Cyber Security IT-Risiken im Mittelstand erkennen, vorbeugen, versichern

Menü

Hände weg

Hochgradig innovativ, schlagkräftig und fix beim Umsetzen der Ideen – um seinen Mittelstand wird Deutschland weltweit beneidet. Zu Recht, sorgt er doch für mehr als die Hälfte der Wirtschaftsleistung und ist zugleich das Versprechen auf eine erfolgreiche Zukunft. Die Schattenseite der Erfolgsgeschichte: Der „German Mittelstand“ ist längst weltweit zu einem bevorzugten Ziel von Cyberangriffen aller Art geworden.

„Die große Bedeutung des Themas Cybersicherheit ist definitiv im Mittelstand angekommen“, sagt Bernd König, bei T-Systems zuständig für Cyber Security. Das sei die gute Nachricht, es gebe allerdings auch eine schlechte: Es hapert daran, diese Erkenntnis umzusetzen in gelebte Praxis. Was den Experten allerdings nicht wundert: „Viele Mittelständler sind mit dieser Aufgabe einfach überfordert.“

„Komplette Sicherheit ist heute nicht mehr möglich“

Wie sieht er also aus, der optimale Schutz vor Cyberangriffen für kleine und mittlere Unternehmen? Schon die Frage sei falsch formuliert, sagt Fachmann König: „Das suggeriert komplette Sicherheit. Die ist heutzutage aber nicht mehr möglich. Dazu ist die Angreiferlage zu dynamisch, zu komplex, und das leider gleichzeitig.“ Dieser Tatsache müsse man sich als Verteidiger einfach stellen: „Nichts zu tun ist natürlich auch keine Option.“

Ein guter Cyberschutz besteht nach Königs Meinung heutzutage aus dem Dreiklang Prävention, Detektion und Reaktion. Also einerseits aus Programmen wie den üblichen Firewalls und Spamfiltern, die automatisierte Standardattacken, die jeden Tag tausendfach erfolgen, effektiv abhalten – und andererseits auch aus Technik und Software, die alle Angriffe in Echtzeit anzeigt, aufzeichnet und klassifiziert. So könne ein erneuter Angriffsversuch aus derselben Quelle schneller abgewehrt werden.

Falls doch ein Cyberangriff den Schutzwall durchbricht – womit unbedingt zu rechnen ist –, braucht jedes Unternehmen eine weitere Verteidigungslinie, die darauf ebenfalls in Echtzeit aktiv reagiert. Gebraucht wird ein Schutzsystem, „das betroffene Rechner sofort vom Netz trennt, automatisch möglicherweise gekaperte Passwörter sperrt und im Notfall Daten löscht“, sagt der T-Systems-Experte Bernd König.

Von solchen Systemen sind die meisten Mittelständler weit entfernt. Zu oft verlassen sie sich auf klassische Schutzmechanismen wie Firewalls, Virenscanner und Spamfilter. „Das reicht für die aktuellen Bedrohungen nicht mehr aus“, sagt Markus a Campo, IT-Sicherheitsexperte beim Münchner Marktforschungs- und Beratungsunternehmen Experton Group. Der typische Administrator, der sich um IT-Sicherheit oft nebenbei kümmern muss, stehe gegen die geballte kriminelle Energie auf verlorenem Posten.

Einen umfassenden Cyberschutz aufzubauen übersteigt die finanziellen und personellen Ressourcen von kleinen und mittleren Betrieben bei Weitem. Daher gibt es – je nachdem wie viel Geld ein Unternehmen in seinen Cyberschutz stecken kann und will – einen bunten Strauß an Dienstleistern und Angeboten.

Bevor sich eine Firma für irgendein Paket oder eine andere Softwarelösung entscheidet, sollte zuvor der Zustand des eigenen Cyberschutzes analysiert werden, empfiehlt Campo. „Dazu suche ich mir als Mittelständler einen vertrauenswürdigen Security-Berater und stelle in einem Workshop fest, was ich bereits habe und was zu einem guten Schutz noch fehlt.“

Solche Workshops bietet etwa VdS Schadenverhütung an, Kölner Tochterfirma des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). Für einen schnellen Check reicht meist ein Tag aus. Bei einem solchen Quick-Audit analysiert ein VdS-Experte vor Ort, wie gut das Unternehmen geschützt ist – sowohl technisch als auch von den Organisationsstrukturen her (essenzielle Fragen des Quick-Checks finden Sie auf Seite 22). Der abschließende Bericht deckt bestehende Sicherheitslücken auf und listet ganz präzise Vorschläge zur Verbesserung der jeweils individuellen Cyber Security auf.

Wenn geklärt ist, was zu einem guten Cyberschutz fehlt, gibt es zwei Strategien: selbst machen oder einen Dienstleister suchen. Die dritte Option wäre als Mix aus beidem ein Managed-Security-Service. Dabei wird ein Server mit der entsprechenden Sicherheitssoftware im Betrieb aufgestellt, der das IT-Netzwerk vor Ort überwacht, aber aus der Ferne vom Dienstleister betreut wird. „Um das Aufspielen von Updates der Sicherheitssoftware, deren Betrieb und das Auswerten der Angriffe muss sich das Unternehmen nicht mehr kümmern“, sagt IT-Experte Markus a Campo. Und falls doch eine Attacke den Schutz durchbreche, werde der jeweilige IT-Verantwortliche informiert und bei der Koordination der Gegenmaßnahmen unterstützt – sofern das im Service inbegriffen sei. „Es lohnt sich deshalb in jedem Fall, die Verträge genau anzusehen.“

Skeptisch sein, wenn der Chef wieder mal was will

Aktuelle Software und Technik ist nur die eine Hälfte des Schutzes vor Cyberangriffen. Die andere besteht aus aufgeklärten und geschulten Mitarbeitern. Denn die Angriffe über E-Mails sind heute oft so raffiniert, dass sie auf den ersten Blick gar nicht als solche wahrgenommen werden. „Wer wundert sich schon über eine Mail vom Chef, in der steht, dass man etwas erledigen soll und das dazu nötige Dokument über einen Dropbox-Link geholt werden kann“, sagt Campo. Wer nicht sofort erkennt, dass der Chef eigentlich einen anderen Schreibstil hat, oder weiß, dass er im Urlaub ist oder die Dropbox intern sowieso nicht genutzt werden darf, klickt den Link natürlich. Und schon ist es passiert.

