Warum kleine wie größere Unternehmen gleichermaßen vorausschauend planen und handeln sollten
Cybersicherheit ist gewissermaßen in aller Munde, doch was müssen kleine und mittlere Unternehmen wirklich beachten? Alleine die schiere Menge der guten Ratschläge renommierter Quellen auf diesem Gebiet ist beachtlich und lässt Unternehmer vor wichtigen Maßnahmen zurückschrecken, obwohl viele davon relativ leicht umzusetzen sind. Das Bundesamt für Sicherheit in der Informationstechnik nennt beispielsweise zehn wichtige Punkte, der TÜV SÜD hingegen diskutiert im Wesentlichen fünf unterschiedliche Ansätze.
Bereits bei diesen kurzen Listen kristallisiert sich eines heraus: Sie und Ihre Mitarbeiter sind es in erster Linie, die mit ihrer Wachsamkeit und ihrer Kompetenz für das richtige Maß an Sicherheit sorgen. Wenden Sie sich also keinesfalls vom Thema Cybersicherheit ab, denn der wichtigste Faktor ist hier – wie in so vielen Bereichen des Lebens – der Mensch. Das BSI titelt lapidar und sehr zutreffend: „Cyber-Sicherheit ist Chefsache!“. Der TÜV SÜD weist darauf hin, dass das „Bewusstsein für Cybersicherheitsrisiken“ geschärft werden und eine „Kultur der Cybersicherheit“ geschaffen werden müssen.
IBM stellt sich dem Thema Cybersicherheit nicht nur mit diversen fachkundigen Ratschlägen, sondern auch mit eigenen Entwicklungen und einem Plädoyer gegen falsche Cybersicherheitsmythen. Sie führen auf, dass Cyberkriminelle mittlerweile weder Außenseiter sind, noch dass die Risiken bekannt oder die Anzahl der Ziele begrenzt sind. Die Entwicklung geht permanent weiter und Sie sollten sich unbedingt auf dem Laufenden halten, um die Kreativität der modernsten potenziellen Angriffsszenarien für Ihr Unternehmen überhaupt abschätzen zu können. Und eines dürfen wir Ihnen in diesem Kontext als IT-Experten versichern – Angriffe können problemlos über den gesamten Globus gestartet werden. Darüber hinaus laufen sie zunehmend automatisiert ab und das rund um die Uhr. Ihre IT-Infrastruktur sollte also stets resilient sein, auch wenn Sie und die Mehrzahl Ihrer Mitarbeiter ihren wohlverdienten Urlaub genießen.
Was Sie in Sachen Cybersicherheit auch tun möchten: Tun Sie es gründlich und beginnen Sie noch heute
Wir hatten Ihnen im Rahmen unseres letzten Blogbeitrags zum Thema Quantencomputing Sinn und Gefahren heutiger Data-Harvesting-Angriffe dargelegt: aktuelle Verschlüsselungstechnologien werden mit dem vermehrten Aufkommen praxistauglicher Quantencomputer zukünftig obsolet, da erstmals absolut sichere Passwörter binnen Minuten oder gar weniger Sekunden entschlüsselt werden können. Daher finden heute schon Angriffe statt, um verschlüsselte Daten auf Vorrat abzugreifen, welche dann gegen Ende dieser Dekade mit der Quantencomputing-Technologie mühelos dekodiert und missbraucht werden können. Sicherlich ist es lohnenswert, sich schon heute auf diese reelle Gefahrenquelle vorzubereiten. Doch die KI-Technologien, die bereits unaufhaltsam die IT-Branche zu erobern beginnen, stellen uns jetzt schon vor vergleichbare Herausforderungen.
Ein Beispiel: Anlässlich der Vorstellung von Google Gemini, einer leistungsstarken KI-Weiterentwicklung, diskutiert it-daily.net die durch solche Entwicklungen wachsenden Cybersicherheitsrisiken. Die Schlussfolgerungen aus diesen Betrachtungen sind leicht vorhersehbar: sobald Cyberkriminelle mit vergleichbar effektiven KI-Systemen „nachziehen“, wird die Bedrohungslage in Sachen Cybersicherheit noch prekärer.
Deutsche Unternehmen sehen sich also immer höheren Cyberrisiken ausgesetzt und das bei kaum ausreichenden Sicherheitseinrichtungen und fehlenden IT-Spezialisten. Doch ist die bei pessimistischer Betrachtung aussichtslos scheinende Lage wirklich so aussichtslos, besonders für kleine Unternehmen, die wenig Mittel haben, um effektiv gegenzusteuern?
