Sind deine Daten sicher vor Cyberangriffen? Hast du Maßnahmen ergriffen und Strategien entwickelt, die Angriffe verhindern? Wie groß sind die möglichen Auswirkungen von einem Hackerangriff auf Firmen wie deine?

8 Methoden zum Schutz vor einem Hackerangriff auf Firmen

In diesem Artikel

Wenn du ein kleines Unternehmen leitest und dich mit der Sicherheitsplanung beschäftigst, gehören diese Fragen zu den ersten, die dich beschäftigen werden. 

Die Krise hat zu einer steigenden Anzahl an Cyberangriffen auf Unternehmen geführt: und das nicht nur in großen Unternehmen, sondern auch in KMU. Wie sieht es mit Cyberangriffen auf deutsche Firmen aus? In Capterras Studie zur IT-Sicherheit vom Dezember 2020 geben 44 % der KMU an, bereits einer Cyberattacke zum Opfer gefallen zu sein. Für die Studie befragten wir 200 IT-Entscheider (die vollständige Methodik befindet sich am Ende des Artikels). 

Wie sieht ein Hackerangriff auf deutsche Firmen aus? 77 % der befragten Unternehmen haben bereits eine Phishing-E-Mail erhalten. Von diesen Unternehmen geben 44 % an, dass sie während der Krise mehr Phishing-E-Mails als gewöhnlich erhalten. Selbst 23 % der IT-Verantwortlichen geben an, schon auf einen Link in einer Phishing-E-Mail geklickt zu haben.

Hackerangriff auf deutsche Firmen durch Phishing

Die Bedrohung für dein kleines Unternehmen ist also sehr real. Vorsicht ist besser als Nachsicht und du solltest am besten sofort Präventivmaßnahmen ergreifen, die dein Unternehmen vor zukünftigen Angriffen und den daraus entstehenden Verlusten zu schützen.

In diesem Artikel zeigen wir acht einfache Methoden auf, mit denen man Cyberangriffe auf Unternehmen vorbeugen kann und zeigen dir, wie es um die IT-Sicherheit in deutschen KMU steht. Doch zuerst wollen wir einen Blick darauf werfen, worum es sich bei einem Hackerangriff eigentlich handelt.

Was ist ein Hackerangriff

Ein Hackerangriff ist ein unbefugter Versuch, Zugriff auf ein Computersystem, eine Ressource oder ein Gerät innerhalb eines Unternehmensnetzwerks zu erhalten. Cyberkriminelle nutzen verschiedene Angriffsmethoden wie Malware, Phishing und Ransomware.

Hacker senden beispielsweise gefälschte E-Mails, in denen sie nach Bankdaten fragen, Software-Downloads empfehlen, um Spenden bitten oder Ähnliches. Wenn die Zielperson darauf eingeht, stiehlt der Hacker die auf dem verwendeten Gerät gespeicherten Informationen oder schränkt den Zugang darauf ein.

Wer keine Sicherheitsmechanismen gegen solche Cyberbedrohungen einrichtet, riskiert Geld zu verlieren (z. B. bei Lösegeldforderungen oder betrügerischen Überweisungen) oder, dass vertrauliche Daten kompromittiert werden (z. B. Patente, Geschäftsgeheimnisse oder Forschungs- und Entwicklungsdaten). Schwere Cyberangriffe auf Unternehmen können sogar zur dauerhaften Geschäftsaufgabe führen.

Damit du solche Bedrohungen für dein Unternehmen vermeidest, empfehlen wir acht einfache Methoden, die einen Hackerangriff auf Firmen verhindern können. Um sie umzusetzen, musst du nicht notwendigerweise neue Technologien erwerben: Die meisten konzentrieren sich auf die Bewusstseinsbildung beim Personal sowie interne Kontrollen.

8 Methoden zum Schutz vor Cyberangriffen auf Unternehmen 

1. Informiere deine Angestellten zu Cybersicherheit

Einer der Hauptgründe für einen Hackerangriff auf Firmen besteht in einem mangelnden Bewusstsein für das Thema Cybersicherheit unter Mitarbeitern. Wenn dein Personal nicht weiß, wie Hackerangriffe auf Unternehmen durchgeführt werden, worauf sie abzielen und wie man sie identifizieren kann, begehen sie mit größerer Wahrscheinlichkeit Fehler wie das Herunterladen einer mit einem Virus infizierten Datei.

