Checkliste “Cybersicherheit in KMU”: Wertvolle Tipps – Teil 1
von Tina Siering
Mit Blick auf die IT Security beginnt 2023 so, wie 2022 geendet hat: Die Bedrohungslage erlaubt Unternehmen und Organisationen keine Atempause.
Im Gegenteil: Alle Prognosen für 2023 deuten auf eine weitere Verschärfung der Entwicklung hin. Das oberste Ziel aller Unternehmensentscheider sollte daher sein, die Widerstandsfähigkeit der eigenen IT-Infrastruktur unter den gegebenen Rahmenbedingungen bestmöglich, dauerhaft und nachhaltig zu stärken. In diesem ersten Teil unserer zweiteiligen Beitragsserie stellen wir Ihnen fünf von insgesamt zehn essenziellen Maßnahmen vor, die helfen, sich mit der Thematik auseinander zu setzen und sich auf verschiedene Angriffsszenarien vorzubereiten.
Maßnahme 1: Verantwortliche für Cybersicherheit festlegen
In Zeiten zunehmender Cyberbedrohungen ist die Frage nach der Verantwortung für die Cybersicherheit in Unternehmen zentral. Die Antwort ist eindeutig – und gilt für jedes Unternehmen: Sie liegt bei der Unternehmensleitung. Es ist unerlässlich, dass das Top-Management sich der Risiken und Gefahren bewusst ist, die durch Cyberangriffe entstehen können. Daher sollte – besser gesagt: muss – das Thema Cybersicherheit regelmäßig auf der Agenda von Geschäftsleitungs-Meetings stehen. Die Unternehmensleitung sollte in die Entwicklung und Umsetzung von Sicherheitsstrategien und -maßnahmen involviert werden und sich dabei auf das Fachwissen aus der IT-Abteilung oder von externen Security Experten stützen. Wichtig ist, Entscheidungen bezüglich des Sicherheitsniveaus und der Akzeptanz eventueller Restrisiken wohlüberlegt und informiert zu treffen.
Um klare Zuständigkeiten zu schaffen, muss die Unternehmensleitung festlegen, wer für den Betrieb des Informationssystems und wer für den Schutz der Informationssicherheit verantwortlich ist. In kleinen Unternehmen kann dies auch ein und dieselbe Person sein, allerdings sollte darauf geachtet werden, dass der Verantwortliche ausreichend geschult und unterstützt wird. Die Etablierung einer starken Sicherheitskultur, in der jeder Mitarbeiter Verantwortung für den Schutz der Unternehmensdaten und -systeme übernimmt, ist ein wesentlicher Schritt, um das Risiko von Cyberangriffen zu minimieren. Die Unternehmensleitung sollte hierbei eine Vorreiterrolle einnehmen und dafür sorgen, dass die Cybersicherheit im gesamten Unternehmen verankert ist.
Maßnahme 2: Bestandsaufnahme - Wie gut kennen Sie Ihre IT-Systeme?
Cybersicherheit für KMU erfordert Überblick und ein tiefgreifendes Verständnis der eigenen IT-Systeme. Ein grundlegender Schritt ist, dass Unternehmen eine umfassende Bestandsaufnahme ihrer Hard- und Software, Daten und Verarbeitungsprozesse durchführen. Diese Analyse ermöglicht es, potenzielle Schwachstellen zu identifizieren und angemessene Schutzmaßnahmen abzuleiten. Die Bestandsaufnahme sollte alle verwendeten Komponenten wie Computer, Smartphones, Server und Peripheriegeräte einschließen. Eingesetzte Softwares, ihre Funktionen, Versionen und Benutzerlizenzen sollten inventarisiert werden erfasst werden. Bedenken Sie auch den Effekt, den ein erfolgreicher Cyberangriff, als “Worst Case Szenario” haben würde. Bei welchem Datenverlust und -beschädigung liefen Sie Gefahr, dass Ihr Geschäftsbetrieb beeinträchtigt oder sogar unterbrochen würde?
Außerdem ist es von entscheidender Bedeutung, alle Zugriffsberechtigungen aufzulisten und zu kategorisieren: Wer (z. B. Administrator, Benutzer oder Gast) hat welche Art des Zugriffs (lokal oder remote) auf welche Informationssysteme? So können Unternehmen unzulässigen Zugriff verhindern und die Angriffsfläche für Bedrohungen weiter reduzieren. Im Bestandsverzeichnis sollte darüber hinaus auch jeder Internetzugang zu einem Provider oder Partner aufgeführt werden. Dies hilft einerseits dabei, für das Unternehmen passende IT-Lösungen auszuwählen und notwendige Sicherheitsmaßnahmen zu identifizieren. Andererseits ist diese Übersicht sehr hilfreich, um im Fall einer erfolgreichen Cyberattacke passende Gegenmaßnahmen einzuleiten.
Maßnahme 3: Datensicherung und Sicherheitsupdates - Sind Sie auf dem aktuellen Stand?
