cette énorme quantité de données – qui inclut des tonnes d’informations confidentielles – doit être adéquatement stockée et contrôlée. Sans cela, vous vous exposez à différentes menaces :

  • Vol d’identité
  • Perte de propriété intellectuelle
  • Problèmes de protection des données personnelles des utilisateurs

cyber risques

(Source)

Les PME investissent de plus en plus dans les outils de protection des données pour éviter les fuites et se mettre en conformité avec des réglementations comme le RGPD. La croissance des marchés des technologies de protection des données démontre un intérêt grandissant pour les logiciels de sécurité et une augmentation des investissements dans ce secteur.

Selon Markets and Markets (étude en anglais), le marché des logiciels de cryptage devrait passer de 3,9 milliards de dollars en 2017 à 13 milliards en 2022. Le marché des logiciels de sauvegarde et de récupération des données, lui, devrait atteindre les 11,6 milliards de dollars en 2022, ce qui représente un taux de croissance annuelle composé (CAGR) de 10,2 % entre 2017 et 2022.

Les données resteront l’atout primaire et principal des entreprises, qui devraient donc penser à les protéger dans les années à venir.

Mesures à prendre

Appliquez une politique de confidentialité des données stricte. Préparez des politiques/règles de protection des données et de confidentialité distinctes pour vos clients et vos collaborateurs.

  • Pour vos clients : affichez clairement la politique de cookies de votre site web. Proposez des options permettant aux clients d’accepter ou de refuser le partage de leurs données avec des marketeurs. Expliquez à vos clients comment vous utilisez et stockez leurs données.
  • Pour vos collaborateurs : informez vos collaborateurs de la manière dont ils doivent utiliser, stocker et partager les données de l’entreprise. Décrivez-leur les conséquences d’une violation de la vie privée ou des données confidentielles.

Adoptez des technologies de protection des données. Investissez dans des technologies de protection des données comme le cryptage, la sauvegarde de données, la sécurité cloud et la récupération de données pour améliorer la sécurité des informations dans votre entreprise. Les outils d’authentification et de gestion des accès privilégiés assurent que seules certaines personnes ont accès à vos informations les plus précieuses.

Investissez dans une cyberassurance. Une cyberassurance peut couvrir une partie des coûts en cas de vol de données. Faites le point avec des spécialistes juridiques et financiers pour identifier la police de cyberassurance la plus adaptée à votre entreprise.

3. Comportements à risque des employés : pour mieux gérer les risques, ne lésinez pas sur la sensibilisation

Les PME comme les grandes entreprises ont du mal à contrôler les actions de leurs collaborateurs pour réduire les risques de comportements dangereux.

Phishing (hameçonnage) et vishing (hameçonnage par téléphone) sont quelques-unes des techniques communes susceptibles de pousser vos employés à dévoiler des informations confidentielles.

Les entreprises qui investissent dans des programmes de sensibilisation peuvent se prémunir contre les cyberattaques causées par une erreur due à un employé, ce qui représente actuellement 40 % de toutes les cyberattaques.

Selon un rapport publié par Gartner intitulé “Effective Security Awareness Starts With Defined Objectives” (article complet en anglais disponible pour les clients Gartner), d’ici 2020, les entreprises qui investiront mensuellement dans des activités de sensibilisation interactives subiront moins de failles de sécurité causées par une erreur humaine.

cyber risques

(Source)

Les PME sont de plus en plus nombreuses à prévoir des formations de sensibilisation dans les années qui viennent. Selon une enquête (en anglais), 60 % des entreprises proposent déjà une formation à leurs équipes de sécurité et 35 % prévoient de dispenser des programmes de formation à la sécurité en 2019.

Mesures à prendre

Incluez tous vos collaborateurs dans votre stratégie de sécurité. Ils seront plus attentifs et plus prudents s’ils se sentent impliqués dans la protection de l’entreprise et s’ils portent une part de responsabilité.

Voici des mesures qui vous permettront d’inclure vos collaborateurs dans la protection des données et des équipements informatiques :

  • Formations de sensibilisation à la sécurité : organisez des programmes de sensibilisation pour apprendre à vos collaborateurs à repérer des tentatives d’hameçonnage, des fichiers malveillants et des failles de sécurité. Évaluez l’efficacité des formations en vous appuyant sur des mesures comme le taux de clic de vos employés sur des e-mails ou des fichiers malveillants.
  • Exercices gamifiés et concours : désignez des employés chargés de promouvoir les meilleures pratiques en matière de sécurité comme le signalement d’e-mails d’hameçonnage ou de failles de sécurité. Lancez des concours de piratage ou de conception d’applications et organisez des sessions de brainstorming pour permettre à vos employés de suggérer des mesures de renforcement de la sécurité.

