IT-Zwischenfälle kompromittieren die Sicherheit der Daten oder der IT-Infrastruktur in Unternehmen. Schon die Vernachlässigung eines einzigen Risikos, führt zu einer gefährlichen Schwachstelle in der Unternehmens-IT – insbesondere in KMU.
Obwohl viele IT-Risiken in KMU bekannt sind, vernachlässigen zahlreiche Unternehmen taugliche Massnahmen zur Erhöhung der IT-Sicherheit. Sie unterschätzen die Gefahren für die IT und ihre potenziell folgenschweren Auswirkungen:- Sind Daten ungeschützt zugänglich, können vertrauliche Informationen zu Mitbewerbern, an die Öffentlichkeit oder in die Hände von Betrügern gelangen.
- Gelingt es Cyberkriminellen in die Unternehmens-IT einzudringen, können diese Schadsoftware einschleusen, um die IT teilweise oder vollständig zu blockieren. Mitunter werden Dateien unleserlich gemacht (mit Ransomware verschlüsselt) und der Zugang für das Unternehmen erst nach Zahlung von Lösegeld wieder freigegeben.
IT-Ausfälle behindern betriebliche Prozesse oder legen Geschäftsabläufe lahm. Solche Vorkommnisse schaden der Reputation des Unternehmens oder treffen die künftige Geschäftsentwicklung empfindlich. Ein einziger Zwischenfall kann genügen, um bewährten langjährigen Geschäftsbeziehungen oder einem sorgsam aufgebauten Image Schaden zuzufügen. Im Extremfall ist der Fortbestand des Unternehmens gefährdet. Gerade KMU sind mittlerweile zu einer beliebten Zielscheibe von Cyberkriminellen geworden. Daher ist es wichtig, die Unternehmens-IT und die eigenen Daten sowie diejenigen von Kunden, Kontakten, Lieferanten und Mitarbeitenden zu schützen.
Die folgenden sechs IT-Fragen sollten von einem KMU mit «Ja» beantwortet werden können.
Ist ein Unternehmen nicht in der Lage alle nachstehenden Fragen zuzustimmen, besteht ein Sicherheitsrisiko mit hoher Eintrittswahrscheinlichkeit – es ist lediglich eine Frage der Zeit bis sich dieses auf Unternehmens-Performance auswirkt.
1. Diagnose-Frage:
Hat Ihr Unternehmen systematisch die passenden Zugriffsberechtigungen zugewiesen, damit Daten und Anwendungen auf die richtigen Funktionen und Mitarbeitenden beschränkt sind?
- Zugriffsrechte: Die einzelnen Mitarbeitenden sollen nur diejenigen IT-Rechte und -Zugriffe erhalten, wie sie zur Ausführung der ihnen zugewiesenen Arbeit absolut erforderlich sind (Least-Privilege-Prinzip). Ein konsequent umgesetztes Least-Privilege-Prinzip für die jeweils notwendige IT-Zugriffsebene gilt als eine der wirkungsvollen Grundlagen, um in Unternehmen IT-Gefahren abzuwenden. Für die Änderung eines Zugriffsrechts, etwa bei einem Funktionswechsel oder bei einer Ausweitung des Aufgabenbereichs eines Mitarbeitenden, muss ein formalisierter Antragsprozess mit Genehmigung durchlaufen werden.
- Administratorenrechte: Um den Download schädlicher Software oder von bösartigem Code zu vermeiden, sollen Administratorenrechte ausschliesslich wenigen Personen der IT-Abteilung oder des externen IT-Partners zugewiesen werden.
2. Diagnose-Frage:
Ist Ihr Unternehmen in der Lage kurzfristig Berechtigungsberichte zu erstellen?
Die IT-Verantwortlichen müssen jederzeit in der Lage sein, mit wenigen Mausklicks einen Überblick über die gewährten Zugriffsrechte zu erstellen. Diese zeigen auf, welche Geräte und Mitarbeitenden Zugriff auf welche Daten und Anwendungen haben. Eine solche Übersicht soll sich dynamisch und automatisch an die Entwicklung der Organisation anpassen. Sie dient der raschen Entscheidungsfindung beim Aufsetzen neuer Nutzer oder bei veränderten Funktionen der Mitarbeitenden.
