Checkliste “Cybersicherheit in KMU”: Wertvolle Tipps – Teil 2
von Tina Siering
Nachdem wir im ersten Teil unserer Checkliste fünf Cybersicherheitsmaßnahmen für KMU vorgestellt haben, folgen im zweiten Teil fünf weitere Maßnahmen, um die Widerstandsfähigkeit kleiner und mittlerer Unternehmen gegenüber aktuellen und zukünftigen Bedrohungen zu stärken.
Lesetipp: Hier geht es zum Teil 1 der Beitragsserie.
Maßnahme 6: Makros deaktivieren – Ransomware-Einfallstore vorab schließen
Die Deaktivierung von Makros ist eine leichte Methode, um sich vor Ransomware-Angriffen zu schützen. Makros sind kleine Programme, die in Dateien wie Word, Excel, PowerPoint oder PDF eingebettet werden können, um Prozesse zu automatisieren. Diese Funktion kann zwar nützlich sein, bietet aber auch Cyberkriminellen immer wieder erfolgreiche Einfallstore, wie der Fall der seit einigen Wochen wieder aktiven Malware Emotet. Emotet verbreitet sich per E-Mail, die angehängten Dateien sind als Rechnungsdokumente getarnt. Tatsächlich enthalten sind MS Office-Dokumente mit schädlichen Makros, die wiederum die Emotet-DLL nachladen und ausführen.
Bei Dateien, die Makros enthalten, erlauben die Nutzer deren gezielte Ausführung. Das Problem dabei ist, dass viele Nutzer nicht in der Lage sind, die Legitimität einer Datei zu beurteilen. Um das Risiko zu minimieren, sollte die Entscheidung, ob ein Makro ausgeführt werden darf, nicht den Nutzern überlassen werden. Stattdessen empfiehlt es sich, das Ausführen von Makros generell zu blockieren, beispielsweise über die Windows-Gruppenrichtlinien. Nach einem Microsoft Update im Juli 2022 werden VBA Makros aus dem Internet bereits standardmäßig in Office deaktiviert.
Falls in Ihrem Unternehmen dennoch Makros benötigt werden, kann der Administrator die erforderlichen Makros signieren und ihre Ausführung ausnahmsweise erlauben.
Maßnahme 7: Trennung von IT-Bereichen als Schlüssel für mehr Cybersicherheit
IT-Anwendungen, die mit dem Internet verbunden sind, bergen eine Reihe von Unsicherheiten, darunter Risiken wie unerlaubtes Eindringen, Identitätsdiebstahl, Datenexfiltration und weiterer Missbrauch von Unternehmenssystemen. Um sich vor diesen potenziellen Gefahren zu schützen, ist es wichtig, individuelle Benutzerkonten für jeden Mitarbeitenden einzurichten. Gruppenkonten sind zu vermeiden.
Im Internet sollten daher nur Benutzerkonten ohne Administratorrechte verwendet werden, um das Risiko eines Systemangriffs und einer Systemübernahme durch Cyberkriminelle zu minimieren. Admin-Rechte verbleiben bei Administratorinnen und Administratoren und sollten ausschließlich für Systemkonfigurationen und Softwareinstallationen verwendet werden. Zugangsberechtigungen ausscheidender Mitarbeiter sind so zu sperren, dass weder sie selbst noch Dritte sie weiter nutzen können.
Für KMU mit einer größeren Anzahl von Mitarbeitern empfiehlt es sich zusätzliche Maßnahmen im Bereich der Segmentierung zu ergreifen: Verbindungen zwischen Arbeitsplatzrechnern sollten standardmäßig blockiert werden, um im Falle eines Sicherheitsvorfalls die Ausbreitung von Schadsoftware zu verhindern. Die Administration des Unternehmensnetzwerks sollte ausschließlich über dedizierte PCs und Administratorkonten erfolgen.
Darüber hinaus sollten die IT-Aktivitäten in verschiedene Netzwerkbereiche unterteilt werden, wie z. B. interne Server, mit dem Internet verbundene Server, Workstations, Verwaltungsbereich, Industriesysteme usw. Dies kann durch physische oder virtualisierte Filter erreicht werden und minimiert potenzielle Angriffsflächen für Cyberkriminelle.