Pour aller plus loin

Tout d’abord, évaluez votre posture de sécurité pour faire le point sur la qualité de vos mesures de cybersécurité actuelles. Cela vous permettra également de savoir si vous êtes à jour sur les tendances actuelles dans le domaine.

Ressources complémentaires

  • Vous souhaitez connaître les prévisions en matière de sécurité informatique pour 2019 ? C’est par ci.

Pour en savoir plus sur les logiciels de sécurité, consultez notre répertoire de logiciels de sécurité informatique.

Cybersecurity-Trends: Wie du dein Digitalgeschäft schützt

Cybersecurity Symbol auf PC

Cybersecurity Symbol auf PC

Kleine und mittlere Unternehmen verlieren einer Cisco-Studie auf dem US-Markt zufolge in einem Cyberangriff durchschnittlich 500.000 USD. Dies beinhaltet entgangene Umsätze, Kunden, Marktchancen und Kosten für die Behebung der Schäden. Und auch in Deutschland belaufen sich die Verluste auf Milliardensummen.

Allein aus diesem Grund sollte die Möglichkeit eines Cyber-Risikos so gering wie möglich gehalten werden, was sich u. U. jedoch als schwierig herausstellen kann:

  • Die Risikolandschaft ändert sich aufgrund neuer Technologien wie dem Internet of Things (IoT) oder Künstlicher Intelligenz (KI) schnell und kontinuierlich.
  • Neue Abwehrtechnologien wie Sicherheitsanalysen sind komplex und kostenintensiv.

Kleine Unternehmen, die sich der neusten Cybersecurity-Trends nicht bewusst sind, können sich nicht gegen zukünftige Angriffe schützen. Unternehmen sollten in die richtige Sicherheitssoftware wie Datenschutz und Automatisierung investieren und sich so auch in Zukunft schützen.

Cybersecurity-Trends: Cyber-Risikomanagement für Digitalunternehmen – konstante Wachsamkeit

Das Risikomanagement ist der erste und wichtigste Schritt für eine verbesserte Cybersicherheit, da hierdurch Cyber-Risiken reduziert und Cyberangriffe vermieden werden.

Was sind Cyber-Risiken?

Cyber-Risiken umfassen finanzielle oder Reputationsschäden, die aufgrund von Sabotage oder Ausfällen des IT-Systems eines Unternehmens entstehen. Das Risiko bezeichnet die Wahrscheinlichkeit, mit der ein Cyberangriff geschieht.

So sehen sich beispielsweise die meisten kleinen Unternehmen dem Risiko eines Datendiebstahls ausgesetzt. Nutzen Hacker eine Schwachstelle wie nicht gesicherte Daten aus, entsteht aus dem Risiko schnell ein Cyberangriff oder eine Datenschutzverletzung.

Cyber-Risiken gehen heutzutage über Systemausfallzeiten und Identitätsdiebstahl hinaus: Oft genug geht es auch um den Verlust geistigen Eigentums, den Diebstahl von Kundendaten und den Verlust von Geschäftspartnern bzw. Vertrauensverlust seitens der Kunden.

Was ist Cyber-Risikomanagement?

Cyber-Risikomanagement soll die Wahrscheinlichkeit von Bedrohungen durch das Internet wie Viren, Malware oder DDoS-Angriffen minimieren, die zu finanziellen oder Reputationsschäden führen.

Unternehmen sollten beim Cyber-Risikomanagement u. a. diese Strategien verfolgen:

  • Investieren in aktive und passive Sicherheitstechnologien wie Software zur Analyse des Nutzerverhaltens und Anti-Malware-Systeme, um Bedrohungen zu identifizieren und entsprechend darauf zu reagieren
  • Schulung des Sicherheitsbewusstseins der Mitarbeiter*innen, sodass diese wachsam sind und über ausreichend Kenntnisse verfügen
  • Festlegen von Richtlinien und Einbinden von Sicherheitsexperten, die Mitarbeiter*innen im Umgang mit Risiken schulen

Die Cyber-Sicherheitsstrategien eines Unternehmens sollten sich an aktuellen Cybersecurity-Trends orientieren. Im Folgenden erläutern wir drei Entwicklungen im Cyber-Risikomanagement und Schritte, die kleine Unternehmen zur Risikominimierung und zum Risikomanagement verfolgen sollten.

