Cybersecurity für kleine Unternehmen: Ein umfassender Leitfaden

This post is also available in:

In den Nachrichten hört man immer wieder von Datenlecks und Sicherheitshacks. Meistens handelt es sich dabei um große Unternehmen oder staatliche Stellen. Man hört nicht oft davon, dass der örtliche Friseursalon oder die Grundschule ein Datenleck oder einen Hackerangriff hat. Trotz der berichtenswerten Häufigkeit von Cyber-Sicherheitsverletzungen im großen Stil können auch kleine Unternehmen attraktive Ziele sein.

Kleinere Firmen sind den gleichen Online-Sicherheitsbedrohungen ausgesetzt wie große Unternehmen. Kleine und mittlere Unternehmen sind jedoch durch die zusätzlichen Hindernisse bei der Schaffung einer sicheren Online-Umgebung für ihre Daten besonders gefährdet.

Warum kleine Unternehmen attraktive Ziele sind

Es ist ein schrecklicher Gedanke, aber wenn es um kleine Unternehmen mit Online-Systemen geht, erscheinen sie wie reife, niedrig hängende Früchte für jeden, der sie ausnutzen will.

Ein kleines Unternehmen verfügt in der Regel nicht über die Ressourcen, um ein spezialisiertes Team oder sogar eine eigene Person mit der Cybersicherheit zu betrauen. Dies bedeutet in der Regel, dass kleinere Unternehmen weniger strenge Sicherheitsprotokolle und weniger Ressourcen für die Suche nach Lecks und Bedrohungen haben. Daran ist niemand schuld, aber es macht die kleineren Unternehmen anfälliger.

Wenn jemand ein Unternehmen aufbaut, dann tut er dies aus Leidenschaft und aufgrund seines Fachwissens in diesem Bereich. Wenn Sie nicht gerade ein Cybersicherheitsunternehmen aufbauen, ist Ihr Fachgebiet nicht die Online-Sicherheit, und niemand geht in die Wirtschaft, um stundenlang Zeit außerhalb seines Fachgebiets zu verbringen. Dies führt dazu, dass Menschen Fehler machen und ihre Sicherheitsmaßnahmen nicht ernst nehmen, und jeder weiß, dass menschliches Versagen eine der größten Sicherheitsbedrohungen für jedes Unternehmen darstellt.

Ein weiteres Element, das kleinere Unternehmen für Online-Bedrohungen attraktiver macht, ist ihre Verbindung zu größeren Unternehmen. Mit weniger robusten Systemen und erheblichen Bedrohungen für menschliche Daten können kleinere Unternehmen einen leichten Zugang zu größeren Firmen mit viel wertvolleren Daten darstellen.

Ein weiteres Element, das kleinere Unternehmen für Online-Bedrohungen attraktiver macht, ist ihre Verbindung zu größeren Unternehmen. Mit weniger robusten Systemen und erheblichen Bedrohungen für menschliche Daten können kleinere Unternehmen einen leichten Zugang zu größeren Firmen mit viel wertvolleren Daten darstellen.

Ein überraschender Faktor, warum kleine Unternehmen anfälliger für Cyberangriffe sind, ist, dass viele die Cybersicherheit nicht so ernst nehmen, wie sie sollten. Es ist ein weit verbreiteter Irrglaube, dass kleinere Firmen nicht so attraktiv sind wie größere Unternehmen. Infolgedessen ist das Management nicht so streng bei der Umsetzung von Kontrollen und Richtlinien zur Cybersicherheit.

Was ist bei einer Verletzung der Cybersicherheit gefährdet?

Sie speichern viele Daten in der Cloud und auf webbasierten Servern. Wenn Ihre Cybersicherheitsprotokolle nicht robust sind, riskieren Sie alle oder einen Teil der gespeicherten Daten. Außerdem riskieren Sie den Zugang zu allen internen Systemen, die mit Ihrem Webspeicher verbunden sind. Geld, Daten, Ausrüstung und Ihr Ruf sind durch Infiltration und Offenlegung ernsthaft gefährdet.

