Nahezu jedes Unternehmen in jeder Branche stützt sich mittlerweile zumindest teilweise auf Digitaltechnik – und sei es nur deshalb, weil Buchhaltung und Steuern längst nur noch digital erledigt werden dürfen. Damit ist bereits theoretisch jedes Unternehmen anfällig für die Gefahren von Cyberkriminalität.

Die Zahlen beweisen diese Gefahr ebenso in der Praxis: Schon Ende der 2010er wurden die Angriffe selbst auf kleine und kleinste Unternehmen zu einem besorgniserregenden Problem. Und heute formuliert es das BKA in seinem Bundeslagebild Cybercrime sehr eindrücklich folgendermaßen:

„Alle Unternehmen, Organisation und Einrichtungen können zum Ziel
werden – egal ob KMU, KRITIS oder öffentliche Einrichtungen. Die
Dimension von durch Cyberangriffe verursachten Schäden zeigt insgesamt
deutlich, dass Betroffene hier nicht nur vor einer großen Herausforderung
stehen, sondern sich aus Cyberangriffen auch vielfach existenzbedrohende
Notlagen, insbesondere für Unternehmen, entwickeln können.“

Absolut jedes Unternehmen ist interessant für Cyberkriminelle. Diese Erkenntnis muss sich in den Köpfen aller Unternehmer festsetzen. Gerade daran hapert es häufig, denn nur aufgrund irriger Ansichten gibt es überhaupt so viele Attacken auf KMU – da Cybersicherheit hier mangels Awareness oftmals ein Nischenthema ist. Entsprechend leicht haben es selbst wenig befähigte Hacker.

Der Gegenbeweis: Die Angriffe auf große Unternehmen sind längst deutlich geringer geworden. Schlicht, weil hier schon vor Jahren das enorme Risiko erkannt wurde und man leistungsfähige Sicherheitsbarrieren errichtete. Höchst seltene Ausnahmen wie der aktuelle Ransomware-Angriff gegen Firmen weltweit bestätigen die Richtigkeit.

Dabei müssen KMU nicht einmal eigene Cybersecurity-Abteilungen aufstellen. Es genügen bereits verschiedene grundlegende Maßnahmen, um die Firma an maßgeblichen Stellen deutlich sicherer zu machen.

1. Das eigene Standing fachmännisch analysieren lassen

In vielen KMU wird nicht einmal die generelle IT in Vollzeit betreut, von ihrer Sicherheit ganz zu schweigen. Dadurch weisen Unternehmen erfahrungsgemäß ein höchst unterschiedliches Standing auf, was ihre Grund-Sicherheit anbelangt. Das bedeutet, um überhaupt eine Basis zu erhalten, auf der sich weitere Sicherheitsmaßnahmen aufbauen lassen, ist es dringend angeraten, Einfallstore, Leistungsfähigkeit der Schutzsysteme und andere Vektoren professionell bewerten und schützen zu lassen.

Dafür existieren spezielle Dienstleister. Sie analysieren zwischen Hard- und Software, Unternehmensausrichtung und nicht zuletzt IT-Fähigkeiten aller Teammitglieder verschiedenste Positionen. Am Ende eines solchen Audits steht nicht nur eine professionelle Bewertung darüber, wo die Schwachstellen und Risken des Hauses bestehen, sondern können dieselben Experten ebenso fachkundige Aussagen darüber treffen, was sich durch welche Maßnahmen verbessern lässt.

Übrigens: Dieselben Experten sind überdies dazu geeignet, um alle Mitarbeiter des Hauses zum Thema Cybersecurity zu unterweisen. Damit lassen sich effektiv jene Sicherheitslücken schließen, die durch unbedarftes Handeln entstehen – und generell ein großes Problem darstellen.

2. Den Themenkomplex Passworterstellung und – management professionell angehen

Es mag vielleicht wie eine Scherzfrage anmuten, ist jedoch der traurige Beweis dafür, wie wenig Belange der Cybersicherheit in weiten Bevölkerungsteilen verankert sind:

Was sind die am häufigsten verwendeten Passwörter in Deutschland?

