Wie wichtig Hygiene in Unternehmen ist, zeigte nicht zuletzt die Pandemie. Doch auch im Cyberbereich ist Hygiene bedeutsam. Was unter Cyberhygiene verstanden wird und warum sie wichtig ist, erklärt Vincenz Klemm, Geschäftsführer vom Assekuradeur Baobab Insurance.
Da die Cyberangriffen auf deutsche Unternehmen zunehmen, ist Cybersicherheit zu einem wichtigen Thema geworden. So zeigt eine aktuelle Umfrage des Branchenverbands Bitkom, dass mehr als die Hälfte der Firmen hierzulande von Ransomware betroffen ist. Dabei sind nicht nur große Organisationen gefährdet – auch kleine und mittlere Unternehmen (KMU) geraten zunehmend ins Fadenkreuz der Cyberkriminellen. Aufgrund der verheerenden finanziellen und rufschädigenden Folgen, die diese Art der Vorfälle haben können, ist eine solide Cybersicherheitsstrategie für alle Unternehmen unerlässlich. Insbesondere für KMU ist hier ein wirksamer Rahmen wichtig, um Geschäftsabläufe und sensible Daten zu schützen. Folgende Aspekte sollten sie vor allem berücksichtigen, um ihre Cybersicherheitsabwehr zu stärken und das Risiko zu minimieren:
Sicherheitsrichtlinien implementieren und regelmäßig überprüfen
Bei der Cybersicherheit sollten Unternehmen klare Richtlinien aufstellen, die von allen Mitarbeitenden verstanden und befolgt werden. Dazu gehören:
- Sichere Zugangsrichtlinien, sodass kritische Systeme und Daten durch mehr als nur Passwörter geschützt sind. Die Multi-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu und erschwert unbefugten Benutzer:innen den Zugriff auf sensible Informationen.
- Routinemäßige Back-ups kritischer Daten, die an sicheren, externen Orten gespeichert werden. Auf diese Weise lassen sich Ausfallzeiten und Datenverluste im Falle eines Ransomware-Angriffs oder eines Systembruchs minimieren.
- Einsatz von robusten Sicherheitslösungen für Endgeräte wie Virenschutz, Anti-Malware und Verschlüsselungstools, um Geräte zu schützen, die mit dem Firmennetzwerk verbunden sind, einschließlich Laptops, Smartphones und Server.
- Regelmäßige Anwendung von Sicherheits-Patches und -Updates für die gesamte Soft- und Hardware. Cyberkriminelle nutzen oft Schwachstellen in veralteten Systemen aus, weshalb es wichtig ist, immer auf dem neuesten Stand zu sein.
Mitarbeitende in Cyberhygiene schulen
Teammitglieder bilden oft die erste Verteidigungslinie gegen Cyberangriffe. Ähnlich wie regelmäßige Brandschutzübungen im Unternehmen sollten Firmen in diesen den Cyber-Ernstfall proben. Phishing, Passwortverwaltung und sichere Internetpraktiken sollten ebenfalls Schwerpunkte sein. So werden beispielsweise im Rahmen von sogenannten Phishing-Schulungen über einen bestimmten Zeitraum Fake-Phishing-Attacken an die Mitarbeitenden versendet. Denn in der Realität kann schon ein falscher Klick auf eine E-Mail dazu führen, dass Malware installiert wird, die das IT-System verschlüsselt und Erpressungsgelder fordert. Regelmäßige Übungen helfen, das Team zu sensibilisieren und darin zu schulen, potenzielle Bedrohungen zu erkennen und entsprechend darauf zu reagieren. Sie sollten daher ein fester Bestandteil der Mitarbeiter-Bildung sein. Schließlich ermöglichen sie es, das “Fehlerpotenzial Mensch” zu reduzieren.
Regelmäßige Sicherheitsprüfungen vornehmen
Einen wöchentlichen Angriffsoberflächen-Scan durchzuführen ermöglicht KMU proaktiv Sicherheitslücken zu identifizieren und zu beheben sowie Schwachstellen zu entdecken, bevor sie von externen Angreifenden ausgenutzt werden können. Ein weiterer Vorteil: Durch präzise Risikofragen und einen umfassenden Risikoscan lässt sich der Antragsprozess einer Cyberversicherung stark verkürzen – positiv sowohl für Unternehmen als auch für Versicherungsmakler:innen. Und im Schadensfall drohen zumindest kein böses Erwachen oder langwierige Diskussionen mit der Versicherung.
Mitarbeiteraktivitäten überwachen
Viele Cyber-Vorfälle gehen auf das Konto von Insidern – ob böswillig oder versehentlich. KMU sollten daher die Aktivitäten ihrer Mitarbeitenden im Blick behalten und den Zugang zu sensiblen Systemen auf diejenigen beschränken, die ihn wirklich benötigen.
Generell sollten sich Unternehmen beim Schutz ihrer Daten nicht allein auf Passwörter verlassen, da sie nur unzureichende Sicherheit bieten. Etwa sind schwache oder wiederverwendete Passwörter leicht auszuspähen, was die Systeme anfälliger macht. Aus diesem Grund sollten Passwörter am besten immer mit MFA kombiniert werden. Wenn kein zusätzlicher Authentifizierungsfaktor implementiert wird, sollten komplexe Passwörter zumindest Standard sein. Strenge Richtlinien für diese können z. B. sein:
- Passwörter müssen aus 8 - 12 Zeichen bestehen
- Passwörter dürfen nicht aus Wörtern bestehen, die im Wörterbuch enthalten sind
- Passwörtern der letzten 5 Jahre sollten nicht wiederverwendet werden
- Passwörter müssen Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen enthalten
Um sich andererseits bestmöglich gegen Cyberrisiken zu schützen, sollten Unternehmen folgende Punkte vermeiden:
Annehmen kein Ziel sein zu können
KMU denken oft, dass sie zu klein sind, um ins Visier von Angreifer:innen zu geraten. Das ist jedoch ein Irrtum, weil sich diese häufig auf Unternehmen mit schwächeren Abwehrmechanismen konzentrieren. Für Unternehmen, die dieses Risiko unterschätzen, können die Folgen verheerend sein.
Keinen Notfallplan haben
Im Rahmen eines sogenannten Incident-Response-Plans sollten Unternehmen durchspielen, wie sie auf einen Vorfall reagieren, bevor es zu einer Sicherheitsverletzung kommt. Der Grund: Während eines Cyberangriffs ist Zeit ein kritischer Faktor. Verzögern sich die Maßnahmen, kann dies die Auswirkungen verschlimmern. Daher sollten KMU im Vorfeld sicherstellen, dass alle im Team wissen, wie sie bei Cyberattacken reagieren müssen.
Prävention ist besser als Schadensbegrenzung
Unzureichende Mitarbeiterschulungen, schwache Passwörter, veraltete Software, fehlende Back-ups: Um keine dieser vermeidbaren Risiken einzugehen und bestmöglich vor potenziellen Angriffen geschützt zu sein, sollten Unternehmen auf proaktive Maßnahmen und regelmäßige Überprüfungen setzen. Dazu gehört auch ein guter Cyberschutz in Form einer entsprechenden Versicherung. Hier gilt es zu beachten: Die besten Cyberversicherungen basieren nicht nur auf einer Deckung von Schadensfällen, sondern fördern proaktive Maßnahmen zur Risikominimierung. Unternehmen, die sowohl die Do’s als auch die Don’ts der Cybersicherheit ernst nehmen, sind besser vorbereitet, um potenzielle Schäden durch Cyberangriffe zu vermeiden und die Kontinuität ihrer Geschäftstätigkeit zu gewährleisten.