3 Cybersecurity-Trends und ihre Vorgehensweisen

3 Cybersecurity-trends im Vergleich

1. Neue Technologien: Security-Automatisierung, KI und ML zur Verminderung von Risiken

Aufstrebende Technologien wie Künstliche Intelligenz (KI), Maschinelles Lernen (ML) und Sicherheitsanalysen unterstützen Unternehmen bei der Stärkung ihrer aktiven Abwehrmechanismen. Diese identifizieren Bedrohungen und mindern Risiken, was kleinen und mittleren Unternehmen durchschnittlich 117.000 USD pro verhindertem Angriff spart.

KI, ML und Tools für die Security-Automatisierung analysieren riesige Mengen an Netzwerkdaten, um Muster zu identifizieren, sie mit ihren Malware-Datenbanken abzugleichen und Dateien als schädlich oder sicher einzustufen.

Das in Los Angeles ansässige Unternehmen Daqri für erweiterte Realität setzt beispielsweise KI-Tools ein, um den Verkehr auf mehr als 1.200 Geräten zu überwachen. Anhand dieser Daten wird bösartiger Datenverkehr identifiziert und die Arbeitslast für den IT-Sicherheitsmitarbeiter reduziert.

ML-Algorithmen können anhand der vorigen Datenverkehrsmuster im Netzwerk Bedrohungen vorhersagen und automatisch Gegenmaßnahmen einleiten. Website-Klassifizierung, Malware-Erkennung und das Blockieren böswilliger IPs sind einige der Cybersecurity-Bereiche, in denen KI zum Einsatz kommt.

Aber diese Maßnahmen kommen mittlerweile nicht nur zum Schutz auf Seiten der Unternehmen zum Tragen, auch Hacker setzen vermehrt Technologie wie KI ein, um in Systeme einzudringen.

Statistik zu Cybersecurity-trend maschinelles Lernen

(Quelle)

Maßnahmen fürs Risikomanagement

Erstellen einer Cybersecurity-Roadmap. Für die Investitionsplanung im Cybersecurity-Bereich ist es hilfreich festzulegen, welche Ziele – bspw. das Verfolgen einer aktiven statt einer passiven Verteidigungsstrategie, die Verbesserung der Geschwindigkeit bei der Datenwiederherstellung etc. – lang- und kurzfristig erreicht werden sollen.

Dabei sollten auch die Technologieinvestitionen für jedes Sicherheitsziel geplant und Sicherheitsexperten hinzugezogen werden, wenn weitere Unterstützung nötig ist.

Investieren in Sicherheitsanalysen und Automatisierungslösungen. Einer Umfrage zufolge implementieren zwei von drei IT-Sicherheitsexperten Analyseprogramme für die Sicherheit in ihren Unternehmen. Die Analyse von Netzwerk- und Logdaten hilft aktiv bei der Identifizierung und Voraussage von Cyberangriffen.

Indem kleine Unternehmen in Automatisierungstools für die Sicherheit investieren, sparen sie Kosten bei ihren IT-Sicherheitsteams.

2. Datensicherheit: Verstärkter Bedarf an Datenschutztechnologien wie Verschlüsselung, Authentifizierung und Backup

Strategien für das Daten-Risikomanagement werden auch in Zukunft hohe Priorität in kleinen und großen Unternehmen haben. 47 % der kleinen Unternehmen haben für 2019 ein Budget für Datensicherheit eingeplant, womit dieses Thema unter die Top drei Technologien für kleine und mittlere Unternehmen fällt.

Ein treibender Faktor könnten hier die neuen Datenschutzbestimmungen der DSGVO sein, die strenge Sicherheitsmaßnahmen für das Speichern von Kundendaten vorsehen. Sehr wahrscheinlich spielt aber auch das täglich immens wachsende Datenvolumen eine wichtige Rolle.

Weltweit werden jeden Tag mehr als 2,5 Trillionen Bytes produziert. Der verstärkte Einsatz des Internets und damit verbundener Geräte, soziale Medien, E-Mails und andere Anwendungen werden diese Zahl auch zukünftig in die Höhe schnellen lassen. Diese Datenmengen – die zum großen Teil auch vertrauliche Geschäftsdaten enthalten – müssen den Vorschriften gemäß gespeichert und kontrolliert werden. Ansonsten setzt man sich Cyber-Risiken aus wie:

  • Identitätsdiebstahl
  • Verlust geistigen Eigentums
  • Datenschutzproblemen bei Kundendaten

Statistik zu Datenpannen in Cybersecurity
(Quelle)

Kleine Unternehmen investieren zunehmend in Datensicherheitslösungen, um Datenschutzverletzungen vorzubeugen und gesetzliche Bestimmungen wie die DSGVO einzuhalten. Auch der stetig wachsende Markt für Datenschutztechnologie verweist auf die vermehrte Aufmerksamkeit, die dieses Thema erhält.

