Hacker haben es auf Großkonzerne und bekannte Marken abgesehen, wie wir wissen. Vorfälle, bei denen die Daten von Millionen Menschen betroffen sind, landen zuverlässig in den Schlagzeilen. Zu den täglichen Angriffen auf kleinere Unternehmen hören und lesen wir dagegen so gut wie nichts. Dabei sind KMU genauso in Gefahr, Opfer von Cyberkriminalität zu werden – mit oft viel schmerzhafteren Konsequenzen für ihren Geschäftsbetrieb und ihre Finanzlage.
Wie gut KMU Hackerangriffe vereiteln bzw. die durch sie verursachten Schäden begrenzen oder beheben können, hängt davon ab, wie durchdacht ihre Sicherheitsstrategie ist und wie sie die zugehörigen Maßnahmen ins Werk setzen. Mit der richtigen Technik optimieren KMU ihre Sicherheit und wappnen sich langfristig gegen finanzielle Disaster.
Warum Sicherheit für KMU ein relevantes Thema ist
Ob ein Unternehmen Gefahr läuft, ins Visier von Kriminellen zu geraten, ist keine Frage seiner Größe. Kleinere Unternehmen sollten sich also nicht in falscher Sicherheit wiegen: Fast die Hälfte aller Hackerangriffe (46 %) betreffen Unternehmen mit unter 1.000 Mitarbeitern. 2021 wurden 61 Prozent der KMU angegriffen und fast 40 Prozent der kleinen Unternehmen verloren bei Hackerangriffen wichtige Daten. Alleine 2020 erreichten die Schäden durch Cyberkriminalität in kleinen Unternehmen eine Höhe von 2,8 Milliarden US-Dollar.
Kurzum, KMU sind ein Topziel für kriminelle Hacker, und die Angriffe können teuer werden. 51 Prozent der kleinen und mittelgroßen Unternehmen treffen gar keine Cybersicherheitsvorkehrungen. Solange das so bleibt, wird sich wenig ändern.
Klassische Sicherheitsmängel in KMU
Zuerst müssen KMU sich klarmachen, dass sie ein lohnendes Ziel für Hacker sind. Die Unternehmensleitung muss das Risiko eines Hackerangriffs und die potenziellen Langzeitschäden verstehen und sich voll und ganz hinter die nötigen Maßnahmen zur Stärkung der unternehmensweiten Cybersicherheit stellen. Die IT-Sicherheit gehört an den Tisch der Geschäftsführung. Zwar nehmen viele KMU laut ihren eigenen Aussagen die Sicherheit ernst, doch es fehlt an der Verwirklichung im Top-down-Verfahren – von der Leitungsebene aus. Wenn Entscheidungsträger nicht die geschäftlich-finanzielle Relevanz von Cybersicherheit erkennen, sondern sie als ein Problem der IT-Abteilung abtun, verschärfen sie das Risiko für ihr Unternehmen.
Von der Geschäftsführung bis hin zum Berufseinsteiger muss jede und jeder im Unternehmen die eigene Rolle beim Schutz des Unternehmens verstehen. Über regelmäßige Schulungen zu Sicherheit sollten Mitarbeiter über klassische Gefahrenquellen aufgeklärt werden, damit sie Ungewöhnliches und Verdächtiges rechtzeitig erkennen und wissen, wie sie mögliche Probleme schnell melden können. Wer eine hohe Cybersensibilität und Partizipation bei seinen Mitarbeitern erreichen möchte, braucht ein durchdachtes unternehmensweites Sicherheitsprogramm.
KMU scheitern oft schon daran, sich gegen die bekanntesten Bedrohungen zu wappnen. Homeoffice und BYOD machen das Arbeiten flexibler, doch sie bergen neue Risiken und Gefahren, etwa die von Ransomware-Angriffen. Idealerweise setzt sich die IT damit vor der Einführung des flexiblen Arbeitens auseinander.
Weniger Ressourcen, überlastetes Personal und schmale Budgets: IT-Teams in KMU sind oft schon bei der Umsetzung der Basismaßnahmen überfordert. Das Ergebnis: Kriminelle finden Schwachstellen und Sicherheitslücken, um in Unternehmensnetzwerke und Anwendungen einzudringen.
