Teil 2/3: So schützen Sie Ihr KMU gegen Cyberrisiken

07.08.2024 14:13 - Von Salomon Häseli

Im ersten Teil dieser Serie haben wir uns damit beschäftigt, weshalb KMU interessante Ziele für Cyberangriffe sein können. Im zweiten Teil zeigen wir Massnahmen auf, wie Sie Ihr KMU schützen können. Dabei berücksichtigen wir einige Gründe aus dem ersten Teil. Über 40% aller Cyberattacken in der Schweiz zielen auf KMU ab und bei jedem dritten Unternehmen sind solche Angriffe erfolgreich. Der Schaden kann aufgrund von Betriebsunterbruch, Datenverlust oder Reputationsschaden schnell sehr gross werden. Deshalb ist es wichtig, dass sich Unternehmen proaktiv gegen Cyber-Angriffe schützen. Doch wie? Vorweg: Vollständiger Schutz gegen Cyber-Angriffe gibt es nicht. Trotzdem lässt sich mit folgenden Punkten das Risiko Opfer eines erfolgreichen Angriffs zu werden minimieren:


Mitarbeitende sensibilisieren und das Sicherheitsbewusstsein fördern (Prävention)
Bei ca. 90% aller Sicherheitsvorfällen ist der Faktor Mensch involviert. Angriffe starten typischerweise mittels Phishing oder Social Engineering. Deshalb ist es ratsam, Mitarbeitende regelmässig über solche Gefahren zu informieren und zu prüfen. Achten Sie darauf, dass Ihre Mitarbeitenden wiederkehrend auf ihren individuellen Schwächen geschult und getestet werden. Jährliche Trainings verfehlen die Wirkung. Ein Anbieter für wiederkehrende Trainings ist Manguito.


Nutzen von Mehrfaktorauthentifizierung

Mittels gestohlenen oder durch Phishing-Angriffe erbeuteten Zugangsdaten gelangen Angreifer auf Ihre IT-Systeme. Die Nutzung eines zweiten Faktors wie Mobiltelefon, Smartcard oä. erschweren den Zugang. Denn nur wer Zugangsdaten und den zweiten Faktor besitzt, kann auf ein System zugreifen. Deshalb ist die Mehrfaktorauthentifizierung ein äusserst wirkungsvoller Schutz. Viele Schweizer KMU setzten auf Microsoft 365. Mit den Abo "Business Premium" ist ein umfangreicher Mehrfaktorauthentifizierungsschutz bereits inbegriffen.


Netzwerk absichern

Schützen Sie Ihre Netzwerke mittels Firewalls und erlauben Sie Zugriffe auf Ihr System nur von bekannten, vertrauenswürdigen Standorten auf erwünschten Netzwerk-Ports. Segmentieren Sie Ihre Netzwerke in sinnvolle Zonen, sodass die Kommunikation zwischen den Zonen eingeschränkt werden kann. So ist es beispielsweise sinnvoll, das WLAN abzuschotten. Zugriffe von zu Hause können bspw. via VPN oder Zero Trust Networking abgesichert werden.


Systeme und Software aktuell halten

Ein gerne vernachlässigter, aber wichtiger Punkt. Aktualisieren Sie Ihre IT-Systeme wie Computer, Server, Telefonanlage, Überwachungssystem, Computersoftware, Webseite etc... Bekannte Sicherheitslücken werden von Herstellern geschlossen. Wird ein Update nicht installiert, können Angreifer die bekannten Lücken einfach ausnutzen. Cloud-Lösungen übernehmen diese Aufgabe typischerweise für Sie, da der Anbieter die Systeme pflegt.


Zugriffsrechte vergeben

Nicht alle Mitarbeitenden müssen alle Daten einsehen. Schränken Sie den Zugriff auf Dateien und Systeme für jeden Mitarbeitenden auf das Minimum ein, sodass er seine Funktion erfüllen kann. So hat ein Angreifer im Falle einer erfolgreichen Attacke nur minimale Rechte.


Antivirenschutz einsetzen

Stellen Sie sicher, dass auf Computern ein Antivirenschutz installiert ist. Windows liefert einen solchen gleich mit. Den "Windows-Defender". Zusätzliche Sicherheitsfeatures werden im bereits vorher erwähnten Microsoft 365 Business Premium-Abo, welches häufig in KMU eingesetzt wird, bereits mitgeliefert.


Daten sichern

Erstellen Sie drei Kopien Ihrer Daten:

  • Produktivdaten
  • Backup
  • Kopie des Backups

Sichern Sie Ihre Daten regelmässig und speichern Sie diese an einem anderen Ort als ihr Büro ab (am besten in einem komplett getrennten Netz oder bei einem externen Anbieter). Stellen Sie durch regelmässige Restore-Tests sicher, dass die Daten auch wiederhergestellt werden können. Bestenfalls haben Sie einen Notfallplan zur Hand damit Sie wissen, was bei einem Vorfall wie wiederhergestellt werden kann.


IT-Verantwortliche challengen

Vertrauen ist gut, Kontrolle ist besser. Stellen Sie sicher, dass die versprochenen Dienstleistungen auch umgesetzt werden. Fragen Sie intern oder Ihren IT-Dienstleister nach Protokollen zu durchgeführten Arbeiten. Wann wurden zuletzt Updates installiert? Ist das Backup erfolgreich gelaufen? Wie sehen die letzten Warnmeldungen vom Überwachungssystem aus? Welche User sind mit Mehrfaktorauthentifizierung geschützt? usw... 


Cyberversicherung

Die Cyberversicherung bietet zwar keinen direkten Schutz, kann im Falle eines Cyberangriffs den erlittenen Schaden jedoch reduzieren.


Auf Ernstfall vorbereiten und Verantwortlichkeiten definieren

Stellen Sie sicher, dass die Verantwortlichkeiten im Ernstfall definiert sind und ein Desaster-Recovery-Plan vorhanden ist. Wie stelle ich sicher, dass während dem Vorfall mein Geschäft weiter betriebsfähig ist? Wie stelle ich meine Systeme möglichst schnell wieder her? Sind die Prioritäten der Systeme klar? Wie kommuniziere ich einen Vorfall? Im Ernstfall sind Sie froh, diese Fragen bereits vorgängig geklärt zu haben.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.
Dark Web Scan
Realistische Phishingsimulation
Bericht inkl. Human Risk Score
Aktionsplan