19-4-2016 Gedruckt am 29-04-2017 aus www.monitor.co.at/index.cfm/storyid/16771

Cyberschwachstellen: Wie reagieren?

Im Visier des Bösen

Cybersicherheit ist nicht nur was für große Unternehmen. Auch die vermeintlich "Kleinen" finden sich im Fadenkreuz der Hacker wieder. Holger Suhl zeigt in seinem Fachbeitrag, auf welche Cyberschwachstellen kleinere Unternehmen wie reagieren sollten.

Mit den richtigen Sicherheitsvorkehrungen schützt man Arbeitsplätze vor Cybercrime. Bild: Kaspersky Lab

Eine der Hauptaufgaben eines Firmenchefs ist es, Antworten auf geschäftsentscheidende Fragen zu finden: Wie können die Umsätze gesteigert werden? Welche Marketingaktivitäten machen Sinn? Und zunehmend auch: Wie ist es eigentlich um die Cybersicherheit des Unternehmens bestellt?
 
Zugegeben, letzteres hat vor allem bei kleineren Unternehmen nicht unbedingt die höchste Priorität. Allerdings sollte IT-Sicherheit nicht nur innerhalb der IT-Branche als Topthema adressiert werden, sondern auch bei kleineren und mittelgroßen Firmen vorne auf der Agenda stehen. Denn IT-Sicherheitsvorfälle kosten bares Geld. So ergab eine Studie von Kaspersky Lab, dass mittelständische Unternehmen bei einem Cybersicherheitsvorfall mit durchschnittlich 38.000 US-Dollar Folgekosten rechnen müssen.
 
Hinzu kommt, dass generell Cyberattacken auf Unternehmen steigen. Auch stehen die Finanzressourcen im Fadenkreuz der Angreifer: Firmen werden mit Ransomware (Verschlüsselungsprogramme) erpresst, ihre Webseiten mittels DDoS-Angriff (Distributed Denial of Service) außer Betrieb gesetzt und Kassensysteme (POS-Terminals) über IT-Schwachstellen attackiert.
 
Die Cybersicherheitsexperten gehen davon aus, dass das Angriffspotenzial auf Unternehmen auch im Jahr 2016 steigen wird – und zwar für kleine, mittelgroße sowie große Organisationen. Cyberkriminelle kennen keine Unternehmensgröße, sondern nur Ziele. Ob Diebstahl sensibler Daten, Cybersabotage oder -Spionage, Kaspersky Lab zeigt, auf welche Aspekte vor allem kleine und mittelständische Unternehmen in Sachen Cybersicherheit derzeit achten sollten.

Kleiner Partner, großes Ziel

Im Jahr 2016 wird es einen Anstieg bei Cyberattacken auf kleine Unternehmen geben, die mit großen Unternehmen zusammenarbeiten. Der Grund: Haben Cyberkriminelle beispielsweise eine Zulieferfirma als schwächste Glied der Sicherheitskette eines großen Netzwerks ausgemacht, schlagen sie eiskalt zu: Über die kleinere, weniger gut geschützte Firma gelangen sie in das Netzwerk des größeren Unternehmens. Im Vergleich zu großen Organisationen mit einer üppig ausgestatteten IT-Abteilung verfügen kleinere und mittelständische Unternehmen einfach über weniger Ressourcen und Erfahrung in punkto Abwehr professioneller Cyberattacken. Ein wunder Punkt, der auch hochprofessionellen Cybercrime-Gruppen nicht entgeht.
 
Kleine Unternehmen können sich vor solchen Trittbrettfahrerattacken schützen, indem sie einen mehrschichtigen Cybersicherheitsansatz innerhalb ihres Unternehmens implementieren. Zudem sollte sie sich immer klar darüber werden, welche Technologien zum eigenen Unternehmen passen. Basiselemente eines mehrschichtigen Ansatzes sind:
  • Eine IT-Sicherheitslösung, bei der die wichtigsten Komponenten wie Virenschutz für alle im Netzwerk genutzten Geräte (Server, PCs, Macs und mobile Geräte) zentral, einfach und ohne großen Fachkenntnisse verwalten werden können.
  • Verschlüsselungstechnologien, gerade wenn Zahlungsinformationen oder andere vertrauliche Kundeninformationen im eignen Netzwerk abgelegt werden. Wird einem Mitarbeiter zum Beispiel der Laptop gestohlen, auf dem unverschlüsselte Daten abliegen, kann das strafrechtliche Folgen nach sich ziehen. Hier bleiben weitere Schritte im Hinblick auf die EU-Datenschutzverordnung abzuwarten.  Der Verlust beispielsweise von Kundendaten kann zudem zu einem Reputationsverlust des Unternehmens führen.

