Mittlerweile wird Cybersicherheit (IT-Sicherheit, Cyber Security) bei den meisten KMU als wichtige und unverzichtbare Disziplin wahrgenommen. Aufgeschreckt durch zahlreiche Meldungen über Cyberangriffe, Datendiebstähle oder durch Dateiverschlüsselungen via Ransomware, um anschliessend Lösegeld zu erpressen, ist das Bewusstsein für die IT-Sicherheit in Unternehmen hoch. Doch was zeichnet eine wirksame Cyber Security aus? Welche Massnahmen der Cybersicherheit sind massgebend, wenn es darum geht die IT-Infrastruktur und die dahinterliegenden Daten in einem KMU zu schützen?
Die folgenden sieben Säulen einer wirksamen Cyber Security sichern die Leistungsfähigkeit der Unternehmens-IT.
1. Säule: Sensibilisiertes Personal
Ein hohes Bedrohungspotenzial geht nicht nur von externen Angreifern, sondern auch vom eigenen Personal aus. Es kann die IT-Sicherheit bewusst oder unbewusst gefährden. Die Mitarbeitenden sind daher hinsichtlich der Wichtigkeit der Cyber Security zu sensibilisieren und regelmässig zu schulen. Ihnen sollten Angriffsmethoden wie Social Engineering oder Phishing und der verantwortungsvolle Umgang mit E-Mail-Anhängen oder externer Software bekannt sein. Darüber hinaus müssen sie die Sicherheitsrichtlinien des Unternehmens kennen und diese etwa bei der Auswahl und dem Einsatz der Passwörter beachten.
2. Säule: Klare Verantwortlichkeiten
Sicherheit in der IT setzt voraus, dass die Verantwortlichkeiten im Unternehmen klar geregelt und benannt sind. Es müssen interne oder externe Verantwortliche für die IT-Sicherheit bestimmt sein, die die Systeme kontinuierlich prüfen, aus den erkannten Schwachstellen Massnahmen ableiten und deren Umsetzung überwachen. Die Verantwortlichen haben die Einhaltung der Richtlinien für die Zugriffsberechtigung der Mitarbeitenden regelmässig zu prüfen und Verstössen nachzugehen.
3. Säule: Datensicherungsprozesse
Daten sind ein wichtiges Kapital des Unternehmens und unerlässlich für die verschiedenen Betriebsabläufe. Sie sind vor den zahlreichen Bedrohungen und vor Diebstahl oder Zerstörung zu schützen. Folgende Gefahren können zu einem Datenverlust führen:
- Elementarschäden: Feuer, Überschwemmungen, Stürme oder Erdbeben
- Hard- und Softwareabstürze
- Hardwarefehler
- Angriffe von Hackern
- Malware wie Ransomware, Viren, Würmer oder Trojaner
- Fehlerhafte Bedienung der Systeme durch die Mitarbeitenden
- Versehentliches Verändern oder Löschen der Daten
Nur wer alle wichtigen Daten regelmässig sichert, ist vor Datenverlust geschützt. Sämtliche relevanten Daten sollen daher in definierten Abständen kontinuierlich auf externen Backup-Medien gespeichert werden. Der zeitliche Abstand zwischen den Sicherungen wird durch den sogenannten Recovery Point Objective RPO bestimmt. Beim RPO handelt es sich um einen Zielwert, der aufzeigt, wieviel maximaler Datenverlust ein Unternehmen tolerieren kann. Dieser wird als maximale Zeitdauer angegeben, die zwischen zwei Datensicherungen liegen darf. Bei bestimmten Anwendungen oder Geschäftsmodellen können bereits Ausfallzeiten von wenigen Minuten sehr kostspielig sein. Wenn im Extremfall unter keinen Umständen ein Datenverlust in Kauf genommen werden darf, beträgt der RPO Null. Der Wert eines RPO hat unmittelbare Konsequenzen auf den Umfang der notwendigen Sicherheitsinfrastruktur und auf den Wiederherstellungsplan (Disaster Recovery Plan).
Der Backup-Planung gilt ein besonderes Augenmerk, damit keine wichtigen Ordnerstrukturen, Verzeichnisse oder Dateien übersehen werden, die dann in den Datensicherungen fehlen. Die automatisierten Datensicherungsprozesse müssen darüber hinaus laufend auf korrekte Umsetzung kontrolliert werden. Dies verhindert, dass die Sicherung aufgrund von Fehlern unbemerkt ausbleibt.
