Kleine und mittelständische Unternehmen (KMU) haben häufig nur geringe IT-Sicherheitskonzepte für ihre Mitarbeiter im Home-Office implementiert. Die Telearbeit ist aufgrund von COVID-19 zur Notwendigkeit geworden, jedoch wollen Mitarbeiter auch nach der Krise weiter von zu Hause arbeiten. So geben in einer aktuellen Capterra-Studie 70 % der remote arbeitenden Angestellten an, dass sie gerne von zu Hause arbeiten.
Unternehmen mussten schnell auf die neuen Umstände reagieren und hatten keine Zeit an IT-Sicherheitskonzepten zu arbeiten. Jetzt ist es jedoch höchste Zeit, dein Unternehmen für die neue Realität zu wappnen. Denn Cyberkriminelle nutzen gerade die Krise und die niedrigen Sicherheitsbedingungen der remote arbeitenden Belegschaft für ihre Angriffe.
„Viele Cyberattacken lassen sich mit relativ einfachen Mitteln verhindern oder zumindest deutlich reduzieren”, erklärt Lev Lexow, Rechtsanwalt, zertifizierter Datenschutzbeauftragter (TÜV) und Geschäftsführer bei Prive.eu. Welche Mittel das genau sind, wollen wir uns in diesem Artikel genauer anschauen. Wir haben zur Beantwortung dieser Frage drei Sicherheitsexperten aus verschiedenen Bereichen interviewt.
Die zunehmende Digitalisierung schafft mehr Raum für Angreifer
Neben der zunehmenden Remote-Arbeit hat die Krise auch die Digitalisierung in Unternehmen vorangetrieben. Neben erhöhten Softwareinvestitionen und steigender Cloud-Nutzung haben stolze 59 % aller kleinen und mittelständischen Unternehmen ihr Geschäftsangebot entweder vollständig (16 %) oder teilweise (43 %) angepasst, damit es jetzt virtuell bereitsteht.
Wie bei allem gibt es auch hier eine Schattenseite: “Mit zunehmender Digitalisierung wird für die Unternehmen die Abhängigkeit von der IT größer und damit werden auch die Folgen eines Ausfalls der IT gravierender”, teilt uns Prof. Dr. Rainer W. Gerling, Datenschutz- und IT-Sicherheitsexperte sowie stellvertretender Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), mit.
KMU sind ein beliebtes Ziel für Cyberangriffe
Nach den Ergebnissen einer Untersuchung des TÜV-Verbands aus 2019 hatte gut jedes achte Unternehmen in Deutschland im vergangenen Jahr vor der Befragung einen IT-Sicherheitsvorfall.
Lev Lexow erklärt: “Entgegen landläufiger Meinung können auch kleine und mittelständische Unternehmen Opfer von Cyberattacken werden. Teilweise suchen Cyberkriminelle sogar ganz gezielt nach KMU. Diese haben einerseits Werte und Informationen, die man abgreifen kann. Andererseits ist ihre IT meist weniger sicher als die von größeren Unternehmen. Ein dankbares Ziel für Cyberkriminelle also.”
„Die größte Gefahr in kleinen und mittelständischen Unternehmen ist, dass die IT eher mit dem Unternehmen gewachsen als systematisch geplant ist. Das Wissen um den systematischen Aufbau der Informationssicherheitsstrukturen ist eher gering. ‚Hauptsache es funktioniert‘ ist oft das Motto. Weiterhin hat die IT einige Nachteile. Der Angreifer muss nur einmal erfolgreich sein, der Verteidiger immer. Und der Angreifer sucht die schwächste Stelle“, sagt Prof. Dr. Gerling.
Die größten Gefahren von Cyberangriffen
Tim Berghoff (Security Evangelist bei G Data CyberDefense AG) zufolge stellt „der Verlust von Daten – sei es durch digitalen Vandalismus, durch Ransomware oder das Ausleiten an Dritte – für die meisten Unternehmen den größten anzunehmenden Unfall dar. Gerade jetzt, wo Kriminelle auch Daten aus Unternehmensnetzen ausleiten, mit der Absicht diese durch Verkauf und Erpressung zu monetarisieren, muss noch nicht einmal ein unmittelbarer Schaden in Form von gesperrten Systemen oder gelöschten Daten eingetreten sein, um den Bestand eines Unternehmens zu gefährden. Doch auch die klassische E-Mail mit Schadsoftware im Anhang oder der CEO-Fraud bleiben weiterhin eine nicht zu unterschätzende Gefahr für Unternehmen – vor allem, wenn diese nicht auf einen Vorfall dieser Art vorbereitet sind.”