Verhindere solche kostspieligen Fehler, indem du dein Personal zu Cybersicherheit schulst. So befähigst du es, Angriffsversuche proaktiv zu erkennen und die richtigen Präventivmaßnahmen zu ergreifen, um Verluste zu begrenzen.

Empfehlenswert sind Schulungen zu den folgenden Themen:

  • Passwörter und Authentifizierung: Tipps zum Festlegen starker Sicherheitscodes und Passwörter sowie die Vorteile der mehrstufigen Authentifizierung.
  • Sicherheit für mobile Geräte: Möglichkeiten zum Schützen mobiler Geräte, auf denen sensiblen Daten gespeichert sind, vor bösartigen Apps.
  • Datenschutz in sozialen Medien: Datenschutzkontrollen in sozialen Medien, die das Hacken von Konten verhindern.
  • Sicheres Verhalten bei der Arbeit im Homeoffice: Sichere Methoden für die Remote-Arbeit, die Datensicherheitsverletzungen verhindern.
  • Nutzung von Internet und E-Mails: Möglichkeiten zum Identifizieren verdächtiger E-Mails, Websites und Anzeigen.

Empfehlungen für Schulungen zum Sicherheitsbewusstsein

Beginne die Schulungen während des Onboardings. Warte nicht darauf, dass ein Sicherheitsvorfall geschieht. Schule deine Angestellten stattdessen von Anfang an, bevor sie Zugang zu geschäftskritischen Systemen und Ressourcen erhalten.

Ermögliche praktisches Lernen. Lange Theoriesitzungen können langweilig sein. Schulungen, bei denen die Lernenden eigene Erfahrungen sammeln und Beobachtungen treffen können, sind deutlich interessanter. Hier bietet sich außerdem Software für Sicherheitsschulungen an.

Lediglich 51 % der befragten deutschen Unternehmen bieten Schulungen im Bereich der Cybersicherheit an. Diese Zahl liegt sehr gering, wenn man bedenkt, wie viele KMU bereits Opfer eines Angriffs waren und welche folgenschweren Schäden Angriffe haben können. 

Schulungen, um einen Hackerangriff auf Firmen zu vermeiden

Die meisten Schulungen werden im Bereich Datenschutz, Social Engineering, Cybersicherheit und Vor-Ort-Sicherheit und Gebäudezugang angeboten. Die Mehrheit der Unternehmen (58 %), die Schulungen anbieten, führen diese präsent durch. 

Methoden für Sicherheitsschulungen

E-Mail-Phishing ist eine der größten Gefahren. Unternehmen können Phishing-Tests durchführen und ihren Mitarbeitern verdächtige E-Mails schicken, um zu überprüfen, wie viele darauf klicken würden. Durch diesen Test können Manager identifizieren, wer noch weitere Schulungen und Training braucht. 44 % der Unternehmen aus unserer Studie geben an, einen solchen Test durchzuführen. 

2. Aktualisiere Software, Systeme und Geräte regelmäßig

Bei der Entwicklung werden Software, Betriebssysteme und Geräte mit Sicherheitscodes entsprechend der neuesten Sicherheitstrends verschlüsselt, um unautorisierte Zugriffe zu verhindern. Daher solltest du sie regelmäßig aktualisieren: Veraltete Sicherheitsmechanismen sind anfälliger für Cyberangriffe.

Angreifer suchen immer nach Schwachstellen im Sicherheitssystem und ein verpasstes Sicherheitsupdate kann ihnen die Chance für einen Angriff bieten. Veraltete Mechanismen machen es Angreifern leicht, ein Softwareprogramm oder System auszuspionieren oder zu hacken und auf diese Weise Informationen zu stehlen.

Wenn die Verwaltung von Updates für mehrere Systeme kompliziert wird, behältst du folgendermaßen den Überblick:

  • Investiere in ein Patchmanagementsystem, um alle Software- und Systemupdates im Blick zu behalten. Hier findest du ein paar Gratistools zum Ausprobieren.
  • Aktiviere automatische Updates für alle Softwareplattformen, Systeme, Geräte und Webbrowser.
  • Halte Browserplugins wie Flash oder Java aktuell.

3. Stelle den Endpunktschutz sicher

Endpunkte sind alle Geräte (wie Mobilgeräte, Desktop-PCs, Laptops oder Smartphones), die Informationen innerhalb deines Unternehmensnetzwerks senden oder empfangen. Beim Endpunktschutz werden Endgeräte mit Sicherheitscodes verschlüsselt. Dies geschieht nicht manuell, sondern über Endpoint-Protection-Software.

