Umdenken ist gefragt: IT-Sicherheit in kleinen und mittleren Unternehmen
Leider scheint das Bewusstsein für IT Security in Großunternehmen aktuell noch höher zu sein als im KMU-Bereich. Das belegt zum Beispiel eine vom Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV) durchgeführte Umfrage aus dem Jahr 2018. Eines der Ergebnisse: Je kleiner ein Unternehmen ist, desto geringer wird die Wahrscheinlichkeit eingeschätzt, selbst Ziel von Cyber-Kriminalität zu werden. Bei den mittleren Unternehmen sehen 57 % ein sehr geringes oder eher geringes Risiko, bei den Klein- und Kleinstunternehmen sind es dann sogar schon 62 bzw. 67 %. Viele der Befragten empfinden ihr Unternehmen schlichtweg als zu klein, um für Cyber-Kriminelle interessant zu sein – eine klare Fehleinschätzung.
Zwar ist bei Großunternehmen mehr zu holen als bei KMU, das ändert aber nichts daran, dass Letztgenannte in der Regel das einfachere Ziel sind. Außerdem ist es in der Praxis heute ohnehin der Fall, dass die meisten Cyber-Angriffsarten auf die breite Masse abzielen – denken Sie zum Beispiel an Phishing-Mails.
Auch die VdS-Richtlinien für IT-Sicherheit in KMU prangern fehlendes Wissen an
Die VdS Schadenverhütung GmbH, Tochter des GDV, hat sich gänzlich der Sicherheit von Unternehmen verschrieben. Einigen von Ihnen ist vielleicht das VdS-Siegel (VdS steht für “Vertrauen durch Sicherheit”) ein Begriff, das häufig auf Produkten wie Rauchmeldern oder Sicherheitssystemen zu finden ist. Neben der Zertifizierung stellt das Unternehmen ebenfalls Richtlinien für verschiedene Sicherheitsfelder bereit, unter anderem die “VdS 10000: Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen”.
Es würde natürlich den Rahmen dieses Artikels sprengen, hier auf alle Punkte der 43-seitigen Richtlinien einzugehen. Angesichts der oben aufgeführten Studie möchten wir uns deshalb im Besonderen mit dem Kapitel “Wissen” der VdS-Richtlinien befassen. Denn wie die GDV darin nochmals betont: “Viele Gefährdungen entstehen aus Unkenntnis oder mangelndem Problembewusstsein oder werden zumindest durch diese Faktoren verstärkt”. Deshalb fordert der Verband KMU dazu auf, die folgenden beiden Aspekte zu gewährleisten:
Aktueller Wissensstand
KMU sind dazu angehalten, sich regelmäßig über technische und rechtliche Bedingungen im IT-Bereich zu informieren. Die Quellen müssen dabei natürlich verlässlicher Natur sein. Um hinsichtlich der Cyber-Gefahren auch wirklich immer auf dem Laufenden zu sein, ist eine zeitnahe Auswertung ein Muss. Im Anschluss daran darf nicht vergessen werden, die jeweiligen Verantwortlichen über die Änderungen zu unterrichten.
Schulung und Sensibilisierung
Regelmäßige Schulungs- und Sensibilisierungsmaßnahmen dienen dazu, die Leitlinie und Richtlinien zur Informationssicherheit in KMU mitarbeiterübergreifend zu übermitteln. In welcher Art und welchen Abständen diese stattfinden, ist abhängig von der Zielgruppe. “Welche Gefahren gibt es?”, “Wie soll mit den vorhandenen Sicherheitsmaßnahmen umgegangen werden?” oder “Wie sieht das richtige Verhalten bei Vorfällen aus?” sind typische Fragen, die in solchen Terminen behandelt werden. Ziel von Schulungs- und Sensibilisierungsmaßnahmen ist es, die Akzeptanz wie auch das Bewusstsein für IT-Sicherheit zu erhöhen. Eine Dokumentation aller Inhalte und Teilnehmer ist selbstverständlich Pflicht.
Typische Schwachstellen in der IT-Sicherheit von KMU
An welchen Stellen hapert es denn eigentlich genau in der IT-Sicherheit von KMU? Hier nur einige Schlupflöcher, die in der Praxis noch viel zu häufig existieren:
Webseite ohne HTTPS
Bei einer Umfrage unter 3.400 Webseiten aus dem KMU-Bereich kam heraus, dass 8 % der Befragten heute noch auf eine HTTPS-Verschlüsselung verzichten. Dabei ist dafür doch nichts weiter nötig als ein SSL-Zertifikat. Bedenkt man, dass zum Beispiel der beliebte Internet-Browser Chrome seit Version 68 HTTP-Webseiten mit “nicht sicher” kennzeichnet, sind 8 % SSL-Verweigerer im KMU-Bereich definitiv zu viel. Ein weiterer Vorteil von SSL-Zertifikaten: Die Nutzer fühlen sich auf HTTPS-verschlüsselten Webseiten (zurecht) sicherer.
Unverschlüsselte und unsignierte E-Mail-Kommunikation
Auch ein Großteil der KMU hantiert tagtäglich mit sensiblen Daten – nicht zuletzt in E-Mails. Ärzte, Anwaltskanzleien oder Verwaltungen sind nur einige Beispiele hierfür. Was aber leider gerne vergessen wird: Eine unverschlüsselte E-Mail kann theoretisch von jedem mitgelesen werden. E-Mail-Verschlüsselung heißt die Lösung und lässt sich zum Beispiel mit Hilfe von S/MIME-Zertifikaten in kürzester Zeit in die E-Mail-Kommunikation von KMU integrieren. Des Weiteren kann mit der S/MIME-Technologie E-Mails eine digitale Signatur hinzugefügt werden – CEO Fraud, Spear Phishing und andere Bedrohungen haben es so deutlich schwerer.
Kein Schutz vor DDoS-Attacken
Per DDoS-Attacke wird versucht, Server lahmzulegen und somit die Erreichbarkeit von Webseiten und Diensten zu beeinträchtigen. Auch wenn es erst einmal den Anschein erwecken könnte: DDoS-Angriffe zielen nicht nur auf Großunternehmen ab, sondern auch zunehmend auf KMU. Ein Tag vor dem Valentinstag, einem der umsatzstärksten Tage für Floristen, hatten Cyber-Kriminelle beispielsweise knapp tausend Blumenhändlern damit gedroht, ihre Webseiten am 14. Februar stillzulegen. Durch die Implementierung von DDoS Protection kann für eine Entschärfung von DDoS-Attacken gesorgt und bestenfalls der Weiterbetrieb von Webseiten bzw. Diensten sichergestellt werden. Ist dies nicht möglich, wird wenigstens die Störung minimal gehalten.
Im KMU-Bereich gibt es in Sachen IT-Sicherheit also noch jede Menge aufzuholen. Ein notwendiger Schritt dabei ist, das Bewusstsein für die Thematik unternehmensweit zu stärken, zum Beispiel durch Schulungen. Im Kampf gegen einzelne Cyber-Bedrohungen warten heute zahlreiche professionelle Lösungen auf ihren Einsatz, die ins Budget jedes KMU passen dürften – natürlich auch bei InterNetX.