Sicher ist nur, dass nichts sicher ist, aber man kann sich schützen.

96 % der Phishing-Angriffe beginnen mit E-Mails und ein Drittel der Benutzer klickt auf schädliche Inhalte. Aber: Sensible Mitarbeiter können solche Angriffe erkennen und sich dagegen wehren.

Jährlich fast 10% mehr: Bald 150.000 erfasste Straftaten pro Jahr + Dunkelziffer. Das Internet ist dabei Strafmittel Nr. 1!

©_NicoElNino_AdobeStock

„Hacking kann mir nichts ausmachen – ich habe nur ein bisschen gesurft und ein paar Dinge online gekauft.“ Oder: „Ich kann mir wirklich nicht unzählige verschiedene Passwörter merken.“

Eine repräsentative Umfrage zeigt jedoch, dass 25 % der Internetnutzer in Deutschland Opfer von Cyberkriminalität geworden sind.

Wöchentliche Meldungen über Hackerangriffe, massiven Datendiebstahl oder neue Sicherheitslücken bestätigen diese Entwicklung. Hacker haben sensible Informationen gestohlen, indem sie Millionen von E-Mail-Adressen gehackt haben, um auf Daten zuzugreifen. Alternativ sind tausende Privatcomputer in Deutschland Teil sogenannter Botnetze, die Kriminelle für IT-Angriffe missbrauchen.

6 Goldene Regeln zur Steigerung Ihrer Cyber-Sicherheit in diesem Beitrag

Identitätsdiebstahl, Phishing, Viren und Würmer – ist das Internet also unsicher und gefährlich? Viele Bürger sind verunsichert. Das vom BKA jährlich erstellte Bundeslagebild Cyberkriminalität enthält die neuesten Erkenntnisse und Entwicklungen auf dem Gebiet der Cyberkriminalität in Deutschland und beschreibt die Ergebnisse der polizeilichen Strafverfolgung.

Wie das Internet unseren Alltag bereichert Die digitale Welt bietet viele Möglichkeiten, die jeder nutzen möchte: Videokonferenzen, Chats und soziale Netzwerke ermöglichen es Ihnen, sich regelmäßig mit Bekannten, Freunden und Familie in Ländern auf der ganzen Welt zu verbinden und zu kommunizieren. Einkaufen, Urlaub buchen, Versicherungen abschließen oder Bankgeschäfte erledigen – es gibt kaum eine Dienstleistung, die Sie online nicht nutzen können. Die Digitalisierung bringt viele neue Möglichkeiten und bereichert alle Lebensbereiche.

Malware, DDoS-Angriffe und Spoofing – Es gibt eine Vielzahl von Angriffsmethoden, mit denen Cyberkriminelle kleinen und mittelständischen Unternehmen großen Schaden zufügen können. Dabei spielt es keine Rolle, ob es sich bei dem KMU um einen Handwerksbetrieb, eine Werbeagentur oder einen Autoteilehersteller handelt, denn mittlerweile nutzen alle KMU digitale Lösungen und sind damit das Ziel gefährlicher Cyberattacken. Wussten Sie, dass laut einer Pressemitteilung von bitkom.org, 9 % der erfolgreich angegriffenen kleinen und mittelständischen Unternehmen sogar in ihrer Existenz bedroht sind?

Dennoch ist die Risikoeinstufung für kleine und mittelständische Unternehmen gering. „Ich bin nur ein kleiner Fisch und mir geht es gut.“ Sie glauben nicht, Opfer eines Cyber-Angriffs zu werden. Statistiken zeigen jedoch, dass gerade kleine und mittelständische Unternehmen besonders hart von Cyberangriffen getroffen wurden und Verluste nur schwer wieder gutzumachen sind.

Laut der Bitkom-Studie „Wirtschaftsschutz 2021“, haben es Diebe vor allem auf digitale Daten abgesehen. Im Vergleich zu früheren Erhebungen zeigte die Studie zudem, dass Angriffe auf mittelständische Unternehmen wieder zugenommen haben. Der Fokus auf den Mittelstand verwundert nicht, wenn man die große Anzahl an Unternehmen (99 % der Unternehmen in Deutschland sind KMUs) und den „sorglosen“ Selbstschutz vor Cyberangriffen bedenkt. Mittelständische Unternehmen haben sich in den letzten Jahren zu einem Risikopunkt für Cyberangriffe entwickelt.

