Kleinere und mittlere Unternehmen sind zunehmend anfällig für Cyberattacken und Datendiebstähle. Einer Studie des Ponemon Institute zufolge stieg der Anteil der betroffenen KMU deutlich: 2017 waren 61% mit Cyberangriffen konfrontiert (Vorjahr 55%) und Datendiebstähle wurden in 54% der befragten Unternehmen festgestellt (Vorjahr 50%).
Trotz wachsender Bedrohung sind zahlreiche KMU immer noch der Ansicht, dass sie genügend Vorkehrungen getroffen haben, um ihre IT vor Risiken zu schützen. Andere sind der Meinung, dass sie als Unternehmen zu unbedeutend sind, um zur Zielscheibe von Cyberkriminellen zu werden. Diese Irrtümer zur Cyber Security können zu gravierenden Konsequenzen für das Unternehmen führen: Daten gehen verloren oder werden mit schädlicher Ransomware verschlüsselt und somit unbrauchbar. Das Unternehmen muss in der Folge wegen Betriebsausfällen finanzielle Einbussen in Kauf nehmen oder es wird mit Lösegeldforderungen konfrontiert, um wieder Zugang zu den verschlüsselten Daten zu erhalten.
Die folgenden IT-Risiken sind häufig in KMU anzutreffen. Sie lassen sich mit entsprechenden Gegenmassnahmen wirksam vermeiden:
Risiko #1: Kein korrektes Backup der Daten
Werden Daten nicht korrekt gesichert, können diese nach einer versehentlichen Löschung, einem Hardwarefehler oder einem Cyberangriff nicht wiederhergestellt werden. Mittlerweile haben viele KMU Backup-Lösungen implementiert, allerdings ist zu beobachten, dass diese einmalig konfiguriert und danach nicht mehr überprüft werden. Eine Fehlfunktion der Backup-Lösung wird auf diese Weise nicht erkannt.
Um Datenverlust zu vermeiden, müssen sämtliche Unternehmensdaten täglich gesichert werden. Ebenso ist das erstellte Backup regelmässig auf Vollständigkeit und Korrektheit zu überprüfen. Die Backup-Daten sind vom Unternehmen zudem regelmässig physisch an einem sicheren Ort zu hinterlegen und Vorgängerversionen der Datensicherung sollen über einen gewissen Zeitraum aufbewahrt werden.
Risiko #2: Mitarbeiter werden nicht auf IT-Sicherheit sensibilisiert
In vielen Unternehmen wurde es versäumt, bei den Mitarbeitenden das Sicherheitsbewusstsein so zu fördern, dass sie potenzielle IT-Risiken wahrnehmen und einordnen können. Sie sind daher ein beliebtes Ziel für Angreifer. Oft geschieht dies im Unwissen der Nutzer um die von ihnen eingegangenen IT-Risiken und damit ohne Einschätzung der Tragweite ihres Handelns.
Es gilt daher, die Mitarbeitenden als häufigste Nutzer der unternehmensweiten IT mit geeigneten Massnahmen für die Sicherheitsrisiken zu sensibilisieren und ihnen klare Handlungsanweisungen zu vermitteln. Insbesondere soll das Personal regelmässig zu den Verhaltensregeln im Umgang mit IT-Sicherheit geschult werden. Mit einer Clean Desk Policy, einem Regelwerk für das Sicherheitsverhalten am physischen Arbeitsplatz, lassen sich ausserdem die Erwartungen des Unternehmens formalisieren und für das gesamte Personal vereinheitlichen. Im E-Book «Personal als IT-Risikofaktor?» sind die wichtigen Schulungsthemen sowie das detaillierte Beispiel einer Clean Desk Policy zu finden.
