KMU Cyber Security: So gelingen wirksame Sicherheitsstandards

Aktuelle Cyberrisiken KMU

Was mit der Digitalisierung begann, wurde durch die Corona-Pandemie noch verstärkt: Cyberangriffe haben in den vergangenen Jahren ein nie gekanntes Ausmass erreicht und machen vor keinem Unternehmen halt. Doch während global agierende Konzerne schon länger an der Umsetzung von IT- und Cybersicherheit feilen, bewegen sich kleine sowie mitteständische Firmen in dieser Hinsicht noch immer auf Neuland. Zu oft fehlt es vermeintlich an finanziellem Budget und personellen Ressourcen, um adäquat gegen Hackerangriffe gewappnet zu sein. Die gute Nachricht ist: Auch unter diesen Voraussetzungen können Sie bereits einige Vorkehrungen treffen und checken, wie anfällig Ihr Business für Hackerangriffe ist.

IT-Sicherheit für jede Unternehmensgrösse

So unterschiedlich sich Firmen, Geschäftsmodelle und Produktionsketten auch darstellen: Gewisse Standards sollten in keinem Unternehmen fehlen. Dazu gehören unter anderem:

• Virenschutz
• Firewall
• Regelmässige Updates
• Verwaltung der Zugangsrechte
• Geschulte Mitarbeiter:innen
• Und ganz wichtig: regelmässige Daten-Backups!

Letztendlich geht es bei allen Massnahmen nicht nur um Prävention, sondern auch darum, im Ernstfall die Kosten zu begrenzen und die Arbeitsfähigkeit kurzfristig wiederherzustellen zu können. Im Folgenden beleuchten wir die wichtigsten Punkte, mit denen Sie Cybersicherheit in Ihrem Business dauerhaft etablieren.

Der Mensch als Sicherheitsrisiko

Mitarbeiter:innen sind ein wichtiges Kapital für jedes Unternehmen – und in Sachen Cybersecurity leider auch ein grosses Risiko. Sie gefährden die Sicherheit oft unbewusst durch Nachlässigkeit oder schlicht Unwissen. Dem können Sie allerdings abhelfen! Sensibilisieren und schulen Sie Ihr Personal regemässig bezüglich möglicher Bedrohungsszenarien. Dazu gehören auch das Nahebringen möglicher Angriffsmethoden sowie der verantwortungsvolle Umgang mit Mailanhängen und externer Software. Die Methoden der Cyberkriminellen ändern sich immer wieder, daher ist hier Regelmässigkeit gefragt. Vermitteln Sie Ihrer Belegschaft also immer wieder die geltenden Sicherheitsrichtlinien. Dazu gehört auch, die Wahl eines guten Passworts.

Zudem gibt es mittlerweile einige Cyber-Präventionsangebote von Dienstleisterinnen und Dienstleistern wie z.B. perseus, die für kleines Geld über Online-Trainings die Mitarbeiter:innen aufklären und sensibilisieren, sowie durch Phising-Simulationen regelmässig prüfen, ob das wissen bei den Mitarbeitern auch angewendet wird.

Klare Verantwortlichkeiten für eine sichere IT

Wenig erschwert die Arbeit so sehr wie eine Organisation, in der die rechte Hand nicht weiss, was die linke tut. In Sachen Cybersicherheit ist das aber nicht nur nervig, sondern kann Sie teuer zu stehen kommen. Regeln Sie Verantwortlichkeiten in diesem Bereich deshalb ganz klar und kommunizieren Sie diese deutlich. Das gilt sowohl intern als auch extern! Denn wen auch immer Sie mit dieser Aufgabe betrauen, sie oder er muss die Befähigung und die Möglichkeiten haben, die Systeme des Unternehmens kontinuierlich zu prüfen, aus aufgedeckten Schwachstellen Massnahmen abzuleiten und für die Einhaltung der Sicherheitsrichtlinien zu sorgen. Dies umfasst auch, möglichen Verstössen nachzugehen. Zudem kann ein externes IT Sicherheitsaudit sinnvoll sein. Das sollte von der IT nicht als Mangel an Vertrauen gewertet werden, sondern als Unterstützung. Denn vertieft man sich sehr in ein Projekt, wird der Blick für Fehler schnell unscharf. Und was in einem Text vielleicht „nur“ unschön klingt, kann jedoch in der IT Sicherheit zu einem grossen Schaden führen…

Daten sichern? Aber sicher!

Daten sind elementar für viele Abläufe einer Firma und somit ein wichtiges Unternehmenskapital. Trotz dieser wichtigen Position sind sie jedoch noch immer vielen Gefahren ausgesetzt.

• Feuer, Wasser, Sturm etc.
• Abstürze beziehungsweise Fehler der Hard- und Software
• Hackerangriffe
• Malware (Ransomware, Viren, Würmer, Trojaner, …)
• Menschliches Versagen, bei dem Systeme zum Beispiel falsch bedient, versehentlich geändert oder Datensätze sogar komplett gelöscht werden

Vor derartigen Verlusten schützt die regelmässige Datensicherung auf externen Speichermedien. Die sollten Sie natürlich so lagern, dass sie keinen schädigenden Einflüssen ausgesetzt und vom übrigen Netzwerk getrennt sind.