4. Säule: Disaster Recovery Plan
Eine vollständige und aktuelle Datensicherung ist die Grundvoraussetzung, um im Ernstfall alle benötigten Daten wiederherstellen zu können. Ausserdem muss der bereits erwähnte Disaster Recovery Plan vorhanden sein. Dieser beschreibt alle erforderlichen Tätigkeiten für den Ernstfall genau und benennt die Verantwortlichen für die Wiederherstellung. Im Fehlerfall zählt jede Minute und jeder Handgriff muss sitzen. Für ein reibungsloses Disaster Recovery ist die Datenwiederherstellung in periodischen Notfallübungen zu testen und exemplarisch durchzuführen.
5. Säule: Permanente Überwachung der Schnittstellen nach aussen
Für die tägliche Arbeit in einem KMU sind die verschiedenen Endgeräte und IT-Systeme umfassend vernetzt. PCs und Notebooks greifen auf Internetseiten zu, Server liefern Daten an Internetnutzer oder Anwender nutzen IT-Systeme von Lieferanten und Partnern. Das Netzwerk besitzt für die tägliche Arbeit zahlreiche Schnittstellen zu anderen privaten und öffentlichen Netzen. Der Datenverkehr an diesen Schnittstellen ist permanent zu überwachen und zu kontrollieren, um unerwünschte Zugriffe zu verhindern. Dies gilt besonders für die Übergänge zum Internet, da gerade im Web zahllose Bedrohungen für die Cyber Security lauern. Ein KMU benötigt daher Sicherheitslösungen wie Firewalls, Proxy-Server oder Intrusion Detection und Intrusion Prevention Systeme (IDS und IPS), die das Unternehmensnetzwerk und die angeschlossenen Systeme schützen.
6. Säule: Aktualisierte Betriebssysteme, Anwendungen und Virenscanner
Täglich werden neue Schwachstellen in Software, Betriebssystemen oder Anwendungen bekannt, die Cyberkriminelle mit neuen Methoden nutzen. Die Hersteller beheben die Probleme durch die Bereitstellung von Patches und Updates. Doch nur wenn KMU diese zeitnah einspielen, können Angreifer die Schwachstellen nicht für ihre Zwecke missbrauchen. Um das Eindringen von Schadsoftware wie Viren oder Ransomware zu verhindern, sind Clientsysteme und Server mit aktuellen Virenscanner-Versionen auszustatten, die die neuesten Malware-Signaturen zu erkennen.
7. Säule: WLAN gemäss aktuellen Sicherheitsstandards
Die drahtlose Kommunikation per WLAN spielt eine immer wichtigere Rolle für Unternehmen jeder Grösse. Das WLAN ermöglicht mobilen Endgeräten wie Smartphones oder Tablets den Zugang zum Unternehmensnetzwerk, bindet Produktionsmaschinen und -komponenten via Funktechnik in die Prozesse ein oder stellt Kunden und Partnern Internetverbindungen bereit. Damit das WLAN nicht zum Einfallstor für Schadsoftware oder Hackerattacken wird, sind aktuelle Sicherheitsstandards zu erfüllen. Dazu zählen etwa die Verschlüsselung mit einem sicheren Standard wie WPA2, die Trennung von WLAN-Zugängen für Gäste vom Produktionsnetz, die Authentifizierung über zentrale Server oder das Erkennen von betrügerischen und bösartigen Access Points (Rogue Access Points).
Fazit
Sind im KMU nicht genügend eigene Personalressourcen für die IT vorhanden, können Anbieter von Managed IT Services ein KMU unterstützen. Sie stehen einem KMU beratend zur Seite oder begleiten es bei der Umsetzung eines IT-Sicherheitskonzepts.
Die sieben Säulen der Cybersicherheit sind eine wichtige Grundlage für einen durchgängigen Schutz der Unternehmens-IT in KMU. Zu prüfen sind auch darüber hinausgehende notwendige Massnahmen, die je nach Geschäftsmodell eine hohe Priorität einnehmen können. Eine umfangreichere Beschreibung dieser und zusätzlicher Themenbereiche erläutert unser E-Book «Sichere IT in Unternehmen»