Gerade KMU sind ein beliebtes Ziel von Cyberkriminellen, da diese davon ausgehen, bei kleineren und mittleren Unternehmen eine schwache Cyber Security vorzufinden. KMU sind daher gut beraten, sich präventiv mit den gefährlichsten Cyber-Risiken auseinanderzusetzen. Dieser Beitrag erläutert die gefährlichsten Risiken und die wichtigsten Cyber-Security-Massnahmen dazu.
Um in einem KMU eine hohe Cyber Security zu gewährleisten, müssen in einer ersten Phase die dahinterstehenden Risiken identifiziert werden. Sind diese einmal bekannt, lassen sich anschliessend die geeigneten Präventionsmassnahmen zur Vermeidung dieser Risiken festlegen und umsetzen.
Die folgenden Cyber-Risiken sind häufig anzutreffen. Sie gefährden Leistungsfähigkeit und Existenz von KMU.
Cyber-Risiko Personal: Fehlendes IT-Sicherheitsbewusstsein der Mitarbeitenden
Ein hohes Bedrohungspotenzial geht nicht nur von externen Angreifern, sondern häufig von den eigenen Mitarbeitenden aus. Sie können die IT-Sicherheit bewusst oder unbewusst schwächen und damit die Performance des Unternehmens gefährden. Trotz dieses Umstands ist oft zu beobachten, dass das Personal nicht über das nötige Wissen verfügt, wie die IT-Sicherheit durch geeignetes Verhalten verbessert werden kann. Die Mitarbeitenden sind daher hinsichtlich der Wichtigkeit der Cyber Security zu sensibilisieren und regelmässig zu schulen. Ihnen sollten Angriffsmethoden wie Social Engineering oder Phishing und der verantwortungsvolle Umgang mit E-Mail-Anhängen oder externer Software bekannt sein. Die Wirksamkeit dieser Schulungen sind mit gezielten Angriffs-Simulationen (z.B. Phishing-Simulationen) periodisch zu testen. Darüber hinaus müssen sie die Sicherheitsrichtlinien des Unternehmens kennen und diese etwa bei Auswahl und Einsatz der Passwörter beachten. Entsprechende Schulungen (Cyber-Risk-Trainings) mit Phishing-Angriffs-Simulationen lassen sich durch externe Anbieter von IT Services umsetzen.
Cyber-Risiko Organisation: Keine klaren IT-Verantwortlichkeiten
Sicherheit in der IT setzt voraus, dass die IT-Verantwortlichkeiten im Unternehmen klar geregelt und benannt sind. Es müssen interne oder externe Verantwortliche für die IT-Sicherheit bestimmt sein, die die Systeme kontinuierlich prüfen, aus den erkannten Schwachstellen Massnahmen ableiten und deren Umsetzung überwachen. Die Verantwortlichen haben die Einhaltung der Richtlinien für die Zugriffsberechtigung der Mitarbeitenden regelmässig zu prüfen und Verstössen nachzugehen. Sie sind es auch, die bei einem sicherheitsrelevanten Zwischenfall die notwendigen Sofortmassnahmen einleiten.
Cyber-Risiko Passwörter: Kein Programm zur Vermeidung von Passwort-Hacking
Passwörter gehören zum schwächsten Glied der IT-Sicherheit in KMU, denn ein absolut sicheres Passwort existiert nicht. Jedes Passwort kann entdeckt, erraten oder entschlüsselt werden und bietet deshalb keine vollumfängliche Sicherheit vor unerlaubten Zugriffen auf ein IT-System. Ein Passwort als Schlüssel zur Unternehmens-IT gilt dann als relativ sicher, wenn der Aufwand es zu ermitteln für Cyberkriminelle zu hoch wird.
Um die Passwort-Sicherheit zu maximieren, ist ein umfassendes Programm zur Vermeidung von Passwort-Hacking notwendig. Dieses enthält ein ganzes Paket an Massnahmen:
- Schutz sämtlicher hinterlegter Passwörter.
- Überprüfung der Passwort-Richtlinien bei der Neu-Erstellung eines Passworts.
- Passwort-Training für Mitarbeitende.
- Vereinfachung des Passwort-Handlings für die Mitarbeitenden.
- Reduktion der Abhängigkeit von Passwörtern.