3. Diagnose-Frage:
Sind die Verbindungen, die Ihr KMU für den Zugriff auf Online-Dienste verwendet, vor unbefugten Benutzern, Malware und anderen Risiken geschützt?
Computer und Netzwerke, die über einen Breitband-Internetzugang verfügen oder ein drahtloses Netzwerk (WLAN) nutzen, sind ein beliebtes Ziel von Cyberkriminellen. Hier gilt es auf allen Datenkanälen die passenden Schutzmassnahmen umzusetzen:
- Firewall: Eine Firewall spielt beim Schutz der Unternehmens-IT eine zentrale Rolle: sie überprüft den Datenverkehr zwischen internem und externem Netzwerk laufend, identifiziert Angriffe rechtzeitig und filtert diese. Um maximale IT-Sicherheit zu gewährleisten, soll jeder Computer im Unternehmen mit einer Software-Firewall ausgestattet und das gesamte Unternehmensnetzwerk gegenüber dem Internet mit einer Hardware-Firewall geschützt sein. Damit sie die IT-Sicherheit maximal gewährleisten, müssen die Firewalls richtig konfiguriert und ihre Filterregeln korrekt eingestellt sein. Diese Einstellungen sind regelmässig zu überprüfen. Zudem ist es essenziell, dass die eingesetzten Hardware-Firewalls dem neuesten Stand der Technik entsprechen. Ihre Firm- und Software muss laufend und umgehend nach Erscheinen eines Updates aktualisiert werden. Passwörter für die Administration der Firewall sollen bei der Installation der Firewall nach den Kriterien der unternehmensweiten Passwort-Policy geändert werden.
- WLAN-Konfiguration: Daten des IT-Netzwerks, die über ungenügend gesicherte drahtlose Zugriffspunkte (Access Points für das WLAN) übermittelt werden, können von Unbefugten leicht abgefangen und gelesen werden. Damit ein WLAN ausreichend Schutz für die übertragenen Daten bieten kann, muss der Access Point so konfiguriert sein, dass der Name des WLAN-Netzwerks (Service Set Identifier SSID) nicht gesendet wird. Werden neue Access-Point-Geräte erworben, soll zudem das Standard-Administratorkennwort, das bei der Inbetriebnahme eingerichtet war, sofort geändert werden.
- Antivirus: Antivirenprogramme sind der Schutzschild der Unternehmens-IT. Sie dienen der Abwehr von Computerviren oder Schadsoftware, halten heimtückische Dateien wie Ransomware von der IT fern oder neutralisieren sie – vorausgesetzt, es findet eine fachgerechte Wartung statt und die Antivirenprogramme selbst laufend überwacht und aktualisiert werden. Hierzu kann ein Anbieter von Managed Antivirus wertvolle Dienste leisten.
4. Diagnose-Frage:
Verwenden Sie automatisierte Backup-Programme für die Datensicherung anstelle von zufälligen und unregelmässigen manuellen Sicherungen?
KMU stützen sich bei der Umsetzung ihres Tagesgeschäfts auf eine Fülle von Informationen. Entsprechend hoch ist die Abhängigkeit von elektronisch gespeicherten Daten und der Bedarf, diese Informationen wirkungsvoll zu sichern (Backup), damit sie bei Verlust rasch wiederhergestellt werden können. Datenverluste können unterschiedliche Ursachen haben und die Vielfalt der möglichen Zwischenfälle ist gross. Hauptursache sind manuell oder unsystematisch umgesetzte Sicherungsprozesse.
Manuell statt automatisch ausgeführte Backup-Routinen können aufgrund anderweitiger Prioritäten oft vergessen werden. Sie finden bei unklarer Stellvertretung nicht statt, sind unvollständig oder sie werden nicht konsequent zu den für das Unternehmen entscheidenden Zeitpunkten ausgeführt. Dies kann gerade bei einem KMU fatale Folgen für die Geschäftskontinuität haben. Deswegen ist für ein wirksame Datensicherung auf Folgendes zu achten:
- Automatisierung: Nur systematische und automatisiert ablaufende Daten-Backup-Routinen sichern alle relevanten Dateien und Ordnerstrukturen zuverlässig und zu den definierten Zeitpunkten.
- Überwachung und Alarmierung: Die laufenden Backup-Prozesse sollen permanent und automatisiert überwacht werden, um allfällige potenzielle Unregelmässigkeiten frühzeitig erkennen zu können und bei Bedarf die Alarmierung und Intervention auszulösen.
