So erhöhen Sie die IT-Sicherheit für Ihr Unternehmen

Die Auswirkungen einer Cyberattacke können gerade für kleine und mittlere Unternehmen existenzbedrohend sein. Zu den Folgen zählen:  

• Betriebsabläufe werden gestört, es droht das Risiko der Handlungsunfähigkeit.
• Das Unternehmen wird zu einer Lösegeldzahlung erpresst, damit die Prozesse wieder laufen oder abgezogene Daten herausgegeben werden.
• Daten werden geklaut, die Informationen über Patente enthalten.
• Kundeninformationen werden im Internet veröffentlicht, wodurch ein erheblicher Imageschaden entsteht.
• Zahlungsverkehr mit Kundinnen und Kunden oder Partnerinnen und Partnern ist eingeschränkt oder gar nicht mehr möglich.

Welche Unternehmen wovon am ehesten betroffen sind, lässt sich laut Neuberger nicht pauschal sagen. „Die Industriespionage trifft eher innovative Unternehmen. Während sogenannte DDos-Attacken, bei denen Webseiten gezielt lahmgelegt werden, weniger zu beobachten sind, nehmen die Ransomware-Angriffe stetig zu.“

Ransom ist das englische Wort für Erpressung – Ransomware sind Schadprogramme, mit denen sich Hacker/-innen Zugang zu Computersystemen verschaffen. Das gelingt ihnen etwa, indem beispielsweise Mitarbeitende ahnungslos Programme installieren, oder über Sicherheitslücken in bestehenden Programmen. „Oft schlagen die Hacker am Wochenende zu, verschlüsseln die Daten und verlangen Geld, um sie wieder freizugeben“, sagt die IHK-Expertin.

1. Technische Maßnahmen

• Updates immer sofort erledigen: „Jeder kennt das: Man wird zu einem Update aufgefordert und wartet dann oft tage- oder gar wochenlang, um es auszuführen“, sagt Neuberger. „Das kann aber fatal sein, denn nur durch die Updates werden Sicherheitslücken in der Software gestopft.“ Wer zum Update aufgefordert wird, sollte das schleunigst erledigen.
• Die Computer mit einer Firewall schützen.
• Die E-Mail-Programme nur mit Spamfilter laufen lassen.
• Die Mitarbeitenden müssen sich in den Systemen mit sicheren Passwörtern einloggen. Zugangsberechtigungen sollen sequenziert und verschiedene Bereiche mit unterschiedlichen Passwörtern abgeschottet werden.
• Eine Backupstrategie entwickeln: Die regelmäßigen Sicherheitskopien aller Daten sollten vom Netz getrennt aufbewahrt werden. Bei einem Angriff können dann Daten aus dem Schrank geholt und immerhin der Stand von vor ein paar Wochen wieder hergestellt werden.
• Auch hilfreich: Eine IT-Firma beauftragen, die das eigene Unternehmen zur Probe „angreift“ – so werden die Schwachstellen sichtbar. Für die Finanzierung externer Profis kann zum Beispiel unser Firmenkredit verwendet werden.

2. Organisatorische Maßnahmen  

• Die Kronjuwelen schützen: Jedes Unternehmen muss sich bewusst machen, welche seine sensibelsten Daten sind – und dann eine Strategie entwickeln, diese besonders gut zu schützen.
• Einen Notfallplan entwickeln: Jedes Unternehmen sollte den Worst Case durchdenken. Zu den wichtigen Fragen gehören: Welche Backup-Systeme habe ich? Wen muss ich alles kontaktieren? Wen aus dem Unternehmen muss ich an den Tisch holen? Welche relevanten Behörden, Banken und Institutionen muss ich informieren, und wie können Prozesse auch kurzfristig analog laufen?
• Sind die Systeme erstmal platt, sind oft auch Kontaktdaten nicht mehr aufrufbar. In regelmäßigen Abständen sollten diese daher ausgedruckt und abgelegt werden.
• Unternehmen sollten einen IT-Sicherheitsverantwortlichen benennen, der entsprechend geschult wird und bei einem Angriff weiß, wie die Abläufe sind.

3. Sensibilisierung der Mitarbeitenden

• Schulung, Schulung, Schulung: Nach Ansicht von Neuberger können Mitarbeitende nicht häufig genug darauf hingewiesen werden, dass sie E-Mail-Anhänge mit Skepsis betrachten und keine unbekannte Software runterladen sollen. Die Schulungen können auch Tests enthalten, wie Phishing-Mails erkannt werden, oder ob der USB-Stick, der auf dem Parkplatz gefunden wird, in den Firmenrechner gesteckt werden soll.
• Auch Workshops für gesamte Teams können helfen, nicht mehr auf falsche Update-Aufforderungen hereinzufallen oder Ransomware herunterzuladen.
• Eine weitere Möglichkeit sind Test-Phishing-Mails. Fallen die Mitarbeiter darauf herein, wird ihnen erneut die Gefahr erklärt.

Wer einen Angriff bemerkt, der muss so schnell wie möglich alles vom Internet abkoppeln, also den Netzwerkstecker ziehen. Dann die IT-Fachleute holen und am besten den Notfallplan hervorziehen. „Wir raten jedem Unternehmen, den Vorfall zu melden. Egal ob bei den Landeskriminalämtern, direkt bei der Polizei oder beim Verfassungsschutz. Hier gilt: keine Scheu. Die Beamten kommen meist unauffällig in den Betrieb, so dass nicht sofort jeder mitbekommt, was gerade los ist“, so Neuberger.

Kosten für die Schutzvorkehrungen kann Neuberger nicht beziffern. „Das ist sehr individuell, aber es gibt auch jede Menge kostenloses Material und Hilfestellung im Internet.“ Dazu zählt etwa der Sec-O-Mat von der Transferstelle für IT-Sicherheit im Mittelstand TISiM, bei dem Unternehmen testen können, wie es um ihre Cybersicherheit bestellt ist. Weitere Informationen und Checklisten gibt es etwa auf den IHK-Websites oder von der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik.