„Vorbeugen ist besser als heilen.“
– Benjamin Franklin
Die Ruhe vor dem Sturm zermürbt am meisten. Kleine Unternehmen arbeiten häufig unter der Fehlannahme, dass sie zu klein sind, um für Cyberkriminelle von Interesse zu sein. Vollkommen arglos gehen sie ihrem Geschäft nach und nutzen Onlinedienste. Doch im digitalen Schatten lauert eine stetige Bedrohung, die diese Ruhe schnell stören und alles vernichten kann, was hart erarbeitet wurde. Das ist keine Schauergeschichte, sondern kann jederzeit passieren.
Bevor auf Ihrem Handy also der Alarm für eine Sicherheitsverletzung schrillt und irreversibler Schaden angerichtet wurde, fragen Sie sich selbst: Gehören Sie zu den wenigen 14 %, die eine gute Abwehr haben, oder ist Ihr Unternehmen eines der 43 %, die am Rande der Katastrophe stehen und für Cyberangriffe anfällig sind?
Sollten Sie zu letzteren gehören, haben wir hier 10 Cybersecurity-Basismaßnahmen zusammengestellt, die jedes kleine Unternehmen umsetzen sollte, um sich bestmöglich zu schützen:
1. Regelmäßige Risikobewertungen der Cybersicherheit
Die Schwachstellen zu erkennen, ist der erste Schritt, um ein Unternehmen wirkungsvoll zu schützen. Sofern Sie nicht wissen, was in Gefahr ist, können Sie es auch nicht absichern. Regelmäßige Bewertungen helfen Unternehmen außerdem, Datenschutzgesetze und entsprechende Normen einzuhalten wie die Datenschutz-Grundverordnung (DSGVO), in den USA den California Consumer Privacy Act (CCPA) oder den HIPAA sowie die ISO 27001, die strenge Vorgehensweisen zum Datenschutz vorgeben.
Beginnen Sie damit herauszufinden, wo Ihre vertraulichen Daten abgelegt sind, wer darauf zugreifen kann und welche Art von Bedrohungen es auf Ihr Unternehmen oder Ihre Branche am wahrscheinlichsten abgesehen haben könnten. Anhand dieser Informationen können Sie Ihre Sicherheitsinvestitionen priorisieren, Ressourcen entsprechend zuordnen und Ihren Cyberschutz regelmäßig aktualisieren. Indem Sie diese Bewertungen regelmäßig durchführen, bleiben Sie flexibler und können sich besser an die sich ständig im Wandel befindliche Welt der Cyberbedrohungen anpassen.
2. Cybersecurity-Aufklärung für Ihre erste Verteidigungslinie: die Mitarbeiter
Zwar übernimmt die Technologie beim Datenschutz eine wichtige Rolle, aber der Hauptgrund für Sicherheitsverletzungen bleibt menschliches Versagen. Die Mitarbeiter sind häufig der schwächste Punkt in der Abwehr eines Unternehmens. Daher sind regelmäßige, verpflichtende Aufklärung und Schulungen zur Cybersicherheit unerlässlich. Dabei sollten unbedingt Themen wie das Erkennen von Phishing- und Social-Engineering-Versuchen besprochen werden, da laut CISA über 90 % der Angriffe mit Phishing beginnen.
Wirksame Cybersecurity-Schulungen müssen den Mitarbeitern beibringen, wie sie sicher im Internet unterwegs sind, welche Risiken öffentliche WLAN-Zugänge bergen und dass sie verdächtige Aktivitäten unbedingt zeitnah melden müssen. Integrieren Sie außerdem den angemessenen Umgang mit Daten und die Einhaltung der Cybersicherheitsvorgaben in die Leistungsbewertung der Mitarbeiter.
3. Starke Passwortrichtlinien und mehrstufige Authentisierung (MFA)
Schwache oder wiederverwendete Kennwörter stellen ein großes Sicherheitsrisiko dar, die zu den 81 % der durch Hacken entstandenen Datenschutzverletzungen gehören. Viele Angriffe sind erfolgreich, weil Hacker Kennwörter schlicht erraten oder leicht knacken konnten. Das Umsetzen starker Passwortrichtlinien und die Verwendung der mehrstufigen Authentisierung (MFA) sind wesentlicher Bestandteil eines effizienten Schutzes.
