KMU Cyber Security: So gelingen wirksame Sicherheitsstandards
Die Erkenntnis, dass die Digitalisierung neben einer Menge Vorteile auch einen ganzen Haufen Risiken mit sich bringt, hat mittlerweile wohl sämtliche Unternehmen erreicht. Zahlreiche Meldungen über Cyberangriffe machen klar, dass Kriminelle es längst nicht nur auf Grosskonzerne abgesehen haben – auch kleine und mittelständische Unternehmen (KMU) sind ein lohnendes Ziel für Hackerangriffe. Doch kein Business ist diesen Attacken schutzlos ausgeliefert! Wir fassen im Artikel zusammen, wie Sie sich mit IT-Massnahmen, Prävention und Versicherungslösungen schützen können.
Aktuelle Cyberrisiken KMU
Was mit der Digitalisierung begann, wurde durch die Corona-Pandemie noch verstärkt: Cyberangriffe haben in den vergangenen Jahren ein nie gekanntes Ausmass erreicht und machen vor keinem Unternehmen halt. Doch während global agierende Konzerne schon länger an der Umsetzung von IT- und Cybersicherheit feilen, bewegen sich kleine sowie mitteständische Firmen in dieser Hinsicht noch immer auf Neuland. Zu oft fehlt es vermeintlich an finanziellem Budget und personellen Ressourcen, um adäquat gegen Hackerangriffe gewappnet zu sein. Die gute Nachricht ist: Auch unter diesen Voraussetzungen können Sie bereits einige Vorkehrungen treffen und checken, wie anfällig Ihr Business für Hackerangriffe ist.
Wie so eine Cyberattacke ablaufen kann, haben wir im Artikel Cyberangriffe auf Rekordhoch: Drei echte Fälle aus der Praxis anhand drei konkreter Beispiele für Sie aufgebarbeitet.
IT-Sicherheit für jede Unternehmensgrösse
So unterschiedlich sich Firmen, Geschäftsmodelle und Produktionsketten auch darstellen: Gewisse Standards sollten in keinem Unternehmen fehlen. Dazu gehören unter anderem:
- Virenschutz
- Firewall
- Regelmässige Updates
- Verwaltung der Zugangsrechte
- Geschulte Mitarbeiter:innen
- Und ganz wichtig: regelmässige Daten-Backups!
Letztendlich geht es bei allen Massnahmen nicht nur um Prävention, sondern auch darum, im Ernstfall die Kosten zu begrenzen und die Arbeitsfähigkeit kurzfristig wiederherzustellen zu können. Im Folgenden beleuchten wir die wichtigsten Punkte, mit denen Sie Cybersicherheit in Ihrem Business dauerhaft etablieren.
Der Mensch als Sicherheitsrisiko
Mitarbeiter:innen sind ein wichtiges Kapital für jedes Unternehmen – und in Sachen Cybersecurity leider auch ein grosses Risiko. Sie gefährden die Sicherheit oft unbewusst durch Nachlässigkeit oder schlicht Unwissen. Dem können Sie allerdings abhelfen! Sensibilisieren und schulen Sie Ihr Personal regemässig bezüglich möglicher Bedrohungsszenarien. Dazu gehören auch das Nahebringen möglicher Angriffsmethoden sowie der verantwortungsvolle Umgang mit Mailanhängen und externer Software. Die Methoden der Cyberkriminellen ändern sich immer wieder, daher ist hier Regelmässigkeit gefragt. Vermitteln Sie Ihrer Belegschaft also immer wieder die geltenden Sicherheitsrichtlinien. Dazu gehört auch, die Wahl eines guten Passworts.
Passwörter sind bei Hacker:innen heiss begehrt! Wie ein gutes Passwortmanagement da Abhilfe schafft, lesen Sie im Artikel 5 Tipps für gutes Passwortmanagement im Business.
Zudem gibt es mittlerweile einige Cyber-Präventionsangebote von Dienstleisterinnen und Dienstleistern wie z.B. perseus, die für kleines Geld über Online-Trainings die Mitarbeiter:innen aufklären und sensibilisieren, sowie durch Phising-Simulationen regelmässig prüfen, ob das wissen bei den Mitarbeitern auch angewendet wird.