Regelmäßige Datensicherung und regelmäßig eingespielte Sicherheitsupdates sind entscheidend für die Cybersicherheit von KMU. Unternehmen sollten regelmäßige Backups durchführen, um den Geschäftsbetrieb nach Sicherheitsvorfällen schnell wieder aufnehmen zu können. Die Häufigkeit der Datensicherungen und die Wahl des Speichermediums (physisch oder Cloud) hängen von den individuellen Anforderungen ab. Eine Verschlüsselung wird dringend empfohlen, insbesondere bei Cloud-Speicherung. Sicherheitsupdates sollten zeitnah durchgeführt werden, um bekannte Schwachstellen schnell zu schließen. Aktuelle Hardware- und Softwarelösungen sind ebenso wichtig wie das Aktivieren automatischer Updates. Zuständigkeiten für den Update-Prozess müssen klar definiert und in eventuell bestehenden Verträgen mit IT-Dienstleistern festgehalten werden. Damit wichtige Sicherheitsupdates nicht vergessen werden, empfehlen wir ein sorgfältig ausgearbeitetes Patch Management.
Maßnahme 4: Gibt es in Ihrem Unternehmen eine Richtlinie für sichere Passwörter?
Sichere Passwörter sind unerlässlich, um beispielsweise Brute-Force-Angriffe abzuwehren. Daher sollten Unternehmen eine umfassende Passwortrichtlinie einführen, die alle Mitarbeiter dazu anhält, starke und einzigartige Passwörter für jeden Dienst zu verwenden, der eine Authentifizierung erfordert. Passwort-Manager helfen, komplexe Passwörter zu generieren und vereinfachen deren Verwaltung. Diese Tools speichern die Passwörter verschlüsselt und ermöglichen den Zugriff nur mit einem Master-Passwort, das der Nutzer selbst festlegt.
Die Verwendung von Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit weiter, indem sie zusätzliche Authentifizierungsebenen hinzufügt. Dies kann beispielsweise durch physische Token wie Chipkarten oder USB/FIDO2-Token erfolgen. Single Sign-on (SSO) ist eine weitere Technik, die das Anmelden bei mehreren Diensten innerhalb des Unternehmens vereinfacht, indem nur eine einmalige Authentifizierung erforderlich ist. Um die Einhaltung der Passwortrichtlinie zu kontrollieren und zu überprüfen, sollten Unternehmen regelmäßige Überprüfungen durchführen und Sicherheitsmaßnahmen ergreifen. Dazu gehören das Sperren von Konten nach mehreren fehlgeschlagenen Anmeldeversuchen, das Deaktivieren anonymer Anmeldeoptionen und das Einrichten strenger Passwortrichtlinien auf Authentifizierungsservern.
Maßnahme 5: Wie sensibilisieren Sie Ihre Mitarbeiter?
Mitarbeiter in KMU müssen durch regelmäßige Informationsvermittlung und eine Kultur der "Computerhygiene" für die Gefahren der Cyberkriminalität sensibilisiert werden. Unternehmen können hierfür eine IT-Charta erstellen, die IT-Nutzungsrichtlinien und Meldeverfahren für Vorfälle beschreibt, und Mitarbeiter regelmäßig auf diese Richtlinien aufmerksam machen. Eine zwanglose Vorgehensweise beim Melden von IT-Sicherheitsvorfällen fördert die Bereitschaft der Mitarbeiter, Vorfälle zu melden. Eine kostenfreie Mitgliedschaft in der vom BSI initiierten "Allianz für Cyber-Sicherheit" bietet weitere Informationsressourcen. Regelmäßig durchgeführte Social Engineering Audits mit Phishing-Simulation bringen die Gefahren von Cyberangriffen in das Bewusstsein der Mitarbeiter und Mitarbeiterinnen.
Fazit
Weil die Bedrohung durch Cyberangriffe stetig zunimmt, ist das Thema Cybersicherheit für KMU von entscheidender Bedeutung. Um die Widerstandsfähigkeit unter den gegebenen Rahmenbedingungen zu stärken, müssen Unternehmen einen umfassenden Ansatz verfolgen, der sowohl auf technischen Maßnahmen als auch auf organisatorischen Richtlinien basiert. Eine klare Definition der Verantwortlichkeiten für die IT-Sicherheit und die Einbindung der Unternehmensleitung sind dabei grundlegend.
Eine tiefgreifende Kenntnis der eigenen IT-Systeme, die Sicherstellung von Datensicherungen und die konsequente Umsetzung von Sicherheitsupdates bilden die technische Basis für den Schutz vor Cyberangriffen. Die Implementierung sicherer Passwortrichtlinien und Authentifizierungsverfahren minimiert zusätzlich das Risiko von unbefugtem Zugriff auf sensible Daten und Systeme.
Neben diesen technischen Maßnahmen ist die Sensibilisierung der Mitarbeiter für die Gefahren der Cyberkriminalität und die Etablierung einer Sicherheitskultur im Unternehmen unerlässlich. Dazu gehört die regelmäßige Kommunikation von IT-Nutzungsrichtlinien, die Förderung des Meldens von Sicherheitsvorfällen und die kontinuierliche Weiterbildung der Mitarbeiter.