Im ersten Teil dieser Serie haben wir uns damit beschäftigt, weshalb KMU interessante Ziele für Cyberangriffe sein können. Im zweiten Teil zeigen wir Massnahmen auf, wie Sie Ihr KMU schützen können. Dabei berücksichtigen wir einige Gründe aus dem ersten Teil. Über 40% aller Cyberattacken in der Schweiz zielen auf KMU ab und bei jedem dritten Unternehmen sind solche Angriffe erfolgreich. Der Schaden kann aufgrund von Betriebsunterbruch, Datenverlust oder Reputationsschaden schnell sehr gross werden. Deshalb ist es wichtig, dass sich Unternehmen proaktiv gegen Cyber-Angriffe schützen. Doch wie? Vorweg: Vollständiger Schutz gegen Cyber-Angriffe gibt es nicht. Trotzdem lässt sich mit folgenden Punkten das Risiko Opfer eines erfolgreichen Angriffs zu werden minimieren:
Nutzen von Mehrfaktorauthentifizierung
Mittels gestohlenen oder durch Phishing-Angriffe erbeuteten Zugangsdaten gelangen Angreifer auf Ihre IT-Systeme. Die Nutzung eines zweiten Faktors wie Mobiltelefon, Smartcard oä. erschweren den Zugang. Denn nur wer Zugangsdaten und den zweiten Faktor besitzt, kann auf ein System zugreifen. Deshalb ist die Mehrfaktorauthentifizierung ein äusserst wirkungsvoller Schutz. Viele Schweizer KMU setzten auf Microsoft 365. Mit den Abo "Business Premium" ist ein umfangreicher Mehrfaktorauthentifizierungsschutz bereits inbegriffen.
Netzwerk absichern
Schützen Sie Ihre Netzwerke mittels Firewalls und erlauben Sie Zugriffe auf Ihr System nur von bekannten, vertrauenswürdigen Standorten auf erwünschten Netzwerk-Ports. Segmentieren Sie Ihre Netzwerke in sinnvolle Zonen, sodass die Kommunikation zwischen den Zonen eingeschränkt werden kann. So ist es beispielsweise sinnvoll, das WLAN abzuschotten. Zugriffe von zu Hause können bspw. via VPN oder Zero Trust Networking abgesichert werden.
Systeme und Software aktuell halten
Ein gerne vernachlässigter, aber wichtiger Punkt. Aktualisieren Sie Ihre IT-Systeme wie Computer, Server, Telefonanlage, Überwachungssystem, Computersoftware, Webseite etc... Bekannte Sicherheitslücken werden von Herstellern geschlossen. Wird ein Update nicht installiert, können Angreifer die bekannten Lücken einfach ausnutzen. Cloud-Lösungen übernehmen diese Aufgabe typischerweise für Sie, da der Anbieter die Systeme pflegt.
Zugriffsrechte vergeben
Nicht alle Mitarbeitenden müssen alle Daten einsehen. Schränken Sie den Zugriff auf Dateien und Systeme für jeden Mitarbeitenden auf das Minimum ein, sodass er seine Funktion erfüllen kann. So hat ein Angreifer im Falle einer erfolgreichen Attacke nur minimale Rechte.
Antivirenschutz einsetzen
Stellen Sie sicher, dass auf Computern ein Antivirenschutz installiert ist. Windows liefert einen solchen gleich mit. Den "Windows-Defender". Zusätzliche Sicherheitsfeatures werden im bereits vorher erwähnten Microsoft 365 Business Premium-Abo, welches häufig in KMU eingesetzt wird, bereits mitgeliefert.
Daten sichern
Erstellen Sie drei Kopien Ihrer Daten:
- Produktivdaten
- Backup
- Kopie des Backups
Sichern Sie Ihre Daten regelmässig und speichern Sie diese an einem anderen Ort als ihr Büro ab (am besten in einem komplett getrennten Netz oder bei einem externen Anbieter). Stellen Sie durch regelmässige Restore-Tests sicher, dass die Daten auch wiederhergestellt werden können. Bestenfalls haben Sie einen Notfallplan zur Hand damit Sie wissen, was bei einem Vorfall wie wiederhergestellt werden kann.
IT-Verantwortliche challengen
Vertrauen ist gut, Kontrolle ist besser. Stellen Sie sicher, dass die versprochenen Dienstleistungen auch umgesetzt werden. Fragen Sie intern oder Ihren IT-Dienstleister nach Protokollen zu durchgeführten Arbeiten. Wann wurden zuletzt Updates installiert? Ist das Backup erfolgreich gelaufen? Wie sehen die letzten Warnmeldungen vom Überwachungssystem aus? Welche User sind mit Mehrfaktorauthentifizierung geschützt? usw...
Cyberversicherung
Die Cyberversicherung bietet zwar keinen direkten Schutz, kann im Falle eines Cyberangriffs den erlittenen Schaden jedoch reduzieren.
Auf Ernstfall vorbereiten und Verantwortlichkeiten definieren
Stellen Sie sicher, dass die Verantwortlichkeiten im Ernstfall definiert sind und ein Desaster-Recovery-Plan vorhanden ist. Wie stelle ich sicher, dass während dem Vorfall mein Geschäft weiter betriebsfähig ist? Wie stelle ich meine Systeme möglichst schnell wieder her? Sind die Prioritäten der Systeme klar? Wie kommuniziere ich einen Vorfall? Im Ernstfall sind Sie froh, diese Fragen bereits vorgängig geklärt zu haben.