Klare Verantwortlichkeiten für eine sichere IT
Wenig erschwert die Arbeit so sehr wie eine Organisation, in der die rechte Hand nicht weiss, was die linke tut. In Sachen Cybersicherheit ist das aber nicht nur nervig, sondern kann Sie teuer zu stehen kommen. Regeln Sie Verantwortlichkeiten in diesem Bereich deshalb ganz klar und kommunizieren Sie diese deutlich. Das gilt sowohl intern als auch extern! Denn wen auch immer Sie mit dieser Aufgabe betrauen, sie oder er muss die Befähigung und die Möglichkeiten haben, die Systeme des Unternehmens kontinuierlich zu prüfen, aus aufgedeckten Schwachstellen Massnahmen abzuleiten und für die Einhaltung der Sicherheitsrichtlinien zu sorgen. Dies umfasst auch, möglichen Verstössen nachzugehen. Zudem kann ein externes IT Sicherheitsaudit sinnvoll sein. Das sollte von der IT nicht als Mangel an Vertrauen gewertet werden, sondern als Unterstützung. Denn vertieft man sich sehr in ein Projekt, wird der Blick für Fehler schnell unscharf. Und was in einem Text vielleicht „nur“ unschön klingt, kann jedoch in der IT Sicherheit zu einem grossen Schaden führen…
Daten sichern? Aber sicher!
Daten sind elementar für viele Abläufe einer Firma und somit ein wichtiges Unternehmenskapital. Trotz dieser wichtigen Position sind sie jedoch noch immer vielen Gefahren ausgesetzt.
- Feuer, Wasser, Sturm etc.
- Abstürze beziehungsweise Fehler der Hard- und Software
- Hackerangriffe
- Malware (Ransomware, Viren, Würmer, Trojaner, …)
- Menschliches Versagen, bei dem Systeme zum Beispiel falsch bedient, versehentlich geändert oder Datensätze sogar komplett gelöscht werden
Vor derartigen Verlusten schützt die regelmässige Datensicherung auf externen Speichermedien. Die sollten Sie natürlich so lagern, dass sie keinen schädigenden Einflüssen ausgesetzt und vom übrigen Netzwerk getrennt sind.
Den Abstand zwischen den Datenspeicherungen bestimmt der Recovery Point Objective (RPO). Dieser Wert zeigt auf, wie viel Datenverlust ein Unternehmen maximal verkraftet. Auf diese Weise ergibt sich die maximale Zeitspanne zwischen zwei Datensicherungen. Vereinfacht ausgedrückt bestimmt der RPO den Umfang der Sicherheitsmassnahmen und den wiederherstellungsplan. Um ihn zu berechnen, sind jedoch einige Schritte notwendig. Wie das konkret ablaufen kann, verrät zum Beispiel ComputerWeekly.
Achten Sie bei der Datensicherung auch darauf, sämtliche Ordnerstrukturen, Verzeichnisse und Dateien im Blick zu behalten, damit nichts dem Sicherungsprozess entgeht und die Abläufe immer wieder zu kontrollieren. Denn auch Automatisierung schützt nicht vor Fehlern.
Desaster Recovery Plan (DRP) – wenn der Ernstfall eintritt
Tritt der Ernstfall doch einmal ein, ermöglicht nur eine vollständige, aktuelle Sicherung der Daten, den ursprungszustand wiederherzustellen. Ein DRP beschreibt dabei, was ganz konkret von wem zu tun ist – denn im Zweifel zählt jede Minute. Es lohnt sich, Datenwiederherstellung in Übungseinheiten zu testen, um jederzeit gewappnet zu sein.
Schnittstellen überwachen
In Unternehmen sind diverse Geräte und Systeme untereinander vernetzt. Computer greifen auf Websites zu, Server stellen Daten bereit und tagtäglich nutzt man externe Systeme von Partner. So ergeben sich viele verschiedene Schnittstellen nach aussen, die ein potenzielles Einfallstor für schädliche Eingriffe bilden. Regelmässige Kontrollen verhindern hier unerwünschte Zugriffe. Dabei helfen Firewalls, Proxy-Server sowie Intrusion Detection (IDS) und Intrusion Prevention Systeme (IPS).
