Monitor mit Quellcode

Es gibt keine kleinen Ziele mehr – Hackerangriffe auf KMU

Zwei Angriffspunkte auf Firmennetzwerke lassen sich länderübergreifend identifizieren: Mitarbeiter, die zu sorglos mit ihren Daten umgehen. Und Unternehmer, die es versäumen, unbedingt nötige Software-Updates durchzuführen.

Studien zeigen, dass KMU oft ein trügerisches Sicherheitsgefühl haben, was den Einsatz ihrer IT anbelangt: „Was wir machen, ist doch für Hacker nicht wirklich interessant.“ Diese Aussage ist gleich aus mehreren Gründen eine gefährliche Fehleinschätzung. Nur weil die spektakulären und bekannten Hacker-Angriffe entweder Großunternehmen wie Yahoo betrafen oder gleichzeitig in mehr als 150 Ländern erfolgten, wie durch das Schadprogramm WannaCry, darf sich niemand sicher fühlen.

Warum KMU die Gefahr von Hackerangriffen auf keinen Fall unterschätzen dürfen. #jobwizards http://bit.ly/2qpOFwq

Jetzt tweeten

Klein weckt große Begehrlichkeiten

Gründe dafür gibt es viele: KMU verfügen über Bank-, Kreditkarten- und personenbezogene Daten, die einen hohen Anreiz für Diebstahl und Betrug bieten. Für viele Großunternehmen sind KMU Dienstleister oder Zulieferer. Daten, die sich ein Hacker „im Kleinen“ aneignet, können als Freifahrticket in diese Großunternehmen missbraucht werden. Häufig nutzen untereinander konkurrierende KMU die Dienste desselben Providers. Eine Attacke auf diesen Provider kann Daten offenlegen, die auf keinen Fall in die falschen Hände bzw. in das falsche Unternehmen gelangen sollten.

Kaum ein KMU verfügt über die notwendige Sicherheitsabteilung oder auch nur das Personal, um Hackerangriffe rechtzeitig zu entdecken und abzuwehren. Auch die Software, die nötig ist, um diese Angriffe zu erfassen, nachzuverfolgen und auszuwerten, ist selten vorhanden. Kriminelle wissen das. Die Gefahr, entdeckt, verfolgt und bestraft zu werden, ist also für sie geringer und lässt den Anreiz, in diesem Bereich kriminell zu werden, wachsen.

Kaum ein KMU kommt ohne computergestütze Daten aus. Ein Schadprogramm wie Ransomware, das Computer infiziert, sperrt und dann Geld dafür verlangt, sie zu entsperren, ist weiterverbreitet und gefährlicher als vielfach angenommen.

Den meisten Gefahren aber lässt sich einfach begegnen. Wenn alle Nutzer rechtzeitig Updates ihres Betriebssystems vorgenommen hätten, wäre das Schadprogramm WannaCry niemals so erfolgreich gewesen. Auch das gedankenlose Runterladen von Software aus unbekannten Quellen oder das Öffnen von E-Mails von fragwürdigen Absendern bietet ein unüberschaubares Gefahrenpotential.

Eine weitere Erhebung innerhalb dieser Untersuchung zeigt, welchen Datenverlust Unternehmer am meisten fürchten.

Schon wenig hilft viel

Angesichts der insgesamt fortschreitenden Digitalisierung in allen Bereichen ist es insbesondere für KMU essentiell, bei der Nutzung digitaler Möglichkeiten für ihre Geschäftsmodelle und bei der Stärkung ihrer Abwehrfähigkeit gegenüber Gefahren im Internet aktiv zu werden. Die dafür erforderlichen Maßnahmen lassen sich einfach und meist zu geringen Kosten umsetzen. Wichtig ist nur, in den Sicherheitsbemühungen niemals nachzulassen und sie auf keinen Fall nur sporadisch einzusetzen.

Hier sind zehn einfache und einfach zu befolgende Regeln. Wirksamen Schutz bieten folgende Regeln, wenn sich wirklich alle im Unternehmen daran halten.

10 einfache Abwehrmaßnahmen gegen Hackerangriffe

  1. Machen Sie sich und Ihren Mitarbeitern immer bewusst, dass Sie und Ihr Unternehmen ein lohnendes Ziel für Angriffe von außen sind.
  2. Bieten Sie Ihren Mitarbeitern Sicherheitstrainings an. Tools und Whitepaper dafür gibt es online.
  3. Geben Sie jedem Mitarbeiter nur die Zugangsmöglichkeiten, die er braucht, um seinen Job zu machen. Geben Sie Familienmitgliedern keine Passwörter für das Unternehmen.
  4. Machen Sie ständig Backups. So gehen im schlimmsten Fall immer nur die Daten von gestern verloren.
  5. Verschlüsseln Sie sensiblen Daten. In vielen Windows-Formaten ist die Möglichkeit dafür bereits enthalten. Auch online finden Sie passende Trainings zu E-Mail-Sicherheit, Social-Media-Richtlinien und generellen Maßnahmen.
  6. Vergeben Sie nur individualisierte Anmeldedaten. Das macht es einfacher, Onlineaktivitäten der Mitarbeiter zu verfolgen und erhöht die Sicherheit.
  7. Geben Sie den Mitarbeitern vor, welche Standards deren Passwörter zu erfüllen haben. Ziffern, Sonderzeichen sowie Groß- und Kleinschreibung sollen dazu gehören.
  8. Entwickeln Sie klare Vorgaben für die Social-Media-Aktivitäten Ihres Unternehmens. Und überprüfen Sie deren Einhaltung. So verhindern Sie u. a., dass sensible Daten an die Öffentlichkeit gelangen.
  9. Nutzen Sie Sicherheits-Software und bestehen Sie darauf, dass Ihre Mitarbeiter das auch tun. Rechner, Laptops, Tablets und Smartphones müssen immer mit der jeweils aktuellsten Version ausgestattet sein.
  10. Separieren Sie den Internetzugang für Mitarbeiter und Gäste Ihres Unternehmens, die einen privaten Rechner oder ein privates Smartphone nutzen. Viele Router ermöglichen das Einrichten eines dafür nötigen Netzwerkes.

Gefahren, die in der Zukunft lauern

Da das Risiko und die Komplexität der Cybersicherheit zunehmen, braucht es auch mehr Ressourcen, um auf sie zu reagieren. Es werden sich Sicherheitsunterschiede entwickeln, die auf den Ebenen von Nationen, Einzelpersonen und Unternehmen stattfinden.

Das größte Risiko dabei ist das aufkommende Sicherheitsgefälle innerhalb und zwischen den Gesellschaften. So verfügen Unternehmen in Entwicklungsländern häufig noch nicht über die Fähigkeiten und Ressourcen zum Schutz ihrer Daten. Während eine Organisation über angemessene Fähigkeiten und Ressourcen verfügen kann, tun dies ihre Partner und Anbieter möglicherweise nicht, und das schafft Schwachstellen.

Eine Studie des Ponemon Institute zeigt die Ursache vieler Datenpannen, denen KMU ausgesetzt sind.

Latest & Greatest