Digitalisierung

8 Tipps für mehr IT-Sicherheit im Betrieb

Wie sich kleine und mittlere Unternehmen vor Cyberattacken schützen können.

Im Som­mer 2022 er­wisch­te es erst­mals ei­nen DAX-Kon­zern: Bei ei­nem Cy­ber­an­griff auf ei­nen deut­schen Au­to­mo­bil­zu­lie­fe­rer wur­den Me­di­en­be­rich­ten zu­fol­ge rund 40 Te­ra­byte Da­ten ge­stoh­len – das ent­spricht cir­ca 260 Mil­lio­nen Do­ku­men­ten­sei­ten. Die Cy­ber­kri­mi­nel­len konn­ten ei­nem Be­richt des Han­dels­blatts zu­fol­ge ne­ben di­gi­ta­len Un­ter­la­gen des Au­to­zu­lie­fe­rers selbst so­wie Kun­den­da­ten auch per­so­nen­be­zo­ge­ne In­for­ma­tio­nen von ak­ti­ven und ehe­ma­li­gen Mit­ar­bei­ten­den ko­pie­ren. Für den Fall, dass kein Lö­se­geld ge­zahlt wer­de, droh­ten die Da­ten­die­be mit der Ver­öf­fent­li­chung der ge­stoh­le­nen di­gi­ta­len In­hal­te im so­ge­nann­ten Darknet. Aus­gang nach wie vor un­ge­wiss. Zu­letzt hat­te der Au­to­mo­bil­zu­lie­fe­rer an­ge­kün­digt, nicht auf die Lö­se­geld­for­de­run­gen ein­ge­hen zu wol­len.

Die so­ge­nann­te Ran­som­ware-At­ta­cke auf den DAX-Kon­zern – von eng­lisch „ran­som“, zu Deutsch: Lö­se­geld – ist kein Ein­zel­fall. Ob Ran­som­ware, Brut-Force oder DDoS: Die Zahl der Cy­ber­at­ta­cken nimmt dra­ma­tisch zu.

Da­von be­trof­fen sind nicht nur gro­ße Kon­zer­ne, son­dern vor al­lem mit­tel­stän­di­sche Un­ter­neh­men: Ei­ner for­sa-Be­fra­gung im Auf­trag des Ge­samt­ver­bands der Deut­schen Ver­si­che­rungs­wirt­schaft (GDV) zu­fol­ge war bis heu­te be­reits fast je­des fünf­te klei­ne und mitt­le­re Un­ter­neh­men in Deutsch­land Op­fer ei­nes er­folg­rei­chen Cy­ber­an­griffs. Fa­zit des GDV: Der Mit­tel­stand muss mehr für den Schutz sei­ner IT-Sys­te­me tun. Denn nur 22 Pro­zent der be­frag­ten Un­ter­neh­men er­fül­len der­zeit zu­min­dest die Ba­sis­an­for­de­run­gen an die IT-Si­cher­heit – ob­wohl die­se ver­gleichs­wei­se ein­fach um­zu­set­zen sei­en. Die über­wie­gen­de Mehr­heit (78 Pro­zent) hat dem­nach mehr oder min­der gro­ße Si­cher­heits­lü­cken. „Die meis­ten Un­ter­neh­men hal­ten sich für deut­lich bes­ser ge­gen Cy­ber­at­ta­cken ge­schützt, als sie es tat­säch­lich sin­d“, warnt GDV-Haupt­ge­schäfts­füh­rer Jörg As­mus­sen. Die Ver­ant­wort­lich­keit da­für packt das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) in ei­ne ein­fa­che For­mel: Cy­ber­si­cher­heit ist Chef­sa­che! Acht Tipps, wie Sie da­bei vor­ge­hen kön­nen.

So erhöhen Sie die IT-Sicherheit in Ihrem Betrieb

  1. Verantwortliche benennen

    Wer darf entscheiden, ob der Webserver heruntergefahren wird? Wer ist im Notfall auch außerhalb der Bürozeiten erreichbar, selbst ohne funktionierendes Netzwerk? Definieren Sie klare Zuständigkeiten und Kommunikationswege. Erstellen Sie dafür eine Liste mit Namen und Telefonnummern für den Notfall. Diese sollte gegebenenfalls auch die Kontaktdaten externer Dienstleister enthalten.

  2. Virenschutz aktuell halten

    Eine Antivirensoftware gehört zur Pflichtausstattung jedes Computers. Alle bekannten Hersteller bieten je nach Bedarf modular erweiterbare Pakete für kleine und mittlere Unternehmen an. Die Software kann zumeist kostenlos getestet werden. Wichtig: Das Virenschutzprogramm muss immer auf dem aktuellen Stand sein. Deshalb sollte die automatische Aktualisierungsfunktion für die Virensignaturen und für das Programm selbst aktiviert sein.

  3. Firewall installieren

    Enthält die genutzte Virenschutzsoftware, das Betriebssystem oder der Router keine Firewall, sollte diese zusätzlich installiert werden. Während Antivirensoftware E-Mails oder die Festplatte des Rechners nach Viren durchsucht, verhindert eine Firewall grundsätzlich den unbefugten Zugriff von außen und blockt von vornherein Schadsoftware ab. Die Firewall sollte immer eingeschaltet bleiben.

