Als Inhaber eines kleinen oder mittelständischen Unternehmens (KMU) fragen Sie sich vielleicht, warum Sie sich mit Datenschutzverletzungen, Ransomware und anderen Problemen der Cybersicherheit befassen sollten. Schließlich sind KMU für Cyberkriminelle doch zu klein, oder?
Leider ist das ein Irrglaube, der sehr kostspielig sein kann.
Cyberkriminelle haben schon lange nicht mehr nur große Unternehmen im Visier. Tatsächlich betrifft die Mehrzahl der Cyberangriffe heute KMU. Kleine und mittelständische Unternehmen sehen sich somit zunehmend wachsenden Cyber-Bedrohungen ausgesetzt, die schwerwiegende Folgen haben können.
Quelle: Verizon
Der Grund dafür ist einfach. KMU verfügen in der Regel nicht über die vielfältige Sicherheitsarchitektur und die ausgereiften Verfahren zur Reaktion auf Cyberbedrohungen, über die größere Unternehmen verfügen. Dadurch werden sie zu leichteren Zielen.
In diesem Leitfaden stellen wir zwei Ansätze für KMU vor:
(1) Vorbereitung auf einen potenziellen Angriff und
(2) die Erstellung eines Notfallwiederherstellungsplans.
Beides kann Unternehmen dabei unterstützen, die Auswirkungen von Cyber-Attacken erheblich zu reduzieren und den normalen Betrieb schneller wieder aufzunehmen.
Die finanziellen Auswirkungen eines Datenverlusts steigen weiter an und überstiegen in 2023 die $3 Millionen-Marke für Unternehmen mit weniger als 500 Mitarbeitern. Noch schlimmer ist jedoch, dass fast jedes fünfte Kleinunternehmen nach einem erfolgreichen Cyberangriff sein Geschäft schließen muss.
Für unvorbereitete Unternehmen kann eine Sicherheitsverletzung verheerende finanzielle und rechtliche Folgen haben. Der Schaden beschränkt sich dabei jedoch nicht nur auf den Angriff selbst. Hinzu kommen Rufschädigung, rechtliche Strafen sowie betriebliche Ausfallzeiten. Diese können langfristig zu Kundenverlusten und noch größeren Umsatzeinbußen führen.
Doch warum werden kleine Unternehmen immer häufiger zum Ziel von Cyberkriminellen? Im Folgenden finden Sie die häufigsten Gründe:
Quelle: Vikingcloud
Quelle: business.com
Eine gute Vorbereitung ist der erste Schritt in einer effektiven Sicherheitsstrategie für KMU. Auch wenn es keine vollständig sichere Cybersicherheitslösung gibt, haben Sie verschiedene Optionen, mit denen Sie Ihr Unternehmen vor einem Angriff und einem kompletten Datenverlust schützen können.
Identifizieren Sie alle kritischen Daten und digitalen Anlagen in Ihrer IT-Umgebung, z. B:
Vergessen Sie außerdem nicht, alle relevanten Geschäftsdaten zu erfassen. Als Bauunternehmen sollten Sie beispielsweise alle Baupläne einbeziehen. Gleiches gilt für Einzelhändler und ihre Bestandsdaten. Auch wenn diese Daten üblicherweise nicht als „kritisch” eingestuft werden, wäre der Verlust dieser Daten für Ihr Unternehmen verheerend.
Quelle: IBM
Denken Sie auch daran, dass sich Ihre Daten ständig ändern. Daher sollte diese Analyse regelmäßig wiederholt werden.
Nachdem Sie die zuvor analysierten Daten hinsichtlich ihrer Wichtigkeit und ihres Risikos klassifiziert haben (z. B. öffentlich, intern, vertraulich oder eingeschränkt), dokumentieren Sie, in welchen Systemen diese Daten aufbewahrt werden und wer Zugriff darauf hat. Dadurch ist es möglich, angemessene Schutzstufen für verschiedene Sicherheitslösungen zu implementieren.
Erstellen Sie eine einfache Tabelle mit allen Details oder, wenn Ihr Budget es zulässt, nutzen Sie Automatisierungstools wie Data Loss Prevention (DLP)-Lösungen mit denen Sie relevante Daten in Ihrer gesamten Umgebung identifizieren und verfolgen können.
Um sicherzustellen, dass kein Einzelpunkt im Netzwerk einen Ausfall Ihrer IT-Umgebung verursachen kann, müssen Sicherheitsmaßnahmen über das gesamte Netzwerk hinweg implementiert werden. Führen Sie dazu eine umfassende Sicherheitsstrategie ein, die unter anderem die folgenden Aspekte umfasst:
Menschliches Versagen ist für 22% aller Datenverluste verantwortlich. Und im Allgemeinen sind die meisten Cyberangriffe auf Social Engineering, wie beispielsweise Phishing, zurückzuführen. Eine regelmäßige Schulung zum Thema Cybersicherheit kann daher die Wahrscheinlichkeit eines durch Benutzer initiierten Datenverlusts drastisch verringern. Inhaltlich sollte diese Schulung Beispiele für Phishing-Simulationen, Passworthygiene, das Erkennen verdächtiger E-Mails und Webseiten sowie den sicheren Umgang mit Daten umfassen.
Wenn alle oben genannten Maßnahmen fehlschlagen, sind Backups Ihre letzte Verteidigungslinie gegen Umsatzverluste oder gar die Schließung des Unternehmens. Jedes Unternehmen sollte deshalb regelmäßig Backups durchführen. Die meisten Compliance-Vorschriften und Cyber-Versicherungsanbieter verlangen dies ohnehin.