Markets and Markets sagt Verschlüsselungs-Software ein Wachstum von 3,9 Milliarden USD im Jahre 2017 auf 13 Milliarden USD im Jahre 2022 voraus. Ähnlich verhält es sich bei der Datensicherung und -wiederherstellung, wo für 2022 ein Umsatz von 11,6 Milliarden USD geschätzt wird, was einer jährlichen Wachstumsrate von 10,2 % im Vergleich zu 2017 entspricht.

Daten werden auch in den nächsten Jahren das wichtigste Gut bleiben, das Unternehmen schützen wollen.

Maßnahmen fürs Risikomanagement

Durchsetzen von strengen Datenschutzrichtlinien. Für Kunden und Mitarbeiter*innen sollten unterschiedliche Datenschutzregelungen bestehen.

  • Für Kunden: Cookie-Richtlinien müssen direkt auf der Website angezeigt werden. Kunden müssen die Option haben, in das Teilen von Daten mit Vermarktern einzuwilligen oder diese abzulehnen. Sie müssen wissen, wie ihre Daten genutzt und gespeichert werden.
  • Für Mitarbeiter*innen: Mitarbeiter*innen müssen in der Nutzung, Speicherung und Freigabe von Unternehmensdaten geschult werden. Weiterhin müssen sie über die Konsequenzen unterrichtet werden, die Datenschutzverletzungen nach sich ziehen.

Einsatz von Datenschutztechnologien. Zur Verbesserung des Sicherheitsprozesses sollte in Datenschutztechnologien wie Verschlüsselung, Backup, Cloud-Security und Datenwiederherstellung investiert werden. Tools für Authentifizierung und PAM stellen sicher, dass nur berechtigte Personen Zugriff auf Daten haben.

Investieren in Cyber-Versicherungen. Kleine Unternehmen verlieren pro Jahr durchschnittlich 879.582 USD aufgrund von Datendiebstahl und Schäden an der IT-Infrastruktur. Rechts- und Finanzexperten können bei der Auswahl der richtigen Cyber-Versicherungen unterstützen, die den Schaden bis zu einem gewissen Grad abfedern.

3. Risikofaktor Mensch: Sicherheitsschulungen sind weiterhin entscheidend für die Risikosteuerung

Sowohl für kleine Unternehmen als auch für Großkonzerne ist es nach wie vor eine Herausforderung, das riskante Verhalten ihrer Mitarbeiter*innen zu minimieren.

Phishing, Vishing und Quid Pro Quo-Attacken sind einige der häufigsten Social Engineering-Betrugsmaschen, aufgrund derer Mitarbeiter*innen vertrauliche Informationen preisgeben. Eine einzige Phishing-Attacke kostet ein mittelgroßes Unternehmen durchschnittlich 1,6 Millionen USD.

Investieren Unternehmen jedoch in effektive Sicherheitsschulungen, bleiben ihnen durch Mitarbeiter*innen verursachte Cyberangriffe erspart, die immerhin 40 Prozent aller Schäden ausmachen.

Wie Gartner in seinem Bericht „Effective Security Awareness Starts With Defined Objectives“ (Inhalt auf Englisch für Gartner-Kunden verfügbar) veröffentlichte, werden Unternehmen, die bis 2020 monatliche interaktive Schulungen zum Sicherheitsbewusstsein durchführen, weniger Sicherheitsverletzungen durch menschliche Fehler erleben.

Statistik zu menschlichem Versagen bei Cybersecurity

(Quelle)

Einer Umfrage zufolge haben bereits 60 Prozent der Unternehmen ein formales Schulungsprogramm für ihr Sicherheitspersonal und 35 Prozent planen, 2019 noch weitere Sicherheitsschulungen anzubieten.

Maßnahmen fürs Risikomanagement

Alle Mitarbeiter*innen müssen Teil der Sicherheitsstrategie sein: Mitarbeiter*innen sind wachsamer und vorsichtiger, wenn sie sich für die Sicherheit des Unternehmens verantwortlich fühlen.

Hier sind einige Maßnahmen, die zum Schutz ergriffen werden können:

  • Schulungen für das Sicherheitsbewusstsein: Mitarbeiter*innen werden geschult, Phishing-Angriffe, bösartige Dateien und Datenschutzverletzungen zu erkennen. Der Erfolg eines solchen Trainings kann über Metriken wie Klickraten gemessen werden, mit deren Hilfe festgestellt wird, ob Mitarbeiter*innen bösartige E-Mails oder Dateien öffnen.
  • Wettbewerb und Training mit Spaß: Spiel und Spaß helfen beim Lernen und Wettbewerb stachelt den Ehrgeiz an. Wer die meisten Phishing-E-Mails oder Datenlecks meldet, wird zur Sicherheitskönigin bzw. zum Sicherheitskönig ernannt. Bei Hacking- oder Anwendungsdesign-Wettbewerben oder Brainstormings können Mitarbeiter*innen bessere Sicherheitsmaßnahmen vorschlagen und zeigen, was sie drauf haben.