  4. Daten regelmäßig sichern

    Wenn ein Angreifer wertvolle Dateien verschlüsselt oder ein Feuer oder eine Flut die IT-Anlage zerstört, ist es für Unternehmen mitunter existenzrettend, eine Sicherungskopie beziehungsweise ein Backup dieser Daten zu haben. Deshalb sollte eine regelmäßige Datensicherung zum Standard jedes Betriebes gehören. Experten empfehlen, mindestens einmal pro Woche eine Sicherungskopie zu erstellen und diese an einem sicheren Ort zu verwahren – zum Beispiel auf den Servern eines sicherheitszertifizierten Cloud-Anbieters. Dabei sollte regelmäßig geprüft werden, ob sich die Daten mithilfe der Sicherheitskopien tatsächlich wieder ins System einspielen lassen.

  5. Softwareaktualisierungen einschalten

    Anwendungssoftware und Betriebssysteme sollten immer auf aktuellem Stand gehalten werden. Denn mit Updates und sogenannten Patches werden von den Anbietern häufig bereits bekannte Sicherheitslücken geschlossen. Entsprechende Updates werden von den Programmen in der Regel automatisch installiert. Die Update-Funktionen sollten daher auf keinen Fall deaktiviert werden. Wenn die Soft- und Firmware auf dem neuesten Stand ist, ist das Risiko eines erfolgreichen Cyberangriffs laut dem BSI signifikant geringer.

  6. Benutzerkonten einrichten

    Jeder Mitarbeiter des Unternehmens sollte ein eigenes Benutzerkonto mit individuellem Passwort haben. Hingegen sollte es nur ein Administratorprofil geben, welches nur dann genutzt wird, wenn neue Programme eingerichtet oder das Betriebssystem konfiguriert werden muss. Fängt sich ein Mitarbeiter über sein Konto einen Virus ein, kann dieser so meist nur begrenzten Schaden anrichten. Zudem sollten die Mitarbeiter für Cybergefahren sensibilisiert werden.

  7. Passwortregeln vorgeben

    Einfach zu erratende Passwörter sind eines der häufigsten Einfallstore für Angreifer – dazu gehören zum Beispiel der Name des Unternehmens oder simple Zahlenreihen. Unternehmer sollten eine bestimmte Passwortlänge vorschreiben und ihre Mitarbeiter dazu verpflichten, mindestens eine Zahl oder ein Sonderzeichen im Passwort zu verwenden. Empfehlungen für die Erstellung sicherer Passwörter gibt das Bundesamt für Sicherheit in der Informationstechnik.

  8. Mobile Geräte schützen

    Häufig werden Firmendaten auf Smartphones, Tablets oder Laptops auch außerhalb des Betriebes genutzt. Diese müssen ebenfalls zum Beispiel mit Virenschutzsoftware und sicheren Passwörtern geschützt werden. Darüber hinaus sollten sensible Daten auf Handys oder Laptops für den Fall des Verlusts oder Diebstahls verschlüsselt werden und aus der Ferne gelöscht werden können.

Vorsicht, Phishing!

Sie locken mit Betreffzeilen wie „Online-Prüfung auf Geldwäsche“ oder behaupten, dass die Sicherheitseinstellungen in Ihrem Online-Banking angepasst und dafür Ihre Kontodaten abgeglichen werden müssen: Deutsche Sicherheitsbehörden warnen erneut vor betrügerischen Phishingmails und ‑anrufen. Dabei geben sich Kriminelle als Bankmitarbeiter oder Polizisten aus, um persönliche Daten von Bankkunden „abzufischen“ und sich Zugang zu deren Konten zu verschaffen. Betroffen sind davon sowohl private als auch gewerbliche Kunden.

Bitte beachten Sie dazu die folgenden Sicherheitshinweise:

  • Nutzen Sie als Postbank-ID und als Passwort für Ihr Onlinebanking niemals dieselben Anmeldedaten, die Sie für andere Logins verwenden, etwa für Ihr E-Mail-Konto.
  • Geben Sie bei Telefonanrufen, E-Mails oder Kontaktversuchen über andere Medien, zum Beispiel Messengerdienste, niemals Ihre Logindaten preis – auch dann nicht, wenn Sie von angeblichen Bankmitarbeitern dazu gedrängt werden. Die Postbank führt niemals einen Datenabgleich telefonisch, per E-Mail oder SMS durch – auch nicht im Falle von Datenverlusten. Dasselbe gilt für Polizeibehörden.
  • Geben Sie auf keinen Fall Authentifizierungsverfahren (z. B. BestSign, mobile TAN) frei, wenn Sie diese nicht selbst aktiv angefordert haben. Geben Sie entsprechenden Aufforderungen auch dann nicht nach, wenn sie mehrfach erfolgen.
  • Achtung: Kriminelle können sowohl die Absenderadresse einer E-Mail als auch die in der Rufnummernanzeige sichtbare Telefonnummer manipulieren (Fachbegriff: „spoofing“, deutsch: parodieren). Seien Sie also auch dann misstrauisch, wenn die angezeigte Nummer die der Postbank zu sein scheint. Gut zu wissen: Damit Sie sichergehen können, dass E-Mails mit dem Absender Postbank auch wirklich von der Postbank stammen, sind diese mit einem E-Mail-Signaturverfahren signiert. Mehr dazu erfahren Sie im Sicherheitsbereich auf der Postbank Website.
  • Wenn Sie einen Betrugsversuch vermuten, ändern Sie sofort Ihre Postbank-ID und Ihr Passwort und senden Sie uns bitte direkt anschließend eine E-Mail an missbrauch@postbank.de
  • Lesen Sie regelmäßig die aktuellen Sicherheitshinweise auf der Postbank Website.

Quellen: Gesamtverband der Deutschen Versicherungswirtschaft, Bundesamt für Sicherheit in der Informationstechnik, eigene Recherchen
Stand: 03/24; alle Angaben ohne Gewähr
Bildnachweis: iStockphoto / solarseven