Risiko #3: Fehlende oder veraltete Firewalls
Firewalls dienen dazu, den Zugriff von Unbefugten auf das Unternehmensnetzwerk und damit Datendiebstahl oder Manipulation zu verhindern. Fehlen diese oder ist ihre Software nicht auf dem neuesten Stand, können Cyberkriminelle auf einfache Weise in die IT-Infrastruktur des Unternehmens eindringen.
Eine wirkungsvolle Firewall muss richtig konfiguriert und ihre Filterregeln zum ein- und ausgehenden Datenverkehr richtig eingestellt sein, damit sie die IT-Sicherheit gewährleistet. Diese Einstellungen sind regelmässig zu überprüfen. Um zu vermeiden, dass Sicherheitslücken ausgenützt werden, muss die Firewall-Software stets mit den aktuellen Updates ausgestattet werden. Zudem soll jeder Computer mit einer Firewall ausgestattet sein und das gesamte Unternehmensnetzwerk ist gegenüber dem Internet mit einer weiteren Firewall zu schützen.
Risiko #4: Kein vorbereiteter Prozess bei Geräteverlust
Mitarbeiter im Aussendienst können Opfer eines Hardware-Diebstahls werden oder es kommt vor, dass sie versehentlich ihr Notebook oder Smartphone beispielsweise im Taxi liegen lassen. Sind Daten ungesichert auf einem abhandengekommenen Gerät gespeichert, ist die IT-Sicherheit des Unternehmens akut gefährdet.
Wenn sensitive Unternehmens- oder Kundeninformationen auf einem portablen Gerät vorhanden sind, müssen die Daten korrekt verschlüsselt sein und gesicherte Remote-Access-Zugriffstools (wie z.B. VPN) im Einsatz sein, die im Fall eines Verlusts aus der Ferne deaktiviert werden können. Um dies flächendeckend zu gewährleisten, ist eine entsprechende Security-Inventarisierung des portablen Geräteparks notwendig, in der die Verschlüsselung protokolliert und der allfällige Zeitpunkt einer Deaktivierung des Netzwerkzugangs festgehalten wird. Zudem ist ein Prozess im Sinne eines Incident Managments festzulegen, der die Vorgehensweise dokumentiert, was Nutzer und IT-Verantwortliche im Falle eines Geräteverlusts vorzukehren haben.
Risiko #5: Fehlende Einschränkung von IT-Zugriffsrechten
Dürfen Mitarbeitende unkontrolliert Programme auf ihrem Firmencomputer installieren, dann steigt das Risiko, dass nichtlizenzierte Software vom Internet oder von einem USB-Stick ins firmeneigene Netzwerk gelangt. Damit erhöht sich die Wahrscheinlichkeit, dass gleichzeitig Schadprogramme automatisch installiert werden, welche Unternehmensdaten stehlen oder verschlüsseln (Ransomware). Hinter harmlos wirkenden, kostenfreien Softwareangeboten verbergen sich oft heimtückische Malware-Programme , die immer wieder auch als Antivirus-Software getarnt sind.
Um den Download schädlicher Software zu vermeiden, sollen Mitarbeitende nur so viele IT-Zugriffsrechte erhalten, wie sie für die Ausführung der ihnen zugewiesenen Arbeit absolut erforderlich sind (Least-Privilege-Prinzip). Administratorenrechte sollen ausschliesslich wenigen Personen der IT-Abteilung oder des externen IT-Partners zugewiesen werden. Ein konsequent umgesetztes Least-Privilege-Prinzip gilt als eine der wirkungsvollen Grundlagen, um in Unternehmen IT-Gefahren abzuwenden.
Risiko #6: Ungeeigneter Umgang mit Login-Daten
Obwohl es heute hinreichend bekannt sein sollte, Passwörter mit hohen Sicherheitseigenschaften einzusetzen, wählen Nutzer immer noch einfach zu erratende Zeichenfolgen für ihre Zugangsdaten. Unter den meist verwendeten Passwörtern finden sich einfach zu erratende Kombinationen, wie «123456», «hallo», «passwort», «hallo123» oder Zeichenkombinationen wie «qwertz», gemäss der Tastenreihenfolge auf der Computertastatur. Bei diesen einfach vorhersehbaren Passwörtern, ist es für Cyberkriminelle ein leichtes Spiel, in ein Computersystem einzudringen.