Den Abstand zwischen den Datenspeicherungen bestimmt der Recovery Point Objective (RPO). Dieser Wert zeigt auf, wie viel Datenverlust ein Unternehmen maximal verkraftet. Auf diese Weise ergibt sich die maximale Zeitspanne zwischen zwei Datensicherungen. Vereinfacht ausgedrückt bestimmt der RPO den Umfang der Sicherheitsmassnahmen und den wiederherstellungsplan. Um ihn zu berechnen, sind jedoch einige Schritte notwendig. Wie das konkret ablaufen kann, verrät zum Beispiel ComputerWeekly.

Achten Sie bei der Datensicherung auch darauf, sämtliche Ordnerstrukturen, Verzeichnisse und Dateien im Blick zu behalten, damit nichts dem Sicherungsprozess entgeht und die Abläufe immer wieder zu kontrollieren. Denn auch Automatisierung schützt nicht vor Fehlern.

Desaster Recovery Plan (DRP) – wenn der Ernstfall eintritt

Tritt der Ernstfall doch einmal ein, ermöglicht nur eine vollständige, aktuelle Sicherung der Daten, den ursprungszustand wiederherzustellen. Ein DRP beschreibt dabei, was ganz konkret von wem zu tun ist – denn im Zweifel zählt jede Minute. Es lohnt sich, Datenwiederherstellung in Übungseinheiten zu testen, um jederzeit gewappnet zu sein.

Schnittstellen überwachen

In Unternehmen sind diverse Geräte und Systeme untereinander vernetzt. Computer greifen auf Websites zu, Server stellen Daten bereit und tagtäglich nutzt man externe Systeme von Partner. So ergeben sich viele verschiedene Schnittstellen nach aussen, die ein potenzielles Einfallstor für schädliche Eingriffe bilden. Regelmässige Kontrollen verhindern hier unerwünschte Zugriffe. Dabei helfen Firewalls, Proxy-Server sowie Intrusion Detection (IDS) und Intrusion Prevention Systeme (IPS).

Cybersicherheit = Aktualität

Alle Massnahmen nützen Ihnen wenig, wenn Sie Ihre Werkzeuge vom Betriebssystem über diverse Anwendungen bis hin zum Virenscanner nicht aktuell halten. Jeden Tag werden neue Schwachstellen bekannt und von Kriminellen nur zu gern für ihre Attacken ausgenutzt. Um diesem Vorgehen einen Riegel vorzuschieben, stellen die Hersteller:innen immer wieder Patches und Updates bereit, die Sie unbedingt zeitnah einspielen sollten. Auch aktuelle Virenscanner verhindern das Eindringen von Schadsoftware in Clientsysteme und Server.

WLAN – der Todesstoss für sichere IT?

WLAN gehört heutzutage zum Standard, wenn es darum geht, über mobile Endgeräte Zugang zum Unternehmensnetzwerk zu erhalten oder Maschinen via Funktechnik in Prozesse einzubinden. Damit diese nützliche Technik Hacker:innen nicht Tür und Tor öffnet, sollten Sie Ihr WLAN mit einem sicheren Standard wie WPA2 verschlüsseln, die Zugänge für Gäste vom Produktionsnetz trennen und die Authentifizierung über zentrale Server vornehmen.

Cybersicherheit für Ihr Business – Prävention ist (fast) alles

Die Risiken der Digitalisierung treffen Unternehmen jeder Grösse und Branche. Halten Sie sich daher nicht an die Devise „Mein Business ist für Cyberkriminelle doch viel zu klein/zu uninteressant…“ – denn dieser Trugschluss kann Sie im schlimmsten Fall teuer zu stehen kommen. Sollten die hier aufgeführten Massnahmen einen zeit- und kostenintensiven Eindruck auf Sie machen bedenken Sie, welchen enormen Schaden ein Datenverlust, zum Beispiel durch eine Hackerattacke für Ihr Business bedeutet.

Absolute Sicherheit existiert in der Welt der Bits und Bytes ohnehin nicht? Völlig richtig, doch auch an dieser Stelle lassen wir Sie nicht allein. Mit einer Berufshaftpflichtversicherung über exali in Kombination mit dem Zusatzbaustein Datenschutz- & Cyber-Eigenschaden-Deckung sind Sie im Falle eines Cyberangriffs, etwa in Form einer Ransomware-Attacke oder auch bei Social Engineering abgesichert. Der Versicherer übernimmt dabei im Falle eines Cyber Incident zum Beispiel die Kosten für Datenrettung, die Wiederherstellungskosten für Ihre IT-Systeme und die Beauftragung von Expertinnen und Experten für IT Forensik oder rechtliche Fragestellungen. Bei einer Cyber-Erpressung kann der Versicherer auch Geldforderungen (Lösegeld) übernehmen.

Individuelle Cyber-Versicherung

Sofern Sie beziehungsweise Ihr Unternehmen noch weitergehenden Bedarf an Cyberschutz hat, kann die eigenständige Cyber-Versicherung für Sie die richtige Lösung sein. Diese kann bei exali noch individueller und umfangreicher auf das jeweilige Unternehmen angepasst werden. So sind Sie zum Beispiel auch bei einer kostspieligen Cyber-Betriebsunterbrechung abgesichert.