• Kundeninformation
• Bankverbindung des Unternehmens
• Kundenzahlungsdaten
• Produktdesigns
• Entwicklungspläne
• Prozesse
• Preisstruktur

Alle diese Daten sind ein Ziel für Leute, die die Informationen verkaufen oder von Ihrem Verlust profitieren wollen. Es sind nicht nur Ihre Unternehmensdaten und Ihre Stabilität gefährdet, wenn Ihr Unternehmen diese Daten aufgrund unzureichender Cybersicherheitsprotokolle preisgibt. Ihre Kunden, Partner und sogar Ihre Lieferanten könnten durch ein Datenleck in Ihrem Unternehmen zur Zielscheibe werden. Ganz zu schweigen davon, dass Sie sich rechtlich schuldig machen könnten, wenn ein Datendiebstahl aus Ihrem Unternehmen eine andere Partei grundlegend schädigt.

Es ist schön und gut zu wissen, welche Daten gefährdet sind, wenn Sie Ihre internen und externen Cybersicherheitsprotokolle nicht im Griff haben. Dennoch ist es Arbeit, zu erkennen, was auf dem Spiel steht, wenn Ihr Unternehmen durch schlechte Vorbereitung Opfer eines Cyberangriffs wird.

• Finanzieller Verlust (über mehrere Wege)
  • durch kompromittierte Bankdaten
  • Geschäftsunterbrechung
  • Haftungsansprüche gegen Sie
• Schädigung des Rufs
  • Verlust von Kunden aufgrund von Datenlecks
  • Schlechte Kritiken
• Rechtliches Nachspiel
  • Verletzung des Kundengeheimnisses
  • Nichteinhaltung von Gesetzen zum Datenschutz und zur Datensicherheit (GDPR, HIPAA, usw.)

Die meisten kleinen Unternehmen konnten sich von diesen Verlusten nicht erholen. Außerdem ist die Wahrscheinlichkeit größer, dass kleine und mittlere Unternehmen, die bereits Opfer eines Cyberangriffs waren, erneut angegriffen werden. Laut einer Studie der National Cyber Security Alliance aus dem Jahr 2012 sind 60 % der kleinen Unternehmen innerhalb von sechs Monaten nach einer Datenschutzverletzung nicht mehr im Geschäft.

Die häufigsten Bedrohungen für kleine Unternehmen

Es gibt mehrere gängige Methoden, mit denen sich Hacker und Cyberkriminelle Zugang zu Systemen verschaffen. Sie können kleinen Unternehmen mehr Schaden zufügen als einem großen Unternehmen wie Facebook oder Amazon. Leider zielen sie fast immer auf das menschliche Element ab, anstatt zu versuchen, Sicherheitssoftware direkt zu hacken.

Phishing

Bei Phishing-Angriffen gibt sich der Absender als vertrauenswürdige Kontaktperson, als interner Kollege oder, was häufiger vorkommt, als Mitglied der Geschäftsleitung aus. Die Meister des Phishing-Betrugs stellen Nachforschungen an. Diese Online-Schauspieler sorgen dafür, dass ihre E-Mails so aussehen und sich so anhören wie die E-Mails der Person, die sie vorgeben zu sein, möglicherweise bis hin zu einem einzigen Zeichen Unterschied in der E-Mail-Adresse. Die Unterschrift und der Ton sind gleich, aber man wird aufgefordert, etwas herunterzuladen, vertrauliche Informationen zu senden oder Geld zu überweisen.

Phishing-E-Mails sind schon seit langem an der Tagesordnung, und viele Menschen haben gelernt, sie zu ignorieren und zu melden. Sie sind jedoch nach wie vor weit verbreitet, da ihre Techniken und ihre Verbreitung sehr viel ausgefeilter geworden sind.

