Big Data, Internet of Things und Industrie 4.0 – die Digitalisierung hält in allen Bereichen unseres privaten und beruflichen Lebens Einzug. Viele Prozesse werden so vereinfacht oder beschleunigt – im Alltag sorgen Alexa & Co. für mehr Bequemlichkeit in allen Lebenslagen.
Die Vorteile der Digitalisierung liegen also auf der Hand – mit ihr kommen aber neue Gefahren auf uns zu. Fast alle Bereiche der klassischen Wirtschaftskriminalität setzen sich in der digitalen Welt fort und lassen Cybercrime zum hochprofessionellen Geschäft des Organisierten Verbrechens werden.
Zusätzlich stellt die Corona-Pandemie die Unternehmen vor weitere Herausforderungen. Durch die Homeoffice-Pflicht sahen sich viele Unternehmen gezwungen, ihre Prozesse schnellstmöglich zu digitalisieren. Sicherheitskonzepte waren häufig nicht vorhanden und mussten in kürzester Zeit aus dem Boden gestampft werden.
Bereits 2017 betrugen die Verluste durch Cybercrime in deutschen Unternehmen mehr als 50 Milliarden Euro. Das entspricht etwa dem Jahreshaushalt des Freistaat Bayern. 2019 liegt der Betrag bei ganzen 88 Milliarden Euro. Die teuerste Einzelattacke richtete sich gegen ein deutsches Unternehmen und kostete 4,6 Millionen Euro. Mittlerweile waren 46 Prozent aller deutschen Unternehmen mindestens einmal Opfer eines Cyberangriffs.
Vorbereitung ist alles – Tipps für deine IT-Sicherheit
Allein diese Zahlen verdeutlichen die Wichtigkeit der Investitionen in die IT-Sicherheit. Bei 45 Prozent der Unternehmen mit weniger als 10 Mitarbeitern liegt die IT-Verantwortung beim Geschäftsführer selbst.
Dabei sind umfassende Sicherheitskonzepte von enormer Wichtigkeit. Digitaler Schutz bedeutet mehr als die Auswahl und Konfiguration von Technologien und Services und erfordert ein Umdenken in der gesamten Unternehmenskultur über alle Abteilungen hinweg.
Das Bundesministerium für Wirtschaft und Energie hat Anfang 2020 die Transferstelle für IT-Sicherheit im Mittelstand (TISiM) ins Leben gerufen. Sie soll ein bundesweites Angebot mit Aktionen für mehr IT-Sicherheit im Betrieb schaffen. Leiterin Sandra Balz sieht die größten Sicherheitslücken im Mittelstand in der Datensicherung und E-Mailverschlüsselung. Außerdem sehen viele Unternehmer hohe Kosten auf sie zukommen, die ein umfassendes Sicherheitskonzept mit sich bringt.
Dabei kann bereits mit wenig Aufwand viel erreicht werden, wie Marco Di Filippo von den whitelisthackers weiß. Mit seinem Team deckt er Sicherheitslücken in Unternehmen auf, dokumentiert diese und erarbeitet gemeinsam mit den Verantwortlichen passende Strategien, um diese Lücken wieder zu schließen und Risiken zu minimieren. Seine wichtigsten Tipps hat er uns im Folgenden zusammengetragen.
Cyber-Sicherheit ist Chefsache
Grundsätzlich gilt: Informationssicherheit ist ein strategisches Thema und damit eine Leitungsaufgabe für das Management.
Rechne damit, angegriffen zu werden
Denke niemals, du seist „nicht wichtig genug“ um Opfer einer Cyber-Attacke zu werden. Bereite dich vor, indem du potenzielle Bedrohungen identifizierst, bewertest und praktische Vorkehrungen triffst, um dich bestmöglich vor einem Angriff zu schützen.
Nehme Passwortsicherheit ernst
Nutze starke Passwörter und stelle sicher, dass auch deine Mitarbeiter dasselbe tun. Prüfe, ob ein Passwortmanager in deinem Unternehmen sinnvoll ist. Sensibilisiere deine Mitarbeiter für den richtigen Umgang mit Passwörtern. Wo immer es möglich ist, solltest du die Zwei-Faktor-Authentifizierung anwenden.
