Cybersicherheit: 9 nützliche Tipps zum Schutz kleiner Unternehmen
Als Eigentümer eines kleinen Unternehmens verfällt man schnell dem Glauben, dass Cyberkriminelle sowieso nichts von einem wollen. Warum sollten sie sich mit so kleinen Fischen abgeben, wenn es doch wesentlich fettere Beute gibt?
Leider sind kleine und mittlere Unternehmen bei den Gaunern ausgesprochen beliebt. Gerade kleinere Firmen sind besonders anfällig, da sie mehr digitale Ausrüstung haben als herkömmliche Verbraucher, ihnen aber die IT-Infrastruktur und das Fachwissen großer Unternehmen fehlen.
Das ist aber kein Grund zum Verzweifeln. Unternehmen jeder Größe können mit einem für sie angemessenen Budget eine robuste Sicherheitsstrategie umsetzen. Dafür ist lediglich ein bisschen Planung erforderlich. Wir haben einige nützliche Tipps für Sie zusammengestellt, wie Sie die Cybersicherheit in Ihrem Kleinunternehmen optimieren können.
Wieso haben es Kriminelle auf kleine Unternehmen abgesehen?
Keine Firma ist klein oder unbedeutend genug, um der Aufmerksamkeit von Cyberkriminellen zu entgehen. Wie bereits angedeutet, haben sie es bevorzugt auf Kleinunternehmen abgesehen. Laut einer Studie des Ponemon-Instituts wurden im Jahr 2017 über 61 Prozent der KMU Opfer von Cyberangriffen. Das ist im Vergleich zum Vorjahr ein Anstieg um 7 Prozent.
Es gibt mehrere Gründe, weshalb KMU ein beliebtes Ziel sind.
Durch die zunehmende Verfügbarkeit digitaler Technologien in allen Branchen geraten zwangsläufig alle Unternehmen in den Fokus – unabhängig von ihrer Größe. In der Vergangenheit gab es für einige Firmen, beispielsweise im Handels- oder Dienstleistungssektor, keinerlei Grund, ihr Geschäft über das Internet zugänglich zu machen. Dadurch waren sie für Cyberkriminelle „unsichtbar“ und folglich vor Angriffen geschützt. Doch neue Technologien wie Cloud-Dienste und das Internet der Dinge halten auch hier verstärkt Einzug und nahezu jedes Unternehmen versendet und empfängt heutzutage Daten, die gestohlen werden könnten.
Darüber hinaus haben KMU etwas, das die Kriminellen wollen: wertvolle Informationen. Auch wenn sie vielleicht nicht über dieselben Mittel wie multinationale Konzerne verfügen, gibt es für die Hacker doch immer noch reichlich interessantes Material zu holen: Finanzunterlagen, medizinische Aufzeichnungen, Personalakten, Kundendaten und weitere vertrauliche Informationen. Sie können sich sicher vorstellen, wie nützlich diese Daten für Kriminelle sind, um sie dann beispielsweise auf dem Schwarzmarkt an den Höchstbietenden zu verkaufen oder Sie damit zu erpressen.
Zu guter Letzt haben KMU in der Regel auch nicht das Budget, um eine umfassende professionelle Sicherheitslösung umzusetzen und zu pflegen. Häufig versuchen sie, die Kosten so gering wie möglich zu halten, um auf dem stark umkämpften Markt solvent zu bleiben. Dabei werden oftmals Einsparungen an Stellen vorgenommen, die für das Unternehmen unwichtig erscheinen – etwa die Cybersicherheit. Hackern ist durchaus bewusst, dass vielen KMU die Ressourcen für eine eigene IT-Abteilung fehlen und sie dadurch leichter angreifbar als große Konzerne werden.