Maßnahme 8: Grundlegende IT-Sicherheitsmaßnahmen
Die Umsetzung grundlegender IT-Sicherheitsmaßnahmen ist nicht nur für kleine und mittlere Unternehmen unerlässlich. AV-Lösungen und Firewalls müssen aber immer auf dem neuesten Stand gehalten werden, um den erforderlichen Schutz zu gewährleisten. Virtuelle private Netzwerke (VPNs) bieten sichere Kommunikationskanäle, Anti-Phishing-Maßnahmen und Multi-Faktor-Authentifizierung (MFA) schützen vor betrügerischen E-Mails und Websites.
Maßnahme 9: Proaktive Angriffserkennung mittels Cyber Threat Hunting – ein entscheidender, zusätzlicher Sicherheitslayer
Der zentrale Unterschied zu traditionellen IT-Sicherheitsmaßnahmen, wie sie auszugsweise in Maßnahme 8 genannt werden, ist der aktive Ansatz, wie beim "Cyber Threat Hunting": Mittels proaktiver und iterativer Suche wird das eigene Netzwerk permanent überwacht und gezielt nach Indikatoren für Kompromittierungen (IOCs) gesucht. Dies geschieht mit Hilfe spezieller Software, die tiefgehende Netzwerkanalysen durchführt. Es gilt auffällige Verhaltensmuster frühzeitig zu identifizieren und auf diesem Weg Angriffsmuster im Netzwerk umgehend zu detektieren. Damit ist ein umgehendes Einschreiten möglich und die Zeit, die Angreifer unentdeckt in Ihrem Netzwerk verbringen, wird deutlich reduziert.
Bestehende Techniken werden also nicht ersetzt, sondern in Kombination ergänzt - für ein deutlich höheres IT-Sicherheitsniveau.
Maßnahme 10: Optimierte Incident Response Readiness (IRR)
Um im Ernstfall handlungsfähig zu bleiben, benötigen Unternehmen gut eingespielte IRR-Prozesse. Deren Wirksamkeit sollte im Hinblick auf die Angriffsabwehrfähigkeit analysiert und durch Cyber Security Consultants in Form eines Maßnahmenkatalogs optimiert werden. Je früher und gezielter gehandelt wird, desto effektiver kann der Schaden begrenzt werden.
Eine IRR-Strategie beinhaltet detaillierte Richtlinien und Prozesse, die folgende Bereiche abdecken:
Organisation:
Klare Definition von Aufgaben, Zuständigkeiten und Verantwortlichkeiten im Falle eines Cyberangriffs.
Richtlinien und Normen:
Einhaltung rechtlicher und regulatorischer Vorschriften bezüglich Reaktionszeit und Meldewegen.
Technologie:
Effektive Tools zur permanenten und umgehenden Erkennung von Cyberbedrohungen (Threat Intelligence).
Prozesse:
Eindeutige Abläufe für verschiedene Notfallszenarien und Anweisungen für Mitarbeiter im Falle eines Sicherheitsvorfalls.
Schulungen:
Sicherstellung der notwendigen Expertise und regelmäßige Tests der Sicherheitsprozesse auf technischer und Führungsebene.
Beurteilung:
Kontinuierliche Überprüfung der Funktionalität der Abwehrmaßnahmen durch Cyber Security Experten für Bedrohungsszenarien und Incident Response.
Die Voraussetzung für eine permanente Incident Response Readiness eines Unternehmens ist die Entwicklung und Implementierung einer umfassenden Cyber-Abwehrstrategie, die die Fähigkeit Ihrer Teams zur Erkennung, Abwehr und Eindämmung komplexer Angriffe sicherstellt.
Fazit
Die Cybersicherheit von KMU kann durch gezielte Maßnahmen wie das Deaktivieren von Makros, die Trennung von IT-Bereichen, grundlegende IT-Sicherheitsmaßnahmen, Angriffsfrüherkennung und vorbereitende Incident Response Readiness-Maßnahmen erheblich verbessert werden.