Digitalisierung

8 Tipps für mehr IT-Sicherheit im Betrieb

Wie sich kleine und mittlere Unternehmen vor Cyberattacken schützen können.

Im Sommer 2022 erwischte es erstmals einen DAX-Konzern: Bei einem Cyberangriff auf einen deutschen Automobilzulieferer wurden Medienberichten zufolge rund 40 Terabyte Daten gestohlen – das entspricht rund 260 Millionen Dokumentenseiten. Beim bislang größten Datendiebstahl der deutschen Wirtschaftsgeschichte konnten die Cyberkriminellen laut einem Bericht des Handelsblatts neben Daten des Autozulieferers selbst auch Kundendaten sowie personenbezogene Daten von aktiven und ehemaligen Mitarbeitenden kopieren. Hinter der Attacke steckt die professionelle Hackergruppe „Lockbit“, die vor allem aus dem russischsprachigen Raum operiert. Die Hacker drohen mit der Veröffentlichung der gestohlenen Daten, sollte kein Lösegeld gezahlt werden. Die Rede ist deshalb von einer sogenannten Ransomware-Attacke (von englisch „ransom“, deutsch: Lösegeld). Bislang haben die Cyberkriminellen nur eine Liste der erbeuteten Dateien auf ihrem Blog im Darknet veröffentlicht, jedoch nicht die Dateien selbst. Der Automobilzulieferer betonte zuletzt, dass er sich nicht auf die Lösegeldzahlungen eingelassen habe. Vielmehr dauerten die mit Unterstützung externer Experten für Cybersicherheit durchgeführte Untersuchung sowie die Datenanalyse derzeit noch an (Stand: 10. Februar 2022).

Von Cyberattacken betroffen sind aber nicht nur große Konzerne, sondern vor allem auch mittelständische Unternehmen: Einer Befragung des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zufolge war bereits jedes vierte kleine und mittlere Unternehmen in Deutschland Opfer eines erfolgreichen Cyberangriffs. Fazit des GDV: Der Mittelstand müsse mehr für den Schutz seiner IT-Systeme tun. Denn nur jedes fünfte befragte Unternehmen erfülle zumindest die Basisanforderungen an die IT-Sicherheit – obwohl diese vergleichsweise einfach umzusetzen seien. Die Verantwortlichkeit dafür packt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in eine einfache Formel: Cybersicherheit ist Chefsache!

So erhöhen Sie die IT-Sicherheit in Ihrem Betrieb

  1. Verantwortliche benennen

    Wer darf entscheiden, ob der Webserver heruntergefahren wird? Wer ist im Notfall auch außerhalb der Bürozeiten erreichbar, selbst ohne funktionierendes Netzwerk? Definieren Sie klare Zuständigkeiten und Kommunikationswege. Erstellen Sie dafür eine Liste mit Namen und Telefonnummern für den Notfall. Diese sollte gegebenenfalls auch die Kontaktdaten externer Dienstleister enthalten.

  2. Virenschutz aktuell halten

    Eine Antivirensoftware gehört zur Pflichtausstattung jedes Computers. Alle bekannten Hersteller bieten je nach Bedarf modular erweiterbare Pakete für kleine und mittlere Unternehmen an. Die Software kann zumeist kostenlos getestet werden. Wichtig: Das Virenschutzprogramm muss immer auf dem aktuellen Stand sein. Deshalb sollte die automatische Aktualisierungsfunktion für die Virensignaturen und für das Programm selbst aktiviert sein.

  3. Firewall installieren

    Enthält die genutzte Virenschutzsoftware, das Betriebssystem oder der Router keine Firewall, sollte diese zusätzlich installiert werden. Während Antivirensoftware E-Mails oder die Festplatte des Rechners nach Viren durchsucht, verhindert eine Firewall grundsätzlich den unbefugten Zugriff von außen und blockt von vornherein Schadsoftware ab. Die Firewall sollte immer eingeschaltet bleiben.