Malware

Malware ist ein übergreifender Begriff, der verschiedene Arten von bösartigem Code beschreibt, der Ihre Systeme infizieren kann. Viren oder Trojaner haben die Aufgabe, auf Rechner und Netzwerke zuzugreifen oder Daten zu stehlen und zu zerstören. Malware kann durch das Herunterladen bösartiger Websites, Spam- oder Phishing-E-Mails oder durch die Verbindung mit anderen betroffenen Geräten in Ihre IT-Infrastruktur gelangen.

Malware kann für kleinere Unternehmen besonders gefährlich sein, da sie Schäden an der Hardware verursachen, Daten stehlen und die Kontrolle über Netzwerke übernehmen kann. Die meisten kleinen Unternehmen können es sich nicht leisten, Tausende von Euro für den Ersatz der beschädigten Hardware eines infizierten Systems auszugeben.

Sozialtechnik

Social Engineering führt zwar nicht immer zu einer Malware-Infektion, aber viele Phishing-Betrügereien und Malware haben ein Social-Engineering-Element in ihrer Ausführung. An dieser Stelle kommt die Forschung ins Spiel.
Cyberkriminelle, die die Kunst des Social Engineering beherrschen, wissen, wie sie mit der Dualität von emotionalem Engagement und Risiko spielen können.
Angst, Neugier, Gier, Dringlichkeit und Hilfsbereitschaft sind alles Aspekte des Social-Engineering-Plots.
Social Engineers nutzen Ihre emotionalen Reaktionen auf ihre bösartigen Pop-ups, E-Mails und infizierten Websites, um Ihre Angst vor Risiken zu schüren. Dabei spielt es keine Rolle, ob es sich um das Risiko handelt, nicht hilfreich zu sein, ein „tolles Angebot“ zu verpassen oder um die negativen Folgen, wenn man seine „unverzichtbare Software“ nicht sofort herunterlädt.

Manchmal reicht es schon aus, einen lustigen Beitrag in den sozialen Medien zu versenden, um persönliche Daten zu sammeln. Wahrscheinlich haben Sie so etwas schon einmal in Ihrem Feed gesehen.

Ransomware

Ransomeware tut genau das, was sie sagt. Er stiehlt Ihre Unternehmens- und Kundendaten und erpresst sie, während er sie gleichzeitig verschlüsselt, so dass Sie sie nicht sehen können, selbst wenn Sie Zugang hätten. Diese Bedrohung ist für kleine Unternehmen wesentlich schädlicher, da sie in der Regel keine strengen und häufigen Datensicherungen durchführen. Folglich sind diese kleineren Unternehmen eher bereit, das Lösegeld zu zahlen, um Zugang zu ihren wertvollen Daten zu erhalten.

Gleichzeitig ist Ransomware besonders schädlich für die Ärzteschaft, wo der sofortige Zugriff auf Patientenakten und Computersysteme unerlässlich ist und sogar über Leben und Tod entscheiden kann.

Insider-Bedrohungen

Ob absichtlich oder durch Nachlässigkeit bei der Sicherheit, Ihre internen Mitarbeiter und ehemaligen Mitarbeiter sind die größte Bedrohung für die Cybersicherheit Ihres Unternehmens.

„Menschen beeinflussen die Sicherheitsergebnisse mehr als Technologie, Richtlinien oder Prozesse.“

Gartner Magic Quadrant for Security Awareness Computer-Based Training, Joanna Huisman, 18. Juli 2019

Es ist wahr: Die Menschen sind Ihre größte Bedrohung.

Bewährte Verfahren zur Cybersicherheit für kleine Unternehmen

Verwenden Sie eine Firewall

Eine Firewall ist die erste Verteidigungslinie gegen Internetkriminalität. Während viele Unternehmen eine externe Firewall verwenden, um ihre Daten zu schützen, haben andere damit begonnen, eine interne Firewall für einen zusätzlichen Schutz vor Cyberangriffen einzusetzen.

Richtlinien dokumentieren

Lassen Sie die Politik nicht unter dem Radar verschwinden. Dokumentieren Sie die Richtlinien, die Sie zur Aufrechterhaltung der Cybersicherheit benötigen. Die vorsätzliche Vernachlässigung der Mitarbeitersicherheit kann ein Grund für eine Entlassung sein, wenn Ihre Mitarbeiter die von Ihnen eingeführten Verfahren nicht einhalten.

