Ein professionelles IT-Sicherheitskonzept ist heute Pflicht – auch für kleine und mittlere Unternehmen (KMU). An der Umsetzung mangelt es aber oftmals noch...

Leider scheint das Bewusstsein für IT Security in Grossunternehmen aktuell noch höher zu sein als im KMU-Bereich. Das belegt zum Beispiel eine vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) durchgeführte Umfrage aus dem Jahr 2018. Eines der Ergebnisse: Je kleiner ein Unternehmen ist, desto geringer wird die Wahrscheinlichkeit eingeschätzt, selbst Ziel von Cyber-Kriminalität zu werden. Bei den mittleren Unternehmen sehen 57 % ein sehr geringes oder eher geringes Risiko, bei den Klein- und Kleinstunternehmen sind es dann sogar schon 62 bzw. 67 %. Viele der Befragten empfinden ihr Unternehmen schlichtweg als zu klein, um für Cyber-Kriminelle interessant zu sein – eine klare Fehleinschätzung.

Zwar ist bei Grossunternehmen mehr zu holen als bei KMU, das ändert aber nichts daran, dass letztgenannte in der Regel das einfachere Ziel sind. Ausserdem ist es in der Praxis heute ohnehin der Fall, dass die meisten Cyber-Angriffsarten auf die breite Masse abzielen – denken Sie zum Beispiel an Phishing-Mails.


Auch die VdS-Richtlinien für IT-Sicherheit in KMU prangern fehlendes Wissen an
Die VdS Schadenverhütung GmbH, Tochter des GDV, hat sich gänzlich der Sicherheit von Unternehmen verschrieben. Einigen von Ihnen ist vielleicht das VdS-Siegel (VdS steht für “Vertrauen durch Sicherheit”) ein Begriff, das häufig auf Produkten wie Rauchmeldern oder Sicherheitssystemen zu finden ist. Neben der Zertifizierung stellt das Unternehmen ebenfalls Richtlinien für verschiedene Sicherheitsfelder bereit, unter anderem die “VdS 10000: Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen”.

Es würde natürlich den Rahmen dieses Artikels sprengen, hier auf alle Punkte der 43-seitigen Richtlinien einzugehen. Angesichts der oben aufgeführten Studie möchten wir uns deshalb im Besonderen mit dem Kapitel “Wissen” der VdS-Richtlinien befassen. Denn wie die GDV darin nochmals betont: “Viele Gefährdungen entstehen aus Unkenntnis oder mangelndem Problembewusstsein oder werden zumindest durch diese Faktoren verstärkt”. Deshalb fordert der Verband KMU dazu auf, die folgenden beiden Aspekte zu gewährleisten:
 
  • Aktueller Wissensstand
    KMU sind dazu angehalten, sich regelmässig über technische und rechtliche Bedingungen im IT-Bereich zu informieren. Die Quellen müssen dabei natürlich verlässlicher Natur sein. Um hinsichtlich der Cyber-Gefahren auch wirklich immer auf dem Laufenden zu sein, ist eine zeitnahe Auswertung ein Muss. Im Anschluss daran darf nicht vergessen werden, die jeweiligen Verantwortlichen über die Änderungen zu unterrichten.

  • Schulung und Sensibilisierung
    Regelmässige Schulungs- und Sensibilisierungsmassnahmen dienen dazu, die Leitlinie und Richtlinien zur Informationssicherheit in KMU mitarbeiterübergreifend zu übermitteln. In welcher Art und welchen Abständen diese stattfinden, ist abhängig von der Zielgruppe. “Welche Gefahren gibt es?”, “Wie soll mit den vorhandenen Sicherheitsmassnahmen umgegangen werden?” oder “Wie sieht das richtige Verhalten bei Vorfällen aus?” sind typische Fragen, die in solchen Terminen behandelt werden. Ziel von Schulungs- und Sensibilisierungsmassnahmen ist es, die Akzeptanz wie auch das Bewusstsein für IT-Sicherheit zu erhöhen. Eine Dokumentation aller Inhalte und Teilnehmer ist selbstverständlich Pflicht.