- Technische Massnahmen zur Abwehr von unbefugten Zugriffsversuchen.
Cyber-Risiko Automation: Automatisiertes Cybercrime-Umfeld
Kriminelle Hacker sind heute gut organisiert und nutzen leistungsfähige Tools, um in Systeme einzudringen oder Daten zu stehlen. So verwenden sie etwa hochautomatisierte Systeme, um Milliarden von möglichen Zeichenkombinationen mit hoher Geschwindigkeit auszuprobieren bis der Zugriff in eine Unternehmens-IT gelingt (Brute-Force-Attacken).
Um damit Schritt zu halten und diese Bedrohungen fernzuhalten, bleibt den KMU nichts anderes übrig als sich anzugleichen und automatisierte IT-Sicherheitslösungen einzusetzen. Müssen sich interne Cybersicherheits-Experten manuell mit der Auswertung von Log-Dateien oder Warnmeldungen beschäftigen, gehen wertvolle und knappe Arbeitsressourcen für wichtigere Tätigkeiten verloren. Dies gilt auch wenn die Unternehmens-IT durch einen externen IT-Dienstleister betreut wird: wendet dieser keine automatisierte Cyber Security an, so arbeitet er ineffizient mit entsprechenden Mehrkosten für das KMU. Ausserdem besteht bei manueller Auswertung die Gefahr, dass Risiken nur zeitverzögert erkannt werden und für die Abwehr eines Angriffs wertvolle Zeit verloren geht.
Die Automation in der Cybersicherheit gewinnt deshalb zunehmend an Bedeutung. Mit automatisierten Security-Anwendungen lassen sich zeitaufwendige manuelle Prozesse vermeiden. Gleichzeitig nimmt die Sicherheit von Anwendungen, Netzwerken oder IT-Systemen zu und Risiken werden frühzeitig erkannt, bevor sie Schaden anrichten können.
Cyber-Risiko Ransomware: Veraltete Abwehrtechnologie
Bei Ransomware-Attacken werden die Unternehmensdaten von Erpressern verschlüsselt und erst dann wieder zur Nutzung freigegeben, wenn das Unternehmen Lösegeld bezahlt. Dazu nutzt eine Schadsoftware die Schwachstellen der Betriebssysteme und verwendet interne oder externe Netzwerke für die Infizierung.
Obwohl das Bewusstsein über diesen Umstand in vielen KMU vorhanden ist, sind zahlreiche Unternehmen immer noch der Meinung, dass sie zu unbedeutend oder zu klein sind, um zur Zielscheibe von Ransomware-Attacken zu werden. Doch gerade bei dieser Art von Angriffen sind KMU ein beliebtes Ziel von Cyberkriminellen, da sie (oft erfolgreich) davon ausgehen, auf veraltete und damit geschwächte IT-Abwehrtechnologie zu treffen.
Mit Patches und Updates schliessen Softwarehersteller nachträglich Sicherheitslücken. Damit lässt sich auf neu auftauchende Cyberbedrohungen wie Ransomware-Angriffe reagieren und die dadurch entstandenen neuen Sicherheitsschwachstellen einer Software oder Hardware beheben. Diese Patches und Updates sind allerdings nur dann wirkungsvoll, wenn sie vom Unternehmen umgehend genutzt werden. Um Sicherheitslücken konsequent zu vermeiden, ist daher jede installierte Software und betroffene Hardware-Komponenten stets mit den jeweils neu erschienenen Patches und Updates sofort nach deren Erscheinen durch das KMU zu aktualisieren.
Cyber-Risiko DDoS: Fehlendes Abwehrkonzept für DDoS-Angriffe
Heute benötigen Angreifer keine speziellen Programmierkenntnisse mehr. Cyberkriminelle stellen Schadsoftware in Form einer Dienstleistung als «Malware-as-a-Service»-Angebot (Schadsoftware als Dienstleistungsangebot) im Internet oder Darknet zur Verfügung. Dieser Service ist für jeden nutzbar und bietet leistungsfähige Tools, mit denen sich Angriffe auf unterschiedlichste Systeme innert kürzester Zeit erfolgreich durchführen lassen: Botnetze werden für Distributed-Denial-of-Service-Angriffe (DDoS) bereitgestellt, um die Internetdienste des Unternehmens automatisiert funktionsunfähig zu machen oder zur Verbreitung von Schadsoftware auf Bestellung. Die «Malware-as-a-Service»-Angebote sind modular gestaltet und lassen sich flexibel den Wünschen der Cyberkriminellen anpassen.
