Kleine und mittlere Unternehmen (KMU) machen einen Großteil der Unternehmen in Deutschland aus. Gemäß Zahlen des BVMW sind 3,6 Millionen Unternehmen in Deutschland KMU, die wiederum 99,6 Prozent sämtlicher Unternehmen in Deutschland ausmachen. Trotz ihrer zahlenmäßigen Stärke wurde den KMU bezüglich Cyber-Sicherheit in der Vergangenheit relativ wenig Beachtung geschenkt, insbesondere im Vergleich zu den Möglichkeiten, die für Großunternehmen angeboten werden.

Cyber-Kriminalität hatte sich bisher auf Konsumenten und Großunternehmen als lukrativste Ziele konzentriert. Diese stehen zwar weiterhin unter Beschuss, können sich allerdings angesichts der zahlreichen angebotenen Sicherheitslösungen gegen die Bedrohungen wehren. Hacker halten jedoch ständig Ausschau nach leichten Zielen, worunter häufig KMU fallen, da ihnen oft die Ressourcen und die Kompetenz zur eigenständigen Einrichtung eines wirksamen Programms für Cyber-Sicherheit inklusive der entsprechenden Richtlinien fehlen.

Wenn Medien über Cyber-Angriffe berichten, denkt wohl so mancher Geschäftsinhaber: „Gut, dass mein Unternehmen nicht betroffen ist.“ oder „Das wird mir schon nicht passieren.“ Realistisch betrachtet war es jedoch reines Glück, dass noch nichts passiert ist. Eine der besten Möglichkeiten für Unternehmen, sich mit dem Thema Cyber-Angriffe auseinanderzusetzen, ist die umfassende Überprüfung ihres IT-Systems auf Anfälligkeit für derartige Angriffe. Viele kleine Unternehmen überprüfen ihrer Systeme leider erst, nachdem ein Cyber-Angriff öffentlich geworden ist – nur ist es zu diesem Zeitpunkt bereits zu spät. Viele Unternehmen verzichten sogar gänzlich auf eine Überprüfung. Eine Recherche von Avast hat ergeben, dass nur 45 Prozent der KMU eine umfassende IT-Sicherheitsprüfung durchführen – und das erst, nachdem es zu einem Angriff gekommen ist. Angesichts der Zunahme von Angriffen sollten KMU solche Überprüfungen jedoch weit häufiger vornehmen und Maßnahmen ergreifen, falls ihre Systeme und Prozesse den Anforderungen nicht standhalten. KMU müssen einen entsprechenden regelmäßigen Prozess einrichten und sich nicht nur nach den Update-Zyklen der Hersteller richten, sondern proaktiv überprüfen, ob das Unternehmen und seine Mitarbeiter bewährte Sicherheitsverfahren nutzen.

System überprüfen und schützen

Jedes KMU sollte vier Bereiche regelmäßig überprüfen, damit kein Sicherheitsaspekt vergessen wird:

  1. Den ersten Bereich bildet der Router des Standorts. Dabei handelt es sich um den Zugangspunkt zu allen mit dem Netzwerk verbundenen Geräten Ihres Unternehmens. Wenn das dafür verwendete Passwort nicht sicher ist, kann es zu einer Gefährdung kommen. Wenn es ein Datenleck bei einem von Ihrem Unternehmen genutzten Online-Dienst gegeben hat, besteht das Risiko, dass Ihr Passwort nicht mehr sicher ist. Sie müssen dann die Passwörter aller verbundenen Geräte und Benutzer ändern.
  2. Zweitens ist es wichtig, Software-Updates zeitnah durchzuführen, da diese häufig auch aktualisierte Sicherheitsfunktionen enthalten. Ob Sie zwei oder 100 Mitarbeiter haben, Sie sollten dafür sorgen, dass alle mit dem Unternehmensnetzwerk verbundenen Geräte aktualisiert werden, sobald Software-Patches bereitgestellt werden. Dabei sind Computer, Mobilgeräte, Webcams und andere mit dem Netzwerk verbundene Geräte wie Drucker und POS-Systeme zu berücksichtigen. Viele Geräte können Updates über Nacht ausführen, so dass es keine Entschuldigung für Mitarbeiter gibt, die Updates auf einen „passenderen Zeitpunkt“ verschieben wollen.
  3. Drittens sollten Sie überprüfen, ob Sie eine aktuelle Antivirus-Lösung in Ihrem Netzwerk installiert haben. Diese dient dazu, Malware wie etwa Ransomware zu erkennen und zu blockieren, bevor Schäden angerichtet werden. Sie erkennt und entfernt zudem Bedrohungen wie Keylogger, durch die neue, von Ihren Mitarbeitern eingegebene Passwörter abgefangen werden könnten. Diesen Bedrohungen muss durch regelmäßige Antivirus-Scans entgegengetreten werden, damit Ihr Unternehmen geschützt bleibt.
  4. Schließlich ist es wichtig, dass am Arbeitsplatz verwendete Passwörter schwer zu knacken sind. Halten Sie Ihre Mitarbeiter an, leicht merkbare Phrasen oder Wortreihen zu nutzen und diese um Sonderzeichen zu ergänzen, um eindeutige, komplexe Passwörter aus Buchstaben, Ziffern und Symbolen zu erstellen. Einfache, leicht zu merkende Kombinationen wie Ihr Name, „Passwort“ oder „1234“ sollten vermieden werden. Mitarbeiter sollten zur Vermeidung von Risiken auch dazu angehalten werden, keine privaten Passwörter oder persönliche Informationen beim Erstellen der Passwörter einfließen zu lassen.

Wichtige Änderungen

Generell sind die folgenden Modifikationen sinnvoll:

  1. Ändern Sie die Passwörter regelmäßig. Wenn ein KMU die oben beschriebene Überprüfung durchgeführt hat, muss es einen Prozess zur Änderung der Passwörter aller Geräte und Benutzer in einem Zyklus von zwei bis drei Monaten einrichten. Viele Menschen erkennen nicht, dass sie durch regelmäßiges Ändern ihrer Passwörter die häufigsten Bedrohungen wie Cyberbetrug, Online-Datendiebstahl und Hacking vermeiden können.
  2. Richten Sie eine zweistufige Authentifizierung ein. Falls nicht bereits erfolgt, sollten KMU auch den sicheren Anmeldeprozess für ihr Unternehmen ändern. Eine zweistufige Authentifizierung sorgt für zusätzliche Sicherheit bei der Anmeldung zum Unternehmensnetzwerk oder bei Websites wie Google Drive. Mitarbeiter können ihre Mobiltelefone als zweite Sicherheitsstufe nutzen, auf die ein einzugebender Code gesendet wird, oder einen physischen Token, um die Anmeldedaten zu verifizieren. Dieser zusätzliche Schritt macht es Unbefugten enorm schwer, auf Ihr Netzwerk zuzugreifen.
  3. Richten Sie außerdem sichere Verfahren ein, an die sich alle Mitarbeiter halten müssen. Um langfristig sicher zu bleiben, müssen KMU ihren gesamten Ansatz hinsichtlich Sicherheit ändern. Die Einführung zwingender Sicherheitsverfahren für Mitarbeiter ist unerlässlich. Die Unternehmen müssen Schulungsprogramme anbieten, um ihre Mitarbeiter über die häufigsten Bedrohungen der Cyber-Sicherheit zu informieren. Durch eine Investition in Anti-Ransomware- und Anti-Phishing-Schulungsprogramme tragen Sie dazu bei, dass Sie und Ihre Mitarbeiter verdächtige E-Mails und versteckte Dateierweiterungen besser erkennen, wodurch das Risiko, eine mit Ransomware infizierte Datei zu öffnen, gemindert wird. Weisen Sie Ihre Mitarbeiter mehrfach pro Jahr auf die Richtlinien zur Cyber-Sicherheit hin.
  4. All diese Maßnahmen zusammen helfen jedem KMU, sich der eigenen Sicherheitsaspekte bewusst zu werden und es zu vermeiden, als Opfer in der Statistik für Cyber-Angriffe zu landen.

Arne Uppheim, Senior Director of Product Management SMB, Avast Software Quelle: Avast Software