Die Software verschlüsselt deine Geräte und schützt sie so vor unbefugtem Zugriff. Auf diese Weise bietet sie eine zusätzliche Sicherheitsebene.

Eine ähnliche Technik ist ein Cybersicherheits-Mesh, das jedes der Geräte in deinem Unternehmensnetzwerk unabhängig sichert. Es erstellt für jeden Zugangspunkt individuelle Sicherheitsparameter und alle Zugangspunkte werden von deinen Sicherheits- und Risikoteams verwaltet.

Ein Cybersicherheits-Mesh ist für Remote-Arbeitsumgebungen geeignet, in denen Mitarbeiter über verschiedene Geräte und von unterschiedlichen Orten auf Ressourcen und Systeme zugreifen. Es ermöglicht Zugriffe erst nach einem strikten Nutzerverifizierungs- und -authentifizierungsprozess und sorgt so für mehr Datensicherheit.

Cybersicherheits-Mesh-Architektur
Quelle: Gartner’s Top Strategic Technology Trends for 2022 (vollständiger Report für Gartner-Kunden verfügbar)

4. Nutze Antivirenlösungen und Firewalls

Antivirensoftware und Firewalls gehören zu den gängigsten Methoden, mit denen Cyberangriffe in Unternehmen vorgebeugt werden. Antivirensoftware erkennt und entfernt Viren auf geschäftlich genutzten Computern und Laptops.

Firewalls überwachen den eingehenden und ausgehenden Netzwerkverkehr und filtern Viren heraus, die in Netzwerke oder Geräte eindringen wollen. Sie blockieren nicht autorisierte Eindringversuche und verhindern Angriffe so frühzeitig. Die meisten Betriebssysteme wie macOS oder Windows bieten eigene Firewalls.

Antivirensoftware und Firewalls wurden bereits von den meisten Unternehmen vor der Krise genutzt. Die Krise hat dazu geführt, dass viele Anwendungen erstmalig eingesetzt wurden. Vor allem VPN Software erhielt einen großen Anstieg. Auch Anwendungen wie Endpoint Protection Platform (EPP) und Endpoint Detection and Response (EDR), die vorher wenig genutzt wurden, wurden während COVID-19 angeschafft, um Cyberangriffe auf deutsche Unternehmen zu verringern. 

Die Nutzung von Sicherheitsanwendungen in deutschen KMU

5. Sichere deine Daten

Daten-Backups gehören zu den am häufigsten vernachlässigten Bereichen der Cybersicherheit. Leider kann diese Nachlässigkeit in Unternehmen zu großen finanziellen Verlusten führen. Sichere daher wichtige geschäftliche Daten immer sowohl online (Cloud-Speicher) als auch offline (Festplatte oder Computerspeicher).

Bringe deinen Angestellten bei, das Erstellen von Backups zur Gewohnheit zu machen. So kannst du verlorene Informationen wiederherstellen und schnell wieder die Arbeit aufnehmen, falls dein Unternehmen Opfer eines Cyberangriffs wird.

Im Folgen findest du einige Tipps für den Backup-Prozess:

  • Nutze Software für die Datensicherung.
  • Sichere deine Daten auf mehreren Speicherplattformen und bei verschiedenen Cloud-Anbietern.
  • Aktiviere automatische Datensicherungen für Systeme und Ressourcen.
  • Verschlüssele deine Datenspeicherplattformen immer mit einem Sicherheitscode.
  • Informiere dich darüber, wie lange bei den von dir gewählten Plattformen die Datenwiederherstellung dauert. Dies ist nach einem Angriff wichtig.

6. Richte Zugriffskontrollen für Ressourcen ein

Knapp zwei Drittel der befragten Unternehmen ermöglicht ihren Mitarbeitern den Zugriff auf mehr Daten, als sie für ihre Arbeit benötigen bzw. Zugriff auf sämtliche Unternehmensdaten.

Zugriff der Angestellten auf Unternehmensdaten

Wir empfehlen die Nutzung von Zugriffsmanagement-Software und Identitätsmanagement-Software, um zu regulieren und nachzuverfolgen, wie Informationen mit deinen Mitarbeitern geteilt werden. 