Tipps zur Stärkung der Cybersicherheit in kleinen Unternehmen
1. Personal schulen
Mitarbeiter sind auf vielen Ebenen Ihre erste Verteidigungslinie. Daher ist es unerlässlich, dass Sie bestehende und neue Arbeitskräfte bezüglich der Grundlagen der Cybersicherheit schulen. Hierzu gehört beispielsweise, wann immer möglich die Zwei-Faktor-Authentisierung zu nutzen und den Mitarbeitern beizubringen, wie sie starke und einzigartige Kennwörter anlegen. Außerdem sollten sie lernen, wie sie Anzeichen für Phishing-Versuche erkennen. Klären Sie Ihr Personal zudem darüber auf, welche Gefahren im öffentlichen WLAN lauern, damit sie auch beim Arbeiten außerhalb des Büros kein Sicherheitsrisiko eingehen. Eine weitere Möglichkeit ist beispielsweise der Versand regelmäßiger E-Mails, um alle über aktuelle Sicherheitsbedrohungen sowie Neuerungen bei den internen Abläufen und Vorgaben auf dem Laufenden zu halten.
2. Cybersicherheitsrichtlinie anlegen
Unabhängig von Ihrer Geschäftsgröße ist es in jedem Fall empfehlenswert, eine offizielle Richtlinie zur Cybersicherheit einzuführen. In dem Dokument legen Sie für Ihr Personal Vorschriften und Sicherheitskontrollen bezüglich der Nutzung des Netzwerks und der Geräte in Ihrem Unternehmen fest. Dieses sollte dann auch unbedingt beim Einstellen neuer Arbeitskräfte zur Anwendung kommen (siehe Tipp Nr. 1). Obwohl die Bedeutung einer derartigen Richtlinie offensichtlich ist, haben laut dem Forschungsinstitut Ipsos lediglich vier von zehn Kleinunternehmen (39 Prozent) offizielle Vorgaben bezüglich der Absicherung vor Cybersicherheitsrisiken festgelegt.
Eine grundlegende Cybersicherheitsrichtlinie könnte folgende Vorgaben enthalten:
- Zulässige Nutzung von E-Mails und Internet
- Schutz von Mobilgeräten des Unternehmens seitens der Mitarbeiter
- Erstellen und Verwalten von Kennwörtern
- Sicherheitsprotokoll für Fernzugriff
- Verwendung von Wechseldatenträgern (z. B. USB-Laufwerke, CDs, DVDs usw.)
- Umgang mit vertraulichen Daten
3. Zugriff auf Software und Hardware beschränken
Bei der Cybersicherheit muss Ihr System jedoch nicht nur vor externen Angriffen geschützt werden. Auch intern lauern Bedrohungen. Wie Zahlen von Verizon bestätigen, ist in jede vierte Datenschutzverletzung eine interne Person verwickelt.
Eine der wirkungsvollsten Methoden, um dem vorzubeugen, ist das sogenannte „Prinzip der geringsten Rechte“. Es bedeutet letztendlich nichts anderes, als dass alle Anwender jeweils nur die Mindestberechtigungen erhalten, die sie zum Durchführen ihrer jeweiligen Arbeit benötigen. Auf diese Weise haben einzelne Mitarbeiter nur noch auf die für ihre Funktion relevanten Daten Zugriff, was die Gefahr minimiert, dass vertrauliche Informationen in die falschen Hände fallen.
Je nachdem, mit welchen Daten Ihr Unternehmen arbeitet, ist mitunter auch die Beschränkung des physischen Zugangs zu bestimmten Geschäftsbereichen sinnvoll. Vorkehrungen zur Zutrittskontrolle wie RFID-Schließsysteme, Sicherheitskontrollen, Fingerabdruckleser, passwortgeschützte Bedienfelder und dergleichen sind unerlässlich, um unautorisierte Personen am Betreten wichtiger Unternehmensbereiche zu hindern.
4. Sicherungen anlegen
Die IT-Infrastruktur spielt heutzutage in nahezu jedem Unternehmen eine Hauptrolle. Wenn sie versagt, könnte das katastrophale Folgen haben. Studien des Marktforschungsunternehmens IDC haben herausgefunden, dass IT-Ausfälle Kleinunternehmen durchschnittlich 137 bis 427 USD pro Minute (!) kosten.
