Unsere heutigen Geschäftsabläufe basieren zunehmend auf externen IT-Anwendungen und wandern zunehmend in die Cloud. Dadurch entstehen aber auch neue Schadensszenarien. Gerade KMUs sind ein beliebtes Ziel, weil diese größtenteils noch nicht in entsprechende Sicherheitsvorkehrungen und das eigene Business Continuity Management investiert haben. Angriffe können dann unter Umständen sehr kostspielige Schäden verursachen – und sie werden immer ausgefeilter.
Die Entwicklung von Ransomware
Einem veröffentlichten englischen Bericht aus dem Jahr 2022 zufolge, ist Ransomware weiterhin die häufigste Art, wie KMUs angegriffen werden. Es ist ein Angriff, der auf Erpressung basiert, bei dem Nutzende beispielsweise keinen Zugriff mehr auf ihre Daten erhalten, weil diese verschlüsselt wurden und erst wieder zugänglich sind, wenn entsprechendes Lösegeld bezahlt wird. An zweiter Stelle folgt die Verwendung von gestohlenen Anmeldedaten. Diese können auf unterschiedlichste Weise gestohlen werden, wie z.B. in Form von Brute-Force-Angriffen. Bei dieser Methode werden Passwörter von zuvor gehackten Websites durch Trial-and-Error auf anderen Seiten wiederverwendet. Auch Social-Engineering Taktiken werden in dem Bericht als stetig zunehmende Angriffsmethode genannt. Dazu gehören unteranderem Phishing, Business Email Compromise (BEC) oder Pretexting (das menschliche Äquivalent von Phishing). All diese Arten von Angriffen, zwingen Unternehmen dazu, die Art und Weise zu arbeiten und Entscheidungen zu treffen, grundlegend zu verändern. Denn bei allen zukünftigen Entscheidungen, die den alltäglichen Betrieb oder Investitionen betreffen, die in Zusammenhang mit dem Netzwerk stehen, müssen Unternehmen den Risikofaktor der Cyberattacken mit im Hinterkopf behalten. Der Bericht zeigt auch, dass die Anzahl der Ransomware-Angriffe weiterhin stabil bleiben wird. Das impliziert, dass bisherige Maßnahmen immer wieder umgangen werden können und auch, dass viele Branchen, mit steigenden Kosten konfrontiert werden.
Die Zwickmühle für KMUs
Das kleine und mittlere Unternehmen Cyber-Sicherheit nicht so ernst nehmen wie größere Organisationen ist grundlegend falsch. Größere Unternehmen haben ihre Schutzmaßnahmen ganz einfach über einen längeren Zeitraum aufstocken können. Der Grund dafür ist simpel: sie haben schlichtweg mehr Budget fortschrittliche Technologien anzuwenden und größere Teams zusammenzustellen, die sich um die Sicherheit der Netzwerke kümmern. Neue Regularien und gesetzliche Vorschriften erhöhen hier ebenso den Druck zum sofortigen Handeln. Bei KMUs haben über die Hälfte (51%) Schwierigkeiten damit, Budget für die Cybersicherheit zu organisieren. Einige dieser Unternehmen bündeln es mit dem Gesamtbudget für die IT-Abteilung.
Unternehmen die nicht von Beginn an sich ein Budget für die Cyber-Sicherheit beiseitelegen, laufen Gefahr, dass sie auf Ad-hoc-Maßnahmen zurückgreifen müssen. Sollte ein Unternehmen nicht in der Lage dazu sein ein Budget zu planen, gibt es einige Praktiken, die sie stattdessen anwenden können sollten. In erster Linie muss verstanden werden, welche Auswirkungen es haben kann, wenn das Unternehmen keinen Zugriff mehr auf eigene wichtige Daten hat. Es ist also sinnvoll intern und extern zu prüfen, welche Bereiche im Unternehmen am dringendsten Investitionen in die Cyber-Sicherheit benötigen.
Entwicklung einer Cyber-Sicherheitsstrategie mit zielführenden Schritten
Jedes KMU kann grundlegende Schritte gehen, die darauf abzielen, die eigenen Systeme zu schützen. Essentiell sind die Multi-Faktor-Authentifizierung und das rechtzeitige Patchen von Software-Anwendungen damit Schwachstellen schnell korrigiert werden können. Auch bei der Zusammenarbeit mit Drittanbietern, sollte die Sicherheit der Systeme sichergestellt – und regelmäßig überprüft- werden.
Cyber-Versicherungen können hier helfen, das Risiko unvorhersehbarer hoher Kosten zu reduzieren. Was aber trotzdem kein Grund für Unternehmen sein darf, das Thema Sicherheit auf die lange Bank zu schieben. Die eigenständigen Kontrollen der Cyber-Sicherheit können schnell erdrückend werden. Daher bietet es sich für KMUs an, dies von externen Cyber-Sicherheitspartnern- und Teams erledigen zu lassen. Diese können in Echtzeit Bedrohungen ermitteln, Warnungen aussprechen und Maßnahmen kommunizieren. Allein die Verwaltung der Sicherheitsmaßnahmen durch Drittanbieter kann den Stress der Unternehmen erheblich senken und mehr Zeit für die Einführung proaktiver Strategien freiräumen, die gemeinsam mit den Experten etabliert werden können. Auch kleine Schritte, können einen großen Unterschied machen, um einen effizienten und besser verwaltbaren Cyber-Sicherheitsstandard zu erzielen.
Solche Drittanbieter können teilweise einen eigenen Chief Information Security Officers (CISO) ersetzen. Aus einer Umfrage geht hervor, dass 72% von den KMUs die Hilfe bei der Sicherheitsverbesserung brauchen, keine CISO-Position definiert haben. Es lohnt sich jedoch nicht für jedes Unternehmen einen CISO fest einzustellen, daher gibt es auch alternative Wege, wie die Cyber-Sicherheitsprogramme verbessert werden können, beispielsweise mit einem virtuellen Chief Information Security Officer (vCISO). Managed Service Provider (MSP) bieten häufig solche Dienste an, um kleinere Unternehmen bei ihren Sicherheitszielen zu unterstützen.
Bewährte Taktiken bei Angriffen
Eine weitere konkrete Maßnahme ist die regelmäßige Schulung aller Mitarbeitenden. Diese sollten wissen, wie sie Phishing- oder Social-Engineering-Angriffen sofort erkennen und vermeiden können, sichere Passwörter verwenden und eine mehrstufige Authentifizierung durchführen. Cyber-Sicherheitsrichtlinien sollten außerdem stets dokumentiert, sauber strukturiert und aktualisiert werden.
Eine gut organisierte Sicherheitsstrategie gewährleistet auch, dass die richtigen Sicherheitskontrollen zum Schutz wichtiger Datenbestände vorhanden sind. Dazu gehören E-Mail-Sicherheit (einschließlich Spam- und Phishing-Schutz), erweiterte Endpunktsicherheit (nicht nur Virenschutz), Firewall- und Netzwerkschutz sowie Websicherheit.
Unternehmen sollten unabhängig von ihrer Größe niemals aufhören, in ihr Sicherheitskonzept zu investieren. Die Aufrechterhaltung einer guten „Cyber-Hygiene“ und die Durchführung von Sicherheitsschulungen sind ein grundlegender Ausgangspunkt, aber ebenso wichtig ist es, sich über die neuesten Präventionstechnologien zu informieren und auf dem Laufenden zu bleiben sowie die neuesten Trends bei Cyberangriffen zu verfolgen.