IT- und Cybersicherheit: Dringende Handlungsempfehlungen für Unternehmen
Wirtschaft und Gesellschaft profitieren von der vernetzten, digitalisierten Welt. Sowohl Institutionen als auch Firmen und einzelne Personen sind gegen Cyberangriffe verwundbarer geworden. Unternehmen sollten ihre IT-Sicherheitsmaßnahmen stärken und Abwehrstrategien für Cyberangriffe prüfen. Passend dazu informieren wir mit sieben konkreten Hinweisen, welche Vorbereitungen und Vorsichtsmaßnahmen insbesondere kleine und mittelständische Unternehmen treffen sollten, um sich vor Cyberangriffen zu schützen.
1. Maximierung der Sicherheit aller Zugänge
Die Sicherheit zu stärken bedeutet immer, möglichst starke Passwörter zu nutzen. Diese können laut Bundesamt für Sicherheit in der Informationstechnik (BSI) „kürzer und komplex“ oder „lang und weniger komplex“ sein. Als Faustregel gelten drei Grundsätze, um ein Passwort sicher zu gestalten:
- Ein Passwort ist 20 bis 25 Zeichen lang und nutzt zwei Zeichenarten (beispielsweise eine Folge von Wörtern). Es ist dann lang und weniger komplex.
- Ein Passwort ist 8 bis 12 Zeichen lang und nutzt vier Zeichenarten (Groß- und Kleinschreibung, Zahlen und Sonderzeichen). Es ist dann kürzer und komplex.
- Ein Passwort ist 8 Zeichen lang, nutzt drei Zeichenarten und wird zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert (beispielsweise durch einen Fingerabdruck, eine Bestätigung per App oder eine PIN). Dies ist generell empfehlenswert.
Ein sehr langes Passwort mit vielen Zeichenarten kann in Kombination mit einer Mehr-Faktor-Authentisierung die Sicherheit grundlegend erhöhen. Wer sich lange Zeichenfolgen von 32 bis zu 64 Zeichen nicht merken kann, sollte diese Passwörter über einen Passwort-Tresor sicher aufbewahren. Ein solcher Passwort-Tresor speichert alle Logins und Kennwörter an einem sicheren Ort. So müssen einzelne Personen sich nicht jedes einzelne Passwort merken, sondern können einfach über das Programm des Passwort-Tresors oder über eine browserbasierte Online-Anwendung auf die gespeicherten Daten zugreifen. Die Passwort-Manager sind für viele verschiedene Betriebssysteme zu haben: Windows, Mac, Linux, Android oder iOS. Je nach Anbieter kann sich die Kompatibilität jedoch unterscheiden. Anstatt sich also viele verschiedene Kennwörter zu merken, muss nur noch das Master-Passwort zum Passwort-Tresor gemerkt werden.
Die folgende Tabelle von Hive Systems (in Englisch) dient zur besseren Verdeutlichung, wie lange automatisierte „Brute Force“-Angriffe auf einen Zugang benötigen, um das passende Passwort zu einem bekannten Login, z.B. für ein E-Mail-Konto, herauszufinden.
Ein einfaches Passwort wie eine PIN aus Zahlen oder Kleinbuchstaben kann innerhalb weniger Sekunden bis Stunden erraten werden. Hingegen können komplexe und längere Passwörter mit entsprechenden Variationen an Klein- und Großbuchstaben, Zahlen und Sonderzeichen eine recht hohe Sicherheit bieten, da selbst automatische Mechanismen mehrere Jahre, wenn nicht sogar Jahrtausende benötigen würden, um ein solch komplexes Passwort zu erraten. Investieren Sie in sichere Passwörter, um Ihre digitale Infrastruktur und ihre digitalen Geschäftsprozesse zu schützen.
2. Investitionen in die Infrastruktur
Sogar ohne Budget für große IT-Sicherheitsmaßnahmen kann die Cybersicherheit erhöht werden. Kleine und mittlere Unternehmen sollten regelmäßig die Anmeldeinformationen zu ihren wichtigen IT-Infrastrukturen überprüfen und die Passwörter zu den Zugängen entsprechend ändern. Der standardmäßige Einsatz von mehreren Faktoren, der sogenannten Multi-Faktor-Authentifizierung, zur Identifizierung von Nutzerinnen und Nutzer erschwert es digitalen Angreifern, durch Phishing oder Diebstahl erhaltene Zugangsdaten auszunutzen.
Eine Einschränkung von Zugriffsrechten erschwert außerdem den Angreifern die Ausbreitung von Schadsoftware oder den direkten Zugriff im Netzwerk. Die zeitnahe Installation von sicherheitsrelevanten Aktualisierungen, die bekannte Sicherheitslücken schließen, reduziert die Verwundbarkeit. Mit Virenschutz-Programmen auf allen Endgeräten kann Schadsoftware frühzeitig erkannt und deren Ausführung verhindert werden. Ein sicheres Backup der sensiblen Daten von Unternehmen sollte regelmäßig tagesaktuell, physisch vom Hauptort der Datenablage getrennt und sicher verschlüsselt sein.