Als Mindestanforderung sollten Kennwörter mindestens 12–14 Zeichen lang sein sowie aus Buchstaben, Zahlen und Sonderzeichen bestehen. Passphrasen verhelfen zu mehr Sicherheit und lassen sich leichter merken. Aktivieren Sie außerdem bei allen Geschäftskonten die MFA, insbesondere für jene, die Zugriff auf vertrauliche Daten haben. Auf diese Weise ist ein zusätzlicher Verifizierungsschritt erforderlich, etwa ein Zahlencode über das Handy. Stellen Sie zudem einen Passwortmanager bereit, um für eine bessere Kennwortpflege und -sicherheit zu sorgen.
4. Software und Betriebssysteme immer aktuell halten
Veraltete Software ist ein beliebtes Ziel bei Hackern, da Cyberkriminelle bekannte Schwachstellen ausnutzen. Anbieter veröffentlichen regelmäßig Updates und Patches, um Sicherheitslücken zu schließen und die Leistung zu verbessern. Werden diese nicht angewendet, bleibt das System schutzlos, was viele Ransomware-Angriffe als Einfallstür nutzen.
Aktivieren Sie also für Betriebssysteme und Anwendungen wann immer möglich automatische Updates. Richten Sie für Systeme, bei denen das nicht möglich ist, einen Zeitplan für manuelle Aktualisierungen ein. Kritische Sicherheitsupdates sind möglichst immer sofort anzuwenden. Stellen Sie außerdem sicher, dass alle Programme von Drittanbietern sowie IoT-Geräte auf dem neuesten Stand sind. Führen Sie für ältere Systeme, die keine Unterstützung mehr erhalten, Upgrades durch oder ersetzen Sie sie, um immer eine stabile Abwehr aufrechtzuerhalten.
5. Regelmäßige Sicherung kritischer Daten und Testen der Wiederherstellung
Datenverlust – sei es durch Cyberangriffe, Hardware-Versagen oder menschliche Fehler – kann für ein kleines Unternehmen verheerend sein. Zuverlässige Backups sind dann ein unerlässliches Sicherheitsnetz. Richten Sie eine umfangreiche Sicherungsstrategie gemäß der „3-2-1-Regel“ ein: drei Kopien Ihrer Daten auf zwei verschiedenen Medienarten mit einer Kopie an einem externen Ort.
Automatisieren Sie Sicherungen, um Konsistenz sicherzustellen und Datenverluste zu minimieren. Verschlüsseln Sie die gesicherten Daten, um Vertraulichkeit zu gewährleisten. Testen Sie außerdem den Wiederherstellungsprozess regelmäßig, um zu überprüfen, ob die Daten effizient und vollständig wiederhergestellt werden können. Warten Sie nicht auf einen Notfall, um dann auf Probleme zu stoßen. Simulieren Sie Datenverlust, um aktiv Schwachstellen zu identifizieren und zu beheben.
6. Netzwerk-Schutz mit Firewalls und WLAN-Sicherheit
Ihr Netzwerk ist das digitale Tor zu Ihren Geschäftsressourcen. Daher ist es unerlässlich, es entsprechend abzusichern. Ein schlecht geschütztes Netzwerk ist eine offene Einladung für Cyberkriminelle. Richten Sie Firewalls ein, indem Sie etwa die in Ihrem Betriebssystem enthaltene Firewall aktivieren und auch spezielle Hardware-Firewalls in Erwägung ziehen, um den Datenverkehr zu kontrollieren und unerlaubten Zugriff zu blockieren.
Schützen Sie Ihr WLAN durch den Einsatz starker Verschlüsselung und ändern Sie unbedingt die standardmäßigen Zugangsdaten des Routers. Richten Sie außerdem Gastnetzwerke ein, um Besucher von Ihrem internen System zu isolieren. Auch wenn es nicht absolut sicher ist, verstecken Sie möglichst Ihre SSID und überprüfen Sie regelmäßig unbekannte Geräte. Achten Sie auch darauf, die Firmwares aktuell zu halten. Machen Sie für den Fernzugriff ein VPN erforderlich, um die Verbindungen zu verschlüsseln und so die übertragenen Daten zu schützen.
7. Zugangskontrollen und Prinzip der geringsten Berechtigungen
Schützen Sie Ihr Unternehmen, indem Sie den Zugang zu bestimmten Daten und Systemen kontrollieren. Setzen Sie auch das „Prinzip der geringsten Berechtigungen“ ein, damit Mitarbeiter immer nur den minimal für ihre Funktion erforderlichen Zugriff haben. Legen Sie dazu verschiedene Benutzerrollen und die entsprechend erforderlichen Berechtigungen fest. Gewähren Sie dann ausschließlich darauf basierend den jeweils benötigten Zugriff.
