Cybersicherheit: 5 einfach umsetzbare Tipps für KMU
KMU haben den großen Vorteil, dass sie in einem überschaubaren Rahmen arbeiten können. Gewusst wie, lässt sich ein hohes Sicherheitsniveau herstellen.
Cyberrisiken wie Ransomware-Angriffe, IT-Ausfälle oder Datenschutzverletzungen belegen seit einigen Jahren die unrühmliche Spitzenposition in Rankings zu den größten Unternehmensrisiken – weltweit und auch in Deutschland. Gerade kleine und mittlere Unternehmen (KMU) sind in Punkto Cyber-Angriffe besonders hohen Risiken ausgesetzt. Unter dem Motto „Von den Großen lernen“ führt Cybersicherheitsexperte Emanuel Böse in diesem DMB+ Beitrag fünf grundlegende Methoden auf, die jedes KMU anwenden kann, um die eigene IT-Sicherheit effektiv zu verbessern.
Emanuel Böse ist Geschäftsführer von Lutra Security, einer Boutique-Beratung für IT-Sicherheit. Neben Penetrationstests und Vulnerability Assessments liegt der Schwerpunkt auf OSINT-Analysen. Die Beratung mit Sitz in München bietet DMB-Mitgliedern kostenlose Erstgespräche und Preisnachlässe auf Services wie wie z.B. Penetrationstests, Angriffssimulationen oder OSINT-Analysen.
Einleitung
Für IT-Sicherheit gibt es kein Wundermittel. Auch wenn die eine Software, die uns von allen Problemen und Verantwortlichkeiten befreit und Angreifenden "keine Chance" lässt, verlockend klingt, müssen wir uns wohl oder übel mit der Realität abfinden: Diese Lösung gibt es -- allen Versprechungen zum Trotz -- nicht.
Gerade bei KMU sehen wir regelmäßig, dass ein Großteil des IT-Sicherheitsbudgets für Sicherheitslösungen ausgegeben wird und dann für weitere Maßnahmen kein Geld mehr da ist. Dabei ist gute IT-Sicherheit vielmehr die Summe vieler Einzelmaßnahmen, die in ihrer Gesamtheit dazu führen, dass Ihr Unternehmen für Angriffe immer unattraktiver wird.
Von den Großen lernen: Quickwins für KMU
Auch wenn wir immer wieder von Angriffen auf Großkonzerne lesen, so sind es doch gerade diese, die uns in einem größeren Rahmen zeigen, was im Kleinen möglich ist. Und während die Konzerne über schier unendliche Ressourcen verfügen, haben die KMU den großen Vorteil, dass sie in einem viel überschaubareren Rahmen arbeiten können und damit bei richtiger Umsetzung der Maßnahmen deutlich weniger fehleranfällig sind.
Nach dem Motto "Was die Großen können, kann ich schon lange" unterscheiden sich die wesentlichen Maßnahmen für eine gute IT-Sicherheit in einem KMU nicht allzu sehr von denen in einem Konzern. Letztlich nutzen Konzerne die gleichen Methoden, die auch jedem KMU zur Verfügung stehen. Lediglich die Größenordnung ändert sich.
Die Verantwortung im Konzern liegt nicht bei einzelnen Mitarbeitern, sondern bei den zuständigen Abteilungen. Penetrationstests (Zur Erinnerung: Ein Penetrationstest ist eine Methode zur Bewertung der Sicherheit von Systemen oder Netzwerken, indem Angriffe simuliert werden, um Schwachstellen aufzudecken) werden nicht nur für ausgewählte Anwendungen durchgeführt, sondern für jede kritische Anwendung (das kann z.B. jede aus dem Internet erreichbare Anwendung sein). Die Prozesse umfassen Hunderte und Tausende von Assets statt nur eine Handvoll. Sie sind aber im Detail und in der Regel auch in jedem KMU durchführbar.
Mit den folgenden Punkten wollen wir daher fünf grundlegende Methoden ansprechen, die jedes KMU anwenden kann. Wir wollen auch diejenigen berücksichtigen, die diese Methoden vielleicht schon anwenden und sich fragen, was Sie in Zukunft verbessern könnten.
1 Inventarisierung
Kennen Sie alle Ihre IT-Assets? Wenn nicht, ist es Zeit, das zu ändern: denn nur die Systeme, die Sie kennen, können Sie auch schützen. In einer Welt, die so schnelllebig ist wie die IT, kommt es häufig vor, dass ganze Systeme vergessen werden oder die Ressourcen nicht mehr gefunden werden, um sie angemessen zu warten.
Deshalb sind Anwendungen, die völlig vergessen wurden oder lange Zeit nicht ausreichend gewartet wurden, besonders attraktive Einfallstore für Angreifende. Und das passiert häufiger als man denkt. Mit unserer OSINT-Analyse bieten wir zum Beispiel eine Dienstleistung an, die Ihr Unternehmen aus der Sicht eines externen Angreifenden skizziert und mögliche lohnende Ziele aufzeigt. Dabei verwenden wir alle gängigen Techniken, die von Angreifenden derzeit eingesetzt werden, damit Sie hinterher wissen, wo Ihre Baustellen sind. OSINT steht dabei für "Open-Source Intelligence" und bezeichnet die Nutzung öffentlich zugänglicher Quellen zur Informationsgewinnung.
Sie haben die Inventarisierung Ihrer Systeme noch nicht in Ihre Prozesse integriert und wollen damit beginnen?
- So einfach es auch klingen mag, oft hilft es schon, Ihren Administrator zu fragen, ob die Inventarisierung nicht bereits außerhalb der etablierten Prozesse stattfindet. Wenn ja, geben Sie Ihrem Admin Zeit und Ressourcen, um einen nachvollziehbaren Prozess zu etablieren.
- Wenn bisher keine Inventarisierung stattgefunden hat, liegt es allzu oft an den eben genannten fehlenden Ressourcen. Geben Sie Ihren Verantwortlichen ausreichend Zeit, um regelmäßig zu prüfen und zu dokumentieren, welche Systeme in Ihrem Unternehmen im Einsatz sind. Ausreichend Zeit und Regelmäßigkeit sind hier besonders wichtig.
Eine Inventarisierung Ihrer Systeme ist bereits Teil Ihrer Prozesse und Sie fragen sich, was Sie verbessern können?
- Auch hier ist der einfachste Weg der Gang zu Ihren Verantwortlichen. Fragen Sie einfach nach, ob es Möglichkeiten gibt, die bisherige Inventarisierung zu verbessern oder effizienter zu gestalten.
- Sollte sich herausstellen, dass ein Unternehmen deutlich mehr Systeme betreibt als nötig, liegt das oft daran, dass veraltete Systeme nicht aufgeräumt wurden. Auch hier bietet es sich an, regelmäßig einen "Frühjahrsputz" einzuplanen. So können Sie nicht nur Ihre Angriffsoberfläche verringern, sondern auch gleichzeitig Geld sparen, indem Sie nur Systeme betrieben, die Sie tatsächlich benötigen.
- Nutzen Sie den Dienst eines externen Dienstleisters, der Ihnen Ihr Unternehmen aus der Sicht eines Angreifenden aufzeigen kann. Unsere OSINT-Analyse ist genau für diesen Ansatz entwickelt worden und hilft Ihnen eine mögliche Diskrepanz zwischen Ihrem Inventar und der tatsächlich vorhandenen Systemlandschaft zu identifizieren.
Im Allgemeinen sollten Sie als Unternehmen die folgenden Fragen beantworten können:
✓ Wird bereits eine Inventarisierung der eigenen Systeme durchgeführt? Wenn ja, in welchen Abständen und wo liegt die Inventarliste?
✓ Werden veraltete Systeme, die für das aktuelle Tagesgeschäft nicht mehr benötigt werden, in regelmäßigen Abständen ausgemustert?
✓ Stehen derzeit ausreichend Ressourcen zur Verfügung, um eine möglichst effiziente Inventarisierung der eigenen Systeme zu ermöglichen?
2 Zwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung (2FA) kann manchmal lästig sein, aber es gibt wenige Maßnahmen, die mit so wenig Aufwand so viel erreichen. Ein zweiter Faktor erschwert Angriffe auf schlechte Passwörter und Phishing erheblich und schafft eine zusätzliche Barriere für Angreifende.
Man kann das Ganze mit einer Haustür vergleichen. Natürlich wäre es schneller und bequemer, die Tür einfach zu schließen. Sie aber zusätzlich mit einem Schlüssel abzuschließen, bietet einen zusätzlichen Schutz.
Sie verwenden noch keine Zwei-Faktor-Authentifizierung, möchten aber damit beginnen und wissen nicht wie?
