IT-Sicherheit für KMU - am besten mit Konzept

Juli 03, 2022

Gerade Verantwortliche von KMU, die nicht über eine eigene IT-Abteilung verfügen, sollten sich regelmäßig mit der IT-Sicherheit ihres Unternehmens, zum Beispiel mit einem Sicherheitskonzept, in dem Mindeststandards festgelegt werden, beschäftigen.

Auch für KMU ist IT-Sicherheit ein essenzielles Thema. Eine funktionierende IT-Infrastruktur gehört zu den notwendigen Voraussetzungen für reibungslose Arbeitsabläufe nahezu jedes Unternehmens - egal welcher Größe. Neben technischen Störungen sind Cyber-Angriffe inzwischen die größte Bedrohung für die Funktionsfähigkeit der IT von Firmen und Organisationen. Nahezu wöchentlich kommt es zu aufsehenerregenden Angriffen auf bekannte Unternehmen.

Das Bundeskriminalamt registrierte im Jahr 2021 über 145.000 angezeigte Cyberstraftaten, was ca. 400 Taten pro Tag entspricht. Zudem weisen die Autoren des Lagebilds auf ein "überdurchschnittlich großes Dunkelfeld" nicht angezeigter Taten hin. Zum Vergleich: 2020 waren es noch rund 108.000 gleichgelagerte angezeigte Taten. Die Wahrscheinlichkeit, von einem Angriff auf eigene Systeme betroffen zu sein, steigt somit unvermindert. Trotz der Kosten und des damit verbundenen Aufwands sind Maßnahmen zur Verbesserung der IT-Sicherheit ohne Frage für jedes Unternehmen sinnvoll.

KMU als Zielscheibe für Cyber-Kriminelle

Bei Betrugsdelikten und Cyber-Kriminalität gilt der Grundsatz "die Masse macht's". Auf der Suche nach geeigneten Zielobjekten versuchen Betrüger üblicherweise, einen möglichst großen Kreis potenzieller Opfer zu erreichen. Dies geht im Internet besonders gut. Die Suche nach vulnerablen Systemen lässt sich leicht automatisieren. Daher besteht akute Gefahr, wenn im eigenen Netzwerk Rechner mit Sicherheitslücken aus dem Internet erreichbar sind. Werden Softwarefehler bekannt, wie es zum Beispiel beim Fehler im Microsoft-Exchange-Server oder bei der Log-4-J-Schwachstelle der Fall war, dauert es üblicherweise nicht lange, bis Kriminelle versuchen, dies aktiv auszunutzen. Mögliche Folgen können sein:

  • Datendiebstahl in Verbindung mit anschließender Erpressung von Lösegeld
  • Datensabotage und das Einschleusen schadhafter Software
  • Zugriffe und Verschlüsselungen mit sog. Ransomware und anschließender Erpressung des Netzwerkinhabers
  • Fernkontrolle von Rechnern und Einbinden in sogenannte Botnetze

Neben finanziellen Verlusten für eventuelle Lösegelder sind es vor allem die eingeschränkte Arbeitsfähigkeit und der Aufwand für die Wiederherstellung der eigenen Systeme, die Unternehmen nach einem Cyberangriff nachhaltig in Schwierigkeiten bringen können. Selbst bekannte Konzerne hatten in der Vergangenheit zum Teil noch monatelang mit den Folgen nach einem Cyber-Angriff zu kämpfen.

ISMS - Konzept für die IT-Sicherheit

Aufwand und Nutzen für Konzepte und Maßnahmen müssen natürlich in einem gesunden Verhältnis bleiben. Daher sollten Verantwortliche sich vor der Erstellung eines Konzepts überlegen, wo die Schwerpunkte zu setzen sind. Ist ein System schnell wiederherstellbar, weil regelmäßig Backups erstellt werden, kann womöglich auf Vorkehrungen zur aktiven Angriffserkennung mittels Intrusion-Detection verzichtet werden. Befinden sich hingegen im zu schützenden Netzwerk wichtige Firmen- und Kundendaten, sieht die Situation meist schon wieder anders aus. Fallen solche Daten in die Hände von Cyber-Kriminellen, kann dies schwerwiegende Folgen nach sich ziehen, etwa wenn sie in einschlägigen Foren verkauft oder veröffentlicht werden.

Generell wird ein Konzept zur Beschreibung aller Maßnahmen der IT-Sicherheit in Unternehmen als Information Security Management System (ISMS) bezeichnet. Hilfestellungen für IT-Sicherheitskonzepte geben Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), aber auch Verbände wie Handwerkskammern oder Institutionen wie die VdS. Zudem haben Verantwortliche von KMU die Vorschriften der Datenschutzgrundverordnung (DSGVO) zu beachten. Nachfolgend haben wir ein paar der möglichen Vorlagen für Sie zusammengefasst:

