Cyber Security Maßnahmen für kleine Unternehmen, Einzelunternehmer und Handwerksbetriebe
Seit Jahren häufen sich die Nachrichten über kleine und mittelständische Unternehmen, die durch eine Cyberattacke mit Betriebsunterbrechung zu kämpfen haben und wochen-, wenn nicht gar monatelang in ihrer Arbeit eingeschränkt sind. Diese trifft – neben größeren Unternehmen – auch auf Einzelunternehmen und Handwerksbetriebe zu. Oft sind Betriebe und Unternehmer durch diese Vorfälle in ihrer Existenz bedroht.
Sobald die Daten verschlüsselt sind, bleibt für viele nur der Ausweg das Lösegeld zu bezahlen, um ihre Daten Wiederherstellen zu können. Auch wenn die Schadenssummen hier niedriger sind als bei großen Konzernen, Forderungen im unteren fünfstelligen Bereich können kleine Unternehmen sehr schnell vor eine Herausforderung stellen.
Cyber Security ist oft erst im Anschluss ein Thema und selbst hier stellt sich für viele die Frage, wo sie anfangen sollen. Große Beratungsunternehmen schießen oft über das Ziel hinaus und umfassende Softwarelösungen sind für kleine Unternehmen oft zu teuer. Was also soll man tun, um sich vor den kommenden Angriffen zu wappnen?
Auf diese Frage gibt es keine alleingültige Antwort. Jedoch lohnt sich ein Blick in die Arbeiten des BSI und die existierenden Standards innerhalb der Informationssicherheit, um eine Idee dafür zu bekommen, wo es hingehen könnte.
Erkennen und Bewerten von Risiken
Ein Punkt haben alle Standards im Bereich Informationssicherheit gemein, das Erkennen und Bewerten von Risiken für die Informationswerte eines Unternehmens. Was hier sehr geschwollen klingt lässt sich, in einem ersten Schritt, recht einfach umsetzen. Machen Sie sich Gedanken darüber, was im Ernstfall passieren könnte und welche Auswirkungen das auf Ihre Arbeit und das Unternehmen hat.
Hierbei können beispielsweise folgende Fragen beantwortet werden:
- Welche Prozesse sind digitalisiert?
- Wo liegen die kritischen Daten des Unternehmens/des Betriebs?
- Was mache ich, wenn auf bestimmte Daten nicht mehr zugegriffen werden kann?
- Was passiert, wenn meine komplette IT nicht mehr funktioniert?
- Mit was verdiene ich mein Geld und was kann dazu führen, dass dieser Prozess stoppt?
Natürlich ist die Liste offener Fragen zur Identifikation von Risiken schier endlos. Die Liste gibt Ihnen aber einen guten Überblick über die wichtigen Werte in Ihrem Unternehmen und zeigt die ersten Risiken auf. Was passiert denn wirklich, wenn ein Prozess zum Erliegen kommt und wie kann dieser wieder gestartet werden? Sich vorab darüber Gedanken zu machen, hilft Ihnen im Notfall.
Wenn Sie hier nicht weiterkommen, holen Sie sich externe Hilfe.
Hier kann es Sinn machen die identifizierten Risiken und die möglichen Schäden bei den Mitarbeitern anzusprechen. So bekommen diese ebenfalls ein Bild davon, was für Risiken für das Unternehmen bestehen, die im schlimmsten Fall auch ihren Job treffen können.
Bezieht man die Mitarbeiter mit in den Prozess ein und lässt sie nicht außen vor kann so das Verständnis und das Bewusstsein für Cyber Security gestärkt werden.
Umsetzung von Sicherheitsmaßnahmen
Nach dem Erkennen und Bewerten der Risiken sollten Vorkehrungen getroffen werden um die Eintrittswahrscheinlichkeit jedes Risikos zu minimieren oder die Risiken komplett zu vermeiden. Die umzusetzenden Maßnahmen sind sehr davon abhängig, wie digital Ihr Unternehmen arbeitet und wie die Systemlandschaft in Ihrem Unternehmen aufgebaut ist.
Backup-Strategie
Eine der wichtigsten Maßnahmen sind funktionierende Backups, oft werden diese bei Angriffen entweder mit verschlüsselt oder die Backups sind nicht funktionsfähig. Daher ist neben der richtigen Backupstrategie auch wichtig, dass die Funktionalität der Backups regelmäßig geprüft wird.