- Sicherungsprotokolle: Sicherungsprotokolle über die ausgeführten Backups sollen nach jedem Sicherungsvorgang automatisch erstellt werden, um den Erfolg des Backups nachvollziehen zu können.
- Professionelle Backup-Software: Die Sicherungssoftware, die für die automatisierte Datensicherung im Einsatz steht, kann fehlerhaft sein und in gewissen Situationen ausfallen. Dies trifft insbesondere bei Backup-Software zu, die den heutigen Anforderungen an einen professionellen Wiederherstellungsprozess nicht genügt, wie etwa File-Sharing-Lösungen oder gewisse Web-basierende Speicher-Drives. Es lohnt sich daher, auf einen sicheren und automatisierten Backup- und Wiederherstellungsprozess der neuesten Generation zu setzen, um bei Datenverlust die Kontinuität der Geschäftsabläufe zu gewährleisten.
- Managed Backup: Oft kann beobachtet werden, dass viele der eingesetzten KMU-Backup-Lösungen nur einmalig konfiguriert und danach nicht mehr überprüft wurden. Fehlfunktionen der Backup-Lösung werden auf diese Weise nicht erkannt. Für Unternehmen ohne eigene IT-Spezialisten lohnt es sich, mit einem qualifizierten IT-Anbieter von Managed-Backup-Lösungen ein Beratungsgespräch zu suchen, um einen wirksamen Datensicherungsprozess zu bestimmen. Eine vorausgegangene professionelle Planung und regelmässige Überprüfungen der Backup-Abläufe sind entscheidend, damit sich die Sicherungsprozesse sowie die Datenwiederherstellung korrekt, effizient und gemäss den unternehmerischen Prioritäten umsetzen lassen.
5. Diagnose-Frage:
Sind Ihre Daten und Anwendungen passwortgeschützt und verwenden Ihre Mitarbeiter Passwörter mit genügend hoher Sicherheit?
Ein Passwort ist dann wirkungsvoll, wenn es den Zugang zu den entsprechenden Daten, Anwendungen und IT-Umgebungen für Unbefugte dauerhaft verhindert. Um dies zu erzielen muss ein Passwort so angelegt und aufbewahrt werden, dass es niemand anderem als dem autorisierten Nutzer selbst den Zugang ermöglicht. Um die Unternehmens-IT vor unbefugten Zugriffen zu schützen, sind Richtlinien zu Zugriffsrechten und Passwörtern zu bestimmen und technisch umzusetzen:
- Die Passwortlänge soll mindestens 12, besser 20 Zeichen umfassen. So ist die Abwehrkraft gegen automatisierte Angriffe hoch. Der Aufwand und die Komplexität für Cyberkriminelle sich Zugang in die Unternehmens-IT zu verschaffen, wird zu gross, wenn lange Passwörter verwendet werden.
- Es soll kein Einsatz von Sonderzeichen (*, &, !, $ usw.) im Passwort erzwungen werden. Diese frühere Empfehlung verleitete die Nutzer dazu, die Sonderzeichen als Platzhalter für einige Buchstaben einzusetzen. Dies führte zu einfach zu erratenden Passwörtern, die mit 1-2 Sonderzeichen versehen waren.
- Kein erneuter Einsatz eines bereits früher durch denselben Anwender benutzten Passworts zulassen.
- Die Einhaltung der Passwort-Richtlinien sollen beim Zugang des Nutzers mit dem Passwort geprüft werden: Eine im IT-System hinterlegte Passwort-Richtlinie lässt zum Zeitpunkt der Wahl des Passworts durch den Benutzer nur sichere Passwörter zu.
Die Passwort-Sicherheit lässt sich in einem KMU deutlich erhöhen, wenn ergänzend zu den technischen Massnahmen die Mitarbeitenden regelmässig mit Schulungen und interner Kommunikation dazu sensibilisiert werden. Die Nutzer sollen die Kriterien von starken Passwörtern kennen:
- Mindest-Passwortlänge nutzen (s. oben).