Typische Schwachstellen in der IT-Sicherheit von KMU
An welchen Stellen hapert es denn eigentlich genau in der IT-Sicherheit von KMU? Hier nur einige Schlupflöcher, die in der Praxis noch viel zu häufig existieren:
  • Webseite ohne HTTPS
    Bei einer Umfrage unter 3'400 Webseiten aus dem KMU-Bereich kam heraus, dass 8 % der Befragten heute noch auf eine HTTPS-Verschlüsselung verzichten. Dabei ist dafür doch nichts weiter nötig als ein SSL-Zertifikat. Bedenkt man, dass zum Beispiel der beliebte Internet-Browser Chrome seit Version 68 HTTP-Webseiten mit “nicht sicher” kennzeichnet, sind 8 % SSL-Verweigerer im KMU-Bereich definitiv zu viel. Ein weiterer Vorteil von SSL-Zertifikaten: Die Nutzer fühlen sich auf HTTPS-verschlüsselten Webseiten (zurecht) sicherer.

    Weitere Informationen zum Thema SSL finden Sie hier: https://moornetworks.net/de/paas/web/ssl

  • Unverschlüsselte und unsignierte E-Mail-Kommunikation
    Auch ein Grossteil der KMU hantiert tagtäglich mit sensiblen Daten – nicht zuletzt in E-Mails. Ärzte, Anwaltskanzleien oder Verwaltungen sind nur einige Beispiele hierfür. Was aber leider gerne vergessen wird: Eine unverschlüsselte E-Mail kann theoretisch von jedem mitgelesen werden. E-Mail-Verschlüsselung heisst die Lösung und lässt sich zum Beispiel mit Hilfe von S/MIME-Zertifikaten in kürzester Zeit in die E-Mail-Kommunikation integrieren. Des Weiteren kann mit der S/MIME-Technologie E-Mails eine digitale Signatur hinzugefügt werden – CEO Fraud, Spear Phishing und andere Bedrohungen haben es so deutlich schwerer.

    Weitere Informationen zum Thema S/MIME-Zertifikaten finden Sie hier: https://moornetworks.net/de/paas/messaging/mime


  • Kein Schutz vor DDoS-Attacken
    Per DDoS-Attacke wird versucht, Server lahmzulegen und somit die Erreichbarkeit von Webseiten und Diensten zu beeinträchtigen. Auch wenn es erst einmal den Anschein erwecken könnte: DDoS-Angriffe zielen nicht nur auf Grossunternehmen ab, sondern auch zunehmend auf KMU. Ein Tag vor dem Valentinstag, einem der umsatzstärksten Tage für Floristen, hatten Cyber-Kriminelle beispielsweise knapp tausend Blumenhändlern damit gedroht, ihre Webseiten am 14. Februar stillzulegen. Durch die Implementierung von DDoS Protection kann für eine Entschärfung von DDoS-Attacken gesorgt und bestenfalls der Weiterbetrieb von Webseiten bzw. Diensten sichergestellt werden. Ist dies nicht möglich, wird wenigstens die Störung minimal gehalten.

    Weitere Informationen zum Thema sicheres Hosting von Webseiten finden Sie hier: https://moornetworks.net/de/paas/web/hosting


  • Zuwenig Schutz vor gezielten Infrastruktur-Spionagen
    Per Portscanning wird versucht, offene Ports und somit genutzte Dienste bei einem Netzwerk oder Rechner ausfindig zu machen. Im eigentlichen Sinne handelt es sich dabei nicht um einen Angriff, denn die untersuchten Systeme werden nicht beeinträchtigt. Der Scan liefert allerdings etliche Informationen, die für einen potentiellen Angreifer in der Praxis interessant sind. Nicht selten gehen die Scans den eigentlichen Angriffen voraus. Mit einer Firewall, welche richtig unterhalten und gewartet wird, lassen sich Sicherheitsverletzungen rasch und proaktiv unterbinden.

    Weitere Informationen zum Thema Managed Firewall finden Sie hier: https://moornetworks.net/de/iaas/safety/firewall

Im KMU-Bereich gibt es in Sachen IT-Sicherheit also noch jede Menge aufzuholen. Ein notwendiger Schritt dabei ist, das Bewusstsein für die Thematik unternehmensweit zu stärken, zum Beispiel durch Schulungen. Im Kampf gegen einzelne Cyber-Bedrohungen warten heute zahlreiche professionelle Lösungen auf ihren Einsatz, die ins Budget jedes KMU passen dürften – natürlich auch bei MOORnetworks.


Monday, May 6, 2019







« Zurück