Besinnen Sie sich auf das Wesentliche
Stellen Sie sich zunächst die Frage, welche Zielsetzungen bekannt gewordene Angriffe verfolgt haben. Zumeist geht es um Erpressung von Geldern, Diebstahl von geistigem Eigentum und Technologien zur Nutzung für eigene Zwecke oder einfach darum IT-Infrastrukturen, Unternehmen und staatliche Stellen zu schädigen, zu schwächen oder zu infiltrieren. Einen Großteil dieser Gefahren können Sie für Ihr Unternehmen jedoch bereits mit einfachsten Maßnahmen des vorausschauenden Unternehmertums eingrenzen. Redundante Systeme, zuverlässige Datensicherungssysteme, Entkoppelung von Systemen und State of the Art Verschlüsselung sind hier die angebrachten Schlagworte. Allerdings können Sie in vielen Branchen auch ohne große IT-Abteilung oder kostenintensiven IT-Support sofort etwas tun, um Verluste und Schäden zu minimieren, sodass gegebenenfalls nur geringfügige Hardwarekosten auf Sie zukommen.
Der kostengünstigste Schutz: Vorausschauend agieren
Wann haben Sie das letzte Mal ein simples Backup durchgeführt? Sie verfügen über Daten, Software und Texte, die einfach nicht verloren gehen dürfen? Führen Sie sich vor Augen, dass erfolgreiche Angriffe mit Ransomware, die Ihre Daten verschlüsselt und Lösegeld erpresst, für viele kleine und mittlere Unternehmen existenzbedrohende Ausmaße annehmen kann. Das Unternehmen steht still, wichtige Arbeitsresultate sind verloren und die Datenrettung wird mit einer noch höheren Summe zu Buche schlagen als das Lösegeld. Aber nicht bei Ihnen! Wenn Sie wichtige Daten sichern und existenziell notwendige Informationen nicht online zugänglich machen, ist es Ihnen ein Leichtes, Betriebssysteme neu aufzuspielen, die gesicherten Daten zu übertragen und maximal innerhalb von wenigen Tagen wieder einsatzbereit zu sein.
Sie sehen, dass die Schadenhöhe bei erfolgreichen Angriffen in vielen Fällen mit simplen Maßnahmen sehr wirksam eingegrenzt werden kann. Wenn Sie also für die stets unverzichtbare Sicherung gesorgt haben – das ist gewissermaßen das A und O der gesamten IT-Welt – können Sie bestimmten Bedrohungsszenarien durchaus gelassen entgegensehen. Allerdings sollten Sie auch in so einem Fall gewarnt sein und daraus lernen. In vielen Fällen kommt Ransomware per Mail-Anhang. Sie oder Ihre Mitarbeiter müssen also unvorsichtig gewesen sein, womit wir wieder beim eingangs angesprochenen „Bewusstsein für Cybersicherheitsrisiken“ wären.
Machen Sie sich und Ihren Mitarbeitern klar, was Sicherheitshinweise in der Praxis bedeuten
Im Prinzip ist es so: Wenn Sie ein Dieb nach Ihrem Haustürschlüssel fragt, weil er Sie bei der Abreise in den Urlaub sieht, werden Sie ihm diesen wohl keinesfalls aushändigen. Sie müssen sich und Ihren Mitarbeitern daher klarmachen, dass der Klick auf einen Link oder einen Anhang, dessen Ziel, Herkunft oder Funktion Sie nicht kennen, genau dasselbe macht, wie der Dieb, der Ihr Haus ausrauben möchte.
In der digitalen Welt kann ein einfacher Klick also fatal sein. Lassen Sie aus Lässigkeit, Müdigkeit oder Gedankenlosigkeit keine solchen Nachlässigkeiten zu. Bei einem großen Arbeitsansturm wirken kurze Pausen für Sie und Ihre Mitarbeiter oft Wunder im Hinblick auf die Leistungsfähigkeit und die Anzahl solcher Fehler. Doch natürlich muss das nicht in jedem Fall ausreichend sein. Dann sind Schulungen oftmals ein probates Mittel, um Ihr Personal für Cybersicherheit in allen Facetten zu sensibilisieren.
Wir fassen zusammen
- Cybersicherheit ist nie vollkommen beziehungsweise zu 100 % realisierbar. Und im IT-Bereich ist ein Backup die Voraussetzung, um Hardwareschäden, Softwarefehlern, Fehlbedienungen oder Angriffen zu begegnen.
- Risikobewusstsein und vorausschauende Unternehmenskultur sind Faktoren, die immer und in jedem Bereich gelten. Im IT-Bereich und im Bereich Cybersicherheit müssen Sie sich jedoch darüber im Klaren sein, dass etwa ein kleiner und falscher Klick fatale Folgen haben kann. Wenn Sie oder Ihre Mitarbeiter sich dem nicht stets bewusst sind, dann ist in der Regel die Wahrnehmung von geeigneten professionellen Schulungen ein probates Mittel, um effektiv Abhilfe zu schaffen.
