6 Irrtümer zur Cyber Security in KMU

IT-Sicherheit in KMU | Managed IT Servies | Zürich | care4it

Der Technologiewandel beschleunigt sich und damit steigt die Komplexität der Unternehmens-Infrastruktur und der IT-Herausforderungen. IT-Hardware und -Programme permanent auf dem neuesten Stand zu halten, um den bekannten Sicherheitsrisiken wirkungsvoll zu begegnen, wird dabei mehr denn je zu einem erfolgskritischen Prozess. Dieser betrifft grosse Konzerne wie auch kleinere Unternehmen gleichermassen. Trotz dem allgemeinen Wissen um IT-Risiken, vernachlässigen zahlreiche Unternehmen ihre IT-Schutzmassnahmen, weil sich fehlerhafte Annahmen zur IT-Sicherheit (Cyber Security) hartnäckig halten. Wir erläutern sechs IT-Irrtümer, denen man in KMU begegnet und die zu unliebsamen Konsequenzen führen können.

Irrtum #1: «Das IT-Risikobewusstsein unseres Personals ist gut genug»

Mit steigender Sicherheit der IT-Infrastruktur in Unternehmen geraten zunehmend die Mitarbeitenden ins Visier von Cyberkriminellen. Über eine wachsende Anzahl Phishing E-Mails und Scams (betrügerische E-Mails, falsche Social-Media- oder Webseiten) wird versucht, an vertrauliche Informationen des Unternehmens oder an bestimmte Geldsummen heranzukommen.

Oft wird es versäumt, bei den Mitarbeitenden das Sicherheitsbewusstsein so zu fördern, dass sie potenzielle IT-Risiken wahrnehmen und einordnen können. Sie sind daher ein beliebtes Ziel für Angreifer. Einer Umfrage von SolarWinds zufolge, sind 68% aller Verletzungen der Cyber Security in Regierungsorganisationen der USA auf menschliches Fehlverhalten zurückzuführen. In vielen Fällen geschieht dies im Unwissen der Nutzer um die von ihnen eingegangenen IT-Risiken und damit ohne Einschätzung der Tragweite ihres Handelns. Es gilt daher, die Mitarbeitenden als häufigste Nutzer der unternehmensweiten IT mit geeigneten Massnahmen für die Sicherheitsrisiken zu sensibilisieren und ihnen klare Handlungsanweisungen zu vermitteln.

Irrtum #2: «Wir sichern unsere Daten indem wir in die besten IT-Tools investieren»

Wirksame Cybersicherheit ist nicht in erster Linie von der eingesetzten Technologie abhängig. Sie leistet zwar einen wesentlichen Beitrag, etwa bei der raschen Identifikation von unbefugten oder betrügerischen Zugriffen und müssen Teil einer gut konzipierten Sicherheitsarchitektur sein. Die verwendeten Tools  bilden allerdings nicht das Fundament der IT-Sicherheitsstrategie, sondern sind lediglich Mittel zum Zweck. Investitionen in die besten Technologien zahlen sich nur dann aus, wenn diese durch ein kollektives Verantwortungsbewusstsein der Mitarbeitenden und deren Vorgesetzten im Sinne der Cyber Security unterstützt werden. Der Mensch bleibt das schwächste Glied in der Sicherheitskette. Um dieses zu stärken, spielen insbesondere die Führungskräfte eine entscheidende Rolle. Sie sollen die Kultur einer hohen Risikosensibilität im Unternehmen fördern sowie die Mitarbeitenden ermutigen, wahrgenommene IT-Vorfälle zu melden.

Irrtum #3: «Unser Unternehmen ist zu klein, wir brauchen keine 24-Stunden-Überwachung»

Insbesondere KMU glauben, dass bei ihnen unbefugte Zugriffe auf ihre Daten oder die Manipulation ihrer IT nicht vorkommen können, da die Meinung vorherrscht, für Cybekriminelle eine zu geringe Bedeutung zu haben. Die Realität zeigt allerdings auf, dass Cyberangriffe auf Unternehmen und Organisationen jeder Grösse stattfinden. KMU sind dabei besonders attraktiv für Cyberkriminelle, da sie davon ausgehen, in kleineren Unternehmensstrukturen schwächere Sicherheitsmassnahmen vorzufinden. Eine entsprechende Abwehr vorzubereiten, ist daher für die IT in Unternehmen jeglicher Grössenordnung entscheidend – dazu gehört auch ein automatisches 24 -Stunden-Monitoring, welches effizient die permanente Überwachung der IT einschliesst.

Irrtum #4: «Unsere physischen Arbeitsplätze stellen kein IT-Risiko dar»

Spricht man über Datensicherheit, so spielt der physische Arbeitsplatz der Mitarbeitenden eine wichtige Rolle. Gerade das Arbeitspult kann als reichhaltige Quelle von vertraulichen Informationen dienen, bis hin zu offen zur Schau gestellten Login-Daten zur IT-Infrastruktur.

