7 Cyber Security Risiken im KMU und was man dagegen macht

Welche Fehler sind in Unternehmen und Start-Ups bezüglich Cyber Security zu vermeiden?

Häufig fehlen in KMU wirksame Strategien für eine durchgängige Cyber Security. Cyberkriminelle sind sich dieser Tatsache bewusst und deshalb gehören KMU mittlerweile zum beliebtesten Ziel von Cyberattacken. Zahlreiche Unternehmen wissen zwar um die potenziellen Gefahren, die von diesen Cyber-risiken ausgehen. Doch ist vielen KMU nicht bekannt, welche Sicherheitslücken in ihrer eigenen Unternehmens-IT bestehen.

7 Fehler, die auf mangelnde Cyber Security in KMU hindeuten

1. Fehler: Die Zugänge zum IT-Netzwerk und die Schnittstellen zum Internet sind im KMU nicht geschützt.

Die gesamte IT in KMU ist vernetzt: Server, Drucker, Scanner, Desktops, Notebooks, Smartphones sowie externe Systeme von Lieferanten oder Partnern sind untereinander verbunden. Zahllose Verbindungen laufen über das Internet oder greifen auf internetbasierende Anwendungen zu. Doch gerade im Internet schlummert eine Vielzahl von Bedrohungen für die unternehmerische Cyber Security. Das KMU setzt sich hohen Risiken aus, wenn es die Schnittstellen zu seinem IT-Netzwerk und zum Internet nicht genügend schützt.

Um unerwünschten Datenverkehr oder unbefugte Zugriffe zu verhindern, ist der Datenverkehr an den verschiedenen Schnittstellen permanent zu überwachen und zu kontrollieren. KMU müssen deshalb über korrekt konfigurierte und regelmässig gewartete Sicherheitslösungen wie Firewalls und Proxy-Server verfügen. Dazu gehören auch Systeme zur Intrusion Detection (Angriffserkennung) und Intrusion Prevention (Angriffsprävention).

2. Fehler: Betriebssysteme, Anwendungen, Virenscanner und Firewalls sind nicht auf dem neuesten Stand.

Cyberkriminelle nutzen für ihre Attacken auf die Unternehmens-IT die Schwachstellen von Hardware, Software, Betriebssystemen oder von Anwendungen. Die Hersteller dieser IT-Komponenten beobachten die Bedrohungslage jeweils genau. Entdecken sie neue Sicherheitslücken, so stellen sie Patches und Updates (Aktualisierungen) für ihre Produkte bereit, um die Schwachstellen zu schliessen. In vielen KMU ist allerdings zu beobachten, dass sie diese Aktualisierungen nur mit grosser Verzögerung oder gar nicht einspielen. Damit entsteht ein gefährliches Cyberrisiko, denn An-greifer spekulieren bei ihren Attacken genau darauf, dass KMU die aktuellen Sicherheitsupdates nicht vorgenommen haben. So haben sie ein leichtes Spiel ihre Schadsoftware wie Viren oder Ransomware zu installieren, um damit der Unternehmens-IT Schaden zuzufügen.

Die Aktualisierungen der Hersteller entfalten nur dann ihre schützende Wirkung, wenn das KMU diese zeitnah auf seine IT überträgt. Insbesondere sind Clientsysteme und Server mit aktuellen Virenscanner-Versionen auszustatten, damit diese die neuesten Malware-Signaturen erkennen.

3. Fehler: Eine regelmässige Sicherung der relevanten Unternehmensdaten findet nicht regelmässig statt.

Ein Datenverlust kann für ein KMU schmerzhaft sein. Gehen Daten verloren, dann waren viele geleistete Arbeitsstunden umsonst oder betriebliche Prozesse, die wichtig für das Tagesgeschäft sind, lassen sich nicht mehr umsetzen. Die Folgen reichen von Ertragsausfällen, Zeitverzögerungen bei wichtigen Projekten bis hin zu Reputationsschäden für das Unternehmen oder Haftungsansprüche von geschädigten Kunden.

Viele Zwischenfälle können zu Datenverlusten führen:

  • Elementarschäden: Feuer, Überschwemmungen, Stürme oder Erdbeben
  • Hard- und Softwareabstürze
  • Hardwarefehler
  • Angriffe von Hackern
  • Malware wie Ransomware, Viren, Würmer oder Trojaner
  • Fehlerhafte Bedienung der Systeme durch die Mitarbeitenden
  • Versehentliches Verändern oder Löschen der Daten

Daten gehören zum wichtigen Betriebskapital des Unternehmens. Deswegen sind sie vor Verlust, Diebstahl oder Zerstörung zu schützen. Dazu gehört insbesondere, dass Unternehmen ihre Daten regelmässig und korrekt sichern. Nur dann sind sie vor Datenvelust geschützt. Zudem sollen sie die relevanten Daten in definierten, nicht zu langen Abständen auch laufend auf externen Backup-Medien ausserhalb des Firmengeländes speichern. So ist das KMU auch bei Elementarschäden wie etwa einem Feuer im Betriebsgebäude gegen Datenverlust gesichert.

Wichtig ist auch eine umfassende und sorgfältige Backup-Planung, damit alle wichtigen Ordnerstrukturen, Verzeichnisse und Dateien gesichert sind. Darüber hinaus ist die regelmässige Kontrolle der Datensicherungsprozesse von Bedeutung – mit dieser lassen sich Sicherungsfehler oder ausbleibende Sicherungen aufgrund von falschen Einstellungen identifizieren.