Um dieses Risiko zu umgehen ist es wichtig, Passwort-Richtlinien zu definieren und diese technisch umzusetzen – dazu gehört beispielsweise eine Passwortlänge von mindestens 12, besser 20 Zeichen. Als sichere Passwörter gelten ganze Sätze mit mehreren Wörtern, die Ausdruck eines Fantasiebilds des Nutzers sind und gleichzeitig keine Beziehung zu seinem Umfeld haben. Etwa «Drei Elefanten tanzen im Schnee». Ausserdem ist es sinnvoll, eine Login-Benachrichtigung zu aktivieren. Diese informiert via SMS oder E-Mail, wenn sich jemand auf einem Fremdgerät mit dem eigenen Nutzernamen Zugriff verschafft.
Risiko #7: Fehlender oder veralteter Virenschutz
Insbesondere in kleineren Betrieben kommt es oft vor, dass Virenschutzprogramme fehlen oder bereits installierte Virenschutzsoftware aufgrund ihres Alters nicht für die aktuellen Bedrohungen ausgelegt ist. Auf diese Weise ist es für Cyberkriminelle ein Leichtes, in das firmeneigene Netzwerk einzudringen und entsprechende Schadprogramme zu platzieren
Damit Gefahren sicher und sofort abgewehrt werden können, ist es für ein Unternehmen entscheidend, dass die eingesetzten Antivirus-Programme von vertrauenswürdigen Herstellern stammen und die Virenschutzlösungen laufend auf ihre Wirksamkeit überprüft werden. Auch muss Virenschutzsoftware auf jedem Computer installiert sein und unmittelbar nach Erscheinen von neuen Sicherheitsupdates aktualisiert werden.
Risiko #8: Veraltete Software
Unternehmen, die veraltete Software einsetzen oder Sicherheitsaktualisierungen nicht sofort nach deren Erscheinen vornehmen, öffnen Tür und Tor für Schadsoftware, Virenbefall und Datenverlust.
Um diese Schwachstelle zu schliessen, müssen die Einstellungen so konfiguriert sein, dass sämtliche Computer und Server aktuelle Sicherheitsupdates sofort automatisch einspielen und Drittsoftware ebenfalls umgehend mit den neuesten Aktualisierungen versehen wird.
Managed IT Services
KMU verfügen oft über knapp bemessene Personalressourcen oder es fehlt genügend IT-Expertise, um sichere IT-Prozesse und wirksame Sicherheitskonzepte zu erstellen sowie Warnhinweise richtig zu interpretieren – mit entsprechenden negativen Folgen für die IT-Sicherheit.
Um in einem kleinen oder mittleren Unternehmen die IT-Sicherheit zu stärken und damit die Daten- und Betriebssicherheit wirkungsvoll zu schützen, lohnt sich die Zusammenarbeit mit einem kompetenten IT-Partner. Auf Managed IT Services spezialisierte IT-Dienstleister können Risiken auf ein Minimum reduzieren. Sie erstellen ein wirkungsvolles Sicherheitskonzept, setzen es um, überwachen mit einem massgeschneiderten Präventionsprogramm laufend die Unternehmensweite IT (Monitoring), sichern die Daten systematisch und halten Software sowie Schutzprogramme permanent auf dem neuesten Stand. So werden Angriffe auf die Integrität der Unternehmensdaten rund um die Uhr abgewehrt und die Betriebssicherheit der IT-Infrastruktur gewährleistet. Die Unternehmensführung wird entlastet und kann sich den geschäftsrelevanten Themen zuwenden.
Titelbild: Shutterstock