Dabei geht es nicht nur darum, sicherzustellen, dass sich Ihre Mitarbeiter an die Regeln halten, sondern es bedeutet auch, dass Sie eine Checkliste der notwendigen Maßnahmen ableiten können, um Ihre Daten sicher zu halten.

Konto für externe Geräte

Viele kleine Unternehmen gestatten ihren Mitarbeitern die Nutzung ihrer eigenen Geräte wie Mobiltelefone und Tablets oder ermutigen sie sogar dazu. Das senkt die Kosten für das Unternehmen, und der Arbeitnehmer ist für die Wartung verantwortlich. Externe Geräte können jedoch ein gängiger Einstiegspunkt für bösartige Software sein, die unbemerkt in ein System eindringen kann.

Stellen Sie sicher, dass Sie über eine BYOD-Richtlinie (Bring your own device) verfügen, in der die notwendigen Maßnahmen für die Nutzung der eigenen Geräte festgelegt sind. Einige Beispiele sind: Das Gerät muss innerhalb von x Minuten nach dem Stillstand gesperrt werden. Das Gerät muss mit einem nur Ihnen bekannten Passwort gesperrt werden.

Bildung für das Personal

Übergeben Sie nicht einfach das Online-Sicherheitsdokument und hoffen Sie auf das Beste. Es ist wichtig, dass Ihre Mitarbeiter verstehen, wie wichtig Ihre Cybersicherheitsmaßnahmen sind und warum jeder Einzelne dafür verantwortlich ist. Investieren Sie etwas Zeit in die Schulung Ihrer Mitarbeiter zu Ihren Sicherheitsprotokollen und sorgen Sie dafür, dass diese mindestens einmal im Jahr auf den neuesten Stand gebracht werden.

Zertifizierte Cloud-Technologien verwenden

Die Firewall schützt Ihre Infrastruktur, aber nicht Ihr Unternehmen läuft auf internen Systemen. Seit den Anfängen von „as a service“ können Sie ein webbasiertes Terminplanungssystem (SaaS) oder Amazon Web Services (IaaS) verwenden. Jeder webbasierte Dienst, den Sie nutzen, sollte über Zertifizierungen und Richtlinien verfügen, die Ihre Cybersicherheit unterstützen. Einige Beispiele sind die Einhaltung der GDPR, SSL(TLS), HIPAA, ISO-Zertifizierung und viele andere.

Richtlinien für sichere Passwörter

Ein komplexes Passwort zu erstellen, das Brute-Force-Hacker abhält und gleichzeitig leicht zu merken ist, ist schwierig (zumindest für manche). Aber letztlich lohnt es sich. Als Teil Ihrer Cybersicherheitsrichtlinien können Sie Anforderungen an die Komplexität von Passwörtern für die meisten Systeme einführen, bei denen Sie die letzte Kontrolle haben.

Regelmäßige und häufige Backups

Es ist eine zusätzliche Ausgabe, aber es ist wichtig, dass Ihre Geschäfts- und Kundendaten regelmäßig und außerhalb des Unternehmens gesichert werden. Nicht nur, um zu verhindern, dass Ihr Unternehmen im Falle eines Ransomware-Angriffs vollständig zum Erliegen kommt, sondern auch im Falle anderer Katastrophen, die auftreten können.
Das ist billiger, als Ihr Unternehmen stillzulegen oder ein Lösegeld zu zahlen, um Ihre Daten wiederzubekommen.

Software-Schutz

Um Ihr Hardwaresystem vor Malware zu schützen, ist es am besten, proaktiv vorzugehen. Zwar ist kein Anti-Malware- oder Anti-Spyware-Paket perfekt (denn Hacker entwickeln sich genauso schnell weiter wie die Programmierer von Schutzprogrammen), aber ihre Verwendung ist ein weiterer Schutz gegen das Eindringen von Schadsoftware.

