Cybervorfälle vermeiden

Cybervorfälle sind seit mehreren Jahren eines der größten Risiken für kleine und mittlere Unternehmen (KMU). Warum IT-Sicherheit sowohl Chefsache, als auch ein laufender Prozess ist und was dabei beachtet werden muss, erklärt Konstantin Weddige. Er ist einer der vier Gründer der Beratungsboutique Lutra Security, die KMU dabei hilft, sich nachhaltig sicherer aufzustellen.  
 

Über 200 Milliarden Euro Schaden entstehen jährlich bei Angriffen auf deutsche Unternehmen.

Die Medienaufmerksamkeit bekommen die großen Firmen, doch ein Großteil der Vorfälle betrifft KMU. 84 % der Unternehmen gaben in einer repräsentativen Befragung im Auftrag der bitkom an, im letzten Jahr Opfer eines Angriffs gewesen zu sein.

Gerade mit dem Bedeutungszuwachs von Ransomware (Erpressungs- oder Verschlüsselungstrojaner) kann sich niemand darauf berufen, nicht im Fokus der Angreifer zu sein. Sobald es einen PC gibt, und sei es nur zur Buchhaltung, gibt es etwas zu holen.

Bedrohungslage

Aber wie sieht die Bedrohungslage konkret aus? Womit müssen Unternehmen rechnen?

Der russische Angriff auf die Ukraine hat viele in Alarmbereitschaft versetzt, denn Russland setzte und setzt Cyberangriffe offensiv ein.

Bislang beobachten wir noch keine massive Auswirkung in Deutschland, das kann sich allerdings jederzeit ändern und es bleibt reichlich Raum zu weiterer Eskalation. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht besonders den KRITIS-Sektor Energie als bedroht und stuft Auswirkungen auf Deutschland als “weiterhin eher wahrscheinlich” ein.

Ransomware ist die wichtigste Bedrohung für KMU. Dies wird sich auch in absehbarer Zeit nicht ändern.

In den letzten 10 Jahren hat Ransomware eine beeindruckende Professionalisierung erlebt und wird durch große, gut organisierte Gruppen und Ransomware as a Service (RaaS) geprägt. Die Opfer werden gezielt ausgewählt und über Spearfishing, infizierte Installer oder Schwachstellen in IT-Systemen angegriffen.

Neben der klassischen Datenverschlüsselung sind einige Gruppen mittlerweile zu sogenannter Double Extortion übergegangen. Dabei werden die Daten vor der Verschlüsselung von den Angreifern kopiert und im Falle einer Zahlungsverweigerung veröffentlicht.

Damit wird der Übergang zu weiteren Bedrohungen fließend: Industriespionage und Diebstahl von Geschäftsgeheimnissen.

Immer wieder werden Cyber-Vorfälle aufgedeckt, bei denen die anschließende forensische Untersuchung ergibt, dass die Angreifer bereits Monate oder Jahre im Firmennetzwerk aktiv waren. Solche Angriffe werden auch als Advanced Persistent Threat (APT) bezeichnet, da sich der Angreifer im Netzwerk persistiert.

Lösungen

All das führt zur Frage: Wie können Sie Ihr Unternehmen absichern?

Informationssicherheit ist – wie andere wirtschaftliche Risiken – Chefsache.

Das heißt nicht, dass der Geschäftsführer sich selbst mit den Bedrohungen befassen muss, aber der Verantwortliche sollte an die Geschäftsführung berichten.

Wie andere Präventionsmaßnahmen auch verursacht Informationssicherheit nur Kosten und macht Arbeit, solange alles gut geht. Damit das nicht dazu führt, dass um Budgets und Deadlines einzuhalten, an der falschen Stelle gespart wird, braucht es Rückendeckung “von oben”.

Denken Sie daran: Informationssicherheit lässt sich im Budget einplanen, aber die Folgen eines Angriffs werden unerwartet kommen.

Rückhalt alleine reicht aber natürlich nicht. Um sich erfolgreich vor Angriffen zu wappnen, müssen Sie aktiv werden. Doch wo fangen Sie am besten an?

Technische Lösungen können ein Anfang sein: Firewalls z. B. reduzieren die Angriffsoberfläche, indem sie nur notwendige Netzwerkverbindungen zulassen. Genauso können regelmäßigen Schulungen Ihrer Mitarbeiter das Sicherheitsniveau heben.

Allerdings kann keine Lösung alleine Ihr Unternehmen absichern. Jedes Unternehmen ist anders und daher ist der erste Schritt, Ihre Risiken zu verstehen.

Auch wenn es Dienstleister (wie uns) gibt, die Sie dabei gerne unterstützen, können Sie einiges selbst erledigen: Mit Netzwerkscannern können Sie Ihre Systeme regelmäßig auf bekannte Probleme untersuchen. Codescanner können schon direkt bei der Entwicklung auf mögliche Fehler aufmerksam machen.

Für andere Aufgaben kommen Sie um einen externen Dienstleister nicht herum. Mit regelmäßigen Penetrationstests können Sie die Sicherheit Ihrer Systeme genauer unter die Lupe nehmen. Dabei versucht ein Penetrationstester (ein “guter Hacker”) Sicherheitsprobleme in einer Anwendung oder einer IT-Infrastruktur zu finden. Auf diese Weise entdecken Sie mögliche Einfallstore frühzeitig und können die Schwachstellen schließen, bevor sie von einem Angreifer ausgenutzt werden.

Mit dem Identifizieren der Schwachstellen ist es nicht getan, aber Sie haben einen wichtigen Schritt gemacht. Jetzt müssen Sie nur noch weiterlaufen, die Befunde priorisieren und im Rahmen Ihrer Möglichkeiten abarbeiten.

Jedes identifizierte Problem ist eine Chance für Ihr Unternehmen: eine Chance sicherer zu werden. IT-Sicherheit ist ein laufender Prozess, und obwohl Ihnen die Arbeit nie ausgehen wird, werden Sie mit jedem Schritt besser. Und natürlich stehen manchmal betriebliche Interessen der Behebung des Befunds gegenüber. Das ist legitim und genauso wie Sie in anderen Bereichen der Unternehmensführung Risiken eingehen, werden Sie auch Informationssicherheitsrisiken eingehen. Tun Sie das aber bewusst und nicht aus Unwissenheit. IT-Sicherheit ist keine Schikane, sondern ein Wettbewerbsvorteil.

Fazit

KMU stehen grundsätzlich die gleichen Maßnahmen zur Verfügung wie den großen Konzernen. Die Strukturen sind zwangsweise kleiner und wo in einem Konzern ganze Abteilungen beschäftigt sind, müssen die Aufgaben von einzelnen Mitarbeitern geschultert werden. Während in einem Konzern Compliance-Anforderungen Pentests für jede kritische Anwendung vorsehen, wird sich ein Kleinunternehmen auf ausgewählte Anwendungen beschränken.

Lassen Sie sich keine Angst machen. Am Ende ist Informationssicherheit immer Risikominimierung. Mit klaren Verantwortlichkeiten und funktionierenden Prozessen können Sie das Risiko schon deutlich senken, denn auch Cyberkriminelle denken wirtschaftlich:

Ein Unternehmen, das besser geschützt ist als vergleichbare Unternehmen, wird als Opfer unattraktiver.

Dieser Beitrag ist Teil von Mittelstand WISSEN zum Thema "Unternehmerische Widerstandsfähigkeit"