- Schulungen helfen Ihnen dabei, sich zu vergegenwärtigen, welche Handlungen am Rechner und im Unternehmensnetzwerk relevant für die Cybersicherheit sind und welche weniger. Insbesondere bei Mitarbeitern, die mit der Bedienung der genutzten Hard- und Softwarelösungen „Berührungsprobleme“ haben, ist so eine Maßnahme sehr sinnvoll.
Wenn Sie in puncto Cybersicherheit bei verschiedenen Maßnahmen unschlüssig sind oder ein komplexes IT-Setting in Ihrem Unternehmen haben, sprechen wir aus Erfahrung, wenn wir an dieser Stelle einen weiteren vierten Stichpunkt ergänzen:
- Ein auf Ihre Unternehmensbedürfnisse zugeschnittenes IT-Consulting. Dieses beseitigt Unklarheiten und sorgt idealerweise für eine Roadmap, mit der Sie zukunftssicher planen können, auch wenn die politischen, wirtschaftlichen und digitalen Rahmenbedingungen dynamisch oder gar unbeständig sind.
Wissen und zielsichere Planung schaffen Sicherheit
Wenn Sie von einem vorausschauenden IT-Consulting profitieren oder über eigenes Know-how verfügen, um Sicherheit neu zu gestalten oder bestehende Einrichtungen abzusichern, gibt es noch eine Reihe weiterer (technischer) Faktoren, auf die Sie Wert legen sollten.
Empfehlenswert ist es insbesondere, wenn Sie Sicherheit grundsätzlich „by Design“ realisieren. Gestalten Sie Ihre IT-Infrastruktur so, dass Verwaltung und Herstellung / produktive Bereiche nicht gleichzeitig von einem Angriff betroffen sein können. Auch einzelne wichtige Unternehmens- beziehungsweise Produktionsprozesse oder Dienstleistungen lassen sich so gestalten, dass Cyberangriffe ins Nichts führen oder höchstens nur geringfügige Schäden verursachen.
Die vom BSI thematisierte Resilienz ist ebenfalls ein wichtiger Faktor. Hier ist Ihre Organisationsfähigkeit gefragt. Angriffsszenarien sollten durchgespielt, Verantwortlichkeiten geklärt und eine Informationskette festgelegt werden, damit die Verantwortung tragenden Mitarbeiter optimal ins Bild gesetzt werden können.
Nutzen Sie darüber hinaus aktuelle Verschlüsselungstechnologien und sorgen Sie dafür, dass es Angreifer schwer haben, umgehend Nutzen aus Ihren Daten zu ziehen. Gewiss, die Datensicherheit heutiger RSA-Verschlüsselung wird spätestens mit dem flächendeckenden Einsatz des Quantencomputings veraltet sein. Dennoch gewinnen Sie heute Zeit. Und Zeit ist das Wertvollste, was Sie haben. Bis Ihre Daten entschlüsselt wurden, haben Sie Prozesse umgestellt, Produkte weiterentwickelt, Dienstleistungen optimiert und Services modernisiert. Und auch wichtige Daten und Firmengeheimnisse verlieren in der Regel nach nur wenigen Jahren ihre Sprengkraft. Das schützt Ihre Kunden, verärgert die Angreifer und entschärft (inszenierte) öffentliche Enthüllungen, etwa bei einer geplanten Schmutzkampagne durch Konkurrenten – der Motivation der Angreifer sind keine Grenzen gesetzt.
Mit der richtigen Planung schaffen Sie also Security by Design vergleichsweise mühelos. Zudem trägt die richtige Organisation zu einer optimierten Reaktion auf Angriffe bei und erhöht die Resilienz. Eine zeitgemäß hohe Verschlüsselung bei allen wichtigen (Kommunikations-)Prozessen sollte dabei zum Standard gehören.
Allerdings ist bei dem Einsatz von Verschlüsselungstechnologien noch hinzuzufügen, dass Verschlüsselung nur dann wirklich Sinn macht, wenn sie von allen Beteiligten genutzt, ja geradezu gelebt wird. Werden Informationen unverschlüsselt an Dritte, Zulieferer, Versicherungen, Kunden oder Interessenten möglichst schnell und einfach unverschlüsselt weitergegeben und / oder dort unverschlüsselt verarbeitet und gespeichert, dann sind Datenlecks beziehungsweise Ansatzpunkte für Angreifer vorprogrammiert. Behalten Sie idealerweise daher stets den gesamten (möglichen) Fluss von Daten / Ablauf von Prozessen im Blick.