Vor allem gegen die Bedrohungen, die auf menschlichen Fehlern beruhen, können Unternehmen vorgehen.
CEO-Fraud
Bei der Betrugsmasche „CEO-Fraud” versuchen Täter, entscheidungsbefugte Personen in Unternehmen zu manipulieren, damit diese hohe Geldbeträge ins Ausland überweisen. Dabei spiegeln die Täter vor, der Auftrag käme unmittelbar vom Chef des Unternehmens.
Eine E-Mail-Anfrage könnte dabei folgendermaßen aussehen: „Hallo Herr Müller, wir stehen kurz vor der Übernahme eines ausländischen Unternehmens. Aufgrund Ihrer Diskretion will ich Sie bitten, sich um die finanziellen Details zu kümmern.” Angriffe werden häufig nicht bekannt, da viele Unternehmen aus Angst vor Imageschäden den Gang zur Polizei scheuen. Die Polizei in Nordrhein-Westfalen veröffentlicht, dass Betrüger in NRW in 2017 fast sieben Millionen Euro erbeutet haben.
Tipps für KMU:
- Das wichtigste ist, deine Mitarbeiter für diese Art von Angriffen zu sensibilisieren: Halte Vorträge und Schulungen über die Maschen des CEO-Frauds.
- Teste deine Mitarbeiter mit gefälschten E-Mails. Du kannst sie von einem privaten Account aus bitten, dir sensible Informationen zu schicken. So kannst du sehen, welche Mitarbeiter mehr Training benötigen.
- Implementiere Richtlinien, die bei ungewöhnlichen Zahlungsanweisungen befolgt werden müssen. Diese könnten beispielsweise das Verifizieren der Anweisung und das Informieren des Vorgesetzten sein.
- Sollte es bereits zu einer Transaktion gekommen sein, ist schnelles Handeln erforderlich. Informiere umgehend dein Geldinstitut und die Polizei.
E-Mail-Phishing
Bei der E-Mail mit Schadsoftware bzw. E-Mail-Phishing, werden gefälschte E-Mails versendet, um an Daten des Unternehmens zu gelangen. Dies geschieht durch das Herunterladen eines Anhangs, der eine Schadsoftware enthält oder durch die Abfrage von persönlichen Daten wie Passwörtern oder Kreditkarteninformationen. Laut einer Capterra-Studie zur Cybersicherheit im Home-Office sind bereits 26 % der Mitarbeiter Opfer einer Phishing-Attacke geworden. Dabei fielen die Hälfte der Mitarbeiter während der durch die Coronakrise bedingten Ausgangssperre auf die Attacke rein. Hacker machen sich die momentane Krisensituation für ihre Angriffe zunutze. In einem Drittel der Fälle bezog sich die Phishing E-Mail auf COVID-19 (z.B. E-Mails mit dem Betreff „wichtige Regelungen zur Einhaltung der Sicherheitsabstände im Büro”).
Tipps für KMU:
- Beim E-Mail-Phishing gilt wie beim CEO-Fraud auch: Sensibilisierung, Schulungen sowie Phishing-Tests unter den Mitarbeitern sind unerlässlich.
- Stelle weiterhin klar, wer im Notfall zu kontaktieren ist.
- Um dein Unternehmen noch weiter vor Phishing-Angriffen zu schützen, solltest du über eine Investition in eine E-Mail-Sicherheitslösung Diese hilft dabei, schädliche E-Mails, verdächtige E-Mail-Adressen, unsichere Domains usw. zu erkennen und sortiert diese automatisch aus.
Software für die remote Arbeit
„Ein Endpointprotection mit Malwareschutz und zentralisierter Verwaltung gehört ebenso wie ein VPN zur Mindestausstattung im Home-Office. Da eine der größten Herausforderungen für die Unternehmens-IT die Sichtbarkeit relevanter Informationen ist, sollte auch ein Security Monitoring eingerichtet werden. So fallen Unregelmäßigkeiten schneller auf und IT-Abteilungen können eher auf solche reagieren,” empfiehlt Tim Berghoff.
Laut Capterras Studie zur Cybersicherheit im Home-Office haben nicht einmal die Hälfte der Mitarbeiter Sicherheitssoftware wie Antivirussoftware und Firewalls installiert. VPNs werden von 27 % der remote Mitarbeiter eingesetzt.
