Seit Beginn der Pandemie ist das Arbeiten im Homeoffice in vielen Unternehmen zum Standard geworden. Unternehmen und Mitarbeiter:innen profitieren von dieser Flexibilität, es gibt aber auch Schattenseiten. So zum Beispiel die erhöhte Angriffsfläche für Cyberbedrohungen, weil sich private Geräte und Anwendungen mit den beruflich genutzten vermischen.
Weiterhin steigt die Verwundbarkeit von Unternehmen, je mehr IoT-Geräte , also mit dem Internet verbundene Geräte, eingesetzt werden. Die Palette reicht hier von einigen Überwachungskameras in Banken bis hin zu komplexen Industrieanlagen und Pipelines.
Großunternehmen beschäftigen heutzutage häufig einen Chief Information Security Officer (CISO), um entsprechende Strategien gegen Cyberangriffe auf den Weg zu bringen – kleine und mittelständische Unternehmen (KMU) können sich diesen Luxus meistens nicht erlauben.
Im Frühjahr 2020 reagierten wir alle rasch auf die akute Bedrohung durch das COVID-19-Virus. Ständiges Händewaschen, Desinfektionsgel und der Mund-Nasen-Schutz hielten Einzug in unser Leben. Reagieren Unternehmen genauso schnell und entschlossen genug, um Cyberangriffe abzuwehren?
In diesem Leitfaden erkunden wir:
- was Cyber-Security ist,
- warum Cyber-Security für KMU so wichtig ist,
- welche die wichtigsten Bedrohungen sind und
- welche Tipps es gibt, um die Cyber-Security-Strategie in KMU zu verbessern.
Automatisierung von Prozessen: So bleibt Ihr Unternehmen wettbewerbsfähig
Unser neues E-Book verrät, wie Sie die häufigsten Hürden der Digitalisierung überwinden, Ihr kleines Unternehmen auf den neuesten Stand der Technik bringen und den Grundstein für langfristigen Erfolg legen.
Was ist Cyber-Security?
Cyber-Security bezeichnet das Ziel, Netzwerke, Computersysteme, Roboter und dergleichen vor Eindringlingen zu schützen. Bei Cyberangriffen können betriebliche und persönliche Daten gestohlen, zerstört, verschlüsselt oder manipuliert werden, was häufig zu beträchtlichen Schäden führt.
Cyberkriminelle gehen inzwischen organisiert vor, und laut der Unternehmensberatung PwC müssen sich Unternehmen darauf einstellen, dass Cyber-Security-Risiken die Regel sind, nicht die Ausnahme.
Der wirtschaftliche Schaden ist inzwischen so groß, dass Versicherungen spezielle Policen für Schäden im Zusammenhang mit Cyberangriffen anbieten.
Warum ist Cyber-Security so wichtig für kleine Unternehmen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) präsentiert in seinem Bericht zur Lage der IT-Sicherheit in Deutschland aktuelle Zahlen: 144 Millionen neue Schadprogrammvarianten im Jahr 2021 gegenüber 117,4 Millionen im Vorjahr, 40.000 Bot-Infektionen deutscher Systeme sowie zahlreiche Lahmlegungen von Betrieben, darunter ein Universitätsklinikum, das 13 Tage lang keine Notfallpatient:innen aufnehmen konnte.
Gerade kleine und mittelständische Unternehmen leiden unter dieser Situation, weil ihnen die Abwehrmöglichkeiten von Großunternehmen fehlen und sie nicht geografisch auf verschiedene Standorte verteilt sind.
Jedoch haben auch Großunternehmen zu kämpfen, denn trotz gewaltiger IT-Budgets ist der Faktor Mensch nach wie vor eine der wichtigsten Schwachstellen.
Die negativen Auswirkungen von Cyberangriffen sind vielfältig:
- E-Commerce-Websites können aufgrund von Sicherheitsmängeln den Diebstahl von Kundendaten begünstigen. Die Folge: Massiver Reputationsverlust.
- Es kann zu Betriebsunterbrechungen kommen, sodass Kunden vorübergehend nicht beliefert werden können und Unternehmen Umsatzausfälle beklagen.
- Ein Cyberangriff kann der Auftakt zu umfangreicher Industriespionage sein, bei der geheime Daten entwendet werden.
Gerade kleinere Unternehmen sind Cyberangriffen stärker ausgeliefert. Wenn es zu einem Vorfall kommt, ist im schlimmsten Fall die ganze IT-Infrastruktur betroffen, nicht nur Teile davon. Häufig geht es um Alles oder Nichts.
Welche sind die wichtigsten Bedrohungen?
Dies sind einige der häufigsten Schwachstellen, die zu Bedrohungen werden können:
- Malware: Malware bezeichnet das Einschleusen von Schadcode wie beispielsweise Spyware und Ransomware in IT-Systeme. Angreifer machen sich häufig die menschliche Neugier zunutze, indem sie Benutzer dazu bringen, schädliche Dateien in harmlosen E-Mails zu öffnen.
- Phishing: Beim Phishing werden betrügerische E-Mails gesendet, die den Anschein erwecken, aus einer seriösen Quelle zu stammen. Empfänger sollen dazu gebracht werden, auf einen Link zu klicken, der den Angreifern Zugriff auf das fremde IT-System verschafft.
