Berichte über Cyberangriffe sind heutzutage keine Seltenheit mehr. Die Berichte der Medien greifen dabei meistens umfangreiche Attacken auf, die Verwaltungsorgane, Hochschulen oder große Firmen treffen. Ein Beispiel ist die Cyberattacke, die Anfang November dieses Jahres den IT-Dienstleister Südwestfalen-IT traf und in der Folge in mehr als 70 Kommunen in Nordrhein- Westfalen die Verwaltung erheblich behinderte. Die Angreifer nutzten dabei sogenannte Ransomware – eine schädliche Form der Software, die Daten und Systeme der Inhaber blockiert. Für die Freigabe verlangen die Kriminellen dann häufig erhebliche Lösegeldzahlungen.
Fälle wie dieser machen deutlich, wie präsent digitale Angriffe und Bedrohungen in unserer Lebenswelt sind. Die Bürger, die in der Zeit nach den Angriffen Dienstleistungen ihrer Verwaltung benötigten, mussten mit Wartezeiten, Verzögerungen und anderen Einschränkungen zurechtkommen. Wer aber glaubt, dass diese Angriffe nur in großem Stil erfolgen, irrt sich. Auch kleine und mittlere Unternehmen (KMU) sind attraktive Ziele, gerade weil sie sich häufig noch zu sicher fühlen und das Thema Cybersicherheit stiefmütterlich behandeln. Das erstaunt angesichts der gravierenden Konsequenzen, die bei einer erfolgreichen Attacke drohen. Der Verlust von wertvoller Arbeitszeit, sensiblen Daten und Reputation sowie die Kosten für die Beseitigung der Schäden und den anschließenden Neuaufbau bringen finanzielle Einbußen mit sich, die – gerade in wirtschaftlich angespannten Zeiten – schnell die Liquidität bedrohen.
Umso wichtiger ist es, dass auch KMU sich mit dem Thema befassen. Schon einige grundlegende Sicherheitsmaßnahmen können dabei helfen, das Risiko zu verringern.
Sicherheitsfaktor Mensch
Nicht immer sind die Sicherheitslücken auf Seiten der Technologie und Software zu finden. Sehr häufig sind es die Anwender, die versehentlich – oder gar böswillig – einen Zugang für digitale Angreifer bieten. Das klassische Beispiel sind Phishing-Mails, die seriöse Absender täuschend echt nachahmen. Klickt der Nutzer hier auf Links oder öffnet Anhänge, können Computerviren ins System gelangen. Aber auch ein verloren gegangenes oder gestohlenes Dienstgerät, beispielsweise Handy, Laptop oder Tablet, kann zum Einfallstor werden. Denkbar sind je nach Unternehmensgröße und -struktur zudem gängige Vorgehensweisen von Betrügern, wie sich bei einem Anruf als Mitarbeiter der IT-Abteilung bzw. des IT-Dienstleisters auszugeben, um sensible Daten oder andere wertvolle Informationen zu erschleichen.
Solche menschlichen Fehler lassen sich über lange Zeiträume hinweg wohl kaum vollständig ausschließen, vor allem falls tatsächlich ein schwarzes Schaf in der Belegschaft sein sollte. Dennoch ist es von größter Wichtigkeit, den Mitarbeitern in Schulungen sichere Verfahrensweisen nahezulegen, sodass es in unklaren Situationen feste Prozesse gibt, auf die alle zurückgreifen können. Das kann z.B. der Umgang mit einer verdächtigen Mail oder den eigenen Passwörtern sein. So lassen sich viele Probleme schon im Vorfeld vermeiden. Selbst wenn trotz der Vorbeugung jemand einen Fehler macht, kann es entscheidend sein, wenn der betroffene Mitarbeiter den Vorfall auch als Fehler versteht und direkt an die IT-Abteilung meldet. So kann Schadensbegrenzung betrieben werden, bevor die Lage vollends eskaliert.
Echtes Know-how an entscheidenden Stellen
Damit auch Soft- und Hardware auf dem nötigen Stand sind, braucht es einen Verantwortlichen, der sich aktiv um die Pflege der IT-Systeme kümmert. Dazu zählen u.a. Auswahl und Installation von Schutz- und Reinigungsprogrammen, regelmäßige Updates sowie das Erstellen und die (Offline-)Speicherung von Backups. Ohne solide Fachkenntnisse geht schnell die Übersicht verloren, sodass trotz aller Bemühungen Sicherheitslücken bestehen bleiben. Ist eine eigene IT-Abteilung aufgrund der Unternehmensgröße keine Option sollte ein Dienstleister herangezogen werden, der das Unternehmen dauerhaft begleitet. Von Lösungen, die einmalig aufgesetzt und dann nicht mehr gepflegt werden, ist abzuraten. Kennt sich niemand im Detail aus, leidet darunter auf Dauer das gesamte System.
Empfehlenswert ist es außerdem, vor der Beauftragung eines Dienstleisters intern gründlich zu prüfen, welche Sicherheitsmaßnahmen es bereits gibt und in welchen Bereichen womöglich etwas getan werden muss. Die daraus erarbeiteten Ergebnisse bilden später eine wichtige Grundlage für die Beratung sowie die Implementierung von neuen Systemen und Prozessen.
Zum Person:
Karsten Köhler
Redaktion gmbhchef