Diese Zahlen verdeutlichen, wie wichtig es ist, ein wirkungsvolles Sicherungssystem zu haben, um im Falle eines Datenverlustes schnell reagieren und den Betrieb wieder aufnehmen zu können. Nutzen Sie dabei unbedingt auch eine Kombination aus Sicherungen vor Ort (etwa einem Netzwerklaufwerk) und externen Sicherungen (etwa bei einem Cloud-Dienst Ihres Vertrauens). So sind Ihre Daten selbst vor großen Katastrophen sicher.
5. In eine bewährte Antivirus-/Anti-Malware-Software investieren
Eine weitere wichtige Schutzschicht ist eine zuverlässige Antivirus-Software. Sie bewahrt Ihr Unternehmen vor den verschiedensten digitalen Bedrohungen, wie Ransomware, Trojaner oder Würmern. Sollte es eine bösartige Datei dennoch auf einen Ihrer Computer schaffen (etwa durch einen unüberlegten Klick eines Mitarbeiters oder einen Zero-Day-Exploit), müssen Sie darauf vertrauen können, dass die Software die Bedrohung erkennt, aufhält und und entfernt, bevor sie in Ihrem System Schaden anrichten kann.
Verlassen Sie sich bei der Wahl einer Antivirus-Lösung jedoch nicht allein auf die Erkennungsraten. Auch Überlegungen wie die Systemauslastung, die Datenschutzrichtlinien, der Kundendienst und die Konfigurierbarkeit sollten in Ihre Entscheidung einfließen. Wenn Sie eine ressourcenschonende Software mit einem freundlichen und aufrichtigen Support-Team suchen, probieren Sie ruhig einmal Emsisoft Anti-Malware aus.
6. Cyberversicherung in Erwägung ziehen
Cyberversicherungen gewinnen immer mehr an Beliebtheit, da sich Unternehmen zunehmend des finanziellen Risikos eines Cyber-Angriffs bewusst werden. Untersuchungen von PwC zufolge werden in diesem Bereich bis zum Jahr 2020 Jahresprämien in Höhe von über 7,5 Milliarden USD erwartet.
Was genau deckt eine Cyberversicherung ab? Die einzelnen Bedingungen sind natürlich von Vertrag zu Vertrag verschieden. In der Regel deckt sie jedoch Ausgaben für Geschäftsverluste, forensische Untersuchungen, Gerichtsverfahren, Erpressung und Kosten, die entstehen, um betroffene Kunden über eine Verletzung der Datensicherheit zu informieren. Wie bei jeder Versicherung gilt: Lesen Sie sich das Kleingedruckte genauestens durch, um zu sehen, was im Einzelnen versichert ist. Einige Policen schließen beispielsweise Social Engineering (also Manipulation von Mitarbeitern) und nicht zielgerichtete Angriffe aus. Cyberversicherungen sind vor allem für Unternehmen sinnvoll, die besonders wertvolle Betriebsgeheimnisse schützen wollen. Beachten Sie allerdings, dass die Branche noch in den Kinderschuhen steckt und Versicherer die Risiken und finanziellen Folgen von Cyberkriminalität immer noch nicht vollständig erfasst haben. Daher könnte es durchaus vorkommen, dass Ihnen Ihr Anbieter eine wesentlich geringere Deckungssumme anbietet, als Sie erwarten – und höchstwahrscheinlich auch benötigen.
Es sei jedoch noch einmal anzumerken, dass eine Cyberversicherung keinerlei Ersatz für ein gutes Cybersicherheitsprogramm in Ihrem Unternehmen ist. Viele Versicherer fordern sogar ein Mindestmaß an Sicherheitsvorkehrungen, bevor sie Ihr Unternehmen überhaupt versichern.
7. Mobilgeräte absichern
Mobilgeräte sind für KMU eine besondere Sicherheitsherausforderung, da sie sich wesentlich schwieriger verwalten lassen als herkömmliche Computer. Gerade der Einsatz privater Geräte für berufliche Zwecke sorgt für Probleme. Über 59 % der Unternehmen verfolgen derzeit diese BYOD-Politik (Bring your own device), wie Untersuchungen von Tech Pro Research zeigen. Unternehmen müssen also eine Vielzahl an unterschiedlichsten Hardwares, Softwares und Betriebssystemen absichern.