Dein HR-Partner braucht beispielsweise keine Informationen über die Compliance-Einhaltung. Diese Informationen fallen in den Arbeitsbereich der Rechtsabteilung und sollten für andere nicht zugänglich sein. Teile mit Mitarbeitern und Teams immer nur die Ressourcen, die für sie relevant sind.

Erstelle eine Liste von autorisierten Personen, die auf Systeme und Ressourcen zugreifen können. Bei nicht autorisierten Zugriffsversuchen sendet die Software dir eine Benachrichtigung und du kannst die Nutzungsrechte sofort ändern oder aktualisieren, um Sicherheitsverletzungen zu verhindern.

7. Nutze eindeutige Kontopasswörter

Einfache Anmeldepasswörter können von Angreifern leicht erraten werden. Dazu kommt, dass die meisten Beschäftigten ihre Passwörter für mehrere Geschäftskonten nutzen, sodass alle Konten für Hacker angreifbar werden. Untersuchungen zufolge wissen 91 % der Personen (Link auf Englisch), dass die Verwendung von Passwörtern für mehrere Konten ein Sicherheitsrisiko darstellt, doch 66 % tun es dennoch weiterhin.

Weise deine Mitarbeiter an, für Konten und Ressourcen mit sensiblen Informationen immer eindeutige und komplexe Passwörter zu nutzen. Passwörter mit eindeutigen Kombinationen aus Buchstaben und Zahlen, die regelmäßig gewechselt werden, tragen deutlich zur Sicherheit bei.

Natürlich kann es schwierig werden, sich mehrere komplizierte Passwörter zu merken. Installiere deinen Angestellten daher Passwortmanagement-Software zum Verwalten und Abrufen beliebig vieler Passwörter.

Tipps für mehr Sicherheit bei der Anmeldung

Deutlich mehr Sicherheit als nur mit Passwörtern allein erzielst du mit der mehrstufigen Authentifizierung, die neben Anmeldenamen und Passwörtern auch Sicherheitsschlüssel oder eine biometrische Authentifizierung verlangt, etwa indem Push-Benachrichtigungen an andere Geräte gesendet werden. So wird Identitätsdiebstahl verhindert und besser sichergestellt, dass nur autorisierte Nutzer Zugriff auf deine geschäftlichen Systeme und Ressourcen erhalten.

8. Begrenze Dateifreigaben und App-Downloads

Dateifreigaben und das Herunterladen von Anwendungen gehören zu den häufigsten Aktivitäten im Internet. Daher sind sie ein ideales Ziel für Cyberkriminelle. Du wolltest sie innerhalb deines Unternehmens beschränken, um die Übertragung von Viren und anderen bösartigen Elementen zu verhindern.

Blockiere das Teilen und Herunterladen von Dateien und Anwendungen über externe Quellen wie Webbrowser. Stelle sie stattdessen auf internen Plattformen wie einem privaten Cloud-Speicher zur Verfügung. Du kannst die erforderlichen Dateien und Anwendungen auch im Voraus herunterladen und an einem zentralen Ort speichern, der für alle Mitarbeiter zugänglich ist.

Wir empfehlen die Nutzung von Cloud-Speichersoftware und Software für die Zusammenarbeit im Team, um Dateifreigaben und Downloads für deine Teams zu erleichtern. Informiere dein Personal außerdem darüber, wie es Phishing-Angriffe erkennt, denn die meisten dieser Angriffe erfolgen über Links für den Download von Dateien.

Wie geht es weiter? Wirf einen Blick auf unser Cybersicherheits-Software-Verzeichnis, um das passende Tool zu finden.

Wie geht es weiter? Wirf einen Blick auf unser IT-Management-Software Verzeichnis, um das passende Tool zu finden.

Studienmethodik:

Die Befragung wurde im Dezember 2020 durchgeführt. Teilnehmer wurden per Online-Fragebogen zur Teilnahme eingeladen. Insgesamt qualifizierten sich 202 Personen für die Befragung.

Für die Umfrage haben sich folgende Teilnehmer qualifiziert:

  • Über 18 Jahre alt,
  • teil- oder vollzeitbeschäftigt,
  • in einem kleinen und mittelständischen Unternehmen mit 2-250 Mitarbeitern und einem Jahresumsatz von unter 50 Millionen Euro beschäftigt,
  • teilweise verantwortlich oder voll verantwortlich für Entscheidungen über IT-Richtlinien in ihrem Unternehmen.