Technischer Leitfaden für KMU zur Vorbereitung auf Cyber-Attacken

Als Inhaber eines kleinen oder mittelständischen Unternehmens (KMU) fragen Sie sich vielleicht, warum Sie sich mit Datenschutzverletzungen, Ransomware und anderen Problemen der Cybersicherheit befassen sollten. Schließlich sind KMU für Cyberkriminelle doch zu klein, oder?

Leider ist das ein Irrglaube, der sehr kostspielig sein kann.

Cyberkriminelle haben schon lange nicht mehr nur große Unternehmen im Visier. Tatsächlich betrifft die Mehrzahl der Cyberangriffe heute KMU. Kleine und mittelständische Unternehmen sehen sich somit zunehmend wachsenden Cyber-Bedrohungen ausgesetzt, die schwerwiegende Folgen haben können.

Der Grund dafür ist einfach. KMU verfügen in der Regel nicht über die vielfältige Sicherheitsarchitektur und die ausgereiften Verfahren zur Reaktion auf Cyberbedrohungen, über die größere Unternehmen verfügen. Dadurch werden sie zu leichteren Zielen.

In diesem Leitfaden stellen wir zwei Ansätze für KMU vor:

(1) Vorbereitung auf einen potenziellen Angriff und
(2) die Erstellung eines Notfallwiederherstellungsplans.

Beides kann Unternehmen dabei unterstützen, die Auswirkungen von Cyber-Attacken erheblich zu reduzieren und den normalen Betrieb schneller wieder aufzunehmen.

Warum KMU einen robusten Wiederherstellungsplan für den Fall eines Datenverlusts benötigen

Die finanziellen Auswirkungen eines Datenverlusts steigen weiter an und überstiegen in 2023 die $3 Millionen-Marke für Unternehmen mit weniger als 500 Mitarbeitern. Noch schlimmer ist jedoch, dass fast jedes fünfte Kleinunternehmen nach einem erfolgreichen Cyberangriff sein Geschäft schließen muss.

Für unvorbereitete Unternehmen kann eine Sicherheitsverletzung verheerende finanzielle und rechtliche Folgen haben. Der Schaden beschränkt sich dabei jedoch nicht nur auf den Angriff selbst. Hinzu kommen Rufschädigung, rechtliche Strafen sowie betriebliche Ausfallzeiten. Diese können langfristig zu Kundenverlusten und noch größeren Umsatzeinbußen führen.

Doch warum werden kleine Unternehmen immer häufiger zum Ziel von Cyberkriminellen? Im Folgenden finden Sie die häufigsten Gründe:

• Weniger Ressourcen für Cybersicherheit: Oft ist eine Person oder ein sehr kleines Team für alle Aspekte der IT-Umgebung verantwortlich. Dadurch haben viele KMU kein spezielles Cybersicherheitspersonal, sodass Schwachstellen nicht gepatcht und Systeme nicht überwacht werden.

• Sensible Daten: Wie jedes andere Unternehmen speichern auch KMU sensible Daten wie Finanzunterlagen, geistiges Eigentum und personenbezogene Informationen. Diese können von Cyberkriminellen genutzt werden, um das Unternehmen zu erpressen oder die Daten auf dem Schwarzmarkt zu verkaufen.
  
  
• Gefährdung durch Dritte: IT-Händler und MSPs (die oft selbst KMU sind) sowie KMU, die als Zulieferer für größere Unternehmen fungieren, bilden einen Angriffsvektor für Verletzungen der Lieferkette. Das bedeutet, dass sie den Angreifern als Hintertür zu den großen Unternehmen dienen.
  
  
• Veraltete Infrastruktur: Aufgrund von Budgetbeschränkungen sind veraltete Systeme (vergessen Sie nicht Ihre Windows PCs upzudaten) und eine unzureichende Netzwerksegmentierung weit verbreitet. Das erleichtert es Angreifern, sich durch das gesamte Netzwerk zu bewegen.

Teil 1: Maßnahmen zur Minimierung von Cyber-Angriffen und Datenverlust

Eine gute Vorbereitung ist der erste Schritt in einer effektiven Sicherheitsstrategie für KMU. Auch wenn es keine vollständig sichere Cybersicherheitslösung gibt, haben Sie verschiedene Optionen, mit denen Sie Ihr Unternehmen vor einem Angriff und einem kompletten Datenverlust schützen können.

