Immer mehr KMU werden Opfer von Cyberangriffen. Doch gerade dort fehlen oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten.
Allein in den Jahren 2018 bis 2020 sind knapp 30 Prozent der deutschen Mittelständler Opfer von Cyberkriminalität geworden, so eine Auswertung der KfW. Es handelt sich also um eine konkrete Bedrohung, die zu enormer Geschäftsschädigung führen kann. Gleichzeitig sehen EU-weite Verordnungen wie NIS-2 und DORA vor, dass Manager in bestimmten Branchen auch persönlich für IT-Sicherheitsverstöße haftbar gemacht werden können, was die Dringlichkeit dieses Themas natürlich noch erhöht. Es ist höchste Zeit für KMU, ihre Cybersicherheitsmaßnahmen anzupassen.
1. Auf die Cloud setzen
Lange Zeit gab es Vorbehalte gegen Datenhaltung in der Cloud. Unternehmen fühlten sich nicht sicher dabei, Daten aus der Hand zu geben. Das eigene Rechenzentrum, der eigene Server schienen die sicherere und kontrollierbarere Infrastruktur zu sein. Doch der Schein trügt. KMU, die eigene Infrastrukturen betreiben, können niemals die Ressourcen zur Cyber-Abwehr aufbieten wie ein großer Cloud-Provider. Sie werden auch kaum eine 24-Stundenbereitschaft abstellen können, die jederzeit Patches einspielen kann, sodass Systeme stets aktuell sind. Die Situation lässt sich mit Bargeld unter der Matratze vergleichen. Dass dieses dort wesentlich unsicherer verwahrt ist, als in einem Banksafe, der vielfach gesichert und rund um die Uhr bewacht ist, leuchtet schnell ein. Warum nicht auch beim Thema Cloud umdenken?
Um Datensicherheit und Datenschutz gleichzeitig zu gewährleisten, gibt es allerdings auch dort einiges zu beachten. Die Großen der Cloud-Branche verfügen natürlich über enorme Ressourcen im Sicherheitsbereich. Allerdings handelt es sich bei ihnen um amerikanische Unternehmen, die anderen Datenschutzvorgaben unterliegen als ihre europäischen Kunden. Nutzer aus der EU sollten also sicherstellen und vertraglich vereinbaren, dass die Hyperscaler ihre Daten ausschließlich in Rechenzentren innerhalb der Union hosten. Inzwischen bieten sie sogar auch eine eigene Datenverschlüsselung an. Doch ein gewisser Grad der Abhängigkeit bleibt. KMU, die sich doppelt absichern wollen und sich nicht ausschließlich auf den Cloud-Provider verlassen möchten, können ihre Daten selbst verschlüsseln, bevor diese in eine Cloud gelangen.
2. Kryptografie nutzen
Kryptografie und Datenverschlüsselung klingt hochkomplex und das ist es auch. Doch das sollte KMU nicht verunsichern. Inzwischen existieren auch auf diesem Gebiet leistungsfähige As-a-Service-Lösungen zertifizierter europäischer Partner. Beispielsweise können Unternehmen so eine Datei- und Ordnerverschlüsselung umsetzen, die unabhängig vom Speicherort funktioniert und vollständig vom Anbieter gemanagt wird. KMU, die bereits eigene kryptografische Dienste betreiben, dafür aber kein eigenes Hardware-Sicherheitsmodul On-Prem bereitstellen wollen oder können, können auf Angebote wie HSM-as-a-Service zurückgreifen. Dabei wird das Modul in einer hochsicheren Umgebung des Anbieters betrieben, steht aber unter der alleinigen Fernkontrolle des Nutzers.