Regelmäßige Datensicherung
Eine regelmäßige Datensicherung ist enorm wichtig. Speichere die Sicherungen an verschiedenen (physischen) Orten, sodass der Zugriff von infizierten Systemen verhindert werden kann. Du solltest auch regelmäßig testen, ob der Zugriff tatsächlich verhindert wird und sicherstellen, dass die Wiederherstellungsverfahren einwandfrei funktionieren.
Sicher vor Malware
Stelle Abwehrmaßnahmen und Richtlinien im Unternehmen auf, die eine Infizierung mit Malware erschweren und die Verbreitung in deinen Netzwerken verhindern (z.B. Firewalls, Ad-Blocker, Script-Blocker etc.).
Vorsicht bei Wechselmedien
Stelle Richtlinien auf, um den Zugriff auf Wechseldatenträger zu kontrollieren. Alle Geräte sollten auf Malware getestet werden, bevor sie an einem Computer angeschlossen werden. Dies müssen sich auch deine Mitarbeiter einprägen. Bei besonders kritischen Systemen sollten Wechselmedien vollständig deaktiviert werden.
Beschränke die Anzahl privilegierter Nutzerkonten
Deine Mitarbeiter sollten nur Zugang zu den Informationen erhalten, die sie für ihre Arbeit benötigen. Beschränke daher die Zahl der privilegierten Nutzerkonten und beobachte deren Aktivitäten. Achte darauf alle Berechtigungen zu entfernen, wenn ein Mitarbeiter dein Unternehmen verlässt.
Sensibilisiere dein Team
Zur Minimierung von Schwachstellen ist es wichtig, stabile, sichere und standardisierte Betriebssystemkonfigurationen für Server, Arbeitsplätze, Laptops und jegliche andere Netzwerkinfrastrukturen zu nutzen. Installiere regelmäßig die Sicherheitsaktualisierungen und halte deine Systeme und Anwendungen stets auf dem neuesten Stand.
Richtlinien zur mobilen Nutzung
Wenn deine Mitarbeiter von zu Hause oder unterwegs arbeiten, ist es wichtig, angemessene Richtlinien und Lösungen für die Nutzung mobiler Geräte einzuführen und sensible Unternehmensdaten im Ernstfall zu schützen. Verwende deine etablierten Richtlinien und standardisierten Konfigurationen auch für mobile Geräte.
Beobachte und teste deine Netzwerke
Beobachte kontinuierlich deine Systeme und Netzwerke. Prüfe, ob die Einrichtung eines Security Operations Centre (SOC) oder Honeypots und Honeytokens sinnvoll ist, um Auffälligkeiten frühzeitig zu erkennen. Mit Penetrationstests und Schwachstellenanalysen können Sicherheitslücken ebenfalls identifiziert werden.
Stelle einen Incident Response Plan auf
Sei auf einen Sicherheitsvorfall vorbereitet und reagiere schnell. Lege genau fest, wie du im Ernstfall reagieren möchtest und stelle sicher, dass du über die hierfür notwendigen Informationen, Materialien und Fähigkeiten verfügst. Teste deinen Plan regelmäßig.
Widerstandsfähigkeit aufbauen
Nutze deine Erfahrung, um aktiv zu lernen. Investiere in ein Programm mit regelmäßigen Tests, Übungen und Informationsaustausch und stärke deine Widerstandsfähigkeit gegen Cyber-Angriffe durch die Reduzierung von Bedrohungen, Schwachstellen und potenziellen Angriffen.
Fazit
Mit kleinen Maßnahmen und vor allem der Sensibilisierung deiner Mitarbeiter kannst du schon viel für die IT-Sicherheit deines Unternehmens tun. Doch gerade der Schutz sensibler Daten erfordert Know-how und viel Erfahrung im Umgang mit Cyber-Attacken. Um sich vor einem Cyberangriff bestmöglich zu schützen und auf den Ernstfall vorbereitet zu sein, solltest du dir auf jeden Fall die Unterstützung von Profis holen.