Nehmen Sie sich also ruhig die Zeit und arbeiten Sie einen Sicherheitsplan für Mobilgeräte aus. Dieser könnte beispielsweise einen Passwortschutz und die Installation einer Antivirus-Software für Mobilgeräte vorschreiben. Außerdem könnte dem Personal untersagt werden, vertrauliche Informationen über ein öffentliches WLAN zu verschicken, wenn sie unterwegs arbeiten. Führen Sie auch ein Inventar aller vom Unternehmen an die Mitarbeiter ausgegebenen Geräte und richten Sie entsprechende Gegenmaßnahmen ein, falls diese verloren gehen oder gestohlen werden.
8. Software regelmäßig aktualisieren
Viele Cyberangriffe machen sich Sicherheitslücken im Betriebssystem oder installierter Software zunutze. Um diese zu schließen und ihre Anwendungen sicherer zu gestalten, veröffentlichen Entwickler Updates.
Für Geschäftseigentümer sollte es daher unerlässlich sein, neue Updates für ihre Programme zu installieren, sobald sie verfügbar sind. Je länger Sie sich damit Zeit lassen, umso größer wird die Gefahr für Angriffe. Wenn Ihnen also eine Mitteilung über ein Update angezeigt wird, nehmen Sie sich auch die Zeit, es zu installieren, selbst wenn Sie gerade an etwas anderem arbeiten. Noch besser und einfacher ist das Aktivieren automatischer Updates, sofern verfügbar. Gleiches gilt natürlich auch für alle unternehmerischen Apps auf Ihren Mobilgeräten.
9. Einsatz eines VPN in Betracht ziehen
Mit einem virtuellen privaten Netzwerk (VPN) können Sie Ihrer Internetverbindung eine weitere Schutzschicht verleihen, da Ihre Daten verschlüsselt und über einen VPN-Server übertragen werden. Ein solcher Dienst erlaubt Ihnen beispielsweise das sichere Arbeiten über einen öffentlichen WLAN-Zugang. Außerdem ermöglicht er Ihnen und Ihrem Personal einen Fernzugriff auf Ihr Unternehmensnetzwerk unabhängig von Ihrem jeweiligen Standort.
Gehen Sie bei der Wahl des VPN-Dienstes jedoch vorsichtig vor, insbesondere wenn Sie nach einer kostenlosen Lösung suchen. Laut Untersuchungen von CSIRO enthalten 38 Prozent der kostenlosen Android-VPN irgendeine Form von Malware, bei 18 Prozent wird der Datenverkehr nicht verschlüsselt und bei ganzen 75 Prozent werden Drittanbieterbibliotheken zur Nachverfolgung eingesetzt. Alles Faktoren, die Sie höchstwahrscheinlich nicht von einem Dienst erwarten, der Ihnen Sicherheit und Datenschutz bieten soll.
Schutz Ihres Unternehmens
KMU sehen sich heutzutage in der Tat einer wahren Flut an digitalen Bedrohungen ausgesetzt. Das bedeutet jedoch noch lange nicht, dass Sie sich deshalb in Unkosten stürzen oder eine separate IT-Abteilung einrichten müssten. Wenn Sie eine offizielle Sicherheitsrichtlinie einführen, eine mehrschichtige Sicherheitsstrategie umsetzen und Ihrem Personal beibringen, wie es Anzeichen für einen Angriff erkennt, haben Sie schon viel zum Schutz Ihres Unternehmens erreicht.
Sie sind noch auf der Suche nach einer zuverlässigen Antivirus-Lösung für Ihr Unternehmen? Dann schauen Sie sich doch Emsisoft Anti-Malware etwas näher an.
Wie schützen Sie Ihr Unternehmen? Teilen Sie Ihre Erfahrungen mit anderen Lesern in den Kommentaren.
Wir wünschen eine schöne (Malware-freie) Zeit.
Übersetzung: Doreen Schäfer