Die Antwort ist ernüchternd. Selbst 2021 waren es solche „Nicht-Passwörter“ wie 123456, passwort, qwertz oder hallo. Sicherlich sind diese und ähnliche Zeichenfolgen leicht zu merken. Allerdings wird garantiert jeder Cyberkriminelle sie als erstes ausprobieren, womit wirklich keinerlei Schutzwirkung entsteht.

Es braucht im Unternehmen tatsächlich nur eines, um die Sicherheit massiv zu erhöhen und gleichzeitig den betrieblichen Belangen hinsichtlich einfacher Merkbarkeit entgegenzukommen: ein professioneller Passwortmanager bzw. -tresor.

Ein solches Werkzeug erstellt von sich aus hochkomplexe und daher sichere Passwörter für alle möglichen Anwendungen. Es wird nur ein menschlich erstelltes Passwort für den Hauptzugang benötigt. Wird dieses beispielsweise nach den Regeln des sogenannten Passsatzes erstellt, kann es sowohl schwierig zu überwinden als auch leicht zu merken gemacht werden.

Wird diese Methode noch damit kombiniert, alle im Unternehmen genutzten Passwörter monatlich zu wechseln, ist die Sicherheit selbst in kleinsten Firmen deutlich höher als bei so manchem mittelständischen Betrieb.

3. Vom direkten Netz abgekoppelte Backups besitzen

Eine der häufigsten Vorgehensweisen von Cyberkriminellen gegen Unternehmen sind Ransomware-Attacken. Dabei werden Schadsoftwares in das Netzwerk eingeschleust, die den Zugriff auf Computer oder bestimmte Daten unterbinden – so lange, bis an die Kriminellen ein Lösegeld gezahlt wurde. Meist verbunden mit der Drohung, bei Zuwiderhandlung alle Daten zu kopieren und im Unternehmen zu löschen.

Wie gigantisch der Schaden ausfallen kann, dürfte sich wohl jeder Leser vorstellen können. Und sicherlich haben viele KMU nicht die Mittel, um ihre IT wirklich komplett gegen Ransomwares abzusichern. Aber: Jeder Betrieb hat die Möglichkeit, so wichtige Elemente wie

• Steuerdaten,
• technische Betriebsgeheimnisse,
• Kundenlisten,
• Finanzinformationen

und ähnliche Daten zumindest dem digitalen Zugriff zu entziehen. Dazu ist es nur nötig, diese Informationen in regelmäßigen (idealerweise täglichen) Abständen auf einen eigenen Server oder eine große Festplatte zu übertragen, die nur für diesen Prozess mit dem Firmennetzwerk verbunden wird – und jenseits davon idealerweise sogar außerhalb des Unternehmens in einem Tresor verstaut wird.

Ransomware-Angriffe können passieren. Sie verlieren jedoch viel von ihrem Schrecken, wenn die wichtigsten Firmendaten ohne Zugriffsmöglichkeit für die Hacker und zumindest relativ aktuell dupliziert sind.

Wichtig: Naturgemäß dürfen diese Backups im Fall eines Angriffs erst dann wieder mit dem Firmennetzwerk verbunden werden, wenn die gesamte IT durch Experten überprüft und gegebenenfalls gereinigt wurde.

4. Websites sorgfältig blacklisten

Nicht in jedem Unternehmen ist es möglich, den Mitarbeitern den Zugriff auf das Internet von Firmenrechnern aus gänzlich zu untersagen – einfach, weil der Netzzugang betrieblich notwendig ist.

Allerdings ist das Netz erwiesenermaßen zu oft ein Einfallstor für Kriminelle. Nicht einmal nur auf zweifelhaften Websites, sondern in Form von Identitätsdiebstählen oder sorgfältig geplanten Man-in-the-Middle-Attacken.