In den meisten Fällen identifiziert die Sicherheitssoftware die Quelle des bösartigen Codes, so dass Sie diese Quelle identifizieren und für den künftigen Zugriff auf Ihr System sperren können.

Multifaktor-Identifizierung und -Autorisierung

Trotz der Entwicklungen bei den Schutzmaßnahmen ist der Einzelpasswort-Zugang zu sicheren Systemen keine gute Idee. Der einfachste Weg, einen sicheren Passwortzugang zu gewährleisten, ist das Hinzufügen eines zusätzlichen Faktors zum Anmeldevorgang. Der einfachste und kostenlose Weg ist die Verwendung der 2-Faktor-Authentifizierung von Google Authenticator, die einen Code an ein externes Gerät sendet, um die Sicherheit bei der Anmeldung zu erhöhen.

Es gibt alternative Methoden, um zusätzliche Sicherheitsebenen zu schaffen. Einige erfordern eine biometrische Eingabe, z. B. Fingerabdrücke oder Gesichtserkennung, während andere externe Schlüsselanhänger sind, wie z. B. ein Yubikey.

Kostenlose Ressourcen für Cybersicherheit in Ihrer Region

Man könnte meinen, dass die Cybersicherheitsprotokolle weltweit in etwa gleich sind, denn das Internet ist überall. Mehrere Agenturen können Ihnen jedoch dabei helfen, ein praktisches und funktionales System zur Kontrolle der Cybersicherheit für Ihr kleines Unternehmen zu entwickeln und umzusetzen. Je spezifischer sie für Ihre Region oder Ihr Land sind, desto einfacher ist es, mit ihnen innerhalb der regionalen Richtlinien und Gesetze zu arbeiten.

• Länder der Europäischen Union
  • EU-Initiativen zur Cybersicherheit
  • Agentur der Europäischen Union für Cybersicherheit
• USA
  • Die FCC
  • Agentur für Cybersicherheit und Infrastruktursicherheit
  • Nationales Institut für Normen und Technologie
• Australien
  • Australische Regierung
  • Australisches Zentrum für Cybersicherheit
• UK
  • IT-Governance
  • Das nationale Zentrum für Cybersicherheit

Cybersicherheit für kleine Unternehmen: Zusammenfassung

Wenn Sie ein kleines oder mittelgroßes Unternehmen leiten, stehen Sie vor Hindernissen für Ihre Cybersicherheitswartung, die große Unternehmen nicht haben. Sie verfügen nicht über ein ganzes Sicherheitsteam, das sich um die Sicherheit Ihrer Daten kümmert.

Sie haben nicht die Zeit, sich stundenlang mit Verfahren und Prozessen der Cybersicherheit zu beschäftigen. Dies sind erhebliche Hindernisse für die Schaffung einer sicheren Umgebung für Geschäfts- und Kundendaten.

Die lokalen Behörden stellen Ressourcen zur Verfügung, um kleinen Unternehmen zu helfen, ihre Daten zu schützen, denn ein großer Teil der Cyberangriffe zielt auf kleine Unternehmen ab. Da die kleinen Unternehmen einen großen Teil des wirtschaftlichen Inputs ausmachen, liegt es im Interesse der Regierung, sie zu schützen.

Die Umsetzung bewährter Verfahren muss nicht teuer sein, aber sie ist auch nicht kostenlos. Es gibt keine Möglichkeit, den bestmöglichen Schutz ohne finanzielle Investitionen zu gewährleisten; die meisten bewährten Verfahren kosten jedoch nichts außer Zeit und Mühe.

Der beste Schutz ist die Schulung Ihrer Mitarbeiter über die Gefahren von Cyberangriffen und deren Vermeidung. Die Menschen sind die größte Bedrohung, weil sie alle unberechenbaren Emotionen und Reaktionen haben, die nicht vorhersehbar sind. Die wirksamste Maßnahme zur Minderung von Cybersicherheitsrisiken besteht darin, sie darin zu schulen, ihre Auslöser zu erkennen und falsche E-Mails und andere Betrügereien zu erkennen.