Holen Jetzt loslegen
Besuchen Sie uns auf der it-sa vom 10. bis 12. Oktober 2023 in Nürnberg

Sicherheit

Die grundlegenden Begriffe zur Cybersicherheit

Wissen ist Macht. Und auch die beste Waffe gegen Cyberangriffe. Wir haben hier für Sie die wichtigsten Infos zum Thema zusammengestellt, damit Sie sich und Ihr Unternehmen besser schützen können.

Bei einem Datenschutzverstoß ist die Frage nicht, ob er passiert, sondern wann

Unser Leben spielt sich seit einigen Jahren zunehmend im digitalen Raum ab. Damit haben auch die Cybergefahren zugenommen.

82 %

aller Datenschutzverletzungen, z. B. gestohlene Anmeldedaten oder Phishing, sind auf menschliches Versagen zurückzuführen.¹

10

Billionen Dollar – so lautet ein konservativer Schätzwert für den 2025 durch Cyberkriminalität verursachten finanziellen Schaden.²

Halten Sie Ihr Wissen zur Cybersicherheit stets auf dem neuesten Stand

Die vier wichtigsten Einfallspunkte, die sich Cyberkriminelle zunutze machen, sind: Anmeldedaten, Phishing, Ausnutzung von Sicherheitslücken und Botnets.¹ Alle vier sind in allen Bereichen des DBIR vertreten, und kein Unternehmen kommt ohne eine Strategie gegen jeden einzelnen dieser Punkte aus.

Sie und der Rest Ihres Unternehmens müssen mit den grundlegenden Begriffen rund um Datenschutzverletzungen und Hacker-Angriffe vertraut sein. Nur so können Sie die Warnsignale erkennen und zudem auch andere zum Thema schulen. Und nicht zuletzt können Unternehmen, die sich mit den Grundlagen auskennen, im Ernstfall ihre Kunden kompetent und unmissverständlich über das Geschehene informieren.

Den Hacker-Jargon verstehen

Sind Sie sich als Verbraucher nie so sicher, was Ihnen ein Unternehmen eigentlich sagen will, wenn es Sie über einen stattgefundenen Datenschutzverstoß informiert? Gehören Sie einem Unternehmen an, das effektiv mit seinen Kunden kommunizieren möchte, falls Unternehmensdaten von einem Angriff betroffen sind?

Die Begriffe rund ums Thema werden oft falsch eingesetzt, beispielsweise werden Sicherheitsvorfälle gern fälschlich als Hacker-Angriffe bezeichnet. Zu den Best Practices gehört, die Formulierungen in Ihrer Kommunikation zu überprüfen und ausschließlich Informationen aus zuverlässigen Quellen weiterzugeben.

Tipp: Sehen Sie als Allererstes nach, ob das betroffene Unternehmen selbst Pressemitteilungen, Blogs, eine Info-Webseite oder ähnliches veröffentlicht hat.

Diese grundlegenden Begriffe aus der Welt der Cyberkriminalität sollten Sie kennen:

Hacker/Angreifer

Ein unbefugter Benutzer, der versucht, sich Zugang zu einem Informationssystem (dem Netzwerk, in dem Benutzer Informationen von ihren Geräten aus erstellen, freigeben und weiterleiten) zu verschaffen.

Angriff

Jede böswillige Aktivität, bei der versucht wird, Informationen oder Ressourcen des Informationssystems zu sammeln, zu stören, zu verweigern, zu beeinträchtigen oder zu zerstören.

Hacken

Der Versuch, mithilfe gestohlener Anmeldedaten auf ein Informationssystem, Computersystem, privates Netzwerk oder Gerät zuzugreifen.