Eine Backupstrategie für ein kleines Unternehmen könnte wie folgt aussehen:
1. Identifizieren Sie kritische Daten
Bestimmen Sie, welche Daten für das Funktionieren des Unternehmens unerlässlich sind, und legen Sie Prioritäten für die Sicherung fest.
2. Erstellen Sie einen Zeitplan
Legen Sie einen regelmäßigen Zeitplan für die Datensicherung fest, z. B. täglich oder wöchentlich.
3. Verwenden Sie mehrere Speichermethoden
Verwenden Sie eine Kombination aus lokalem Speicher, z. B. einer externen Festplatte, und Cloud-basiertem Speicher, z. B. Google Drive oder Dropbox, um sicherzustellen, dass die Daten an mehreren Orten gesichert werden.
4. Testen Sie Backups regelmäßig
Testen Sie den Sicherungsprozess regelmäßig, um sicherzustellen, dass er ordnungsgemäß funktioniert und dass die Daten problemlos wiederhergestellt werden können.
5. Automatisieren Sie den Prozess
Verwenden Sie Sicherungssoftware, die den Sicherungsprozess automatisiert und bei Problemen Benachrichtigungen sendet.
6. Mitarbeiter schulen
Informieren Sie Ihre Mitarbeiter über die Bedeutung der Datensicherung und die Verfahren, die zum Schutz der Daten eingesetzt werden.
7. Review und Update
Überprüfen und Aktualisieren Sie die Backup Strategie regelmäßig, um sicherzustellen, dass sie immer noch effektiv ist, und passen Sie sie an alle Veränderungen im Unternehmen an.
Richtlinien
Richtlinien können in einigen Fällen eine geeignete Maßnahme sein, um ein Risiko zu reduzieren. Hierbei geht es meistens um Arbeitsanweisungen, die vorgeben, wie Mitarbeiter sich in einem bestimmten Fall zu verhalten haben oder wie Arbeitsgeräte und -plätze zu benutzen sind. Ein Beispiel ist eine Richtlinie zur Nutzung von Email und Internetdiensten, die wir oft bei unseren Kunden vorfinden.
Hier sieht man oft, dass sich durchaus schon Gedanken zum Thema Cyber Security gemacht wurde, jedoch sind die Richtlinien oft veraltet und wurden lange Zeit nicht gepflegt. Dies führt meistens dazu, dass die Richtlinie nur noch teilweise auf das aktuelle Tagesgeschehen zutrifft und häufig nicht mehr anwendbar ist.
Aus dem Grund sollten Richtlinien regelmäßig überprüft werden. Im besten Fall gilt dies auch für die Risikobewertung. Dort können im Anschluss die getroffenen Sicherheitsmaßnahmen neu bewertet werden, ob diese weiterhin ausreichend sind, um die Risiken zu minimieren. Im gleichen Zug sollten dann auch die Richtlinien überprüft und gegebenenfalls erneuert werden.
Dies gilt auch für den nächsten Punkt.
IT-Notfallplanung
Mit der Notfallplanung wird generell sichergestellt, dass das Unternehmen fortgeführt werden kann, wenn ein Notfall eintritt. Das gleiche gilt für die IT-Notfallplanung. Machen Sie sich Gedanken darüber, wie Sie auf bestimmte IT-Notfälle reagieren, welche Sofortmaßnahmen Sie treffen müssen und wer Ihre wichtigen Ansprechpartner sind.
Halten Sie dies alles schriftlich in einem Notfallplan fest. Auch hier bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorlagen und hat bereits einiges an Grundlagenarbeit erledigt.
Sollten Sie Schwierigkeiten bei der Notfallplanung haben, scheuen Sie sich nicht sich auch hier externe Hilfe zu holen.
Fazit
Zu guter Letzt lässt sich nur noch einmal betonen, dass auch die Anzahl an Cyberangriffe auf kleine Unternehmen, Einzelunternehmer und Handwerksbetriebe weiter zunehmen wird. Diese Angriffe finden nicht gezielt stattfinden, sondern dann, wenn sich die Möglichkeit dazu ergibt. Dies kann eine Mail sein, die in die falschen Hände gerät, eine Phishing-Mail, die nicht bemerkt wird oder eine Schwachstelle in einem extern verfügbaren System, die soeben erst bekannt wurde.
In allen Fällen hilft nur gute Vorbereitung. Mit den Mitteln und den Ressourcen die Ihnen zur Verfügung stehen. Die fünf genannten Punkte lassen sich beliebig vertiefen und erweitern. Verfolgen Sie diese regelmäßig und arbeiten Sie mit den Ergebnissen, dann verbessert sich auch Ihre Sicherheit nach und nach.