Praktisch kein Unternehmen kommt heute noch ohne verschiedene digitale Techniken und Netzwerkverbindungen aus. Dadurch ist gleichsam jedes Unternehmen durch Cyberkriminelle angreifbar. Und die Zahlen zeigen eines überdeutlich: Gerade KMU sind bei vielen Hackern als Angriffsziel hochbeliebt. In diesem Artikel wollen wir Ihnen helfen auch als KMU die beste Daten- und Informationssicherheit sicher zu stellen.
Daten- und Informationssicherheit: Die Top 5 Punkte zum IT-Schutz in Unternehmen
Doch wo bei grossen Konzernen meist ganze Abteilungen nur dafür sorgen, ein überlegenes Sicherheitsniveau zu gewährleisten, haben die Kriminellen bei KMU oft ein viel leichteres Spiel. Die Folge: Jedes dritte Schweizer KMU wurde bereits erfolgreich attackiert.
Dabei lassen sich selbst solche Unternehmen ohne exorbitanten Kostenaufwand deutlich sicherer machen. Es kommt nur darauf an, die folgenden Punkte korrekt anzusprechen.
1. Sicherheitspositive Denkweisen
IT-Sicherheit ist das Ergebnis von technischen Massnahmen und persönlichem Verhalten. Ein Punkt ist jedoch der mit Abstand wichtigste, denn von ihm hängt alles weitere ab: Ihre Erkenntnis, grundsätzlich ein lohnenswertes Ziel zu sein.
- Jedes KMU ist für Hacker interessant. Denn jedes KMU hat wenigstens ein Firmenkonto und Kundendaten.
- Es gibt extrem viele Angriffsvektoren – von denen das Internet nur einer ist.
- Mitarbeiter in KMU sind weniger Trainiert und Geschuhlt in Sachen Daten- und Informationssicherheit.
- Zwischen E-Mails, Websites, Telefongesprächen und sogar Videotelefonie gibt es heute nichts mehr, was nicht äusserst glaubhaft gefakt werden könnte.
- Cyberkriminelle sind aggressiv, fähig, hochflexibel und oftmals hartnäckig.
- Die Behörden können bestenfalls aufklären, nur äusserst selten verhindern.
- Selbst eine aus professioneller IT-Sicht laienhafte, aber erfolgreiche Attacke kann ein Unternehmen in den Ruin treiben.
2. Updates – zeitnah und vollständig
Updates mögen im beruflichen Alltag manchmal ärgerlich sein, weil sie Arbeitsprozesse unterbrechen. Allerdings lässt sich kaum genug betonen, wie stark der Zusammenhang zwischen ständig aktuellen Systemen und IT-Sicherheit ist. Zwar haben Updates bzw. Patches unterschiedlichste Gründe. Praktisch immer gehören dazu jedoch mit der Sicherheit verbundene Effekte. Etwa das Schliessen eines durch einen kürzlich erfolgten Angriff bekannt gewordenen Einfallstores.
All Ihre Systeme sollten deshalb standardmässig neue Updates sofort herunterladen und installieren – automatisch. Bei umfangreicherer IT können Sie hierfür ein professionelles Update- bzw. Patch-Management heranziehen. Es wird häufig von spezialisierten Sicherheitsdienstleistern im Rahmen eines viel grösseren Leistungspakets angeboten – gerade, wenn sich Ihr Unternehmen keine eigene IT-Abteilung, nicht einmal einen Vollzeit-IT-Mitarbeiter leisten kann, sollten Sie dringend darüber nachdenken, derartige Dienstleistungen grosszügig in Anspruch zu nehmen.
3. Ernsthafte Passwortsicherheit
Ein Türschloss, das sich aufschliessen lässt, wenn man nur etwas mit einem Stück Draht daran hantiert, ist kein Schloss. In gleicher Weise sind sehr viele Passwörter in Unternehmen eigentlich keine. Das gilt selbst dann, wenn sie nicht unter die Top 20 der häufigsten Passwörter fallen.
Der Hintergrund ist simpel: Je nachdem, wie viele Stellen ein Passwort hat und welche Zeichensätze verwendet werden, kann es durch reines Durchprobieren aller Stellen spätestens binnen weniger Minuten herausgefunden werden – neuerdings sogar KI-gestützt. Ein Cyberkrimineller müsste dann vielfach bloss noch schauen, welche Kombination am „menschlichsten“ ist (weil es etwa ein Wort oder ein plausibel erscheinendes Geburtsdatum ergibt) und hätte Zugang.
Echte Sicherheit finden Sie daher nur jenseits von 13 Stellen und unter Verwendung von Gross- und Kleinbuchstaben, Ziffern und Sonderzeichen.
Ernsthaftes Passwortmanagement erfordert es allerdings, a) alle Systeme mit eigenen Passwörtern zu schützen und b) diese Passwörter mindestens im monatlichen Turnus zu ändern. Für die Herangehensweise gibt es nur zwei adäquate Methoden:
- Sie nutzen einen digitalen Generator, der willkürliche Passwörter erstellt.
- Passwörter werden von Ihnen nach Art des Pass-Satzes kreiert.
In beiden Fällen sollten Sie unternehmenstaugliche Passwort-Manager, respektive Passwort-Tresore nutzen, um die Kombinationen zu speichern. Niederschreiben, Memorieren oder das Abspeichern in Browser und Co. sind zu unsicher.
Plus: Wann immer möglich sollte ein Login nur nach Zwei-Faktor-Authentifizierung erfolgen können. Zoho bietet dies Selbstverständlich an. Daten- und Informationssicherheit sind wichtig.
4. Sichere Prozesse
Nicht jeder Mensch ist ein geschulter IT-Profi. Bei den meisten Menschen sind sogar nur rudimentäre Kenntnisse vorhanden – und die wenigsten wissen um die sich ständig wandelnden, absolut dreisten Betrugsmaschen von Cyberkriminellen.
In der Praxis ergibt das eine toxische Mischung: Selbst eigentlich sicherheitsbewusste Personen werden überaus häufig überlistet und somit zum ungewollten Erfüllungsgehilfen; denken Sie etwa an die leider sehr erfolgreiche CEO-Masche.
Verschliessen lassen sich solche Einfallstore nur, wenn bei Ihnen Prozesse aufgebaut werden, die das „Arbeitsprinzip“ dieser Betrügereien konterkarieren. Etwa so:
Eine E-Mail oder gar ein echt klingender Anruf einer Führungskraft gibt Anweisung, eine bestimmte Summe an ein Konto zu überweisen oder verlangt Kontodaten und Ähnliches – stets plausibel und glaubwürdig. Es gibt eigentlich keinen Grund, an der Echtheit der Quelle bzw. der Führungskraft zu zweifeln.
-
- Option 1: Bei solchen Aktionen müssen sich die echten Führungskräfte stets durch ein nirgendwo digital festgehaltenes Kennwort identifizieren. Nachteil: Funktioniert eher bei Anrufen und benötigt ständig neue Kennwörter.
- Option 2: Egal ob Anruf oder E-Mail: Vor Ausführen der Anweisung wird stets die Führungskraft unter der in der Firma bekannten Nummer kontaktiert. Ist keine Kontaktaufnahme möglich, wird die Anweisung aus Sicherheitsgründen nicht ausgeführt. Deutlich universeller einsetzbarer.
Nicht alle, aber viele der digitalen Betrugsmaschen, die sich Vertrauen erschleichen wollen, lassen sich damit überwinden – sogar, wenn der Betrugsversuch unter Zuhilfenahme von KI erfolgt.
5. Unternehmenstaugliche Firewalls und Anti-Viren-Softwares
Die meisten Betriebssysteme haben heute standardmässig Firewalls und Viren-Softwares integriert. Und im Vergleich mit früheren Epochen sind diese tatsächlich zumindest brauchbar.
In Anbetracht der Fähigkeiten von Cyberkriminellen, einen stetig neuen Strom verschiedenster Malwares zu erzeugen, sind diese integrierten Systeme jedoch oftmals nicht genug.
Angesichts dessen empfiehlt es sich dringend, Ihr KMU durch zusätzliche Informationssicherheit Softwares abzusichern – solche, die explizit für eine gewerbliche Umgebung mit ihren besonderen Risikoschwerpunkten gedacht sind. Sofern, wie weiter oben genannt, ein IT-Dienstleister in Anspruch genommen wird, dann ist er der richtige Ansprechpartner für Auswahl, Integration und Pflege