Sicherheitsmängel der Cloud

Cloud-Dienste sind en vogue und werden in den verschiedensten Bereichen angeboten. Der große Vorteil: Die Cloud kann richtig praktisch sein. Der Nachteil: Die Cloud ist hinsichtlich der  Cybersicherheit ein Risikofaktor. Denn IT-Sicherheit hat beim Cloud-Prinzip nicht den obersten Stellenwert. Daher sollten gerade kleinere Unternehmen für sich abwägen, ob sie die Cloud aktiv anwenden wollen oder nicht.
 
Werden Cloud-Dienste genutzt oder gar angeboten, sollten sich Firmen im ersten Schritt die verschiedenen Arten vergegenwärtigen: Handelt es sich um eine Public-, Private- oder Hybrid-Cloud. Zur Public Cloud gehören offizielle Webdienste wie zum Beispiel Amazon. Als Private-Cloud bezeichnet man dagegen nicht öffentliche Clouds, deren Zugang auf Unternehmensmitarbeiter oder Partner beschränkt ist. Handelt es sich um eine Mischform, spricht man von einer Hybrid-Cloud, bei der bestimmte Services bei öffentlichen Anbietern über das Internet und datenschutzkritische Anwendungen und Daten im Unternehmen betrieben und verarbeitet werden.
 
Grundsätzlich gelten öffentliche Clouds als unsicherer als private. Bei hybriden Clouds besteht die Herausforderung in der Trennung der Geschäftsprozesse in datenschutzkritische und -unkritische Prozesse. Voraussetzung hierfür ist eine saubere und konsequente Klassifizierung der im Unternehmen vorhandenen und verarbeiteten Daten. Unabhängig vom genutzten Cloud-Typ sollten kleine Unternehmen Backups ihrer Daten organisieren. Vor allem im Rahmen ihrer firmeneigenen Cloud-Richtlinien. Auch helfen Backups Firmen dabei, im Fall einer Ransomware-Attacke (Verschlüsselungssoftware) sofort auf die Daten zugreifen zu können und einer möglichen Erpressung aus dem Weg zu gehen.

Sicherheit auch mobil denken 

Mobiler Internetzugang ist heutzutage Standard. Durch das Smartphone vermischen sich allerdings auch zunehmend der berufliche und private Alltag. Laut des Branchenverbands Bitkom erledigt jeder zweite berufstätige Smartphone-Besitzer in Deutschland mit seinem Smartphone berufliche Dinge während privater Treffen mit Familie oder Freunden. Das hat zur Folge, dass Mitarbeiter immer flexibler mit Unternehmensdaten umgehen – was einerseits praktisch ist, andererseits aus Perspektive der Datensicherheit aber einem Albtraum gleicht. Denn Cyberkriminelle haben zunehmend mobile Nutzer im Visier. Hinzu kommt, dass mobile Geräte und die darauf liegenden Daten – sowohl im Unternehmensnetzwerk als auch privat – oft unzureichend geschützt werden. Dritte können also über ein mobiles Gerät an sensible Firmendaten gelangen sowie ins Firmennetzwerk eindringen.
 
Mobile Sicherheit ist daher auch für kleinere und mittelgroße Unternehmen essenziell. Hier ist ein Zweiwegeansatz zwischen den Mitarbeitern und dem Unternehmen zu empfehlen. Erlaubt der Chef den beruflichen Einsatz eines privaten Smartphones, sollte der Mitarbeiter im Gegenzug dafür sensibilisiert werden, immer im Sicherheitssinn der Firma zu handeln. Zu einem mobilen Sicherheitsansatz gehören: der Einsatz einer mobilen Sicherheitslösung, Firmenrichtlinien zur Nutzung mobiler Geräte und Daten sowie Bildungsmaßnahmen oder Schulungen für die Mitarbeiter.
 
 
Der Autor 
 
Holger Suhl 
General Manager DACH bei Kaspersky Lab