Nächste Schritte

Zuerst sollte in einem Unternehmen die Sicherheitslage erhoben werden, um die Qualität der Cybersicherheit festzustellen und sicherzugehen, dass man bei den aktuellen Risikomanagement-Trends auf dem neuesten Stand ist.

Auch in diesem Blog besprechen wir immer wieder Best Practices, mit denen man der Zeit ein paar Schritte voraus ist, und zeigen verschiedene Maßnahmen zur Datensicherheit auf. Es lohnt sich, wieder reinzuschauen!

Logiciel antivirus ou sécurité endpoint : comment faire le bon choix pour votre entreprise ?

antivirus entreprise vs sécurité endpoint

antivirus entreprise vs sécurité endpoint

En 2018, 92 % des entreprises françaises ont subi une cyberattaque. Une PME sur cinq fait partie des victimes et l’addition peut s’avérer salée.

Pour votre entreprise, choisir entre un logiciel antivirus et un logiciel de sécurité endpoint dépend de nombreux critères : taille du réseau, collaborateurs actifs à distance, politiques d’entreprise (notamment les stratégies BYOD, “bring your own device”, qui encouragent les travailleurs à utiliser leur propre équipement), besoin de contrôles de sécurité centralisés, fonctionnalités de protection nécessaires, etc.

Les petites entreprises qui investissent dans le mauvais type d’outil, un antivirus plutôt qu’un logiciel de sécurité endpoint, par exemple, s’exposent à des risques budgétaires et/ou à des problèmes de sécurité.

Cet article vous aidera à déterminer de quel type de logiciel vous avez besoin pour votre PME.

Logiciels de sécurité endpoint vs antivirus

Logiciels de sécurité endpoint

La sécurité endpoint, c’est-à-dire la sécurité des terminaux, consiste à détecter des activités malveillantes pour protéger les réseaux informatiques (serveurs, ordinateurs et appareils mobiles) d’intrusions et d’attaques de malwares.

Chaque appareil connecté à un réseau (un terminal, par exemple) constitue un point faible puisqu’il peut servir de porte d’entrée à un logiciel malveillant. L’Internet des objets (IoT) devrait faire grimper le nombre de terminaux et élargir le périmètre des réseaux avec la connexion de nouveaux appareils toujours plus nombreux hors des murs de l’entreprise.

Les solutions de sécurité endpoint vous aident à défendre efficacement votre réseau et ses terminaux en centralisant leur administration, en authentifiant les connexions depuis tous les nouveaux appareils et en assurant le déploiement et la mise à jour à distance des logiciels.

Ce type d’outil est principalement destiné aux entreprises et aux professionnels plutôt qu’aux particuliers. La protection des équipements prend aujourd’hui tout son sens pour les entreprises de toutes tailles à cause de pratiques telles que les politiques BYOD, la connexion à domicile, l’usage d’appareils personnels sur les réseaux professionnels et l’IoT.

Les solutions de sécurité endpoint rassemblent plusieurs applications de cybersécurité : antivirus, pare-feux, détecteurs d’intrusions, anti-malwares, etc.

Les plateformes de sécurité endpoint doivent présenter quelques fonctionnalités clés :

  • Détection de terminaux et réponse : détection de nouveaux appareils terminaux ainsi que découverte, reporting et hiérarchisation des vulnérabilités.
  • Anti-malware et protection des données : prévention anti-malware et anti-exploit, pare-feu, data loss prevention (DLP), contrôle des ports et des appareils, ou encore gestion de la mobilité.
  • Rapports et alertes : alertes et avertissements hiérarchisés des vulnérabilités, tableaux de bord et rapports améliorant la visibilité de la protection des terminaux.
  • Enquêtes sur les incidents et réparation : outils centralisés et automatisés offrant des approches automatisées de réponse aux incidents et des flux de travaux pas-à-pas pour les enquêtes sur les incidents. Fonctionnalités avancées : listes noires et sandboxing pour contenir la propagation des logiciels malveillants.
  • Intégrations tierces : intégration par API ouvertes avec d’autres outils de protection incluant notamment le monitoring réseau, la prévention des intrusions, un répertoire actif et la SIEM (“security information and event management”).

Le machine learning et l’intelligence artificielle (IA) sont intégrés dans les applications de sécurité endpoint pour assurer des fonctionnalités avancées permettant par exemple de suivre les comportements des fichiers et de détecter de nouveaux types d’attaques.