Auf die Details kommt es an – besonders bei IT und Cybersicherheit
Nun haben wir einige wichtige grundsätzliche Fakten erläutert. Kleinstunternehmen werden sicherlich gerne auf das Angebot des BSI zurückkommen, über Softwareschwachstellen informiert zu werden.
Allerdings haben wir die Erfahrung gemacht, dass mittelständische, aber auch kleine Unternehmen auf IT-Lösungen wie Datenmanagement und Leads oder CRM-Systeme und mobile Verkaufslösungen nicht verzichten möchten und auch nicht verzichten können. Als besonders wichtig erweist sich zudem mehr und mehr ein Hostinganbieter, der die maximale Sicherheit Ihrer Daten sicherstellt, einen unterbrechungsfreien Betrieb gewährleistet und wichtige Applikationen stets verfügbar hält. Wir helfen unseren Kunden tagtäglich in allen diesen immer komplexer werdenden Bereichen weiter.
Wichtig ist zu wissen, dass die praktische und im jeweiligen unternehmerischen Einzelfall sinnvolle Umsetzung von Cybersicherheit stets von Details abhängt, die durch pauschale Darstellungen einfach nicht bedarfsgerecht abzubilden sind. Insofern möchten wir Ihnen ein maßgeschneidertes IT-Consulting ausdrücklich ans Herz legen. In jedem Fall sollten Sie sich bei der Wahl Ihres beratenden Unternehmens für einen fachkundigen, leistungsstarken und erfahrenen Partner entscheiden.
Fazit
Cybersicherheit ist von vielen inneren und äußeren Faktoren abhängig. Sie müssen sich dessen bewusst sein, dass die Art der potenziellen Bedrohungsszenarien mit der weltweit immer stärkeren unternehmerischen Nutzung von Internet und Netzwerken Hand in Hand geht und also folgerichtig gerade auch dramatisch steigt. Das ist ein normaler Vorgang, der sich auch in der analogen Welt laufend aufs Neue vollzieht. Denken Sie beispielsweise nur an hoffnungsvolle Goldgräber in Amerika und Banditen, die ihnen ihr geschürftes Gold nur allzu gerne wieder wegnehmen möchten. Heute hat sich der Begriff „Goldgräberstimmung“ im Sprachgebrauch etabliert. Doch wenn davon Gebrauch gemacht werden kann, etwa auf dem Aktienmarkt, ist stets Vorsicht geboten: Mit hohen Chancen steigen üblicherweise auch die Risiken.
Die aktuell und zukünftig genutzten Technologien im Netzwerkbereich sind nicht wirklich neu. Auch die von ihnen (potenziell) ausgehenden Gefahren und Angriffsszenarien sind grundsätzlich bekannt. Neu sind Vielfalt, Raffinesse, Komplexität und die immer schneller werdende Frequenz der (internationalen) Angriffe. Wenn Sie den Trend zur Digitalisierung als Unternehmer erfolgreich mitmachen möchten, ist die Beherzigung alter Grundsätze aus der IT-Welt geradezu Pflicht – so sind Sie im Prinzip auf die Herausforderungen der Zukunft vorbereitet. Um allerdings gut vorbereitet zu sein, sollten Sie sich laufend über den Sachstand im Bereich der Cybersicherheit informieren, um im Notfall sachgerecht zu reagieren.
Wichtig ist die richtige Maßnahme
Bitte beachten Sie jedoch: Das Wichtige ist stets die korrekte Maßnahme. Das kann das schnelle Update einer Software zur rechten Zeit sein. Wenn Sie sich allerdings informieren und feststellen, dass aktuelle Updates Ihres Anbieters manipuliert wurden, laden Sie sich diese dann lieber nicht herunter.
Das ist allerdings leichter gesagt als getan, wenn es sich dabei um einen Advanced Persistent Threat (APT) handelt. Prominentes Beispiel für dieses Worst-Case-Szenario ist Solar Winds. Hier wurden von Angreifern über lange Zeiträume hinweg Systeme der US-Regierung mithilfe manipulierter Softwareupdates infiltriert.
Schlussendlich zwingt niemand Unternehmer, alle Daten online verfügbar zu halten. Oftmals genügt es, IT-Systeme an bestimmten Schnittstellen zu entkoppeln und den Komfort ein wenig einzuschränken. Sind dann noch eine gute Backup-Historie und vorausschauende Verhaltensregeln für den Ernstfall vorhanden sind Sie in puncto Cybersicherheit auf einem guten Weg – als kleines, mittelständisches und natürlich auch als großes Unternehmen.