Unsere Experten verraten uns, welche Sicherheitspraktiken KMU implementieren sollten, um die Gefahren von Angriffen weiterhin zu verringern.
Wichtige IT-Sicherheitskonzepte im Home-Office
„Die Sicherheitspraktiken im Home-Office unterschieden sich im Wesentlichen nicht von denen im regulären Bürobetrieb”, erklärt Tim Berghoff. „Mitarbeiter sollten darauf achten, Berufliches und Privates auf ihren Geräten getrennt zu halten und keine Privatangelegenheiten mit einem Firmengerät zu regeln.”
Prof. Dr. Gerling fasst die wichtigsten IT-Sicherheitskonzepte für uns zusammen:
1. Eine gute vollständige Dokumentation der IT inkl. der Konfiguration aller Geräte hilft nach Vorfällen die IT oder Teile davon wiederherzustellen.
2. Ein gutes Backup ist das A und O der IT-Sicherheit.
3. Eine klare Festlegung der Zuständigkeiten ist essenziell.
4. Die gesamte Software muss aktuell gehalten und Sicherheitspatches zeitnah eingespielt werden.
Geht doch etwas schief, ist es wichtig, dass Unternehmen schnell und richtig reagieren, um die Auswirkungen des Schadens gering zu halten. Hierfür hilft ein Business Continuity Plan, der unter anderem eine vollständige Dokumentation der IT umfasst.
Business Continuity Plan zur Schadensbegrenzung
Ein Business Continuity Plan (auf Deutsch auch Geschäftskontinuitätsplan) hilft Unternehmen, sich auf mögliche Katastrophen vorzubereiten und in diesen richtig zu handeln. Er umfasst Pläne und Strategien, um Prozesse, deren Unterbrechung ernsthafte Schäden mit sich bringen würden, zu schützen oder alternative Abläufe zu ermöglichen.
Jeder Geschäftskontinuitätsplan umfasst Strategien, um den IT-Betrieb unter Krisenbedingungen sicherstellen sowie IT-Prozesse nach einem Ausfall wiederherzustellen.
Tim Berghoff erklärt: „Ein erster wichtiger Schritt ist, relevante Bedrohungsszenarien zu identifizieren und bestehende Maßnahmen daraufhin zu prüfen, ob sie zur Abwehr dieser Szenarien geeignet sind. Sollte dies nicht der Fall sein, lassen sich die nächsten Schritte meist unmittelbar daraus ableiten.
Weiterhin rät Tim Berghoff für einige Teilbereiche der IT einen externen Dienstleister hinzuzuziehen. Das gilt besonders für den Teilbereich der IT-Sicherheit, da hier Spezialwissen erforderlich ist, welches nicht in jedem Unternehmen im erforderlichen Umfang vorhanden ist
Was kann der Staat tun, um die Cybersicherheit zu erhöhen?
Lev Lexow zugolge, ist der Staat ist auf mehreren Ebenen gefragt:
1. Sensibilisierung im Bereich der IT-Sicherheit: Neben den fachlichen Anpassungen in den einschlägigen Gesetzen geht es dabei vor allem um die Sensibilisierung von wirtschaftlichen Akteuren und der Stärkung einschlägiger Institutionen. Durch die DSGVO ist das Thema Datenschutz mittlerweile in nahezu allen Unternehmen angekommen. Das wäre auch für die IT-Sicherheit wünschenswert.
2. Verfolgung von Cyberattacken: Der Staat sollte bei der Verfolgung und Sanktionierung der Cyberkriminellen stark nachrüsten. Dies gilt sowohl für den gesetzlichen als auch für den personellen Rahmen unserer Ermittlungsbehörden.
3. Staatliche Schulung: Schließlich sollte die Bevölkerung im Allgemeinen stärker für IT-Sicherheit sensibilisiert werden. Denn viele Cyberattacken werden noch immer durch menschliche Fehler verursacht. Hier hat der Staat gute Möglichkeiten, bereits im Rahmen der Schulausbildung anzusetzen.
Informationssicherheit ist kein Kostenfaktor, sondern ein MUSS
Unternehmen, die sich nicht sicher sind, ob sie Zeit und Geld in die Implementation von Richtlinien, Schulungen und Software investieren sollten, sollten sich immer vor Augen halten: „Ein Angreifer muss nur einmal erfolgreich sein, der Verteidiger immer.” Prof. Dr. Gerling betont weiterhin, dass „Informationssicherheit kein Kostenfaktor ist, sondern eine grundlegende Maßnahme für das langfristige Überleben des Unternehmens.”