Gesunde Skepsis könne gezielt geschult werden, sagt der Experton-Mann. Was sonst passieren kann, zeigte der Verschlüsselungstrojaner Locky. Das Programm kam 2016 getarnt als Rechnung in viele E-Mail-Postfächer und infizierte deutschlandweit an nur einem Tag 17.000 Rechner. Wer den Anhang öffnete, stand Sekunden später vor einem komplett verschlüsselten Rechner, bei dem nichts mehr funktionierte außer der Lösegeldforderung – zu zahlen in der Internetwährung Bitcoin. Die Geldflüsse können nach einer Überweisung kaum nachverfolgt werden. „Das hat leider in vielen Fällen funktioniert“, sagt Campo. Was nicht nur an der fehlenden gesunden Skepsis der Mitarbeiter gelegen habe, sondern ebenso an fehlenden oder veralteten Back-ups.

Cyberangreifer mit der 3-2-1-Regel austricksen

Eine Datensicherungsstrategie gehört zwingend zum Schutz vor Internetangriffen. Oft ist sie in Security-Angeboten bereits enthalten. Experten raten hier zur sogenannten 3-2-1-Regel. Das bedeutet: Drei Kopien aller kritischen Daten sollten auf mindestens zwei unterschiedlichen Medien liegen – der Festplatte etwa, auf der CD oder im Cloudspeicher –, wovon mindestens ein Back-up außerhalb des Unternehmens zu lagern sei. „Die Redundanz-Strategie macht einen Datenverlust sehr unwahrscheinlich“, sagt Campo.

Weiteren Schutz vor Netzangriffen bietet eine intelligent angelegte IT-Infrastruktur. So sollten IT-Systeme, auf denen besonders sensible Daten liegen, vom restlichen Firmennetzwerk abgekapselt werden. Das legt auch ein von VdS Schadenverhütung speziell für Mittelständler entwickelte Cyber-Security-Standard nah. „So können sich eingeschleppte Sicherheitsprobleme nicht in der gesamten Infrastruktur ausbreiten“, sagt Robert Reinermann, Sprecher der VdS-Geschäftsführung. Die Checkliste empfiehlt darüber hinaus eine strukturierte Verwaltung von Zugängen und Zugriffsrechten. Denn „in vielen Unternehmen können Mitarbeiter auf Verzeichnisse zugreifen, die sie für ihre Arbeit gar nicht benötigen, was die zerstörerische Wirkung jedes Schadenprogramms potenziert“, sagt Reinermann.

Der Trend zum Einsatz des eigenen Smartphones oder Rechners auch für die Arbeit erschwert es zusätzlich, das Firmennetzwerk zu schützen. Im IT-Jargon spricht man von „Bring Your Own Device“, kurz: BYOD. Das betreffe etwa Start-ups, die Privates und Beruf kaum noch trennen, sagt Marc Fliehe, Bereichsleiter Information Security bei Bitkom. „Neben dem Schutz der Daten stellen sich im Ernstfall vor allem auch rechtliche Fragen. Wem gehören die Daten auf dem Handy? Wer darf sie löschen, wenn es verloren geht?“, sagt Fliehe. „Das muss geklärt werden – und zwar möglichst bevor etwas passiert.“ Dazu kämen die Unwägbarkeiten für den IT-Support durch unterschiedliche Geräte, Hersteller und Betriebssysteme. Wieder eine Baustelle mehr. Die Lösung hängt auch hier davon ab, wie viel Geld überhaupt in der Unternehmenskasse ist oder ausgegeben werden soll.

Telekom-Experte Bernd König warnt davor, die Gefahr durch Angriffe auf Smartphones zu unterschätzen. Das sei „Hackers Liebling“. Schutz vor Virenbefall bieten bei Android-Handys etwa Apps der Anbieter Kaspersky, Bitdefender oder F-Secure, für iOS gibt es eine Lösung von Avira. Königs Arbeitgeber bietet ein System namens „Mobile Protect Pro“ an, das selbst Attacken erkennt, die bislang unbekannte Angriffsmuster nutzen. Solche Programme erkennen und blockieren darüber hinaus Links in Phishing-Mails oder erlauben die Notfalllöschung der Daten, wenn das Smartphone verloren geht oder gestohlen wurde.

Wichtiger als alle technischen Hilfsmittel im Kampf gegen die Cyberkriminellen sei allerdings die richtige Einstellung, sagt Experton-Mann Markus a Campo. „Cyberschutz ist ein ständiger Prozess und nichts, was man einmal tut und dann vergessen kann.“ Denn egal was sich ein Unternehmen zum eigenen Schutz angeschafft habe: Ein halbes Jahr später kann es schon wieder ganz andere Bedrohungen, Viren und Trojaner geben. Campo: „Ausruhen kann man sich beim Cyberschutz leider nie.“

top