- Unsichere WLAN-Netzwerke: Bei dieser Angriffsvariante schaltet sich der Angreifer in die Kommunikation zwischen Sender und Empfänger ein und fängt Nachrichten ab.
- Veraltete IT-Systeme: Nutzen Sie noch Windows 7 oder andere veraltete Software, die vom Hersteller nicht mehr unterstützt wird? Sie öffnen Angreifern dadurch Tür und Tor zu bekannten Schwachstellen, die nicht mehr behoben oder gepatcht werden.
10 Tipps für eine Cybersicherheits-Strategie in KMU
Der Bereich Datensicherheit hat sich zu einer eigenen Branche entwickelt, in der im Jahr 2021 weltweit ca. 150 Milliarden US-Dollar Umsatz erwirtschaftet wurde. Wir wollen hier einen Blick auf die Maßnahmen richten, die kleine und mittlere Unternehmen implementieren können, um sich auf Cyberangriffe vorzubereiten.
- Erstellen Sie Sicherheitskopien in der Cloud: Speichern Sie Ihre Daten in der Cloud, nicht auf Endgeräten. So können Sie die Daten zentral verwalten und besser vor Angriffen schützen.
- Bleiben Sie wachsam: Richten Sie Ihre Unternehmenskultur so aus, dass alle Mitarbeiter:innen im Unternehmen externen Daten, E-Mails usw. eine gesunde Portion Misstrauen entgegenbringen. Gehen Sie auch den kleinsten Hinweisen zu potenziellen Angriffen und Sicherheitsverletzungen nach.
- Schulen Sie Ihre Mitarbeiter:innen: Schulen Sie alle Mitarbeiter:innen zum Thema Cyber-Security. Achten Sie jedoch darauf, dass niemand mit Wissen überfrachtet wird, damit Ihre Schulungen nicht den gegenteiligen Effekt haben.
- Schränken Sie Drittanbieter-Apps und Schatten-IT ein: Limitieren Sie die Möglichkeiten, Apps von Drittanbietern zu installieren. Nur so können Sie einer risikoreichen Schatten-IT Einhalt gebieten, die das Einschleusen von Schadcode in Ihr Unternehmen erleichtert.
- Achten Sie auf einen robusten Passwortschutz: Führen Sie Richtlinien ein, die die Verwendung sicherer Passwörter erzwingen.
- Vermeiden Sie Phishing-Angriffe: Konfigurieren Sie Ihre IT-Infrastruktur so, dass Phishing-Angriffe erschwert werden. Sensibilisieren Sie Ihre Mitarbeiter:innen regelmäßig für dieses wichtige Thema, denn diese Angriffsvariante ist eine der am häufigsten verwendeten, um Informationen zu erbeuten.
- Aktualisieren Sie Software regelmäßig oder verwenden Sie Cloud-Computing-Plattformen mit automatischen Updates: Entscheiden Sie sich für den Übergang von Software auf Endgeräten zur Nutzung von SaaS-Lösungen. Diese cloudbasierten Apps sind sicherer und zudem können Sie dadurch Ihre IT-Abteilung entlasten. Somit werden mehr Ressourcen für die strategische Vorbereitung auf Cyberangriffe frei.
- Verwenden Sie Multifaktor-Authentifizierung: Diese Sicherheitsmaßnahme ist inzwischen zum Mainstream geworden. Ihre Mitarbeiter:innen kennen dies aller Voraussicht nach bereits vom Online-Banking, wo sie beispielsweise einen Passcode als SMS zugeschickt bekommen.
- Verwenden Sie VPNs: Durch Einrichtung eines VPN (Virtual Private Network) erhöhen Sie die Sicherheit, weil Daten durch einen sogenannten Tunnel geleitet werden, wo sie schwerer zu erbeuten sind.
- Verwalten Sie Ihre firmeneigenen Geräte: Registrieren Sie alle firmeneigenen Geräte, um sicher zu gehen, dass keine Privatgeräte verwendet werden. Stellen Sie unbedingt sicher, dass alle Geräte gemäß den festgelegten Richtlinien genutzt werden.
Cyber-Security in KMU: Gehen Sie das Thema strategisch an
Wir haben in diesem Artikel gezeigt, wie wichtig es ist, Cybersicherheit in der Unternehmensstrategie zu verankern. Alle Stakeholder in einer IT-Umgebung, einschließlich Kund:innen, können von einem Cyberangriff betroffen sein.
Wird zudem falsch, zu langsam oder gar nicht gehandelt, kann ein relativ unscheinbarer Vorfall schnell unternehmensbedrohend werden, insbesondere für KMU.
Expert:innen für Informationssicherheit weisen vielfach darauf hin, dass die digitale Transformation nur dann gelingen kann, wenn eine wirksame Cyber-Security-Strategie implementiert wird.
Stay safe – Sorgen Sie dafür, dass Sie auf den Ernstfall vorbereitet sind, indem Sie die Tipps in diesem Artikel beachten.
Der Trend zur Digitalisierung und „Digital-first“ ist ungebrochen und wird KMU auch zukünftig begleiten – und damit wird das Thema Cyber-Security noch weiter in den Vordergrund rücken. Welche andere Themen KMU auf der ganzen Welt bewegt, lesen Sie in der 5. Edition unserer „Studie zu Trends in kleinen und mittleren Unternehmen“.