Mitarbeitende mit einem überhäuften Pult lassen in der Regel USB-Stick, Smartphone oder Notebook ebenfalls offen und ungesichert liegen. Auf diese Weise kann sich jedermann auf einfache Weise Zugang zu vertraulichen Informationen oder zur IT-Infrastruktur verschaffen. Ein unordentlicher Arbeitsplatz erschwert es festzustellen, dass gewisse Dokumente plötzlich fehlen – ein Diebstahl wird so nur mit Verzögerung bemerkt. Um den Täter zu ermitteln oder ein gestohlenes Dokument wieder aufzufinden, geht auf diese Weise wertvolle Zeit verloren.

Es empfiehlt sich daher, das Personal zu einem aufgeräumten Arbeitsplatz, einem Clean Desk, zu ermutigen. Damit erhöht sich nicht nur die Datensicherheit, sondern gleichzeitig kann schneller auf Tools und Dokumente zugegriffen werden – die individuelle Produktivität steigt. Eine entsprechende Clean Desk Policy kann in diesem Zusammenhang einen wichtigen Beitrag leisten.

Irrtum #5: «Wir haben eine wirkungsvolle Firewall und somit ist unsere IT gut gesichert»

Die Firewall besteht aus einer Kombination von Soft- und Hardware und sie spielt bei der Sicherung der Unternehmens-IT eine wichtige Rolle. Aufgabe der Firewall ist es, den Datenverkehr zwischen dem internen und dem externen Netzwerk laufend zu überprüfen und zu filtern. Gleichzeit soll sie die IT-Schlüsselpersonen im Unternehmen oder den externen IT-Dienstleister bei Fehlfunktionen oder Cyberangriffen alarmieren. Allerdings genügt die Firewall-Hardware alleine nicht, um die IT wirkungsvoll zu sichern. Eine wirkungsvolle Firewall muss richtig konfiguriert und ihre Filterregeln richtig eingestellt sein, damit sie die Cyber Security gewährleistet. Diese Einstellungen sind regelmässig zu überprüfen. Ausserdem muss die Firmware der Firewall regelmässig aktualisiert werden - nur so schützt sie zuverlässig gegen unerwünschte Zugriffe aus dem externen Netzwerk. Um diese Vorkehrungen zeitnah und professionell umzusetzen, lohnt sich die Zusammenarbeit mit einem Managed IT Services Partner, der Managed Firewall-Leistungen in seinem Angebot führt.

Daten, welche die Nutzer über DVD- und USB-Laufwerke auf die Computer laden, werden nicht von der Firewall erfasst. Sie sind somit gefährliche Risikoquellen für Schadsoftware. Um diese Schwachstellen zu verhindern, ist jede installierte Software stets und umgehend mit den neuesten Updates der Softwarehersteller zu aktualisieren.

Auch der unkorrekte Umgang mit Login-Daten kann von einer Firewall nicht verhindert werden. Passwort und Nutzer-ID sind nur dann wirkungsvoll, wenn sie den Zugang für Unbefugte tatsächlich verhindern. Um dies zu erzielen, müssen sie so angelegt und aufbewahrt werden, dass sie niemand anderem als dem autorisierten Mitarbeitenden selbst den Zugang zu den entsprechenden Daten oder IT-Umgebungen ermöglichen. Eine klare Passwort-Policy und regelmässige Sicherheitsschulungen für das Personal sind daher unerlässlich.

Irrtum #6: «Wir können selbst für den Schutz unserer IT sorgen»

Insbesondere für KMU ist es kaum möglich, sich laufend mit allen Aspekten und neuesten Erkenntnissen der Cyber Security zu beschäftigen. Somit können auch nicht die unmittelbar notwendigen Massnahmen bei einer veränderten Bedrohungslage durch Cyberkriminelle ergriffen werden. Auch das laufende Monitoring der eigenen IT-Infrastruktur und eine rasche Reaktion bei Zwischenfällen ist nur in wenigen KMU mit der eigenen Organisation möglich. Es lohnt sich daher, mit einem verlässlichen und kompetenten Managed IT Services Partner zusammenzuarbeiten. Selbst wenn das Unternehmen über ein eigenes IT-Team verfügt, lohnt sich die Zusammenarbeit mit einem externen IT-Sicherheitspartner – so kann sich die eigene IT-Abteilung auf geschäftsrelevante IT-Projekte konzentrieren und leistet damit einen direkten Beitrag an den Unternehmenserfolg.


Personal als IT-Risikofaktor - erhöhte IT-Sicherheit und Cybersecurity durch risikobewusstes Verhalten der Mitarbeitenden | care4IT | Managed IT Services | Zürich

Themen: Cyber Security
Autor: Philipp Hollerer | 12. September 2017 | 19:40



Besuchen Sie mich auf:

IT-Blog für KMU abonnieren und auf dem neuesten Stand bleiben