3. Minimierung von Risiken und Auswirkungen der Cyberangriffe
Unternehmen sollten ihre Schutzmaßnahmen insgesamt verstärken. Betriebssysteme und Software müssen auf dem aktuellen Stand sein, Sicherheitsupdates sollten zügig eingespielt werden. Sichere, komplexe und für jedes System unterschiedliche Passwörter tragen signifikant zur Erhöhung des Schutzniveaus bei. Möglichst alle Logins mit Außenanbindung sollten über eine Multi-Faktor-Authentifizierung geschützt werden. Privilegien und Administrationsrechte sollten für einzelne Nutzerinnen und Nutzer eingeschränkt werden und die Komplexität von verwendeten Diensten insgesamt verringert werden.
Eine solche Stärkung der Systeme ist trotz Einschränkung der Nutzungsfreundlichkeit und Produktivität zum Schutz der eigenen Infrastruktur und unternehmenssensiblen Daten ratsam. Zudem ist die unternehmenseigene Backup-Strategie zu prüfen und nachzuziehen, sodass alle relevanten Unternehmensdaten gesichert sind und zusätzlich Sicherheitskopien offline auf einem externen Datenträger existieren.
4. Definition von Verantwortlichkeiten und Ablaufprozessen
Unternehmen müssen jederzeit reaktionsfähig sein, um einen Angriff abzuwehren. Indem die Verantwortlichkeiten im Sicherheitsbereich definiert werden, sollten diese Personen mit Entscheidungsbefugnissen für den Ernstfall befähigt werden. Die Einrichtung entsprechender Kontakt- und Anlaufstellen muss sowohl intern als auch bei externen Dienstleistern gewahrt werden. Zu jeder Zeit sollte ausreichend Personal einsatzfähig sein, so dass Urlaubszeiten oder Vertretungen im Krankheitsfall dabei berücksichtigt werden sollten. Sogar ohne die Hilfe externer Dienstleister müssen Unternehmen kurzfristig reagieren können, weil die externen Kräfte bei großflächigen Cyberangriffen an Kapazitätsgrenzen stoßen könnten.
5. Sensibilisierung von Beschäftigten
Der Mensch bleibt eines der größten Sicherheitsrisiken, gleichzeitig gilt der Mensch aber auch Schutzgarant eines Unternehmens. Unternehmen müssen die Resilienz der Menschen, also ihre Abwehrfähigkeiten erhöhen. Alle Beschäftigten sollten zielgruppengerecht für das erhöhte Risiko von Cyberangriffen sensibilisiert werden. Potenzielle Gefahren sollten verständlich erklärt und Schritt-für-Schritt-Anleitungen bereitgestellt werden, um sich im Falle eines Cyberangriffs richtig zu verhalten, und an wen man sich wenden muss. Gegebenenfalls können kurzfristige Sicherheitsschulungen sinnvoll sein, mit denen die Wachsamkeit in der Belegschaft erhöht werden. Besonders für den E-Mail-Verkehr gilt, Hyperlinks und Anhänge nicht vorschnell zu öffnen und ungewöhnliche Anweisungen mit Skepsis zu betrachten. An Unternehmen werden auch sehr gezielte und gut gemachte Phishing-Mails geschickt, wodurch der Fake nur anhand weniger Details wie etwa eines falsch geschriebenen Namens oder einer falschen Durchwahl in der Signatur entdeckt werden kann.
6. Erstellung von Notfallplänen
Im Angriffsfall auf die digitale Infrastruktur sollten kleine und mittlere Unternehmen einen Notfallplan besitzen. Dieser schildert das weitere Vorgehen und beinhaltet Handlungsempfehlungen wie die technischen Abläufe, organisatorische Punkte wie die Kontaktdaten relevanter Ansprechpersonen im Unternehmen und die Notfallkontakte von offiziellen Anlaufstellen. Insbesondere rechtliche Aspekte wie Meldepflichten bei Datenschutzverletzungen sollten berücksichtigt werden. Zur vorbereiteten Krisenkommunikation zählt außerdem die Information aller relevanten Stakeholder wie Kundinnen und Kunden, Partnerinnen und Partner sowie die Öffentlichkeit.
7. Informationen offizieller Stellen beobachten
Die Sicherheitslage ist nicht nur in Krisenzeiten hochdynamisch und kann sich daher von Tag zu Tag ändern. Unternehmen sollten daher die Meldungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundesministerium der Verteidigung (BMVG), die Deutsche Gesellschaft für Cybersicherheit, der Cyber-Sicherheitsrat Deutschland e.V., das Computernotfallteam der Bundesverwaltung CERT-Bund, den BITKOM Digitalverband sowie der Allianz für Cybersicherheit (ACS) stets beobachten.
Weitere Unterstützung
Cybersicherheit umfasst alle Aspekte der Sicherheit in der Informations- und Kommunikationstechnik – und somit ein klarer Fall bei der Digitalisierung von Unternehmen. Sollten Sie konkrete Fragen zu der IT-Sicherheit in Ihrem Unternehmen haben oder ihre digitalen Prozesse auf den Prüfstand heben wollen, unterstützt Sie das unabhängiges und erfahrenes Team vom Mittelstand-Digital Zentrum Rheinland. Insbesondere durch die fortschreitende Digitalisierung von Geschäftsprozessen und durch den Einsatz von vernetzten Technologien weitet sich das Aktionsfeld der klassischen IT-Sicherheit auf den gesamten Cyber-Raum und sämtliche mit dem Internet verbundene Techniken aus.