Ein Proxy Server fungiert als Kommunikationsschnittstelle im Rechnernetzwerk. Er nimmt zum Beispiel Anfragen entgegen, um dann über seine eigene Adresse eine Verbindung zur gewünschten Seite herzustellen. Auf diese Weise lässt sich die Kommunikation mit einem Webserver absichern. Ein IDS erkennt Angriffe, die gegen Ihr Rechnernetzwerk gerichtet sind, während ein IPS Attacken nicht nur erkennt, sondern nach vorher festgelegten Regeln auf sie reagiert.
Cybersicherheit = Aktualität
Alle Massnahmen nützen Ihnen wenig, wenn Sie Ihre Werkzeuge vom Betriebssystem über diverse Anwendungen bis hin zum Virenscanner nicht aktuell halten. Jeden Tag werden neue Schwachstellen bekannt und von Kriminellen nur zu gern für ihre Attacken ausgenutzt. Um diesem Vorgehen einen Riegel vorzuschieben, stellen die Hersteller:innen immer wieder Patches und Updates bereit, die Sie unbedingt zeitnah einspielen sollten. Auch aktuelle Virenscanner verhindern das Eindringen von Schadsoftware in Clientsysteme und Server.
Teilweise reagieren die namhaften Hersteller:innen leider relativ langsam. Je nach verwendeter Hard- und Software gibt es jedoch einschlägige Webseiten und Newsletter, die häufig viel schneller mögliche Sicherheitslücken aufdecken und Gegenmassnahmen erläutern. Eine Recherche hierzu ist jeder/jedem IT-Verantwortlichen dringend zu empfehlen.
WLAN – der Todesstoss für sichere IT?
WLAN gehört heutzutage zum Standard, wenn es darum geht, über mobile Endgeräte Zugang zum Unternehmensnetzwerk zu erhalten oder Maschinen via Funktechnik in Prozesse einzubinden. Damit diese nützliche Technik Hacker:innen nicht Tür und Tor öffnet, sollten Sie Ihr WLAN mit einem sicheren Standard wie WPA2 verschlüsseln, die Zugänge für Gäste vom Produktionsnetz trennen und die Authentifizierung über zentrale Server vornehmen.
Cybersicherheit für Ihr Business – Prävention ist (fast) alles
Die Risiken der Digitalisierung treffen Unternehmen jeder Grösse und Branche. Halten Sie sich daher nicht an die Devise „Mein Business ist für Cyberkriminelle doch viel zu klein/zu uninteressant…“ – denn dieser Trugschluss kann Sie im schlimmsten Fall teuer zu stehen kommen. Sollten die hier aufgeführten Massnahmen einen zeit- und kostenintensiven Eindruck auf Sie machen bedenken Sie, welchen enormen Schaden ein Datenverlust, zum Beispiel durch eine Hackerattacke für Ihr Business bedeutet.
Absolute Sicherheit existiert in der Welt der Bits und Bytes ohnehin nicht? Völlig richtig, doch auch an dieser Stelle lassen wir Sie nicht allein. Mit einer Berufshaftpflichtversicherung über exali in Kombination mit dem Zusatzbaustein Datenschutz- & Cyber-Eigenschaden-Deckung sind Sie im Falle eines Cyberangriffs, etwa in Form einer Ransomware-Attacke oder auch bei Social Engineering abgesichert. Der Versicherer übernimmt dabei im Falle eines Cyber Incident zum Beispiel die Kosten für Datenrettung, die Wiederherstellungskosten für Ihre IT-Systeme und die Beauftragung von Expertinnen und Experten für IT Forensik oder rechtliche Fragestellungen. Bei einer Cyber-Erpressung kann der Versicherer auch Geldforderungen (Lösegeld) übernehmen.
Individuelle Cyber-Versicherung
Sofern Sie beziehungsweise Ihr Unternehmen noch weitergehenden Bedarf an Cyberschutz hat, kann die eigenständige Cyber-Versicherung für Sie die richtige Lösung sein. Diese kann bei exali noch individueller und umfangreicher auf das jeweilige Unternehmen angepasst werden. So sind Sie zum Beispiel auch bei einer kostspieligen Cyber-Betriebsunterbrechung abgesichert.
Vivien Gebhardt ist Onlineredakteurin bei exali. Hier erstellt sie Content zu Themen, die Selbständigen, Freiberuflern und Unternehmern unter den Nägeln brennen. Ihre Spezialgebiete sind Risiken im E-Commerce, Rechtsthemen und Schadenfälle, die bei exali versicherten Freelancern passiert sind.