Bei 44 % der KMU ist niemand explizit für die IT-Sicherheit zuständig und fast die Hälfte ist nicht auf einen Cyber-Angriff vorbereitet. Das geht aus dem Bericht des Gesamtverbandes der Deutschen Versicherungswirtschaft. E.V. Laut dem von IBM Security veröffentlichten Bericht der Cyber-Resilience-Organization 2020 sind zwei Drittel der Unternehmen in Deutschland bereits Opfer eines Cyber-Angriffs geworden.

Wussten Sie außerdem, dass angegriffenen Unternehmen in der Regel folgende Kosten entstehen:

  • Kosten für IT-Forensik und Datenwiederherstellung
  • Betriebsunterbrechungskosten
  • Benachrichtigung der Kunden
  • Kosten der Krisenkommunikation
  • Gebühr für Rechtsberatung
  • Ggf. Strafkosten und viele mehr.

Auch der Vertrauensbruch zwischen Kunden und Geschäftspartnern nach dem Cyberangriff, der zu Umsatzeinbußen führte, wirkte sich aus. Seien Sie sich also bewusst, dass KMU für Angreifer sehr attraktiv sind und bereiten Sie sich (besser) auf Notfälle vor! Wir haben jetzt 7 Möglichkeiten für Sie zusammengestellt, wie Sie Ihre Cyber-Resilienz verbessern können.

6 Goldene Regeln für mehr Cyber-Sicherheit

1) Update von Betriebssystem, Virenschutz, Software … – grundlegende Cyber-Resilience!

Nicht funktionierende IT-Systeme und -Prozesse können Ihr ganzes Unternehmen lahmlegen. Daher müssen sie widerstandsfähig sein, um Datenschutzverletzungen oder Malware-Infektionen zu verhindern. Daher sollten Sie unbedingt in Ihre Cyber-Resilience investieren. Sie ist die wichtigste Grundlage zur Minimierung des Folgerisikos und bietet einen großen Vorteil: Oft können schon kleine Anpassungen sehr große Auswirkungen haben.

Tipps für Ihre Basis-Cyber-Resilience:

  • Updates und Patches stets zeitnah einspielen!
  • Fachkundiger Einsatz von Firewalls und Security-Software!
    • Schützen Sie Ihr Netzwerk und Ihren E-Mail-Verkehr mit einer Hardware-Firewall mit Sandboxing!
  • Nutzen Sie einen digitalen Passwort-Safe (z.B. KeePass) und richten Sie sichere Zugänge mit starken Passwörtern im Büro und in allen Homeoffice-Infrastrukturen ein!
  • Richten Sie Online-Zugänge nie mit einer E-Mail-Adresse als User-Namen mit einer von Ihnen genutzten Mail-Adresse ein! Nutzen Sie Weiterleitungsadressen bzw. einen Alias. Wenn Ihr echtes Postfach dann gehackt werden sollte, kommt der Dieb nicht mit „Passwort vergessen“ in Ihre Accounts.
  • Nutzen Sie alle PCs und Notebooks mit eingeschränkten Nutzer-Rechten (nicht mit Admin-Rechten)!
  • Führen Sie Mitarbeiterunterweisungen zum sicheren Umgang mit der IT durch!
  • Nutzen Sie wo immer es geht Multifaktor-Authentifizierungen und Verschlüsselungsverfahren!
  • Nutzen Sie sichere Client-seitig verschlüsselte europäische bzw. deutsche Cloud-Dienste (z.B. Luckycloud)!
2) Weisen Sie Ihre Mitarbeitenden auf die Gefahren durch Cyber-Attacken hin!

