Die aktuellen Herausforderungen im Umfeld der Cyber Security verlangen von KMU besondere Aufmerksamkeit. Neuartige Bedrohungen erfordern eine veränderte Abwehrstrategie, um Sicherheitslücken zu schliessen und damit Reputationsschäden, Umsatzeinbussen oder gar die Existenzgefährdung eines Unternehmens zu vermeiden. Für kleine und mittlere Unternehmen, die selbst kein ausreichendes Know-how im Bereich Cyber Security besitzen oder keine Managed IT Services externer Dienstleister in Anspruch nehmen, sind Sicherheitsprobleme unvermeidbar und können fatale Folgen haben. Die Auswirkungen reichen von Reputationsschäden über Umsatzeinbussen bis hin zum kompletten Stillstand eines Betriebs oder zur Existenzgefährdung des Unternehmens.
Die folgenden fünf Massnahmen sind ein wichtiger Ausschnitt von mehreren weiteren Aktivitäten, die KMU im Bereich der IT-Sicherheit implementieren sollten.
5 Massnahmen gegen aktuelle IT-Risiken in KMU
1. Cyber Security automatisieren
Müssen sich interne Cybersicherheits-Experten mit der manuellen Auswertung von Log-Dateien oder Warnmeldungen beschäftigen, gehen wertvolle und knappe Arbeitsressourcen für wichtigere Tätigkeiten verloren. Dies gilt auch wenn die Unternehmens-IT durch einen externen IT-Dienstleister betreut wird: wendet dieser keine automatisierte Cyber Security an, so arbeitet er ineffizient mit entsprechenden Mehrkosten für das KMU. Ausserdem besteht bei manueller Auswertung die Gefahr, dass Risiken nur zeitverzögert erkannt werden und für die Abwehr eines Angriffs wertvolle Zeit verloren geht.
Die Automation in der Cybersicherheit gewinnt deshalb zunehmend an Bedeutung. Mit automatisierten Security-Anwendungen lassen sich zeitaufwendige manuelle Prozesse vermeiden, gleichzeitig nimmt die Sicherheit von Anwendungen, Netzwerken oder IT-Systemen zu und Risiken werden frühzeitig erkannt, bevor sie Schaden anrichten können.
Die Automation in der Cyber Security ist auch eine Antwort auf die zunehmende Automation im Cybercrime-Umfeld: Hacker sind heute gut organisiert und nutzen leistungsfähige, hoch automatisierte Tools, um in Systeme einzudringen oder Daten zu stehlen. Um damit Schritt zu halten, bleibt den KMU nichts anderes übrig als sich anzupassen und automatisierte IT-Sicherheitslösungen einzusetzen, die die Bedrohungen fernhalten.
2. Eingesetzte Abwehr-Technologie laufend aktualisieren
Bei Angriffen mit Ransomware werden die Unternehmensdaten von Erpressern verschlüsselt und erst dann wieder zur Nutzung freigegeben, wenn das Unternehmen Lösegeld bezahlt. Erste Erpressungsversuche liessen sich vor einigen Jahren noch mit relativ einfachen Mitteln abwehren. Ein erster Höhepunkt war 2017 mit den Ransomware-Angriffen von WannaCry und Petya zu verzeichnen. Seither hat sich Ransomware nochmals weiterentwickelt. Die Software bezieht mittlerweile mobile Endgeräte in die Erpressung mit ein und verbreitet sich über intelligente Mechanismen selbständig auf vielfältige Weise weiter.
Ransomware-Programme, nutzen bekannte oder unbekannte Schwachstellen der Betriebssysteme und verwenden interne oder externe Netzwerke für die Infizierung. Einige Angreifer versuchen mittlerweile Opfer zu ihren Komplizen zu machen, indem sie von ihnen zusätzlich zum Lösegeld verlangen, die Schadsoftware in einer Art Schneeballsystem an ihre Kontakte weiterzuleiten.