Les éditeurs de logiciels de sécurité des équipements qui offrent des services d’infogérance sont tout indiqués pour les PME qui veulent immédiatement se prémunir contre les attaques sans se ruiner. Certains éditeurs proposent même des options de gestion de la détection et des réponses en cas d’attaque.

Logiciels antivirus

Les logiciels antivirus sont conçus pour détecter et supprimer les malwares, c’est-à-dire toutes les formes de code malveillant ou indésirable.

Voici quelques-uns des logiciels malveillants les plus courants :

  • Virus : morceau de code malveillant capable de se dupliquer ou de se multiplier pour supprimer ou voler des données, ou encore corrompre ou crasher un système.
  • Cheval de Troie : logiciel malveillant déguisé en logiciel légitime qui, dès son lancement, effectue des activités illicites comme le vol de mots de passe, la suppression de données, etc.
  • Enregistreur de frappe (“keylogger”) : logiciel espion (“spyware”) qui enregistre les caractères saisis par l’utilisateur d’un ordinateur pour accéder frauduleusement à des données confidentielles comme des mots de passe, des informations bancaires, etc.
  • Logiciel rançonneur (“ransomware”) : logiciel qui bloque un système ou affiche des messages de menace pour forcer l’utilisateur à payer une rançon pour qu’il puisse reprendre le contrôle de son système.
  • Ver : logiciel qui s’attaque aux réseaux hôtes en se dupliquant pour surcharger les serveurs web et occuper de larges portions de bande passante.

Les solutions antivirus sont installées sur des appareils individuels comme les ordinateurs fixes et portables ou les téléphones mobiles, ainsi que sur des serveurs. Ces logiciels tournent en arrière-plan et parcourent périodiquement les répertoires des appareils et les fichiers qu’ils contiennent à la recherche d’activités indiquant la présence de malwares.

Ils s’appuient sur leur base de définitions et de signatures de virus pour déterminer si un appareil contient des codes exécutables malveillants. Ils bloquent ou mettent en quarantaine les fichiers potentiellement dangereux.

De nouveaux logiciels malveillants sont développés sans cesse. Les éditeurs d’antivirus mettent donc constamment à jour leurs bases de données, ce qui explique l’apparition fréquente de notifications sur les écrans des utilisateurs.

Un logiciel antivirus qui n’est pas maintenu à jour ne peut se baser que sur des définitions datées et ne peut donc pas détecter de nouveaux virus, ce qui rend les systèmes plus vulnérables aux attaques.

 Un antivirus peut se présenter sous forme d’outil indépendant ou être intégré à une plateforme de protection des équipements.

Il existe de nombreuses solutions sur le marché. Les éditeurs proposent des produits différents selon qu’ils s’adressent aux grandes sociétés, aux PME ou aux particuliers. Le niveau de protection assuré dépend de la version choisie.

Les logiciels antivirus doivent présenter quelques fonctionnalités clés :

  • Scan manuel en temps réel : évaluation automatique et programmée du système, et prise en charge des menaces ou des virus détectés. Possibilité de résolution de problèmes par scan manuel.
  • Protection web : protection des sessions de navigation en ligne et des téléchargements par blocage des résultats nuisibles ou par avertissement en cas de visite d’une page web à risque.
  • Identification de menaces : identification de différents types de malwares : virus, chevaux de Troie, logiciels rançonneurs, logiciels espions, vers, enregistreurs de frappe, logiciels publicitaires (“adwares”), rootkits, etc.
  • Mise en quarantaine des fichiers : suppression ou isolation des fichiers infectés selon la sévérité des dégâts.
  • Alertes et notifications : avertissements lors de l’évaluation périodique et des mises à jour, alertes en cas d’infection de fichier et de détection d’un logiciel potentiellement malveillant.
  • Mises à jour automatiques : mises à jour à distance des règles d’évaluation des virus pour assurer le bon fonctionnement du logiciel et la détection de nouveaux virus et menaces.

Dans le graphique ci-dessous, vous trouverez un résumé des différences entre les logiciels de protection des équipements et les antivirus.

logiciel antivirus ou sécurité endpoint

Outils disponibles

Les plateformes de sécurité endpoint offrent une protection globale des réseaux et des appareils grâce à des fonctionnalités qui permettent de filtrer le trafic web, de détecter des menaces, de contrôler et d’administrer des dispositifs à distance et d’assurer l’intégration avec d’autres solutions de sécurité.

Les antivirus, quant à eux, sont des outils qui visent à détecter et à supprimer des applications et des codes malveillants. Ils permettent de protéger les systèmes contre les malwares, en particulier les virus. Certains outils de ce type incluent la protection contre les vers, les chevaux de Troie et les bots.