- Identifizieren Sie die geschäftskritischen Systeme, die Sie als besonders schützenswert erachten. Die oben erwähnte Inventarisierung hilft Ihnen dabei. Häufig bieten Hersteller bereits von Haus aus die Möglichkeit, einen zweiten Faktor zur Authentifizierung zu verwenden.
- Wenn Sie Anwendungen im Unternehmen einsetzen, die von Haus aus keine Zwei-Faktor-Authentifizierung anbieten und auch entsprechende Patches diese nicht nachliefern, haben Sie die Möglichkeit, dafür konzipierte Softwarelösungen einzusetzen. Diese bringen jedoch oft neue Probleme mit sich, weshalb es sich immer empfiehlt, sich im Vorfeld ausführlich von einem IT-Sicherheitsexperten beraten zu lassen. Wir stehen Ihnen diesbezüglich gerne zur Verfügung.
Sie nutzen bereits Zwei-Faktor-Authentifizierung und fragen sich, ob es noch Verbesserungsmöglichkeiten gibt?
- Es gibt Möglichkeiten der Zwei-Faktor-Authentifizierung und es gibt GUTE Möglichkeiten der Zwei-Faktor-Authentifizierung. Während Einmalpasswörter wie TANs und OTPs per SMS als weniger sicher eingestuft werden, gelten Hardwarelösungen, die z.B. auf FIDO2 basieren, als sehr sicher.
- Ein zweiter Faktor bedeutet meistens, dass ein zweites Gerät zur Authentifizierung benötigt wird. Es sollte vermieden werden, dass der zweite Faktor auf dem gleichen Gerät hinterlegt ist, mit dem versucht wird, sich zu authentifizieren.
Im Allgemeinen sollten Sie als Unternehmen die folgenden Fragen beantworten können:
✓ Welche Systeme verwenden Zwei-Faktor-Authentifizierung und welche nicht?
✓ Welche Arten der Zwei-Faktor-Authentifizierung werden im Unternehmen eingesetzt?
✓ Gibt es Systeme mit hohem Schutzbedarf, die von einer Zwei-Faktor-Authentifizierung profitieren würden, diese aber noch nicht anbieten?
3 Updates
Angreifende halten sich nicht an die Regel "never touch a running system". Vielmehr freuen sich Angreifende über veraltete Systeme mit bekannten Schwachstellen, weshalb es wichtig ist, die Systeme immer auf dem neuesten Stand zu halten. Da wir jedoch aus eigener Erfahrung wissen, dass dies nicht immer einfach ist, möchten wir einige Denkanstöße geben.
Sie haben noch keinen Update-Prozess, wollen damit anfangen, aber wissen noch nicht wie?
- Verschaffen Sie sich einen Überblick über den aktuellen Versionsstand Ihrer Systeme. Dies kann direkt im Rahmen der Inventarisierung erfolgen.
- Legen Sie eine gewisse Regelmäßigkeit fest, in der Updates installiert werden sollen. Dies schafft Planbarkeit und hilft Ihnen, mögliche Ausfallzeiten einzuplanen.
- Es gibt keine "nicht updatefähigen Systeme", nur veraltete Systeme. Wenn Sie ein solches System in Ihrem Unternehmen haben, sollten Sie das Risiko einer Kompromittierung des Systems kalkulieren und abwägen, ob eine Migration auf eine Alternative langfristig eine wirtschaftlich sinnvollere Lösung ist.
Sie machen bereits regelmäßig Updates und fragen sich, ob sich da noch etwas verbessern lässt?
- Planen Sie vorausschauend. Gibt es in Ihrem Unternehmen Systeme, die in absehbarer Zeit das Ende ihrer Lebensdauer erreichen? Gibt es für diese bereits alternative Lösungen?
- Verschaffen Sie sich einen Überblick, welche Systeme wie viele Ressourcen innerhalb eines Updatezyklus beanspruchen. Vielleicht finden sich auch hier Alternativen, die Ihren Prozess entlasten.
Im Allgemeinen sollten Sie als Unternehmen die folgenden Fragen beantworten können:
✓ Wie oft werden Updates eingespielt?
✓ Besteht die Möglichkeit, bei kritischen Sicherheitslücken spontan Updates einzuspielen? (bestes Beispiel ist die Lücke in Log4j von 2021)
✓ Gibt es Systeme, die in absehbarer Zeit ersetzt werden sollten?