Mit Patches und Updates schliessen Softwarehersteller nachträglich Sicherheitslücken. Damit lässt sich auf neu auftauchende Cyberbedrohungen wie bestimmte Ransomware-Angriffe reagieren und die dadurch entstandenen neuen Sicherheitsschwachstellen einer Software oder Hardware beheben. Um Sicherheitslücken konsequent zu vermeiden, ist jede installierte Software und betroffene Hardware-Komponenten stets mit den jeweils neu erschienenen Patches und Updates umgehend nach deren Erscheinen durch das KMU zu aktualisieren. Diese Vorgehensweise ergänzt zudem den Schutz von Firewalls, da diese diejenigen Daten die über DVD- oder USB-Laufwerke eingespielt werden, nicht erfassen.
3. DDoS Abwehrkonzept vorbereiten
Heute benötigen Angreifer keine speziellen Programmierkenntnisse mehr. Cyberkriminelle stellen Schadsoftware in Form einer Dienstleistung als «Malware-as-a-Service»-Angebot (Schadsoftware als Dienstleistungsangebot) im Internet oder Darknet zur Verfügung. Dieser Service ist für jeden nutzbar und bietet leistungsfähige Tools, mit denen sich Angriffe auf unterschiedlichste Systeme binnen kürzester Zeit erfolgreich durchführen lassen: Botnetze werden für Distributed-Denial-of-Service-Angriffe (DDoS) bereitgestellt, um die Internetdienste des Unternehmens automatisiert funktionsunfähig zu machen oder für die Verbreitung von Schadsoftware auf Bestellung. Die «Malware-as-a-Service»-Angebote sind modular gestaltet und lassen sich flexibel den Wünschen der Cyberkriminellen anpassen.
Um DDoS-Angriffe abzuwehren, sind folgende Vorkehrungen1 zu treffen:
- Vorlagerung Firewall
Indem dem IT-System eine Firewall vorgelagert wird, werden nur die tatsächlich für das KMU benötige Protokolle zum System durchgelassen. - Leistungsfähige Firewall
Die Firewall soll über genügend Systemressourcen verfügen, um im Falle eines DDoS funktionsfähig zu bleiben. Wichtig dabei sind die Einstellungen: die Connection Table sowie die Regeln müssen korrekt konfiguriert sein, damit sie im Ernstfall zusätzlich viele Blockierungsregeln implementieren können. - Geo-IP-Blocking
Wenn die Kunden eines KMU vorwiegend aus der Schweiz und dem nahen Ausland stammen, kann ein Profil vordefiniert werden, welches IP-Adressen aus diesem Raum entweder Priorität einräumt oder andere IP-Adressen blockiert. Im Angriffsfall lässt sich dieses Profil aktivieren. So gewinnt das KMU sehr schnell an Handlungsoptionen und zusätzlichem Schutz. - Web Application Firewall
Mit dem Einsatz einer Web Application Firewall lässt sich die Angriffsfläche auf webbasierte Dienste minimieren. - Separater Internet-Uplink
Systeme, die potenziell Opfer einer DDoS-Attacke werden könnten, wie etwa der Webauftritt des Unternehmens, sollten an einem anderen Internet-Uplink hängen als die übrigen Systeme der Organisation. Die von einem DDoS betroffenen Systeme können so einfacher unter den Schutzschild eines DDoS-Mitigation-Providers gestellt werden, ohne dabei die restlichen Systeme zu tangieren, die für das Tagesgeschäft nötig sind. - Ausweichlösungen bereitstellen
Mit vorbereiteten Ausweichlösungen z.B. eine statische Website mit minimalen Informationen, welche bei einem anderen Provider bereitsteht und bei Bedarf aktiviert wird, lässt sich im Notfall die Internet-Präsenz des KMU aufrechterhalten. - Notfall-Ablauf mit Kontakten bereithalten
In einem vorbereiteten Notfall-Ablauf für den Fall einer DDoS Attacke werden die zuständigen Personen aufgeführt. Diese kennen das Vorgehen sowie die internen und externen Kontakte wie Service Provider, Polizeistellen die bei Bedarf zu kontaktieren sind. So lässt sich im Notfall rasch auf interne oder vertraglich zugesicherte externe Ressourcen (IT-Services-Anbieter etc.) zugreifen.