Vous trouverez ci-dessous quelques solutions de protection des terminaux et logiciels antivirus. Presque tous les outils de protection des équipements incluent des fonctionnalités antivirus ainsi que des options avancées d’administration.

Ces logiciels peuvent convenir à tous les types d’entreprises. Pour en savoir plus sur les critères de sélection de ces outils, rendez-vous en fin d’article.

Logiciels de sécurité endpoint

Avast Business

Avast Business est une solution de protection des terminaux avec antispam, pare-feu, protection web, protection e-mail et sandboxing.

Avast prend en charge la gestion de la sécurité granulaire et propose un tableau de bord qui centralise le contrôle des opérations de sécurité. Ce tableau rassemble des informations détaillées sur les menaces et permet de programmer des évaluations régulières, de gérer des mises à jour logicielles, de déployer des mises à jour sur plusieurs appareils et de créer des listes de sites web bloqués.

Avast recommande sa solution de protection des terminaux avec tableau de bord centralisé aux entreprises qui utilisent au moins cinq dispositifs connectés.

Prix : à partir de 42 € par an pour 1 appareil.

logiciel antivirus ou sécurité endpoint
Fonctionnalité tableau de bord dans Avast avec nombre d’appareils couverts et détails de la dernière évaluation.

AVG Business Edition

AVG Internet Security Business Edition permet de protéger votre réseau, vos équipements et votre système e-mail contre les logiciels rançonneurs, les virus, le phishing, les logiciels espions, et bien plus. Il prend aussi en charge des fonctionnalités de gestion à distance qui vous permettent d’installer, de configurer et de mettre à jour votre logiciel de sécurité pour l’ensemble de votre réseau et de vos appareils depuis un seul point.

La solution s’appuie sur l’IA et la détection de problèmes en temps réel pour s’assurer que ses fonctionnalités antivirus sont bien à jour. AVG Internet Security pour entreprises inclut également un pare-feu, un anti-spyware, le cryptage des données, la destruction des fichiers et des options de protection des serveurs e-mail.

Prix : à partir de 47,50 € H.T. par an pour 1 appareil.

logiciel antivirus ou sécurité endpoint
Panneau de contrôle dans AVG permettant de gérer à distance les exigences de sécurité telles que le pare-feu et d’identifier les mesures de sécurité.

Imperva Incapsula

Imperva Incapsula propose une variété de fonctionnalités de sécurité dont un pare-feu pour applications web, la mitigation de bots, la répartition de charge et la protection DDoS. Incapsula protège contre différents types de menaces, dont l’injection SQL, les scripts intersites et les menaces sophistiquées persistantes qui causent des dénis de service.

Le tableau de bord du logiciel offre un aperçu en direct du trafic du site web et permet de créer des politiques de protection sur-mesure. L’outil inclut également des fonctionnalités d’optimisation réseau pour booster la vitesse du site, la mise en cache et les fonctions proxy. Il s’intègre par ailleurs avec différentes solutions SIEM.

Prix : devis disponible sur demande sur le site web de l’éditeur.

logiciel antivirus ou sécurité endpoint
Rapport de menaces dans Imperva Incapsula.

Webroot SecureAnywhere

Webroot SecureAnywhere Business Endpoint Protection est une plateforme de sécurité constituée d’une suite de logiciels qui assurent une protection multivectorielle contre les menaces sur l’ensemble des réseaux, des appareils, des e-mails, des URL, des navigateurs, des applications et des fichiers.

L’outil prend en charge la gestion en ligne des terminaux et assure le contrôle et la visibilité de la hiérarchie. Il permet en outre de centraliser la gestion des évaluations, les déploiements logiciels et les mises à jour. Webroot s’appuie sur le machine learning pour prédire les menaces et maintenir ses bases de données à jour.

La suite Webroot SecureAnywhere Business Endpoint Protection est recommandée pour les entreprises qui comptent au moins cinq terminaux.

Prix : à partir de 94,55 € par an pour 5 terminaux.

logiciel antivirus ou sécurité endpoint
Console de Webroot permettant de centraliser la gestion de tous les équipements.

Logiciels antivirus

McAfee Security Solutions

McAfee offre des solutions très complètes de cybersécurité pour protéger les ordinateurs, les terminaux et les réseaux contre les virus, les logiciels rançonneurs et d’autres menaces. Les logiciels antivirus de McAfee déclenchent des avertissements en cas de visite d’un site web dangereux ou de détection d’un fichier suspect. Ils incluent la protection contre les vols d’identité, l’installation d’un pare-feu, la gestion des mots de passe et le cryptage des fichiers.