Schaffen Sie ein Cyber-Risiken-Bewusstsein: Insbesondere der Ausbau von Homeoffice-Möglichkeiten für kleinere Unternehmen rückt die menschliche Komponente in den Vordergrund, wenn es um Cyber-Sicherheit geht. Laut einer Umfrage von Kaspersky Lab und B2B International sehen 52 % der Unternehmen die Mitarbeiter als größtes Risiko für ihre IT-Sicherheit, da sie diese durch unbeabsichtigtes Handeln oder Unwissen gefährden.

Beispielsweise klickt ein unvorsichtiger Mitarbeiter auf einen Phishing-Link, der ihn auf eine schädliche Website weiterleitet, oder er öffnet einen schädlichen E-Mail-Anhang. Daher sollten kleine und mittelständische Unternehmen das Bewusstsein der Mitarbeiter für Cyber-Sicherheit schärfen und eine benutzerzentrierte Sicherheit konzipieren.

Tipps zur Steigerung des Sicherheitsbewusstseins:

  • Mitarbeiterschulungen zur Steigerung des Sicherheitsbewusstseins (Awareness)
  • Belohnen Sie Mitarbeiter, die Sicherheitsbedenken melden
  • Regelmäßige Informationen für Mitarbeiter über aktuelle Bedrohungen oder Software-Updates
  • Definieren und kommunizieren Sie den Prozess zum Melden von Sicherheitsvorfällen
  • Senden Sie Schein-Spear-Phishing-E-Mails mit Lotteriefiguren
3) Planen Sie Ihre Reaktion auf einen Angriff gleich morgen!

KMU sollten das Risiko von Cyberangriffen nicht ignorieren, sondern solche Angriffe im Voraus in Betracht ziehen. Spielen Sie „was-wäre-wenn-Szenarien“ durch. Viele kleine und mittelständische Unternehmen bewältigen ihre Situationen erst im Angriff-Fall selbst, also in einer kritischen Phase, in der besonders schnell gehandelt werden muss. Entscheidungen in dieser Phase werden schnell und instinktiv getroffen und sind selten von Cleverness geprägt. Daher muss eine angemessene und professionelle Reaktion auf oder Verhinderung eines Angriffs im Voraus geplant werden. Ein entsprechendes Risiko-/Notfallmanagement einzurichten ist keine große Sache. Wenn Sie sich zunächst darüber im Klaren geworden sind, was passieren könnte, wissen Sie auch weitgehend, wie Sie sich vorbereiten können.

Tipp: Schließen Sie eine Cyber-Versicherung mit der Forensik-Hotline ab. Beim Abschließen der Versicherung wird der Berater – in der Regel – mit Ihnen Ihr Risiko-/Notfallmanagement definieren. Im Verdachtsfall rufen Sie dann die Forensik-Hotline an und bekommen sofort fachkundige Hilfe.

Was bietet Ihnen eine Cyber-Versicherung?

Für Unternehmen, deren Geschäftsbetrieb von der Verfügbarkeit sensibler Daten abhängt, ist der Abschluss einer Cyberversicherung eine sinnvolle Maßnahme. Es ist von Bedeutung zu unterstreichen, dass eine Cyberversicherung nicht dazu dient, vor den eigentlichen Cyberangriffen zu schützen. Stattdessen liegt ihre Funktion darin, die finanziellen Schäden zu minimieren, die in der Regel mit einer Cyberattacke einhergehen. Die möglichen Verluste aufgrund unbefugten Zugriffs auf Daten können erheblich sein.

Laut einer Forsa-Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft zeigen sich die höchsten Kosten im Zusammenhang mit einem Cyberangriff bei der Aufklärung des Vorfalls und der Wiederherstellung der betroffenen Daten. Ebenso verursachen Unterbrechungen im Betriebsablauf oder in der Produktion erhebliche Kosten. Die wirtschaftlichen Schäden dürfen nicht vernachlässigt werden, insbesondere wenn das Vertrauen in das Unternehmen nach einem Cyberangriff erschüttert wird. Der Diebstahl von Betriebsgeheimnissen oder unternehmenseigenen Daten kann ebenfalls zu erheblichen Verlusten führen. Zusätzlich besteht das finanzielle Risiko der Lösegeldzahlung, das bei Cyberattacken eine bedeutende Rolle spielen kann.

