Sicherheitskonzepte für KMU

Cyber-Attacken vorbeugen

19. Juli 2018
Verfasst von Vocato

Cyber-Attacken vorbeugen

Bild: © rimom - stock.adobe.com

Jedes Unternehmen kann heute Opfer einer Cyber-Attacke werden: Kleinunternehmen, große Betriebe, Industrieunternehmen, Dienstleister oder die öffentliche Verwaltung. Nicht immer werden die Angriffe gezielt (zum Beispiel zu Spionagezwecken) gefahren; oft handelt es sich auch um ungezielte Attacken, die „lediglich“ dazu dienen, möglichst viele Systeme mit Bot-Netzen, Ransomware oder Krypto-Mining zu schädigen.

Experten erwarten für die Zukunft immer gravierende Störungen durch Internetkriminalität, die großflächig(er) oder sogar komplett das Internet lahmlegen. Entsprechende Reaktionen bleiben nicht aus: Weltweit rüsten sich Länder, Regierungen, Behörden und Staatsanwaltschaften. Die Stadt London will beispielsweise bis 2025 ein neues Gerichtsgebäude errichten, das sich dem Kampf gegen Cyber-Kriminalität und Betrugsfälle widmet.

Individuelle Sicherheitskonzepte auch für KMU

Wer als Unternehmen denkt, mit der Existenz einer Firewall, eines Viren- und Spamschutzes und eines Backup-Konzepts habe er genug getan, der irrt. Denn das schwächste Glied in der IT-Kette bestimmt die Sicherheit der gesamten Infrastruktur. Das Gesamtkonstrukt muss „bottom-up“ stimmen.

Was tun? Gerade kleinen und mittleren Unternehmen (KMU) fehlen oft das Know-how und/oder die personellen Ressourcen, um der IT-Sicherheit die notwendige Bedeutung zu geben. Schwierigkeiten bereitet auch der zunehmende Einsatz von Cloud Computing, der mit der Herausforderung, Daten in der Cloud zu verschlüsseln und Zugriffsrechte zu regeln, einhergeht. Auch KMU brauchen aber individuelle Sicherheitskonzepte, um Erpressungsversuche und Datenklau abzuwenden. Sie benötigen sie auch, um DSGVO-konform zu arbeiten (Schutz personenbezogener Daten).

Beliebte Schlupflöcher für Angreifer

Neben veralteter Hard- und Software entstehen klassische Sicherheitslücken bei kleineren Firmen (bis zu 100 Mitarbeitern) oft durch das Fehlen von Patches und Sicherheitsupdates, eines Firewall-Konzepts, eines Mobile Device Managements zur Verwaltung mobiler Geräte im Unternehmensnetzwerk, von Backup- und Restore-Strategien sowie eines wirksamen Viren- und Spamschutzes. Oft verwenden Firmen seit Jahren dieselben Passwörter für Ihre E-Mail-Konten oder Logins für Anwendungen und Portale –ohne zu wissen, wie risikoreich das ist. Es mangelt an Kennwortrichtlinien und Zugriffskonzepten.

IT-Infrastrukturanalyse als Startpunkt

Am Anfang eines guten Sicherheitskonzepts steht eine Bestandsanalyse der IT-Infrastruktur. Nur wenn Betriebe wissen, wo sie stehen und wo Schwachstellen sind, können sie die Lücken wirksam schließen.

Die IT-Infrastrukturanalyse umfasst in der Regel:

  • Analyse der EDV-Räumlichkeiten
  • Analyse der IT-Systeme
  • Analyse des Netzwerks
  • Analyse der Services wie zum Beispiel E-Mail, Active Directory, Antispam, Antivirus etc.
  • Analyse der Umsetzung rechtlicher Anforderungen (DSGVO, IT-Sicherheitsgesetz)

Um den Bestand vollständig und gut zu analysieren, benötigen gerade kleinere Betriebe meist externe Spezialisten, die ein bis zwei Tage vor Ort prüfen und auswerten, auf Grundlage dessen eine IT-Dokumentation erstellen und im Nachgang Handlungsempfehlungen aufzeigen. Das Gute zudem: Die Dokumentation ist DSGVO-konform und professionelle Grundlage bei Anfragen zu vorhandenen technischen und organisatorischen Maßnahmen in Bezug auf den Schutz personenbezogener Daten.

Sensibilisierung der Mitarbeiter

Ganz wichtig: Die IT-Infrastruktur darf kein Nebenschauplatz sein. IT-Security muss zu den strategischen Kernaufgaben eines jeden Unternehmens zählen und in den Fokus rücken, Über umfassende Security-Konzepte verfügen laut Marktforscher IDC derzeit nur 58 Prozent der Unternehmen in Deutschland. Kleinere Firmen können Lücken in der Informationssicherheit selber schließen, sofern sie über das notwendige Know-how verfügen. Keinesfalls vergessen werden darf der Mensch bzw. Mitarbeiter als weiterhin größtes Sicherheitsrisiko. Beispiele wie das sogenannte CEO Fraud beweisen eindrücklich warum: Hier simulieren Angreifer die Stimme von Vorgesetzten, um per Anruf Überweisungen  auszulösen. Nicht selten mit Erfolg. Mitarbeiter zu sensibilisieren, sorgsam mit Unternehmensdaten und zum Beispiel E-Mails umzugehen, hilft gegen derartige Machenschaften. Die Unternehmensführung muss dafür fortlaufend darüber informieren, warum IT-Sicherheit wichtig ist, wie Cyberkriminelle Unternehmen angreifen und wie Mitarbeiter dem vorbeugen können.

 

Wir verwenden Cookies. Diese helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Website stimmst du der Erfassung von Informationen durch Cookies zu.  Mehr erfahren...

OK