Um DDoS-Angriffe abzuwehren, sind folgende Vorkehrungen1 zu treffen:
- Vorlagerung Firewall
Indem dem IT-System eine Firewall vorgelagert wird, werden nur die tatsächlich durch das KMU benötige Protokolle zum System durchgelassen. - Leistungsfähige Firewall
Die Firewall soll über genügend Systemressourcen verfügen, um im Falle eines DDoS funktionsfähig zu bleiben. Wichtig dabei sind die Einstellungen: die Connection Table sowie die Regeln müssen korrekt konfiguriert sein, damit sie im Ernstfall zusätzlich viele Blockierungsregeln implementieren können. - Geo-IP-Blocking
Wenn die Kunden eines KMU vorwiegend aus der Schweiz und dem nahen Ausland stammen, kann ein Profil vordefiniert werden, welches IP-Adressen aus diesem Raum entweder Priorität einräumt oder andere IP-Adressen blockiert. Im Angriffsfall lässt sich dieses Profil aktivieren. So gewinnt das KMU sehr schnell an Handlungsoptionen und zusätzlichem Schutz. - Web Application Firewall
Mit dem Einsatz einer Web Application Firewall lässt sich die Angriffsfläche auf webbasierte Dienste minimieren. - Separater Internet-Uplink
Systeme, die potenziell Opfer einer DDoS-Attacke werden könnten, wie etwa die Website des Unternehmens, sollten an einem anderen Internet-Uplink hängen als die übrigen Systeme der Organisation. Die von einem DDoS betroffenen Systeme können so einfacher unter den Schutzschild eines DDoS-Mitigation-Providers gestellt werden, ohne dabei die restlichen Systeme zu tangieren, die für das Tagesgeschäft nötig sind. - Ausweichlösungen bereitstellen
Mit vorbereiteten Ausweichlösungen z.B. eine statische Website mit minimalen Informationen, welche bei einem anderen Provider bereitsteht und bei Bedarf aktiviert wird, lässt sich im Notfall die Internet-Präsenz des KMU aufrechterhalten.
Cyber-Risiko Cryptojacking: Keine Überwachung von Cryptojacking
Der Hype um Kryptowährungen wie Bitcoin ist zwar etwas abgeebbt, doch nach wie vor lässt sich mit dem Schürfen von digitalem Geld gut verdienen. Das nutzen Cyberkriminelle aus, indem sie per Cryptojacking fremde Systeme, etwa KMU-Server, für das Schürfen missbrauchen. Cryptojacking ist mittlerweile sehr beliebt. Es handelt sich im Prinzip um klassische Schadsoftware, doch ist sie für den Betroffenen nur schwer zu entdecken. Die Software ist so konzipiert, dass sie keine erkennbaren Schäden verursacht. Sie verbraucht allerdings Ressourcen wie Rechenleistung und Speicherplatz. Vor allem Server mit hoher Performance sind beliebte Ziele für das Cryptojacking.
Die Auswirkungen zeigen sich in indirekter Form an bestimmten Symptomen wie langsamere Systeme und Anwendungen, höhere Netzwerkauslastungen oder steigende Stromrechnungen. Oftmals bleiben diese Auswirkungen unentdeckt und Kriminelle schöpfen über lange Zeiträume Gewinne auf Kosten der betroffenen Unternehmen ab.
Cryptojacking lässt sich am besten bekämpfen, wenn es frühzeitig erkannt wird. Ein besonderes Augenmerk gilt den typischerweise auftretenden und länger andauernden CPU-Lastspitzen, die das IT-System jenseits des Normalbereichs belasten. Die IT-Abteilung oder der externe IT-Dienstleister muss dazu die CPU-Schwellenwerte kennen und Analysemechanismen im Einsatz haben. Diese alarmieren den Administrator, sobald die CPU-Auslastung die Schwellenwerte überschreitet. Ist Cryptojacking einmal entdeckt, lassen sich illegal eingerichtete Nutzerkonten und andere Änderungen rückgängig machen.