1. Führen Sie eine umfassende Cyber-Risikobewertung durch

Identifizieren Sie alle kritischen Daten und digitalen Anlagen in Ihrer IT-Umgebung, z. B:

• Kundeninformationen und personenbezogene Daten
• Zahlungsverarbeitungssysteme (PCI-DSS-Bereich)
• Geistiges Eigentum

Vergessen Sie außerdem nicht, alle relevanten Geschäftsdaten zu erfassen. Als Bauunternehmen sollten Sie beispielsweise alle Baupläne einbeziehen. Gleiches gilt für Einzelhändler und ihre Bestandsdaten. Auch wenn diese Daten üblicherweise nicht als „kritisch” eingestuft werden, wäre der Verlust dieser Daten für Ihr Unternehmen verheerend.

Denken Sie auch daran, dass sich Ihre Daten ständig ändern. Daher sollte diese Analyse regelmäßig wiederholt werden.

2. Erstellen Sie ein Inventar sowie eine Klassifizierungsrichtlinie für alle Daten

Nachdem Sie die zuvor analysierten Daten hinsichtlich ihrer Wichtigkeit und ihres Risikos klassifiziert haben (z. B. öffentlich, intern, vertraulich oder eingeschränkt), dokumentieren Sie, in welchen Systemen diese Daten aufbewahrt werden und wer Zugriff darauf hat. Dadurch ist es möglich, angemessene Schutzstufen für verschiedene Sicherheitslösungen zu implementieren.

Erstellen Sie eine einfache Tabelle mit allen Details oder, wenn Ihr Budget es zulässt, nutzen Sie Automatisierungstools wie Data Loss Prevention (DLP)-Lösungen mit denen Sie relevante Daten in Ihrer gesamten Umgebung identifizieren und verfolgen können.

3. Implementieren Sie eine umfassende Sicherheitsarchitektur

Um sicherzustellen, dass kein Einzelpunkt im Netzwerk einen Ausfall Ihrer IT-Umgebung verursachen kann, müssen Sicherheitsmaßnahmen über das gesamte Netzwerk hinweg implementiert werden. Führen Sie dazu eine umfassende Sicherheitsstrategie ein, die unter anderem die folgenden Aspekte umfasst:

• Firewall und IDS/IPS-Systeme: Überwachen und filtern Sie den ein- und ausgehenden Datenverkehr. Bonuspunkte gibt es für KI-gestützte Lösungen, die ungewöhnliche Aktivitäten erkennen.

• Endpunkt-Schutz: Installieren Sie auf allen Servern und PCs fortschrittliche Anti-Malware- und verhaltensbasierte Detection-Tools und sorgen Sie dafür, dass diese immer auf dem neuesten Stand sind.

• Multi-Faktor-Authentifizierung (MFA): Verlangen Sie MFA für alle kritischen Systeme und Benutzerkonten – auch wenn dies für die Benutzer lästig ist.

• Datenverschlüsselung: Verwenden Sie robuste Algorithmen wie AES-256, um sensible Daten im Ruhezustand und bei der Übertragung zu verschlüsseln.

• Zugriffskontrollen mit minimalen Rechten: Implementieren Sie eine rollenbasierte Zugriffskontrolle (RBAC) und überprüfen Sie regelmäßig die Änderungen von Berechtigungen. 

4. Mitarbeiter schulungen für Cybersicherheit

Menschliches Versagen ist für 22% aller Datenverluste verantwortlich. Und im Allgemeinen sind die meisten Cyberangriffe auf Social Engineering, wie beispielsweise Phishing, zurückzuführen. Eine regelmäßige Schulung zum Thema Cybersicherheit kann daher die Wahrscheinlichkeit eines durch Benutzer initiierten Datenverlusts drastisch verringern. Inhaltlich sollte diese Schulung Beispiele für Phishing-Simulationen, Passworthygiene, das Erkennen verdächtiger E-Mails und Webseiten sowie den sicheren Umgang mit Daten umfassen.

5. Regelmäßige, redundante Backups durchführen

Wenn alle oben genannten Maßnahmen fehlschlagen, sind Backups Ihre letzte Verteidigungslinie gegen Umsatzverluste oder gar die Schließung des Unternehmens. Jedes Unternehmen sollte deshalb regelmäßig Backups durchführen. Die meisten Compliance-Vorschriften und Cyber-Versicherungsanbieter verlangen dies ohnehin.