- Keine einfach zu erratenden Passwörter verwenden. Als sichere Passwörter gelten ganze Sätze mit mehreren Wörtern, die Ausdruck eines Fantasiebilds des Nutzers sind und gleichzeitig keine Beziehung zu seinem Umfeld haben sollen. Etwa «Drei gelbe Giraffen im Schnee». Diese Passsätze (Passphrases) sind schwer zu erraten, doch einfach zu merken.
- Unterschiedliche Passwörter je Login-Konto verwenden (kein «Recycling» desselben Passworts) .
- Keine Nutzung von privaten Passwörtern für den geschäftlichen Zugang.
6. Diagnose-Frage:
Ist das IT-Sicherheitsbewusstsein bei allen Mitarbeitenden hoch genug und sind sie in der Lage IT-Risiken zu minimieren?
IT-Risiken in einem KMU lassen sich deutlich reduzieren, wenn zusätzlich zu den technischen Massnahmen die Mitarbeitenden regelmässig zu den Themen der IT-Sicherheit sensibilisiert werden. Bewährt haben sich insbesondere wiederkehrende Personalschulungen. Dabei sollen die nachstehend beschriebenen Sicherheitsziele erreicht werden:
- Phishing-Attacken identifizieren: Mitarbeitende sollen in der Lage sein, verdächtige E-Mails oder Websites selbständig zu erkennen, bevor sie auf einen betrügerischen Link klicken, eine schädliche Software herunterladen oder falsche Updates und Treiber installieren.
- Datendiebe erkennen: Auf Anfragen per Telefon oder E-Mail, die vertrauliche Informationen des Unternehmens abschöpfen wollen, sollen die Mitarbeitenden nicht eingehen. Das gilt für Firmengeheimnisse ebenso wie für Geschäftsergebnisse, Mitarbeiter- oder Kundendaten sowie für Login-Informationen. Auf kluge Weise versuchen Datendiebe, sich als Mitarbeiter oder Geschäftspartner auszugeben und so das Vertrauen zu gewinnen (Social Engineering). Die Mitarbeitenden sollen in der Lage sein, solche Versuche frühzeitig zu erkennen.
- Passwortregeln beherrschen: Schwache Passwörter stellen eines der gravierendsten Sicherheitsrisiken dar. Die Mitarbeitenden sollen die Kriterien eines starken Passwortes kennen und die entsprechenden Regeln des Unternehmens umsetzen.
- Öffentliche Plattformen mit Vorsicht nutzen: Die Mitarbeitenden sollen auf die Risiken und Verhaltensweisen im Umgang mit Social Media, Foren, Newsgroups sensibilisiert werden – sämtliche Kommunikation, die über solche Kanäle stattfindet, darf keine sensitiven Informationen enthalten, die direkte oder indirekte Rückschlüsse für den Zugriff auf die IT-Infrastruktur zulassen. Dies gilt es auch bei Gesprächen oder bei Telefonanrufen in physischen öffentlichen Räumen (z.B. in öffentlichen Verkehrsmitteln, Restaurants, Hotels etc.) zu beachten.
- Sicher im Internet surfen: Damit sich die Mitarbeitenden risikofrei im Internet bewegen, müssen sie mit den wichtigen Vorsichtsmassnahmen vertraut sein und diese im Alltag umsetzen können. Animierte Bilder und Schriften, Webformulare für Online-Bestellungen oder Werbebanner werden teilweise mit Tools wie ActiveX Controls und JavaScript realisiert. Über diese werden oft schädliche Handlungen an der IT-Infrastruktur des Besuchers vorgenommen. Die Mitarbeitenden sollen Kenntnis darüber haben, wie sie diese und weitere Instrumente in ihrem Internet-Browser bei Bedarf einschränken oder wen sie im Zweifelsfall kontaktieren können.
- Clean Desk Policy anwenden: Die gesamte Belegschaft soll die Risiken am physischen Arbeitsplatz kennen und die Richtlinien der Clean Desk Policy verstehen und anwenden können.
- Verdachtsmomente melden: Mitarbeitende sind darauf zu sensibilisieren, verdächtige Aktivitäten stets umgehend der IT-Abteilung oder dem externen IT-Partner zu melden. Je früher fragwürdige Vorfälle bekannt sind, desto wirkungsvoller können die IT-Spezialisten entsprechende Gegenmassnahmen ergreifen.
Die einzelnen Schulungsmassnahmen sind im Leitfaden «Personal als IT-Risikofaktor?» ausführlich beschrieben.