Überprüfen und aktualisieren Sie diese Berechtigungen regelmäßig, insbesondere wenn sich Rollen ändern oder Mitarbeiter ausscheiden. Widerrufen Sie sofort jeglichen Zugriff für ausscheidendes Personal über einen formellen Prozess. Vermeiden Sie gemeinsam genutzte Konten. Erstellen Sie stattdessen für jeden Benutzer individuelle Anmeldedaten, um die Nachverfolgbarkeit und Rechenschaftspflicht zu erleichtern. Auf diese Weise minimieren Sie das Risiko interner Datenschutzverletzungen.
8. Antivirus-/Anti-Malware Software installieren und pflegen
Antivieren- und Anti-Malware-Programme sind unerlässlich, um schädliche Bedrohungen zu erkennen und zu entfernen. Installieren Sie auf allen Geschäftsgeräten – einschließlich Servern und Mobilgeräten – eine namhafte Lösung. Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist, damit aktiv nach möglichen Bedrohungen Ausschau gehalten wird.
Lassen Sie Virendefinitionen automatisch aktualisieren, da es immer wieder neue Bedrohungen gibt. Führen Sie zusätzlich zum Echtzeitschutz regelmäßig vollständige Systemscans durch, um möglicherweise übersehene oder inaktive Malware zu finden. Für noch mehr Schutz ist eine Lösung zur Endpunkterkennung und -reaktion (EDR) ratsam, die aktive Bedrohungserkennung und detailliertere Einblicke liefert, indem sie die Endpunkte kontinuierlich auf verdächtiges Verhalten überwacht.
9. Eindeutige Sicherheitsrichtlinie entwickeln und durchsetzen
Während technische Werkzeuge unerlässlich sind, dient eine gut ausgearbeitete Cybersicherheitsrichtlinie als Rückgrat ihrer Sicherheitsstrategie. Dokumentieren Sie die Sicherheitsregeln Ihres Unternehmens in einer leicht verständlichen Richtlinie, um Mitarbeiter anzuleiten und bei einem Vorfall eine koordinierte Reaktion sicherzustellen. In der Richtlinie sollten die Passwort-Anforderungen, die Regeln zum Datenzugriff und der zulässige Gebrauch von Firmengeräten erläutert sein.
Darüber hinaus muss sie die einzelnen Schritte zum Melden eines Vorfalls beschreiben sowie die Sicherheitsmaßnahmen für Remotearbeit. Informieren Sie alle Mitarbeiter über diese Richtlinie und stellen Sie sicher, dass sie verstanden wurde und eingehalten wird. Überprüfen und aktualisieren Sie die Richtlinie jährlich oder nach einem maßgeblichen Vorfall, damit sie zweckmäßig und wirkungsvoll bleibt.
10. Notfallplan ausarbeiten
Trotz der besten Abwehrmaßnahmen lassen sich Cybervorfälle nicht vollständig vermeiden. Mit einem durchdachten Notfallplan kann Ihr Unternehmen allerdings schnell reagieren und so den Schaden minimieren sowie sich möglichst reibungslos wieder davon erholen. Ernennen Sie Schlüsselpersonal, das für die Reaktion zuständig ist, einschließlich der technischen, kommunikativen und rechtlichen Funktionen. Beschreiben Sie für verschiedene Vorfallsszenarien schrittweise Vorgehensweisen zum Erkennen, Eindämmen, Beheben und Wiederherstellen.
Richten Sie Kommunikationsprotokolle ein, um Mitarbeiter, Kunden, Partner und Behörden zu informieren. Erarbeiten Sie ausführliche Wiederherstellungsverfahren, um die Systeme und Daten wiederherzustellen. Zu guter Letzt testen Sie den Plan regelmäßig anhand von Übungen, um Schwachstellen aufzuspüren und sicherzustellen, dass alle Teammitglieder ihre Rollen verstanden haben, bevor es zum Ernstfall kommt.
Fazit
Denken Sie immer daran, dass Cybersicherheit keine einmalige Aufgabe ist. Sie erfordert anhaltende und sich ständig verändernde Bemühungen. Setzen Sie diese Basismaßnahmen um, wenden Sie sie konsistent an und entwickeln Sie Ihre Abwehr weiter, um sie an Ihr wachsendes Unternehmen und ständig neu auftretende Bedrohungen anzupassen. Aktive Investitionen in Cybersecurity sind heutzutage die beste Versicherung gegenüber den kostspieligen Sicherheitsverletzungen, lähmenden Ausfallzeiten und nicht wiedergutzumachenden Rufschäden von morgen. Bleiben Sie geschützt, indem Sie eine aufmerksame Sicherheitskultur pflegen – damit Ihr Unternehmen im digitalen Zeitalter wächst und gedeiht.
Übersetzung: Doreen Schäfer