Aber auch unabhängig von diesen Anforderungen erlauben Backups die Wiederherstellung Ihrer Systeme zu dem Zustand vor dem Hackerangriff. So stellen Sie sicher, dass Sie im Ernstfall nicht alle Daten verlieren, sondern höchstens die Änderungen der letzten Tage.

Um die Effektivität Ihrer Backup-Lösung zu optimieren, sollten Sie die folgenden Schritte befolgen:

• Wenden Sie die 3-2-1-Strategie an. Das bedeutet, dass Sie drei Kopien Ihrer Daten auf zwei verschiedenen Medientypen haben sollten, wobei eine Kopie extern, idealerweise in der Cloud, gespeichert wird.

• Stellen Sie sicher, dass alle Ihre Backup-Speicher verschlüsselt sind – unabhängig davon, ob sie sich um lokale oder Cloud-Speicher handelt.

• Führen Sie regelmäßige Wiederherstellungstests durch, um die Datenintegrität und die Wiederherstellungsgeschwindigkeit zu überprüfen.

• Ziehen Sie außerdem die Verwendung von unveränderlichem Speicher in Betracht. Dieser verhindert, dass Backups innerhalb eines bestimmten Zeitraums geändert oder gelöscht werden können.

Teil 2: Erstellung eines Wiederherstellungsplans für KMU

Wenn es zu einem Cyber-Angriff mit Datenverschlüsselung oder Datenverlust kommt, ist Zeit von entscheidender Bedeutung. Ein gut dokumentierter und in der Praxis getesteter Notfallwiederherstellungsplan kann die durchschnittliche Wiederherstellungszeit erheblich verkürzen und somit Umsatzeinbußen durch Ausfallzeiten deutlich reduzieren.

1. Erstellen eines Notfallwiederherstellungsplans

Ein effektiver Plan umfasst präzise Rollen- und Verantwortlichkeitsdefinitionen für jedes Teammitglied sowie die im Falle eines Angriffs zu befolgenden Kommunikationskanäle und Eskalationsverfahren. Darüber hinaus sollte folgendes enthalten sein:

• Identifizierung: Hier werden die Details erläutert, anhand derer sich abnormales Verhalten oder eine Systemgefährdung erkennen lässt.

• Eingrenzung: Welche Schritte sind erforderlich, um die betroffenen Systeme zu isolieren und eine Ausbreitung des Problems zu verhindern?

• Beseitigung: Wie lässt sich die Malware am besten entfernen? Was muss getan werden, um Sicherheitslücken zu schließen und Systeme zu patchen?

• Wiederherstellung: Welche Daten müssen aus den verifizierten Backups wiederhergestellt und auf ihre Integrität überprüft werden?

• Analyse nach dem Vorfall: Dokumentieren Sie, was passiert ist, was funktioniert hat und was nicht, um die Reaktion in Zukunft zu optimieren.

Dokumentieren Sie Ihren Notfallwiederherstellungsplan ausführlich und überprüfen Sie ihn mindestens vierteljährlich oder nach wesentlichen Änderungen Ihrer Infrastruktur bzw. Ihres Personals.

2. Erstellen einer Kommunikationsstrategie

Transparenz schafft Vertrauen. Eine zeitnahe Kommunikation mit Kollegen und Kunden ist daher unerlässlich. Zudem schreiben diverse gesetzliche Vorschriften eine rechtzeitige Benachrichtigung im Falle von Cyber-Angriffen vor. Zusammenfassend sollten Sie die folgenden Personengruppen berücksichtigen:

• Intern: Informieren Sie die Geschäftsführung, die IT-Abteilung sowie alle anderen betroffenen Abteilungen.

• Extern: Benachrichtigen Sie Kunden, Partner und Lieferanten je nach Bedarf.

• Regulatorische Meldungen: Die Meldung muss innerhalb der erforderlichen Fristen an die zuständigen Stellen erfolgen.

• Presse und sozialen Medien: Bereiten Sie vorgefertigte Antworten vor, die vorab von Ihrem Rechtsexperten geprüft wurden.

Anstatt zu viele technische Details preiszugeben, zeigen Sie Verantwortungsbewusstsein, indem Sie erklären, wie Sie das Problem lösen wollen.

3. Durchführung regelmäßiger Tests

Übung macht den Meister. Simulieren Sie daher verschiedene Cyberangriffe durch praktische Übungen mit Ihrem IT-Team, Ihren Managern und allen anderen Personen, die in diesen Prozess eingebunden sein sollten. Mithilfe dieser Übungen können Sie Lücken in Ihrem Notfallwiederherstellungsplan erkennen und den Vorgang verinnerlichen. Das trägt im Ernstfall zu einer schnellen Reaktion und lückenlosen Wiederherstellung bei.