4 Backups
Backups sind die beste Versicherung für den Fall, dass etwas schief geht. Insbesondere Ransomware-Angriffe lassen sich mit einer vernünftigen Backup-Strategie gut abwehren. Im schlimmsten Fall gehen dann nur die Daten verloren, die seit dem letzten Backup erstellt wurden und es kommt nicht, wie leider viel zu oft, zu einem Totalausfall. Aber auch hier gibt es einiges zu beachten. Denn schlechte Backups sind in etwa genauso effektiv wie gar keine Backups. Sie erfordern daher einen sinnvollen Prozess bei der Erstellung.
Sie machen noch keine Backups, wollen aber damit anfangen und wissen noch nicht wie?
- Verschaffen Sie sich einen Überblick über Ihre schützenswerten Daten. Dabei hilft Ihnen (Sie ahnen es bereits) die bereits erwähnte Inventarisierung.
- Backups sollten besonders geschützt werden (z.B. schreibgeschützt, außerhalb des Unternehmens).
- Backups sollten regelmäßig durchgeführt werden. Tägliche Backups verursachen zwar höhere Kosten, aber jährliche Backups bedeuten im Ernstfall größere Verluste. Finden Sie hier den für Sie passenden Mittelweg. Gerne unterstützen wir Sie dabei mit einer Beratung.
- Orientieren Sie sich an der 3-2-1-Backup-Regel. Erstellen Sie 3 Kopien der zu sichernden Daten auf 2 verschiedenen Medien und lagern Sie 1 Sicherungskopie an einem externen Ort außerhalb Ihres Unternehmens. Redundanz schafft im Ernstfall ein zusätzliches Sicherheitsnetz für Ihr Unternehmen.
- Auch das Einspielen von Backups muss geübt und als Teil Ihrer Prozesse betrachtet werden.
Sie führen bereits Backups durch und fragen sich, ob es noch Verbesserungsmöglichkeiten gibt?
- Lassen Sie den Backup-Prozess regelmäßig überprüfen, um für den Ernstfall gewappnet zu sein. Lassen Sie auch eine Zusammenfassung des Prozesses erstellen, um mögliche Schwachstellen zu beseitigen. Dabei ist es wichtig, aktuelle Probleme und Risiken zu identifizieren und mögliche Lösungen zu finden.
- Lassen Sie Ihre Prozesse in regelmäßigen Abständen von externen Experten überprüfen.
Im Allgemeinen sollten Sie als Unternehmen die folgenden Fragen beantworten können:
✓ Wie oft machen Sie ein Backup ihrer Unternehmensdaten?
✓ Welche Daten werden gesichert und welche können im Notfall verloren gehen?
✓ Wo werden die Backups aufbewahrt?
✓ Können die Backups jederzeit wiederhergestellt werden?
✓ Wie lange dauert das Einspielen der Backups? Wie lange dauert es, das System nach einem Totalausfall neu aufzusetzen?
Wichtig: Gerade im Hinblick auf Ransomware ist es wichtig, dass Ihr Unternehmen über Backups verfügt, die getrennt vom Rest Ihrer IT aufbewahrt werden. Denn wenn die Angreifenden auf die Backups zugreifen, haben Sie einfach keine Backups mehr.
5 Vertrauen ist gut, Kontrolle ist besser
Verlassen Sie sich nicht darauf, dass Ihre IT sicher ist. Wie Maschinen sollten auch IT-Systeme regelmäßig inspiziert und einer Form der regelmäßigen Überprüfung unterzogen werden. Im Gegensatz zu Maschinen entwickelt sich die IT jedoch so schnell, dass es oft schwierig ist, den Überblick zu behalten. Es sei denn, man investiert dedizierte Ressourcen in das Thema. Gerade deshalb empfiehlt es sich, externe, spezialisierte Dienstleister hinzuzuziehen, die als Experten eine ehrliche Einschätzung geben können. Oft hilft es, ohne die übliche Betriebsblindheit einen externen Blick auf die eigenen Systeme werfen zu lassen, um viele kleine Stellschrauben zu finden, die angepasst werden können.
Neben einem kostenlosen Erstgespräch unterstützen wir Sie gerne mit unseren Services auf Ihrem Weg zu mehr IT-Sicherheit. Als DMB-Mitglied profitieren Sie dabei von einem Preisnachlass auf unsere Services in Höhe von 20 Prozent.
Dieser Beitrag ist Teil des Themenschwerpunkts "Cybersicherheit im Mittelstand".