Es liegt im Ermessen des Versicherungsnehmers, welche Leistungen er in seinen Versicherungsschutz einschließen und welche Kosten er selbst übernehmen möchte. In der Regel orientiert sich die Entscheidung an den individuellen Merkmalen des zu versichernden Betriebs. Eine gute Beratung vor Abschluss einer Police ist deshalb unbedingt zu empfehlen. Folgende Kosten können z. B. durch eine Cyber-Versicherung abgedeckt werden:

  • Deckung von Datenschutzverletzungen
  • Haftpflichtschutz
  • Betriebsunterbrechung
  • Cyber-Erpressung und Ransomware
  • Krisenkommunikation und PR
  • Rechtsberatung
  • Schutz für Dritte
  • Cybersicherheits-Training und Prävention

Weitere Tipps für Ihre Risiko-/Notfallmanagement:

  • Planen Sie eine angemessene, subsidiäre Reaktion im Verdachtsfall
    • Forensik-Hotline anrufen und deren Hinweisen und Anweisungen folgen
  • Stellen Sie schon jetzt Kommunikations- und PR-Pläne für den Ernstfall auf
  • Stellen Sie die Verfügbarkeit von Backups sicher
  • Schützen Sie sich durch Instant Recovery und Georedundanz
  • Planen Sie eine temporäre Auslagerung oder nutzen Sie einen geeigneten Cloud-Service
  • Erstellen Sie Wiederanlaufpläne
4) Machen Sie eine Bestandsaufnahme Ihrer Software- und Hardwaresysteme!

Lassen Sie sich dazu fachkundig beraten. Beispielsweise können nicht dokumentierte oder primär nicht benötigte Bestandteile Ihrer IT-Infrastruktur zu unkontrollierten Sicherheitslücken beitragen. Jedes Gerät und jede Software muss zu einem bedarfsorientierten Ganzen gehören und aktuellen Leitungs- und Sicherheitsansprüchen gerecht werden. Wie können Sie z.B. Updates installieren, wenn Sie die Software nicht kennen?

5) Verstehen Sie die Risiken Ihres Systems durch Tests und Analysen!

Nach Abschluss der IT-Inventarisierung besteht der nächste Schritt darin, das System zu testen und zu analysieren, um Risiken zu identifizieren und zu bewerten. So finden kleine und mittelständische Unternehmen heraus, wo sie angreifbar sind. Dazu können Sie sich z.B. mit einem Penetrationstest durch spezialisierte Dienstleister z.B. Cyber-Forensiker oder zertifizierte ethische Hacker unterstützen lassen.

6) Lassen Sie sich regelmäßig durch einen Resilienz-Experten beraten!

Cyberangriffe auf kleine und mittelständische Unternehmen sind ein lukratives Geschäft für Kriminelle, da sowohl IT-Systeme als auch der menschliche Faktor viele Schwachstellen bieten, durch die erfolgreiche Angriffe durchgeführt werden können. Wenn KMU ihre Cybersicherheit stärken wollen, benötigen sie ein sehr breites Spektrum an Expertise. Sie brauchen Leute, die den gesamten Prozess verstehen und die jedes System analysieren und bei Bedarf entsprechend konfigurieren können.

Resümee

Geben Sie Angreifern keine Chance! Tragen Sie dazu bei, uns alle zu schützen.

Wir empfehlen Ihnen, diese 6 Regeln zu beachten und mit einem Resilience-Experten umzusetzen.

Einiges aus diesem Beitrag können Sie sofort und mit Ihrem Team umsetzen. Lassen Sie keine unnütze Zeit verstreichen.

Geben Sie diese Tipps an Ihre Freunde in Ihren Netzwerken weiter. Teilen Sie uns gerne Ihre Erfahrungen mit und ob Ihnen diese Regeln geholfen haben.

Wir freuen uns von Ihnen zu hören
Ihre Ansprechpartner Wolfgang Koll und Peter Debus


Die nächsten Termine zu diesem Thema finden Sie unter >> Events <<


Bild: ©_NicoElNino_AdobeStock

Weitere Beiträge

Nach oben scrollen