Im Folgenden finden Sie einige Beispielszenarien, die Sie simulieren könnten:

• Ransomware, die wichtige Datenbanken verschlüsselt
• Datendiebstahl durch Insider
• Kompromittierung über einen Drittanbieter
• DDoS-Angriffe (Distributed Denial of Service), die auf Kundenportale abzielen

Wenn Sie sich nicht sicher sind, wie diese Tests durchzuführen sind, suchen Sie online nach Simulationslösungen.

4. Überwachung von Systemen nach einer Cybersicherheitsattacke

Nach der Rückkehr zum normalen Geschäftsbetrieb sollten Sie Ihr System nicht vernachlässigen. Angreifer könnten Hintertüren in Ihre Systeme eingeschleust haben. Um das Risiko eines zweiten Angriffs unmittelbar nach dem ersten zu verringern, empfehlen wir Ihnen die folgenden Schritte:

• Prüfen Sie die Protokolle auf unbefugte Zugriffsversuche.
• Ändern Sie die Zugangsdaten für alle betroffenen Systeme.
• Ändern Sie die Verschlüsselungsinformationen.
• Führen Sie außerdem eine umfassende forensische Analyse durch, um den Umfang und den Ursprung des Angriffs zu verstehen.

5. Auswahl einer Cyber-Versicherung

Selbst wenn Sie sich von einem Angriff schnell erholen, können die Kosten, die mit Ausfallzeiten und Strafen verbunden sind, verheerend sein. In solchen Fällen kann eine Cyber-Versicherung helfen. Diese decken in der Regel folgendes ab:

• Rechtskosten und Bußgelder
• Benachrichtigungen für betroffene Kunden
• Forensische Untersuchungen
• Kosten für Betriebsunterbrechungen

Um eine Auszahlung zu erhalten, müssen Sie die Richtlinien und Anforderungen der Versicherungsgesellschaft einhalten. Überprüfen Sie außerdem die in der Police aufgeführten Leistungsausschlüsse und Deckungsgrenzen und informieren Sie sich über die Supportleistungen des Versicherers im Falle einer Cyber-Attacke.

Compliance und Cybersicherheit gehen Hand in Hand

Viele KMU vermeiden es, Compliance-Anforderungen umzusetzen, da sie diese als kostspielig oder zu komplex erachten. Frameworks wie NIST, ISO 27001 und die CIS Controls zielen jedoch darauf ab, eine solide Sicherheitsgrundlage zu schaffen. Die Umsetzung dieser Best Practices verbessert Ihre Bereitschaft im Falle einer Cyberbedrohung – selbst wenn Ihre Firma keinen spezifischen Vorschriften unterliegt oder nicht die gesamte Zertifizierung durchgeführt wird.

Je nach Branche sollten Sie diese allgemeinen gesetzlichen Vorschriften für kleine und mittlere Unternehmen beachten:

• IT-Sicherheitsrichtlinien der KBV: Für Unternehmen im Gesundheitsbereich
• PCI-DSS: Für Unternehmen, die Kreditkarten verarbeiten
• GDPR: Für Unternehmen, die personenbezogene Daten von EU-Einwohnern verarbeiten

Die Einhaltung der Vorschriften hilft Ihnen, Geldstrafen zu vermeiden. Zudem sind Sie so auf mögliche Cyberbedrohungen vorbereitet und wissen, wie Sie im Ernstfall reagieren müssen.

Vorbereitung auf das Unvermeidliche und Wiederherstellung mit Gelassenheit

Cyberangriffe sind heutzutage keine Seltenheit mehr. Die Wahrscheinlichkeit, dass auch Ihr KMU früher oder später betroffen sein wird, ist sehr hoch. Mit einer proaktiven Vorbereitung und einem gut dokumentierten Notfallplan können die Folgen eines Cyberangriffs jedoch begrenzt werden. Sie können stattdessen eine Gelegenheit sein, Ihre Cyber-Resilienz zu stärken, das Vertrauen Ihrer Kunden zu gewinnen und im Allgemeinen widerstandsfähiger zu werden.

Warten Sie nicht erst auf einen Ransomware Angriff, um Maßnahmen zu ergreifen. Kontaktieren Sie uns, damit wir Sie bei der Erstellung einer 3-2-1-Backup-Strategie unterstützen können.