Typische Cyberangriffe

  • Credential Stuffing: Dies ist nach einem Brute-Force-Angriff der nächste Schritt, bei dem sich jemand die Zugangsdaten zu einem Konto verschafft hat und diese nun für möglichst viele andere Websites, Apps usw. einsetzt. Deshalb sollten Sie Passwörter nicht mehrmals verwenden: Wenn eines Ihrer Konten gehackt wird, sind ansonsten alle anderen ebenfalls gefährdet.
  • Basic Web Application Attacks (BWAA): Angriffe, die direkt auf die am stärksten gefährdete Infrastruktur eines Unternehmens abzielen, wie z. B. Webserver.
  • Phishing: eine Form des Betrugs, bei der sich der Angreifer in E-Mails oder anderen Kommunikationsformen als seriöse Organisation oder Person ausgibt. Unterarten sind Smishing (per SMS) und Vishing (per Sprachanruf).
  • Ransomware: Eine Malware-Variante, mit der Dateien auf einem Gerät verschlüsselt werden, sodass der Benutzer keine anderen davon abhängigen Dateien und Systeme mehr nutzen kann. Mit einem Zuwachs von fast 13 Prozent – so viel wie in den letzten fünf Jahren zusammengerechnet – ist Ransomware weiterhin auf dem Vormarsch.¹
  • Social Engineering: Hier verschafft sich der Angreifer unbefugten Zugang, indem er das Opfer dahingehend beeinflusst, vertrauliche Informationen preiszugeben, oder sich als dem Opfer nahestehend ausgibt, um Vertrauen zu gewinnen.
  • Supply-Chain-Angriff: Der Angreifer verschafft sich über zuvor in die Lieferkette eingeschleuste Komponenten oder Schwachstellen unbefugten Datenzugriff oder manipuliert Hardware, Software, Betriebssysteme, periphere IT oder Dienste, die an verschiedenen Stellen der Supply Chain eingesetzt oder ausgeführt werden.

Cyberangriffe sind eine ernstzunehmende Gefahr. Aber auch hier gilt die Binsenweisheit: Wissen ist Macht: Wenn Sie sich mit den grundlegenden Begriffen auskennen, sind Sie schon gut gewappnet.³

Bauen Sie eine Cybersicherheitsstrategie auf

Die beste Strategie, die Ihr Unternehmen hinsichtlich Cybergefahren zusätzlich zur Schulung der Mitarbeiter verfolgen kann, ist die Umsetzung eines proaktiven Plans. Folgende Sicherheitsmaßnahmen können Sie ohne großen Aufwand sofort implementieren:

  • Erstellen Sie für jeden Onlinekonto ein anderes komplexes Passwort – eines, das es nur einmal gibt.
  • Verwenden Sie einen Passwort-Manager, um Anmeldedaten und andere vertrauliche Informationen zu erstellen, zu speichern, sicher freizugeben und zu verwalten.
  • Aktivieren Sie die Multifaktor-Authentifizierung (MFA) für Dienste wie E-Mail, Social Media, Online-Banking, arbeitsrelevante Apps usw.
  • Nutzen Sie Tools zu Überwachung von Datenschutzverletzungen, damit Sie sofort informiert werden, falls unbefugt auf Ihre Anmeldedaten zugegriffen wurde. So können Sie weiteren Schaden abwenden.
  • Achten Sie auf die üblichen Indizien für einen versuchten Cyberangriff: Klicken Sie nie auf Links von Unbekannten, öffnen Sie keine Websites voller Tippfehler, reagieren Sie nicht auf E-Mails, die ungelenk formuliert sind und von unbekannten Absendern stammen.
  • Führen Sie Virenschutz-, Endgeräteschutz- oder Anti-Malware-Software aus.
  • Sorgen Sie durch regelmäßige Updates dafür, dass Ihre Apps und Betriebssysteme stets auf dem neuesten Stand sind. 
  • Sichern Sie Ihre wichtigsten Daten regelmäßig entweder lokal oder in der Cloud, damit Sie immer auf eine an einem sicheren Ort gespeicherte Kopie zugreifen können.

In diesem Artikel zitierte Quellen

  1. 2022 Verizon Data Breach Investigations Report (DBIR)
  2. Secureworks Boardroom Cybersecurity Report
  3. NIST Computer Security Resource Center

So schützt LastPass Ihre Daten vor böswilligen Angriffen, schlechten Passwortpraktiken und mehr

Was passiert, wenn LastPass Opfer eines Sicherheitsvorfalls oder Hackerangriffs wird?