  • IT-Grundschutz-Bausteine des BSI [1]: Hierbei handelt es sich um eine sehr umfassende und ausführliche Ausarbeitung, die nahezu alle denkbaren Risiken und Szenarien abdeckt. Dabei enthält sie konkrete Anweisungen für bestimmte Rechnertypen und Betriebssystemversionen. Auch Maßnahmen im Falle von akuten Angriffen und Hinweise zum Notfallmanagement werden aufgeführt.
  • IT-Grundschutz-Profile des BSI [2]: In dieser Sammlung sind vorgefertigte Profile, zum Beispiel für Handwerksbetriebe, hinterlegt. Basis sind auch hier die Grundschutz-Bausteine des BSI. Der Zentralverband des deutschen Handwerks (ZDH) fasst darin die zutreffenden Module zusammen.
  • VdS-Richtlinien 10000 [3]: Die VdS Schadenverhütung GmbH ist eine Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft und bietet Maßnahmenkataloge in Form seiner Richtlinien an. Diese sind allerdings kostenpflichtig.
  • ISO 27001: Hierbei handelt es sich um eine etablierte Norm für Informationssicherheit. Insbesondere ist es möglich, Unternehmen durch anerkannte Auditoren nach deren Vorgaben zertifizieren zu lassen. Die Anforderungen der ISO 27001 sind kompatibel mit den Grundschutz-Bausteinen des BSI. Zudem listet das BSI zertifizierte Auditoren auf [4].
  • Vorgaben der DSGVO: Die Datenschutzgrundverordnung macht nicht nur Vorgaben wie die Einholung von Einwilligungen zur elektronischen Verarbeitung personenbezogener Daten. Sie fordert auch explizit die Bestellung eines Datenschutzbeauftragten. Zudem müssen IT-Systeme "unter Berücksichtigung des Standes der Technik" so gestaltet sein, dass verarbeitete Daten mit einem "angemessenen Schutzniveau" gesichert werden. Vorfälle, wie unberechtigte Zugriffe auf im eigenen System gespeicherte personenbezogene Daten, sind umgehend an die zuständige Aufsichtsbehörde zu melden.

Mindeststandards der IT-Sicherheit für KMU

Die notwendigen Maßnahmen sind für jedes Unternehmen natürlich im Einzelfall zu beurteilen. Einige Grundsätze sollten aber als eine Art von Mindeststandard immer beachtet werden:

  • Verwendung von aktuellen Betriebssystemen und Programmen: Es sollten unbedingt auf das regelmäßige Einspielen von Sicherheitsupdates geachtet werden.
  • Beobachtung der aktuellen Sicherheitslage: Verantwortliche in KMU sollten zumindest grob im Blick haben, ob die eigene IT-Infrastruktur von aktuellen Sicherheitslücken betroffen sein könnte.
  • Regelmäßiges Erstellen von Backups: Im Fall der Fälle können aktuelle Sicherheitskopien die Arbeitsfähigkeit und auch Kundeninteressen schützen.
  • Verwendung angemessener Sicherheitssoftware: Virenscanner und Firewall sollten in jedem Netzwerk vorhanden sein. Es empfiehlt sich auch schon bei kleinen IT-Netzen der Einsatz von aktiver Angriffserkennung. Intrusion-Detection-Systeme sind in professionelleren Routern oftmals bereits integriert.
  • Netztrennung und Berechtigungskonzepte: Daten sollten nur dort zugreifbar sein, wo dies unbedingt notwendig ist. Das verkleinert die Angriffsfläche und schützt auch vor versehentlichen Weitergaben von sensiblen Daten.
  • Verhaltensregeln für Mitarbeiter: Der Umgang mit sensiblen Informationen wie Zugangsdaten, Passwörtern und personenbezogenen Daten sollte ausdrücklich besprochen und verbindlich festgelegt werden. Einzelnen Mitarbeitern sind Risiken möglicherweise gar nicht bewusst. An dieser Stelle können auch Schutzmechanismen, wie das Verbot, bestimmte Daten telefonisch oder per E-Mail weiterzugeben, sinnvoll eingebunden werden. Auch die Verpflichtung zur Rücksprache mit Vorgesetzten kann in manchen Fällen helfen.

IT-Sicherheit für KMU: Eine Pflichtaufgabe

Jeder, der IT-Systeme verwendet, sollte in der heutigen Zeit auf gewisse Sicherheitsvorkehrungen achten. Verantwortliche von KMU haben hier eine besondere Verantwortung. Einbrüche in ihre Systeme bedeuten zugleich Gefahren für persönliche Daten von Kunden und Internas der Firma. In extremen Fällen können sogar Arbeitsplätze oder die Existenz des Unternehmens von der Zugreifbarkeit auf den eigenen Datenbestand abhängen. Ein vernünftiges IT-Sicherheitskonzept mit klaren Vorgaben und einer Aufgabenverteilung schafft Handlungssicherheit im Alltag und besonders in Stresssituationen. Übrigens können Sie eine solche Stresssituation auf Wunsch auch künstlich - mit einem Penetration-Testing - herstellen und Ihr Konzept auf die Probe stellen.

Quellen:
[1] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html
[2] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/IT-Grundschutz-Profile/veroeffentlichte-Profile/veroeffentlichte-profile_node.html
[3] https://vds.de/kompetenzen/cyber-security/vds-richtlinien/anforderungsrichtlinien-/-leitfaeden/vds-10000-informations-sicherheit-fuer-kmu
[4] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/Auditoren/iso27001auditoren_node.html

Blog

vor einem Tag

Ein Hypothetischer Ansatz zur Internationalen Zusammenarbeit bei der Entsorgung von Radioaktivem Abfall und dem Rückbau von Kernkraftwerken

Ein globales Modell zur gemeinsamen Verantwortung für den Rückbau von Kernkraftwerken und die sichere Entsorgung von radioaktivem Abfall

vor 14 Tagen

Nachhaltigkeit leicht gemacht: Wie ADEY BSM und ADEY ERP den Supermarktbetrieb revolutionieren

Von Smart Metern bis zu Lieferketten: Eine umfassende Lösung für ESG- und GHG-Berichterstattung über Scope 1, 2 und 3

vor 14 Tagen

Nachhaltigkeit und Transparenz in der KI-Chip-Lieferkette mit Adey ERP und BSM

Optimierte Nachverfolgbarkeit – von der Mine bis zum Endkunden mit Hyperledger Fabric