Weltweit bilden kleine und mittelgroße Unternehmen (KMU) das Rückgrat der gesamten Wirtschaftsleistung. Global existieren mehr als 400 Millionen von ihnen – insgesamt 95 Prozent aller Unternehmen überhaupt, mit rund zwei Dritteln aller Arbeitsplätze. Sie alle stehen im Zuge der Digitalisierung und aktuell auch der Pandemie nicht nur vor massiven wirtschaftlichen Herausforderungen.
Besonders Cybersecurity wird zu einem immer stärkeren Faktor, den es mit Blick auf die eigene Existenz zu beachten gilt. Weltweit kommt es im Schnitt alle 39 Sekunden zu einem Cyberangriff, der zu schwersten Schäden führen kann. Trotz allem ist das Bewusstsein, wie wichtig der Schutz vor solchen Attacken ist, noch lange nicht geschärft. Wie lässt sich das ändern – und was können KMU tun, um sich zu schützen?
Warum der Schutz vor Cyberangriffen so wichtig ist
85 Prozent aller Cyberangriffe gehen auf sogenannte Phishing-Mails zurück, die Anwender dazu verleiten sollen, unbewusst Malware herunterzuladen. Ein entsprechendes Beispiel zeigt die Pandemie: Kriminelle versenden Phishing-E-Mails, SMS oder WhatsApp-Nachrichten mit einem dringend wirkenden Betreff wie „Covid-19“. Diese Malware platziert dann ein schwer erkennbares Schadprogramm, das es Hackern ermöglicht, sich trotz Firewall oder anderen herkömmlichen Sicherheitsmaßnahmen in einem IT-System umzusehen (oft über Wochen oder gar Monate hinweg) und dann wertvolle Daten ausfindig zu machen oder sie zu verschlüsseln, um im Anschluss ihre Opfer mit Geldforderungen zu erpressen. Diese sogenannten Ransomware-Angriffe können jedoch nicht nur die unmittelbaren Opfer kompromittieren, da den Hackern unter Umständen so auch Daten über Kunden und/oder Zulieferer in die Hände fallen.
Noch immer fehlt es deutlich an Problembewusstsein, wie etwa eine erst im vergangenen Jahr im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) von Forsa durchgeführte Studie zum Stand der Cybersicherheit in der deutschen Wirtschaft zeigt. 70 Prozent der befragten Mittelständler sahen die Gefahr für ihr eigenes Unternehmen als gering an, obwohl 27 Prozent schon mindestens einmal Opfer einer Attacke geworden waren. Vier von fünf Befragten waren sogar der Ansicht, genug für ihre IT-Sicherheit getan zu haben – dabei hatte gleichzeitig nur ein Drittel aller Unternehmen überhaupt Mitarbeiter eingestellt, die sich explizit mit dem Problemfeld befassten. Möglicherweise geschah dies in der falschen Annahme, dass ausreichende Cybersecurity-Funktionen in den von ihnen gekauften IT-Produkten enthalten und folglich keine zusätzlichen Maßnahmen erforderlich waren.
Hunderte Milliarden Euro Schäden – pro Jahr
Das ist fatal, denn gerade für KMU können solche Attacken durchaus existenzbedrohend sein. Der Verband der Internet- und Telekommunikationsleister Bitkom bezifferte 2021 den jährlichen Schaden durch Cyberangriffe auf 223 Milliarden Euro – und das sind nur die akuten Schäden. Nach einem Angriff sinkt auch das Vertrauen der Kunden in die eigene Marke und das hat direkte Auswirkungen auf den Umsatz: Daten von KMU, die mit einer Vielzahl von Zulieferern und Partnern zusammenarbeiten, sind genauso wertvoll wie die von Großunternehmen und können wie oben beschrieben ein Zugangstor zu anderen Firmen darstellen. Daten von KMU sind obendrein in der Regel auch viel leichter zu stehlen, da KMU oftmals weder über die Ressourcen noch das Problembewusstsein verfügen, die für eine effektive Abwehr möglich wären. Zusätzliche Faktoren wie mangelnde Risikobewertung, unzureichende Zugangskontrolle, generell mangelhafter Schutz von Daten, Geräten und Passwörtern, unzureichende Schulung und Sensibilisierung erhöhen die Gefahr.