McAfee propose par ailleurs une solution de protection des équipements incluant la détection des menaces et des tableaux de bord centralisés pour les systèmes Windows, Mac et Linux.

Prix : à partir de 23,11 € par an et par licence.

logiciel antivirus ou sécurité endpoint
Rapports générés grâce aux solutions de protection de McAfee.

OmniNet

OmniShield by OmniNet est une solution de cybersécurité pour les PME, équipée de nombreuses fonctionnalités : anti-malware, filtrage de sites web, protection avancée contre les menaces, protection web et monitoring des activités. Le logiciel propose en outre des options de data loss prevention, de défense périphérique, de reporting, de protection contre les logiciels rançonneurs et de protection UTM (“unified threat management”). Disponible en anglais uniquement.

Prix : à partir de 49 $ par mois (environ 44 €).

logiciel antivirus ou sécurité endpoint
Paramètres de sécurité d’OmniShield permettant de modifier les niveaux de protection.

Symantec

Symantec offre des solutions antivirus et de cybersécurité pour les entreprises et les particuliers. Ses logiciels Norton sont conçus pour détecter et bloquer virus, chevaux de Troie, logiciels espions, logiciels publicitaires, vers et autres types de codes malveillants. Ils incluent en outre des outils de protection contre le vol d’identité.

Symantec offre une solution de protection des terminaux destinée aux PME équipée de nombreuses fonctionnalités : anti-malware, gestion du cryptage des appareils, protection web, gestion des vulnérabilités et éradication des menaces. Disponible en anglais uniquement.

Prix : à partir de 25 € par an pour 1 appareil.

logiciel antivirus ou sécurité endpoint
Évaluations et mises à jour programmées dans Norton Antivirus, un logiciel de Symantec.

WebTitan

WebTitan est un logiciel antivirus qui permet de détecter et de bloquer des virus et d’autres malwares. Il assure aussi le filtrage des contenus web et l’identification de menaces en ligne.

WebTitan inclut des fonctionnalités de classement de sites web en différentes catégories, de création de listes noires/blanches d’URL et d’établissement de politiques de sécurité propres. Il permet de centraliser la gestion à distance des déploiements et des mises à jour sur des appareils multiples.

Prix : à partir de 45,86 € par mois pour 1 appareil.

logiciel antivirus ou sécurité endpoint
WebTitan permet de créer des politiques d’utilisation d’Internet pour votre entreprise.

Pour aller plus loin

Les logiciels de sécurité endpoint et les antivirus partagent certaines caractéristiques, mais ils répondent à des besoins distincts.

    • Les antivirus ne constituent que l’une des facettes des plateformes de sécurité endpoint.
    • Les plateformes de sécurité endpoint couvrent les réseaux dans leur ensemble et les protègent contre différents types de cyberattaques, tandis que les antivirus défendent des appareils spécifiques et servent à détecter et à bloquer des fichiers malveillants.
    • Les solutions de sécurité endpoint sont plus dynamiques et détectent automatiquement des terminaux lorsque de nouveaux dispositifs sont ajoutés à un réseau tandis que les antivirus doivent être installés séparément sur chaque système.

Un antivirus suffit pour les PME sans architecture réseau propre. Pour les entreprises qui disposent de plusieurs postes de travail ou machines connectées et peinent à identifier et à monitorer les nouveaux appareils qui se connectent à leur réseau, en revanche, mieux vaut opter pour une solution de sécurité endpoint.

Ressources complémentaires

Pour obtenir une liste complète des logiciels disponibles, consultez les répertoires spécialisés de GetApp :

 

Critères de sélection

Les applications reprises dans cet article ont été sélectionnées selon plusieurs critères : définition actuelle du marché, note globale moyenne et taille des clients cibles.

Dans le cadre de notre démarche de sélection, nous avons développé une série de définitions sur lesquelles se base l’ensemble du contenu associé à chaque catégorie. Ces définitions déterminent l’adéquation des applications aux catégories en question. Lorsqu’aucune définition formelle de catégorie n’existait, l’analyste a fait appel à son expérience de terrain et à ses connaissances pour évaluer les produits.

Après ce premier crible, les applications ont été analysées à la lumière des classements GetApp, établis selon les avis utilisateurs, les intégrations, l’existence de versions mobiles, la présence dans les médias et les fonctionnalités de sécurité des produits. Faute de classement par catégorie, les applications ont été sélectionnées sur la base de leur note moyenne, de leur pertinence sur le marché et de leurs fonctionnalités.

Enfin, les applications ont été filtrées selon la taille de leurs clients cibles grâce au filtre de GetApp pour ne retenir que les produits adaptés aux entreprises employant jusqu’à 500 personnes.