Aber auch unabhängig von diesen Anforderungen erlauben Backups die Wiederherstellung Ihrer Systeme zu dem Zustand vor dem Hackerangriff. So stellen Sie sicher, dass Sie im Ernstfall nicht alle Daten verlieren, sondern höchstens die Änderungen der letzten Tage.
Quelle: Vikingcloud
Um die Effektivität Ihrer Backup-Lösung zu optimieren, sollten Sie die folgenden Schritte befolgen:
Wenn es zu einem Cyber-Angriff mit Datenverschlüsselung oder Datenverlust kommt, ist Zeit von entscheidender Bedeutung. Ein gut dokumentierter und in der Praxis getesteter Notfallwiederherstellungsplan kann die durchschnittliche Wiederherstellungszeit erheblich verkürzen und somit Umsatzeinbußen durch Ausfallzeiten deutlich reduzieren.
Ein effektiver Plan umfasst präzise Rollen- und Verantwortlichkeitsdefinitionen für jedes Teammitglied sowie die im Falle eines Angriffs zu befolgenden Kommunikationskanäle und Eskalationsverfahren. Darüber hinaus sollte folgendes enthalten sein:
Dokumentieren Sie Ihren Notfallwiederherstellungsplan ausführlich und überprüfen Sie ihn mindestens vierteljährlich oder nach wesentlichen Änderungen Ihrer Infrastruktur bzw. Ihres Personals.
Transparenz schafft Vertrauen. Eine zeitnahe Kommunikation mit Kollegen und Kunden ist daher unerlässlich. Zudem schreiben diverse gesetzliche Vorschriften eine rechtzeitige Benachrichtigung im Falle von Cyber-Angriffen vor. Zusammenfassend sollten Sie die folgenden Personengruppen berücksichtigen:
Anstatt zu viele technische Details preiszugeben, zeigen Sie Verantwortungsbewusstsein, indem Sie erklären, wie Sie das Problem lösen wollen.
Übung macht den Meister. Simulieren Sie daher verschiedene Cyberangriffe durch praktische Übungen mit Ihrem IT-Team, Ihren Managern und allen anderen Personen, die in diesen Prozess eingebunden sein sollten. Mithilfe dieser Übungen können Sie Lücken in Ihrem Notfallwiederherstellungsplan erkennen und den Vorgang verinnerlichen. Das trägt im Ernstfall zu einer schnellen Reaktion und lückenlosen Wiederherstellung bei.
Im Folgenden finden Sie einige Beispielszenarien, die Sie simulieren könnten:
Wenn Sie sich nicht sicher sind, wie diese Tests durchzuführen sind, suchen Sie online nach Simulationslösungen.
Nach der Rückkehr zum normalen Geschäftsbetrieb sollten Sie Ihr System nicht vernachlässigen. Angreifer könnten Hintertüren in Ihre Systeme eingeschleust haben. Um das Risiko eines zweiten Angriffs unmittelbar nach dem ersten zu verringern, empfehlen wir Ihnen die folgenden Schritte:
Selbst wenn Sie sich von einem Angriff schnell erholen, können die Kosten, die mit Ausfallzeiten und Strafen verbunden sind, verheerend sein. In solchen Fällen kann eine Cyber-Versicherung helfen. Diese decken in der Regel folgendes ab:
Um eine Auszahlung zu erhalten, müssen Sie die Richtlinien und Anforderungen der Versicherungsgesellschaft einhalten. Überprüfen Sie außerdem die in der Police aufgeführten Leistungsausschlüsse und Deckungsgrenzen und informieren Sie sich über die Supportleistungen des Versicherers im Falle einer Cyber-Attacke.
Viele KMU vermeiden es, Compliance-Anforderungen umzusetzen, da sie diese als kostspielig oder zu komplex erachten. Frameworks wie NIST, ISO 27001 und die CIS Controls zielen jedoch darauf ab, eine solide Sicherheitsgrundlage zu schaffen. Die Umsetzung dieser Best Practices verbessert Ihre Bereitschaft im Falle einer Cyberbedrohung – selbst wenn Ihre Firma keinen spezifischen Vorschriften unterliegt oder nicht die gesamte Zertifizierung durchgeführt wird.
Je nach Branche sollten Sie diese allgemeinen gesetzlichen Vorschriften für kleine und mittlere Unternehmen beachten:
Die Einhaltung der Vorschriften hilft Ihnen, Geldstrafen zu vermeiden. Zudem sind Sie so auf mögliche Cyberbedrohungen vorbereitet und wissen, wie Sie im Ernstfall reagieren müssen.
Cyberangriffe sind heutzutage keine Seltenheit mehr. Die Wahrscheinlichkeit, dass auch Ihr KMU früher oder später betroffen sein wird, ist sehr hoch. Mit einer proaktiven Vorbereitung und einem gut dokumentierten Notfallplan können die Folgen eines Cyberangriffs jedoch begrenzt werden. Sie können stattdessen eine Gelegenheit sein, Ihre Cyber-Resilienz zu stärken, das Vertrauen Ihrer Kunden zu gewinnen und im Allgemeinen widerstandsfähiger zu werden.
Warten Sie nicht erst auf einen Ransomware Angriff, um Maßnahmen zu ergreifen. Kontaktieren Sie uns, damit wir Sie bei der Erstellung einer 3-2-1-Backup-Strategie unterstützen können.