Was also tun?
Tipp Nr. 1 – Software auf dem neuesten Stand halten
Software-Anbieter veröffentlichen Updates aus einer Vielzahl von Gründen, beispielsweise für die Bereitstellung von verbesserten Funktionen, Fehlerbehebungen und Sicherheitspatches. Es sollte immer sichergestellt sein, dass Software kontinuierlich auf die neueste Version aktualisiert wird, sobald diese verfügbar ist. Dies hat zudem den Vorteill, dass Entwickler damit auf neue Gesetzesvorschriften reagieren und die Anwender damit rechtlich besser geschützt sind.
Tipp Nr. 2 – Veraltete Hardware bei Bedarf aufrüsten
Neue Updates sind jedoch möglicherweise nicht mit der Hardware des Geräts kompatibel. Ist die Hardware veraltet, ist sie nicht mehr in der Lage, die neuesten Softwareversionen auszuführen. Dieses Risiko gilt es unmittelbar zu vermeiden – generell lohnen sich Investitionen in Hardware aber auch wirtschaftlich, da schnellere Rechner auch mehr Effizienz bedeuten.
Tipp Nr. 3 – Backups anfertigen
Obendrein sind sichere Daten-Backups für Unternehmen jeder Größe unerlässlich. Dies gilt insbesondere für den Schutz gegen Ransomware-Angriffe, die wie schon angemerkt darauf abzielen, Daten zu verschlüsseln oder zu löschen. Die Widerstandsfähigkeit ist bei der Datenwiederherstellung entscheidend.
Es ist kein Szenario nach dem Motto „falls“, sondern nach dem Motto „wenn“, und angesichts der sich ständig erweiternden Bedrohungslandschaft im Bereich der Cybersicherheit kann es schwierig sein, bösartigen Angriffen, die auch immer raffinierter werden, immer einen Schritt voraus zu sein. Erstellen Sie einen Plan für den Umgang mit „nachträglichen“ erkannten Sicherheitsverletzungen und üben/testen Sie Ihre Reaktion regelmäßig.
Tipp Nr. 4 – Geräte und Daten sichern
Die Sicherheit von Daten zu gewährleisten, ist von entscheidender Bedeutung, insbesondere der Daten, die sich lokal bei einzelnen Mitarbeitern befinden. Verschlüsselte USB-Sticks tragen dazu bei, dass sensible Daten so sicher wie möglich gespeichert und übertragen werden können. Ebenso müssen Desktop-PCs im Büro oder zu Hause gesichert werden wie auch mobile Endgeräte. Zudem sollten unbedingt starke 2-Faktor-Authentifizierungspasswörter und biometrische Zugangskontrollen zum Einsatz kommen. Datentransfer darf nur über verschlüsselte VPN-Kanäle erfolgen.
Tipp 5 – Erst denken, dann klicken
Der Faktor Mensch ist eines der größten Risiken im Bereich der Cybersicherheit. Da Phishing- und Ransomware-Angriffe mittlerweile zum Alltag gehören, sollten Mitarbeiter und sogar deren Familien über ein gewisses Grundverständnis der Thematik verfügen und unter Umständen geschult werden.
Wenn Hacker keine Sicherheitslücke finden können, werden sie auf andere Weise angreifen. Hier tritt „Social Engineering“ auf den Plan. Dieser Angriffstyp zielt auf die Denkweise und die Bedenken der Benutzer ab und nicht auf Geräte, um Zugang zu Systemen und Informationen zu erhalten. Anfragen nach persönlichen Informationen oder Passwörtern sollten immer ignoriert oder noch besser der IT-Abteilung gemeldet werden.
www.kingston.com/de