3. Phishern nicht in die Netze gehen
Phishing, also das Abgreifen von Zugangsdaten mit gefälschten digitalen Inhalten, bildet den häufigsten Angriffsvektor. Die Inhalte der Betrüger werden dabei immer ausgefeilter und sind wesentlich schwerer zu erkennen als noch vor wenigen Jahren. Besonders gefährlich wird es, wenn Phishing noch mit Social Engineering kombiniert wird, wobei gezielt einzelne Personen ins Visier genommen und unter Druck gesetzt werden. Angreifer recherchieren dazu im Vorfeld ausgiebig und verschaffen sich möglichst detaillierte Informationen zur Firma und zum Opfer. Meist geben sie akute Notfälle vor, was Mitarbeiter immer wieder wider besseren Wissens zu gefährlichen Aktionen verleitet.
Neben Aufklärung und Schulung von Mitarbeitern sollten also immer auch technische Lösungen implementiert werden, die im Ernstfall greifen. Setzen KMU konsequent auf Multifaktor-Authentifizierung, würden erbeutete Zugangsdaten allein einem Angreifer nicht viel nützen. Eine Anmeldung müsste über einen weiteren Faktor, in der Regel das Mobiltelefon des Mitarbeiters, bestätigt werden.
Gegen gefälschte digitale Inhalte können Unternehmen vorgehen, indem sie Dokumente oder E-Mails elektronisch signieren. Dadurch kann sichergestellt werden, dass diese authentisch und unverändert sind, sowie wirklich vom angegebenen Absender stammen. Elektronische Signaturen können von Integratoren sehr leicht in bestehende Prozesse eingebunden werden, sodass dadurch kaum zusätzliche Komplexität entsteht.
4. Verifizieren und zertifizieren statt blind vertrauen
Der Zugang zum Betriebsgelände ist in der Regel reglementiert und der Pförtner überwacht am Eingang, wer hineinkommt. Dazu prüft er die Identitäten von ihm unbekannten Personen und verifiziert im Zweifelsfall, ob diese tatsächlich eine Zugangsberechtigung haben. Ähnlich verhielt sich dies lange Zeit auch mit den IT-Umgebungen von Unternehmen. Mittels Firewall konnten die Systeme ziemlich gut gegen die Außenwelt abgeschottet werden. Seit dem massiven Wachstum der Drahtlosnetzwerke – von WLAN bis 5G – und in Zeiten von IoT ergeben sich allerdings ganz neue Herausforderungen. Auch Mitarbeiter im Homeoffice benötigen Zugriff auf Daten und Dienste des Unternehmens. Werden in der Industrie Smart Factories aufgebaut, kommen dort unzählige weiter vernetzte Geräte und Maschinen hinzu. Um agile Prozesse zu gewährleisten, müssen mitunter auch Kunden, Lieferanten oder Partner mit ihren Geräten auf Unternehmensnetzwerke zugreifen.
Die Überwachung und Verwaltung der Geräte im eigenen Netzwerk ist also heute oberste Pflicht. Während traditionelles Identity and Access Management auf Accounts und rollenbasierte Zugriffmodelle setzt, stellen sich beim Thema IoT ganz neue Fragen. Hinter einem vernetzen Gerät steht kein Mensch mit einem persönlichen Account, der sich bei Bedarf mit Multi-Faktor-Authentifizierung verifizieren kann. Dennoch ist es von immenser Bedeutung, den Zugriff von IoT Devices reglementieren zu können. Dafür benötigen diese allerdings erst einmal eine eindeutige, fälschungssichere Identität. Dafür kann wiederum Kryptografie genutzt werden, indem ein sicherer Schlüssel als Erkennungsmerkmal in die Geräte eingebracht wird. Sogar solche komplexen Techniken sind mittlerweile als Service zu beziehen.
Mehr bei Utimaco.com
Über Utimaco
Utimaco ist ein global führender Anbieter von Hochsicherheitstechnologien für Cybersecurity und Compliance-Lösungen und Services mit Hauptsitz in Aachen, Deutschland und Campbell (CA), USA. Utimaco entwickelt und produziert On-Premise und Cloud-basierte Hardware-Sicherheitsmodule, Lösungen für Schlüsselmanagement, Datenschutz und Identitätsmanagement sowie Data Intelligence-Lösungen für regulierte kritische Infrastrukturen und öffentliche Warnsysteme.
Passende Artikel zum Thema