- Sicherheitslücken zügig schließen: KMU sollten in der Urlaubszeit Cyber-Security nicht vernachlässigen
- Reputationsverlust und wirtschaftlichen Schäden durch Erpressungstrojaner jetzt vorbeugen
Wenn die Personaldecke im Unternehmen dünn wird, weil viele Mitarbeiter:innen gleichzeitig im Urlaub sind oder im Home-Office arbeiten, dann wittern Cyberkriminelle ihre Chance. Die Bedrohungslage für mittelständische Unternehmen in Deutschland verschärft sich, sagen 74 Prozent der befragten Sicherheitsexpert:innen in der eco Sicherheitsstudie 2021. Cyberkriminelle kennen die gängigen und aktuellen Sicherheitslücken, beispielsweise auf E-Mail Servern, und suchen gezielt nach Systemen, die diese noch nicht geschlossen haben. Rund jedes fünfte Unternehmen hatte im vergangenen Jahr einen oder mehrere gravierende Sicherheitsvorfälle. Bei rund 20 Prozent dieser Vorfälle haben die Cyberkriminellen Trojaner-Software eingesetzt, um Lösegeld zu erpressen die Firmen zahlen sollten, damit verschlüsselte Dateien wieder freigegeben werden.*
„Werden Anwendungen und Daten von Erpressungstrojanern, sogenannter Ransomware, verschlüsselt und sogar Kundendaten gestohlen, dann erleiden Unternehmen einen herben Reputationsverlust. Im schlimmsten Fall kann die Situation existenzbedrohend sein“, sagt Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter Mitgliederservices im eco – Verband der Internetwirtschaft e. V. „Unternehmen müssen sich jederzeit maximal absichern und im Fall der Fälle schnell reagieren können.“ IT-Verantwortliche sollten regelmäßig, besonders in der Urlaubszeit, die Sicherheit aller IT-Systeme checken und die Kollegen und Kolleginnen schulen und sensibilisieren. Konkret gibt der eco – Verband der Internetwirtschaft e. V. dafür sechs Tipps:
- Halten Sie alle Systeme jederzeit auf dem neuesten Stand. Machen Sie dazu eine Bestandsaufnahme der eingesetzten Software und Systeme: Was wird wo genutzt? Welche Systeme laufen aktuell und welche wurden außer Betrieb genommen? Legen Sie Prozesse für regelmäßige Updates und für Notfallpatches fest und üben Sie diese mit Ihren Mitarbeiter:innen ein.
- Sammeln Sie proaktiv Informationen zu möglichen Schwachstellen, etwa vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und CERT-Bund. Bewerten Sie Risiken und klassifizieren Sie diese entsprechend: Welche Services sind für mein Unternehmen am wichtigsten, welche Auswirkungen haben Schwachstellen für mein Geschäft?
- Planen Sie Ihre Reaktion auf eine eventuelle Krise oder Notfall im Vorfeld. Fast jedes dritte Unternehmen (31 Prozent) hat noch keinen Notfallplan festgelegt, um entsprechend reagieren zu können.* Holen Sie das so schnell wie möglich nach und briefen Sie Ihre Mitarbeiter:innen entsprechend, um Schäden für Organisationen, Unternehmen oder Einzelpersonen zu begrenzen oder abzuwenden.
- Sensibilisieren Sie Ihre Belegschaft regelmäßig hinsichtlich der Cybergefahren, die beispielsweise durch Phishing-Attacken drohen. Klären Sie Ihre Mitarbeiter:innen regelmäßig auf und bauen Sie entsprechende Kompetenzen auf, damit Ihre Kolleg:innen im Zweifelsfall richtig reagieren. Mit regelmäßigen Schulungen halten Sie diese Security-Awareness und das Bewusstsein für die Cybergefahren in der Unternehmenskultur hoch.
- Nutzen Sie starke Passwörter entsprechend der Empfehlung des BSI: Wählen Sie Passwortlängen von mindestens acht Zeichen, verwenden Sie Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern. Passwörter sollten nicht notiert, sondern nur verschlüsselt auf dem Rechner gespeichert werden. Tipp: Eselsbrücken können helfen, sich kryptische Passwörter zu merken.
- Machen Sie regelmäßige Backups, die schützen Sie und Ihr Unternehmen vor Datenverlust, beispielsweise bei Ransomware-Vorfällen und Hardware-Schäden. Anwendungen für Computer, Tablets und Smartphones machen die Sicherung für jeden in kurzer Zeit möglich – beispielsweise über Cloudlösungen oder externe Gerätespeicher. Die Datensicherung des Computers und der mobilen Geräte sollte wie das tägliche Zähneputzen zu einem unverzichtbaren Ritual werden.
*Für die eco IT-Sicherheitsstudie 2021 haben der eco – Verband der Internetwirtschaft e. V. Ende 2020 rund 175 Sicherheitsexpert:innen befragt. Die Studie steht eco Mitgliedern hier zum Download zur Verfügung.