Cyber Security – Die Rolle der IT-Sicherheit in kleinen und mittelständischen Unternehmen

Defizite in der IT-Sicherheit rechtzeitig aufdecken

Eine funktionierende und sichere IT-Infrastruktur stellt für KMU stets eine der wichtigsten Voraussetzungen dar, um ihren Erfolg und Leistungsfähigkeit langfristig zu sichern. Studien haben jedoch belegt, dass rund zwei Drittel dieser Unternehmen in puncto IT-Sicherheitsmaßnahmen einen erheblichen Nachholbedarf verzeichnen. Zu den häufigsten vernachlässigten Sicherheitsvorkehrungen zählen:

• Absicherung des eigenen Netzwerks
• Systematische Datensicherung
• Regelmäßige Patches und Sicherheitsupdates
• Aktualität der Informationen zur Bedrohungslage sowie potenziellen Schwachstellen
• Sensibilisierung der Mitarbeiter für IT-Sicherheit

Risikofaktor Mensch
Besonders im personellen Bereich können einige Defizite verzeichnet werden. Nur wenige Unternehmen verfügen über einen IT-Verantwortlichen, der sich pro-aktiv um die Themen der IT-Sicherheit kümmert. Im Falle unterschiedlicher Sicherheitsvorfälle werden außerdem deutliche Defizite beim Notfallmanagement dokumentiert. Bei den meisten Mitarbeitern in deutschen KMU ist das Bewusstsein für die Themen der IT-Sicherheit noch nicht oder nicht ausreichend vorhanden. Sie werden weder geschult noch angemessen in IT-Sicherheitsprozesse eingebunden, sodass diverse IT-Gefahrenbereiche nicht rechtzeitig erkannt oder unterschätzt werden. Fehlende Präventivmaßnahmen, mangelnde Anweisungen sowie das Nicht-Erkennen von IT-Sicherheitslücken können auf lange Sicht dem Unternehmen schaden und seine Existenz bedrohen.

Unwissenheit ist gefährlich – Die unterschätzte Bedeutung der Cybersicherheit

„Mein Unternehmen ist zu klein, um für Cyber-Kriminelle attraktiv zu sein“
IT-Infrastrukturen kleiner und mittelständischer Unternehmen werden im Zeitalter der Digitalisierung permanent durch neuartige innovative Systeme und Online-Medien aufgerüstet. Neben den Servern und Laptops wird zunehmend das Thema „mobiles Arbeiten“ und „Cloud-Computing“ im Unternehmensalltag umgesetzt. Unabhängig von der Größe des Unternehmens müssen im Rahmen entscheidender Geschäftsprozesse Kunden, Partner, Lieferanten und Dienstleiter stets in einer sicheren Kommunikation und Kollaboration miteinander interagieren können. Dafür werden immer mehr neue Geräte und Systeme „unkontrolliert“ mit dem Internet verbunden und mit strategisch wichtigen Prozessen des Unternehmens verknüpft. Eine sichere und schnelle E-Mail-Kommunikation stellt dabei für die meisten Firmen eine Art Selbstverständlichkeit dar. Durch eine solche Naivität entstehen im beruflichen Umfeld für KMU neue Herausforderungen in der Umsetzung von IT-Sicherheitsmaßnahmen. Wenn spezielle Warn- und Informationsdienste einfach ignoriert werden, welche die Bedrohungen aus dem E-Mail-Verkehr von außen abwehren sollen, kann sich eine solche Leichtsinnigkeit schnell in ein Desaster für das gesamte Unternehmen verwandeln.

Gefährlicher Anhang – so einfach finden Cyber-Kriminelle den Weg in Ihr Unternehmen

Durch den unbefugten Zugriff auf zentrale IT-Systeme und wichtige Dokumente können Cyber-Kriminelle diverse Manipulationen und sogar Diebstahl vollziehen. Insbesondere diejenigen Teilsysteme, mit denen Informationen erfasst, bearbeitet und gespeichert werden können, sind für die Hacker besonders interessant. Der Alptraum beginnt oft mit dem Öffnen eines ungesicherten, nicht verifizierten Anhangs einer E-mail. Von dort gelangen die Trojaner unbemerkt in sensible Bereiche des Unternehmens, ohne dass sie dort sofort erkannt werden. Die jüngsten Erfahrungen zeigen, wie schnell ein Unternehmen durch eine Nicht-Beachtung simpler Sicherheitsvorkehrungen im E-Mail-Verkehr die Kontrolle über die gesamte IT verlieren kann. Hier sind ein Paar berühmte Beispiele solcher Angriffe.

WannaCry

Dieses Schadprogramm (auch als Kryptotrojaner/ Erpressungstrojaner bekannt) zielt auf die Manipulation der Systeme durch Verschlüsselung und Blockierung der Daten ab und gelangt in die Rechner der Unternehmen überwiegend durch das Öffnen verdächtiger Dateianhänge. Diese können angebliche Rechnungen, Mahnbescheide oder Informationsbroschüren sein. Da das Öffnen solcher Anhänge in den meisten Firmen mit Routine verbunden ist, werden sie in den seltensten Fällen hinterfragt. Diese Ransomware-Epidemie treibt weiterhin ihr Unwesen im Web und kann jederzeit in eine ungesicherte IT-Infrastruktur eindringen. Die jüngste Statistik von Kaspersky zeigt das Ausmaß der Gefahr eines solchen Trojaners. Allein im dritten Quartal 2018 wurden fast 75.000 Nutzer weltweit von WannaCry angegriffen.

Bewerbungs-E-Mail von „Eva Richter“ und Co.

Im Personalwesen der KMU steht das automatische Öffnen der E-Mail-Anhänge oft im Zusammenhang mit der initiierten Stellenausschreibung. Genau dort haben die Hacker für sich eine weitere Schwachstelle im Unternehmen entdeckt und zielen erneut mit einem ausgefallenen Trojaner auf seine sensiblen Bereiche ab. Durch den Bezug des Absenders (Eva Richter) auf die Stellenbörse schöpfen die Empfänger der gefälschten E-Email zunächst keinen Verdacht. Durch das Öffnen der Datei wird sofort ein Virus auf dem Computer des Empfängers installiert. Auf diese Weise lässt der Betroffene völlig unbemerkt eine gefährliche Wiper-Malware hinein, die darauf abzielt in kürzester Zeit möglichst viele Dateien des Unternehmens zu zerstören.

Widerstandfähigkeit gegen Cyber-Kriminalität stärken

Für die Geschäftsführung der meisten KMU hat das Thema IT-Sicherheit deshalb aktuell einen besonders hohen Stellenwert. Präventivmaßnahmen und systematische Sensibilisierung der Mitarbeiter für IT-Sicherheit im Unternehmen können die Gefahr solcher Cyber-Angriffe eindämmen und dem Unternehmen helfen sich gegen solche Angriffe auch in Zukunft besser verteidigen zu können. Viele Unternehmen entscheiden sich jedoch lieber für Sicherheitskonzepte externer IT-Dienstleister und überlassen ihnen die Verantwortung für die eigene IT-Sicherheit. Durch die Beauftragung solcher Experten kann das Unternehmen die Komplexität und die Informationsflut verhindern und sich stattdessen auf das eigentliche Kerngeschäft fokussieren.