Cyber-Risiko Know-how: IT-Fachkräftemangel
Die Wichtigkeit und Brisanz des Themas Cybersicherheit zeigt sich an der steigenden Nachfrage nach Fachpersonal mit IT-Security-Kenntnissen. Zum Schutz des KMU-Firmennetzwerks und kritischer Daten oder Anwendungen sind Sicherheitsexperten unerlässlich. Dies müssen mit den neuesten Technologien und Angriffsmustern vertraut sein. Fehlendes Personal in diesem Bereich ist eine existenzielle Gefahr für jedes Unternehmen. Immer höhere durch Cyberattacken verursachte Kosten und die zunehmende Digitalisierung erzeugen einen Bedarf an Sicherheitspersonal, den der aktuelle Arbeitsmarkt nicht zu decken vermag. Sehr gefragt sind IT-Experten mit Kenntnissen in den Bereichen Verschlüsselung, Cloud-Security, Netzwerksicherheit und Datenschutz. Oftmals bleiben freie Stellen unbesetzt und wichtige Tätigkeiten im Security-Bereich unbearbeitet. Als Ausweg lässt sich ein zertifizierter Anbieter von Managed IT Services einbeziehen.
Cyber-Risiko Backup: Mangelhafte Datensicherungsprozesse
Daten sind ein wichtiges Kapital des Unternehmens und unerlässlich für die verschiedenen Betriebsabläufe. Sie sind vor den zahlreichen Bedrohungen wie etwa Diebstahl, Zerstörung oder versehentliche Löschung zu schützen.
Werden Daten nicht korrekt gesichert, lassen sich diese nach Eintritt eines solchen Ereignisses nicht wiederherstellen. Mittlerweile haben die meisten KMU Backup-Lösungen implementiert, allerdings ist zu beobachten, dass diese einmalig konfiguriert und danach nicht mehr überprüft werden. Eine Fehlfunktion der Backup-Lösung wird auf diese Weise nicht erkannt.
Nur wer alle wichtigen Daten regelmässig sichert, ist vor Datenverlust geschützt. Sämtliche relevanten Daten sind daher in definierten Abständen kontinuierlich auf externen Backup-Medien zu speichern. Der zeitliche Abstand zwischen den Sicherungen ist abhängig vom jeweiligen Geschäftsmodell des Unternehmens. Diese erforderliche Sicherungshäufigkeit hat unmittelbare Konsequenzen auf den Umfang der notwendigen Sicherheitsinfrastruktur und auf den hinterlegten Wiederherstellungsplan (Disaster Recovery Plan).
Der Backup-Planung gilt daher ein besonderes Augenmerk, damit keine wichtigen Ordnerstrukturen, Verzeichnisse oder Dateien übersehen werden, die dann in den Datensicherungen fehlen. Die automatisierten Datensicherungsprozesse müssen darüber hinaus laufend auf korrekte Umsetzung überprüft werden. Dies verhindert, dass die Sicherung aufgrund von Fehlern unbemerkt ausbleibt.
Cyber-Risiko Wiederherstellung: Unvollständiger Disaster-Recovery-Plan
Ein vorbereitetes Konzept für das Disaster Recovery zur Wiederherstellung des IT-Betriebs stellt die Lebensversicherung für ein KMU dar. Es ermöglicht bei einem IT-Notfall, Computer- bzw. Netzwerk-Anwendungen inklusive der benötigten Daten rasch wieder zu aktivieren oder die IT Security wiederherzustellen. Notwendig werden kann ein Disaster Recovery etwa nach folgenden Vorkommnissen:
- Angriffe auf die Cyber Security
- Hardwareausfälle
- Systemabstürze
- Brände, Überschwemmungen, Naturkatastrophen
- Fehlbedienung der IT-Systeme durch Mitarbeitende
- Störungen beim IT-Dienstleister oder Ausfälle der IT-Infrastruktur
Ziel eines Disaster-Recovery-Prozesses ist es, die negativen Auswirkungen eines IT-Ausfalls für ein KMU zu minimieren. Während der Wiederherstellung werden Daten aus einer Sicherung eingespielt, Server und IT-Prozesse wieder in Betrieb genommen oder Netzwerkfunktionen bereitgestellt.