4. Fehler: Das WLAN erfüllt die aktuellen Sicherheitsstandards nicht.

Das drahtlose Netzwerk (WLAN) ermöglicht den Nutzern mit ihren mobilen Endgeräten wie Notebooks, Smartphones oder Tablets den unkomplizierten Zugang zur Unternehmens-IT. In Industriebetrieben bindet es zudem Produktionsmaschinen und -komponenten kabellos in die Prozesse ein. Erfüllt das WLAN im KMU die aktuellen Sicherheitsstandards nicht, so dient es als offenes Einfallstor für Cyberkriminelle.

Um zu vermeiden, dass über das WLAN Schadsoftware in die Unternehmens-IT gelangt oder Hackerattacken erfolgen, sind WLAN-Zugänge mit den aktuellsten Sicherheitsstandards einzusetzen. Dazu gehören die Verschlüsselung mit einem sicheren Standard wie WPA2, die Trennung von WLAN-Zugängen für Gäste vom eigentlichen Firmennetzwerk, die sichere Authentifizierung der berechtigen Nutzer über die eigene Serverstruktur oder das Identifizieren von betrügerischen Access Points (Rogue Access Points).

5. Fehler: Das Personal ist nicht auf Cyber Security sensibilisiert.

Wenn bei den eigenen Mitarbeitenden das IT-Risikobewusstsein fehlt, so geht von ihnen ein beträchtliches Gefahrenpotenzial aus. Durch ungeschicktes Fehlverhalten können sie die IT-Sicherheit im KMU bewusst oder unbewusst stark kompromittieren.

Die Mitarbeitenden müssen Angriffsmethoden wie Social Engineering oder Phishing kennen und mit diesen risikobewusst umgehen können. Auch sollen sie wissen, welche Vorsichtsmassnahmen sie bei E-Mail-Anhängen oder externer Software anwenden müssen. Die IT-Sicherheitsrichtlinien des Unternehmens müssen ihnen geläufig sein und sie sollen die Kriterien eines sicheren Passworts kennen und anwenden können. Die KMU-Mitarbeitenden sind daher hinsichtlich der potenziellen Cyberrisiken und der Bedeutung der der Cyber Security in regelmässigen Abständen zu schulen.

6. Fehler: Im KMU existiert kein Wiederherstellungsplan (Disaster Recovery Plan).

Fehlt im KMU ein Disaster Recovery Plan, so ist bei einem IT-Ausfall die Fortsetzung des Geschäftsbetriebs gefährdet. Ein Wiederherstellungsplan beschreibt sämtliche notwendigen Tätigkeiten, die bei einem Ernstfall umzusetzen sind, um die Betriebs-bereitschaft der IT wieder zu gewährleisten – allenfalls mit einem Notbetrieb für die Anfangsphase. Auch sind darin die verantwortlichen Personen und das Disaster Recovery Team benannt. Mit einem Disaster Recovery Plan schafft das KMU wichtige Voraussetzungen, um das Tagesgeschäft nach einem IT-Ausfall rasch wieder aufnehmen zu können und allfällige Einbussen möglichst gering zu halten. Ein gut vorbereitetes KMU testet seine definierten Wiederherstellungsprozesse mit periodischen Notfallübungen.

7. Fehler: Es existieren keine klaren Verantwortlichkeiten für die IT-Sicherheit im KMU.

Fehlen im KMU klar zugewiesene Verantwortlichkeiten für die Cyber Security, so lässt sich die IT-Sicherheit mittel- und langfristig nicht gewährleisten.

Ein wirksamer Schutz der IT setzt voraus, dass die Verantwortlichkeiten und Zuständigkeiten für die IT-Sicherheit innerhalb des Unternehmens oder über externe IT-Partner klar geregelt sind. Die verantwortlichen Personen müssen dafür sorgen, dass IT-Spezialisten die Systeme kontinuierlich überwachen und aus den identifizierten Schwachstellen umgehend Massnahmen ableiten. Die Verantwortlichen organisieren die Kontrolle der Umsetzung der Sicherheitsvorkehrungen und die regelmässige Prüfung der Richtlinien für die Zugriffsberechtigung der Mitarbeitenden. Sie nominieren ein Disaster Recovery Team, das einen wirksamen Wiederherstellungsplan erstellt, diesen regelmässig testet und laufend aktualisiert.

Schlussbemerkung zu den Cyber-Risiken in KMU

Wenn KMU einen oder mehrere dieser Fehler bei sich erkennen, so ist ihre Cyber Security gefährdet. Jeder zusätzliche Tag mit einer IT-Sicherheitslücke erhöht die Wahrscheinlichkeit einer Cyberattacke. Das KMU sollte deshalb bei identifizierten oder vermuteten Risiken rasch handeln. Fehlen aufgrund der Unternehmensgrösse eigene Ressourcen, so können externe, auf KMU spezialisierte IT-Partner unterstützen. So verfügen etwa kompetente Anbieter von Managed IT Services über ein umfassendes Know-how rund um IT-Sicherheit.

Autor: Philipp Hollerer

Wir kümmern uns um Ihre IT, damit sie mit höchster Sicherheit, Leistungsfähigkeit und Stabilität rund um die Uhr zur Verfügung steht – proaktiv und smart zum all-inclusive Pauschaltarif. Immer. Proaktiv - IT-Ausfälle verhindern, statt Schaden beseitigen. Smart - Ihr KMU ist am Puls der Digitalisierung und erzielt Wettbewerbsvorteile. All Inclusive - Mit Pauschaltarifen zu planbaren IT-Kosten.

Die Kommentarfunktion ist geschlossen.

MoreThanDigital Newsletter
Subscribe
Join the #bethechange community
close-image