In KMU wird die Bedeutung einer Cybersicherheitsstrategie und Notfallplanung für Ernstfälle üblicherweise unterschätzt. Wenn keine Strategie vorhanden ist, steigt die Wahrscheinlichkeit, dass ein Hackerangriff erfolgreich verläuft. Dann dauert es länger und ist teurer, die Folgen zu beheben, und das Unternehmen erholt sich weniger zügig.
Drei wichtige Sicherheitstools für KMU
Natürlich muss jede Sicherheitsstrategie genau auf die Belange des betreffenden Unternehmens zugeschnitten sein. Bestimmte Dinge gelten jedoch für alle KMU, die Sicherheitslücken schließen und sich besser gegen künftige Bedrohungen wappnen möchten. Es ist viel besser, die Ressourcen und das Budget auf ein paar wenige, hocheffektive Maßnahmen zu verwenden, besonders dann, wenn das Unternehmen seine Sicherheit von Grund auf (neu) plant.
Für den Notfall planen
Ein in Einzelschritten dokumentierter Notfallreaktionsplan hilft Ihrem Unternehmen, mit den Herausforderungen und Belastungen durch einen Hackerangriff besser umzugehen. Dieser Notfallplan sollte vier Phasen einschließen: Vorbereitung, Erkennung und Analyse, Eindämmung und Wiederherstellung sowie Nachbereitung. Wenn Entscheidungsträger die Notwendigkeit eines solchen Plans infrage stellen, erklären Sie ihnen, dass ein schnelles und wirksames Handeln im Fall einer Datenschutzverletzung wichtig ist. Nicht zuletzt unterstützt der Plan mit seiner Nachbereitungsphase das Team dabei, die Strategie weiter zu optimieren und die rechtlichen und geschäftlichen Auswirkungen der Datenschutzverletzung zu bewältigen.
Multifaktor-Authentifizierung
Multifaktor-Authentifizierung (MFA) ist eine Technik, die die Eingabe von Zugangsdaten zusätzlich absichert. Bei MFA wird ein Zugriff erst dann gewährt, wenn ergänzende Informationen geliefert wurden, etwa ein Fingerabdruck oder ein Einmalcode. Zu einer noch zuverlässigeren Bestätigung der Identität kann die Technik auch die IP-Adresse, Geräte-ID oder andere Kontextinformationen berücksichtigen. Damit hebelt MFA viele übliche Angriffsmethoden aus oder senkt zumindest das Risiko dafür. Dabei ist die Technik vergleichsweise einfach einzurichten und zu nutzen. Für KMU, die sich genau überlegen müssen, wofür sie bei Sicherheit Geld ausgeben können, ist MFA sicher eine kluge Investition.
Eine Cyberversicherung abschließen
Klassische Unternehmensversicherungen schaffen ein Sicherheitspolster im Fall von Sachschäden, Unfällen oder Störungen des täglichen Geschäftsbetriebs. Eine Cyberversicherung ist das digitale Äquivalent dazu: Sie stellt die nötigen Ressourcen und Finanzmittel bereit, um auf einen Sicherheitsvorfall zu reagieren und die Folgen zu bewältigen. Welche Versicherungspolice genau erforderlich ist, hängt von der Unternehmensgröße, der Branche, der Art der gespeicherten Daten und den Risiken ab, denen das Unternehmen ausgesetzt ist. Um eine solche Versicherung abschließen zu können, muss das Unternehmen daher unter Umständen Benutzerkonten per Multifaktor-Authentifizierung schützen, seine Zugangsdatenverwaltung verbessern und die Geräte- und Netzwerksicherheit durch strengere Maßnahmen wie Firewalls, eine Virenschutzsoftware und die Datensicherung erhöhen. Durch Erfüllung dieser Anforderungen reduzieren KMU ganz allgemein ihr Angriffsrisiko und können, je nach tatsächlichem Sicherheitsstatus, sogar Tarifvergünstigungen erhalten.
Bereit für lückenlose Cybersicherheit in Ihrem Unternehmen? LastPass unterstützt Sie bei der Erreichung Ihrer Sicherheitsziele. Nehmen Sie noch heute Kontakt mit uns auf.