Nicht alles davon lässt sich vermeiden. Doch erneut gilt: Es können einige Lücken auf einfachste Weise geschlossen werden. Das funktioniert, indem die Internetzugänge auf eine Weise konfiguriert werden, durch die nur für die Arbeit tatsächlich relevante Sites angesteuert werden können. Nur diese werden ge-whitelisted, alle anderen kommen auf eine Blacklist und können nicht aufgerufen werden.

Es ist für einige Mitarbeiter nötig, das Netz relativ frei nutzen zu können? Dann sollte deren Verbindung über ein abgetrenntes Netzwerk laufen, beispielsweise wenigstens über einen Gastzugang des Routers.

5. Mitarbeiter-Smartphones aus dem Firmennetzwerk aussperren

Die allermeisten erwachsenen Deutschen nutzen Smartphones. Und weder liegt es rechtlich in der Hand des Arbeitgebers, noch wäre es technisch möglich, bei allen davon zu garantieren, dass diese niemals zum Zugangstor für Cybercrime werden.

Was Unternehmer jedoch tun können, ist folgendes:

1. Die Verbindung von Smartphones zwecks Aufladens mit Firmencomputern verunmöglichen, indem letztere keine USB-Anschlüsse besitzen. Erfahrungsgemäß hilft es, wenn die Mitarbeiter andere niedrigschwellige Auflademöglichkeiten am Arbeitsplatz vorfinden. Etwa Steckdosen, die bereits einen USB-Anschluss integriert haben.
2. Entweder im Haus kein WLAN betreiben oder, falls das nicht möglich ist, das Passwort dafür nicht herausgeben.
3. Firmenhandys, soweit sie nötig sind, nur über einen Gastzugang des WLAN in das Firmennetzwerk hineinlassen.

Zahllose Smartphones werden durch Privatnutzung täglich infiziert und können somit zur Gefahr für Firmen-IT werden. Können sie sich jedoch schlicht nicht damit verbinden, ist das Risiko gänzlich gebannt.

6. Mailverkehr verschlüsseln und vorsichtiger benutzen

Milliarden von E-Mails werden täglich auf der Welt versendet. Wäre jedoch jedem User bewusst, wie haarsträubend unsicher die Mail ist, wären es höchstwahrscheinlich deutlich weniger. Vor allem in Unternehmen fällt immer wieder auf, wie wenig dort ein Bewusstsein für diese Gefahr besteht und wie höchst risikoreich die E-Mail dementsprechend oft genutzt wird.

Zwar wird der Versand mittlerweile bei vielen E-Mails aufgrund der Systemkonfiguration standardmäßig verschlüsselt. In diesem Fall darf man sich die Mail jedoch wie einen Brief in einem Umschlag vorstellen. Nicht jeder kann mit einem Blick den Inhalt lesen, jedoch fast jeder kann den Umschlag ziemlich leicht öffnen.

Selbst ohne jede weitere Maßnahme können Unternehmen sich sicherer machen. Einfach, indem sie aufgrund dieser Tatsache keine sensiblen Daten mehr via E-Mail übertragen lassen – weder firmenintern noch extern.

Wenn es jedoch nicht anders geht (obwohl es beispielsweise für den Datentransfer dutzende sicherere Optionen gibt), dann sollte zusätzlich der Inhalt verschlüsselt werden:

• Dateianhänge können beispielsweise als ZIP-Datei verpackt und mit einem Passwort versehen werden.
• Ganze E-Mails können nur mit kommerziellen Programmen verschlüsselt werden.

Naturgemäß muss in beiden Fällen der Empfänger das Passwort kennen. Unternehmen sollten sich jedoch nicht vor dem Aufwand scheuen. Die E-Mail-Verschlüsselung kann schließlich eine Maßnahme sein, um die DSGVO-Vorgaben zu erfüllen.

Bildquellen:

stock.adobe.com © татьяна марамыгина/EyeEm
stock.adobe.com © Gorodenkoff

stock.adobe.com © Drazen