4. Cryptojacking erkennen und ausschalten
Der Hype um Kryptowährungen wie Bitcoin ist zwar etwas abgeebbt, doch nach wie vor lässt sich mit dem Schürfen von digitalem Geld gut verdienen. Das nutzen Cyberkriminelle aus, indem sie per Cryptojacking fremde Systeme, etwa KMU-Server, für das Schürfen missbrauchen. Cryptojacking ist mittlerweile sehr beliebt. Es handelt sich im Prinzip um klassische Schadsoftware, doch ist sie für den Betroffenen nur schwer zu entdecken. Die Software ist so konzipiert, dass sie keine erkennbaren Schäden verursacht. Sie verbraucht Ressourcen wie Rechenleistung und Speicherplatz. Vor allem Server mit ihrer hohen Performance sind beliebte Ziele für das Cryptojacking. Die Auswirkungen zeigen sich in indirekter Form an bestimmten Symptomen wie langsamere Systeme und Anwendungen, höhere Netzwerkauslastungen oder steigende Stromrechnungen. Oftmals bleiben diese Auswirkungen unentdeckt und Kriminelle schöpfen über lange Zeiträume Gewinne auf Kosten der betroffenen Unternehmen ab.
Cryptojacking lässt sich am besten bekämpfen, wenn es frühzeitig erkannt wird. Ein besonderes Augenmerk gilt den typischerweise auftretenden und länger andauernden CPU-Lastspitzen, die das IT-System jenseits des Normalbereichs belasten. Die IT-Abteilung oder der externe IT-Dienstleister muss dazu die CPU-Schwellenwerte kennen und Analysemechanismen im Einsatz haben. Diese alarmieren den Administrator, sobald die CPU-Auslastung die Schwellenwerte überschreitet. Ist Cryptojacking einmal entdeckt, lassen sich illegal eingerichtete Nutzerkonten und andere Änderungen rückgängig machen.
5. Fachpersonal mit IT-Sicherheitskenntnissen
Die Wichtigkeit und Brisanz des Themas Cybersicherheit zeigt sich an der steigenden Nachfrage nach Fachpersonal mit IT-Security-Kenntnissen. Zum Schutz des KMU-Firmennetzwerks und kritischer Daten oder Anwendungen sind Sicherheitsexperten unerlässlich. Fehlendes Personal in diesem Bereich ist eine existenzielle Gefahr für jedes Unternehmen. Immer höhere durch Cyberattacken verursachte Kosten und die zunehmende Digitalisierung erzeugen einen Bedarf an Sicherheitspersonal, den der aktuelle Arbeitsmarkt nicht zu decken vermag. Sehr gefragt sind IT-Experten mit Kenntnissen in den Bereichen Verschlüsselung, Cloud-Security, Netzwerksicherheit und Datenschutz. Oftmals bleiben freie Stellen unbesetzt und wichtige Tätigkeiten im Security-Bereich unbearbeitet.
Es ist abzusehen, dass sich der Fachkräftemangel bei der IT Security in den nächsten Jahren zunehmend verschärfen wird. Ein KMU ist davon besonders betroffen, da es in Sachen Karriereentwicklung und den gebotenen Leistungen kaum mit grossen Konzernen oder spezialisierten IT-Dienstleistern mithalten kann. KMU, denen das notwendige eigene Know-how oder die Ressourcen fehlen, sollte seine Cybersicherheit in die Hände eines erfahrenen IT-Dienstleisters mit seinen umfangreichen Leistungen im Bereich Managed IT Services geben. Er berät die Unternehmen, unterstützt bei der Auswahl geeigneter Security-Lösungen oder stellt kompetentes Personal und IT-Security-Spezialisten zur Verfügung.
Quellen: 1 Melde- und Analysestelle Informationssicherung MELANI des Bundes | care4IT
Titelbild: Shutterstock
.png){kind=icon}