Von entscheidender Bedeutung für das Gelingen eines Disaster Recovery ist das Vorhandensein eines vollständigen Wiederherstellungsplans. Zahlreiche KMU sind allerdings nicht oder nur ungenügend für den Ernstfall vorbereitet: der Disaster-Recovery-Plan ist unvollständig oder veraltet oder er existiert schlichtweg nicht. Im Krisenfall gefährdet dies das Gelingen der Wiederherstellung der IT-Systeme und des IT-Betriebs und kann für das KMU in katastrophale Auswirkungen münden. Die Folgen reichen von finanziellen Verlusten bis zur existenziellen Gefährdung eines Unternehmens.
Ein Disaster-Recovery-Plan beinhaltet alle durchzuführenden Tätigkeiten und Massnahmen, die nach einem IT-Ausfall oder einem Cyber-Security-Vorfall zu ergreifen sind. Der Wiederherstellungsplan benennt darüber hinaus Verantwortlichkeiten, definiert Eskalationswege und berücksichtigt die verschiedenen Ausfallszenarien. Er ist so gestaltet, dass die Verantwortlichen im Ernstfall die verschiedenen Tätigkeiten Schritt für Schritt erledigen können.
Tätigkeiten, die bei einer IT-Störung durchgeführt werden müssen, sind beispielsweise die Bereitstellung und Inbetriebnahme von Ersatzsystemen, das Aktivieren von redundanten Verbindungen oder das Einspielen von Datensicherungen. Die schrittweise Abarbeitung des Wiederherstellungsplans reduziert die negativen Auswirkungen für das Unternehmen auf ein Minimum und erlaubt eine schnelle Wiederaufnahme des Betriebs.
Cyber-Risiko Interfaces: Unzureichende Überwachung der Schnittstellen
Für die tägliche Arbeit in einem KMU sind die verschiedenen Endgeräte und IT-Systeme umfassend vernetzt. PCs und Notebooks greifen auf Internetseiten zu, Server liefern Daten an Internetnutzer oder Anwender nutzen IT-Systeme von Lieferanten und Partnern. Das Netzwerk besitzt für die tägliche Arbeit zahlreiche Schnittstellen zu anderen privaten und öffentlichen Netzen. Der Datenverkehr an diesen Schnittstellen ist permanent zu überwachen und zu kontrollieren, um unerwünschte Zugriffe zu verhindern. Dies gilt besonders für die Übergänge zum Internet, da gerade im Web zahllose Bedrohungen für die Cyber Security lauern. Ein KMU benötigt daher Sicherheitslösungen wie Firewalls, Proxy-Server oder Intrusion Detection und Intrusion Prevention Systeme (IDS und IPS), die das Unternehmensnetzwerk und die angeschlossenen Systeme schützen.
Cyber-Risiko WLAN: Drahtloses Netzwerk erfüllt aktuelle Sicherheitsstandards nicht
Die drahtlose Kommunikation per WLAN spielt eine immer wichtigere Rolle für Unternehmen jeder Grösse. Das WLAN ermöglicht mobilen Endgeräten wie Smartphones oder Tablets den Zugang zum Unternehmensnetzwerk, bindet Produktionsmaschinen und -komponenten via Funktechnik in die Prozesse ein oder stellt Kunden und Partnern Internetverbindungen bereit. Damit das WLAN nicht als Einfallstor für Schadsoftware oder Hackerattacken genutzt wird, sind aktuelle Sicherheitsstandards zu erfüllen. Dazu zählen etwa die Verschlüsselung mit einem sicheren Standard wie WPA2, die Trennung von WLAN-Zugängen für Gäste vom Produktionsnetz, die Authentifizierung über zentrale Server und das Erkennen von betrügerischen und bösartigen Access Points (Rogue Access Points).
Fazit
Gerade in KMU sind eine professionelle IT-Risikobewertung und die damit verbundenen Massnahmen (Risk Management) unerlässlich, um eine angemessene Cyber Security zu gewährleisten. Ist kein spezifischer IT-Bereich vorhanden, empfiehlt sich für die Risikoanalyse den Beizug eines kompetenten Anbieters von Managed IT Services – dieser ist in der Lage eine Lagebeurteilung vorzunehmen und die entsprechenden präventiven Abwehrmassnahmen vorzuschlagen. So lassen sich Cyber-Risiken proaktiv minimieren.
Quellen: 1 Melde- und Analysestelle Informationssicherung MELANI des Bundes | care4IT
Bildquelle: shutterstock.com