Das Sicherheitsmodell von LastPass beruht auf dem Zero-Knowledge-Prinzip. Das bedeutet, dass außer Ihnen niemand auf Ihr verschlüsseltes Master-Passwort, Ihren Passwort-Vault oder Ihre Vault-Daten zugreifen kann. Um unbefugten Zugriff zu verhindern, setzen wir in der Branche übliche Mechanismen wie die AES-256-Bit-Verschlüsselung mit PBKDF2 und Salted Hashes ein.

Darüber hinaus schützt LastPass seine Infrastruktur, indem wir unsere Systeme regelmäßig upgraden und über den ganzen Globus verteilte redundante Rechenzentren verwenden. Dies verringert die Gefahr von Ausfällen oder eines „Single Point of Failure“. In der Praxis hat sich LastPass mittlerweile bei mehr als 100.000 Firmenkunden etabliert – von Fortune-500-Unternehmen bis hin zu führenden Technologieanbietern.

Woher weiß ich, ob LastPass gehackt wurde oder es einen anderen Vorfall gab?

LastPass legt bei der Reaktion auf Vorfälle großen Wert auf Transparenz. Wir informieren Sie daher stets zeitnah über etwaige Zwischenfälle. Wie genau wir mit unseren Benutzern kommunizieren, hängt von der Art des Vorfalls ab. Bei Vorfällen mit der höchsten Priorität informieren wir Sie in Form von E-Mails, Blogartikeln und Social-Media-Beiträgen. Denn wir sind überzeugt, dass sich das Vertrauen unserer Nutzergemeinde nur mit ehrlicher und effektiver Kommunikation gewinnen lässt.

Welche Maßnahmen ergreift LastPass, um Hackerangriffe zu verhindern und meine Daten zu schützen?

Unsere Kunden werden durch das Zero-Knowledge-Sicherheitsmodell geschützt. Das bedeutet, dass LastPass weder auf Ihr Master-Passwort noch Ihren Passwort-Vault oder die darin gespeicherten Daten zugreifen kann – Security by Design. Das ist ein Branchenstandard, dem alle Anbieter von Passwort-Managern folgen sollten. Darüber hinaus hält LastPass eine Reihe weiterer Best Practices ein, die Ihnen und Ihren Daten zusätzlichen Schutz bieten, darunter:

  • Zertifizierungen für eingehaltene Sicherheitsvorschriften wie SOC 2 Typ II, SOC 3, BSI C5, CBPR- und PRP-Zertifizierungen der APEC, das TRUSTe „Certified Privacy“-Siegel, DSGVO-Compliance und ISO/IEC 27001:2013.
  • Audits und Penetrationstests: LastPass beauftragt vertrauenswürdige unabhängige Sicherheitsfirmen damit, den LastPass-Dienst und unsere Infrastruktur routinemäßigen Prüfungen und Tests zu unterziehen.
  • Bug-Bounty-Programm: Mit dem Ziel, unsere Lösungen stetig zu verbessern, arbeitet LastPass mit Sicherheitsforschern zusammen. Wir freuen uns über ihren Input, wenn diese auf Schwachstellen oder andere Fehler aufmerksam werden.

Trust Center

Die einzige Ressource, die Sie für Informationen zum Thema Sicherheit, Datenschutz, Compliance und Systemleistung brauchen.

Trust Center besuchen

LastPass-Verschlüsselungsmodell

Ihre Daten sind geheim, auch wir kennen Sie nicht. LastPass schützt Ihre Daten durch eine ausschließlich lokale Verschlüsselung.

Mehr zu Verschlüsselung

Technisches Whitepaper

Wie LastPass technisch dafür sorgt, dass Ihre Daten sicher bleiben.

Whitepaper lesen

Trust-Center-Ressourcen

In den Unterlagen finden Sie Informationen zu den produktspezifischen, technischen, organisatorischen und Compliance-Maßnahmen.

Ressourcen ansehen

Strikte Sicherheit und globale Compliance. Das und mehr bekommen Sie bei LastPass.

LastPass Business testen Vertrieb kontaktieren
Kostenlose 14-Tage-Testversion von LastPass Business. Keine Kreditkarte erforderlich.