  4. Daten regelmäßig sichern

    Wenn ein Angreifer wertvolle Dateien verschlüsselt oder ein Feuer oder eine Flut die IT-Anlage zerstört, ist es für Unternehmen mitunter existenzrettend, eine Sicherungskopie beziehungsweise ein Backup dieser Daten zu haben. Deshalb sollte eine regelmäßige Datensicherung zum Standard jedes Betriebes gehören. Experten empfehlen, mindestens einmal pro Woche eine Sicherungskopie zu erstellen und diese an einem sicheren Ort zu verwahren – zum Beispiel auf den Servern eines sicherheitszertifizierten Cloud-Anbieters. Dabei sollte regelmäßig geprüft werden, ob sich die Daten mithilfe der Sicherheitskopien tatsächlich wieder ins System einspielen lassen.

  5. Softwareaktualisierungen einschalten

    Anwendungssoftware und Betriebssysteme sollten immer auf aktuellem Stand gehalten werden. Denn mit Updates und sogenannten Patches werden von den Anbietern häufig bereits bekannte Sicherheitslücken geschlossen. Entsprechende Updates werden von den Programmen in der Regel automatisch installiert. Die Update-Funktionen sollten daher auf keinen Fall deaktiviert werden. Wenn die Soft- und Firmware auf dem neuesten Stand ist, ist das Risiko eines erfolgreichen Cyberangriffs laut dem BSI signifikant geringer.

  6. Benutzerkonten einrichten

    Jeder Mitarbeiter des Unternehmens sollte ein eigenes Benutzerkonto mit individuellem Passwort haben. Hingegen sollte es nur ein Administratorprofil geben, welches nur dann genutzt wird, wenn neue Programme eingerichtet oder das Betriebssystem konfiguriert werden muss. Fängt sich ein Mitarbeiter über sein Konto einen Virus ein, kann dieser so meist nur begrenzten Schaden anrichten. Zudem sollten die Mitarbeiter für Cybergefahren sensibilisiert werden.

  7. Passwortregeln vorgeben

    Einfach zu erratende Passwörter sind eines der häufigsten Einfallstore für Angreifer – dazu gehören zum Beispiel der Name des Unternehmens oder simple Zahlenreihen. Unternehmer sollten eine bestimmte Passwortlänge vorschreiben und ihre Mitarbeiter dazu verpflichten, mindestens eine Zahl oder ein Sonderzeichen im Passwort zu verwenden. Empfehlungen für die Erstellung sicherer Passwörter gibt das Bundesamt für Sicherheit in der Informationstechnik.

  8. Mobile Geräte schützen

    Häufig werden Firmendaten auf Smartphones, Tablets oder Laptops auch außerhalb des Betriebes genutzt. Diese müssen ebenfalls zum Beispiel mit Virenschutzsoftware und sicheren Passwörtern geschützt werden. Darüber hinaus sollten sensible Daten auf Handys oder Laptops für den Fall des Verlusts oder Diebstahls verschlüsselt werden und aus der Ferne gelöscht werden können.

Vorsicht, Phishing!

Sie locken mit Betreffzeilen wie „Jetzt Energiepauschale sichern“ oder behaupten, dass die Sicherheitseinstellungen im Onlinebanking angepasst und dafür die Kontodaten abgeglichen werden müssen: Deutsche Sicherheitsbehörden warnen erneut vor betrügerischen Phishingmails und -anrufen. Dabei geben sich Kriminelle als Bankmitarbeiter oder Polizisten aus, um persönliche Daten von Bankkunden „abzufischen“ und sich Zugang zu deren Konten zu verschaffen. Betroffen sind davon sowohl private als auch gewerbliche Kunden.

Bitte beachten Sie dazu die folgenden Sicherheitshinweise:

  • Nutzen Sie als Postbank-ID und als Passwort für Ihr Onlinebanking niemals dieselben Anmeldedaten, die Sie für andere Logins verwenden, etwa für Ihr E-Mail-Konto.
  • Geben Sie bei Telefonanrufen, E-Mails oder Kontaktversuchen über andere Medien, zum Beispiel Messengerdienste, niemals Ihre Logindaten preis – auch dann nicht, wenn Sie von angeblichen Bankmitarbeitern dazu gedrängt werden. Die Postbank führt niemals einen Datenabgleich telefonisch, per E-Mail oder SMS durch – auch nicht im Falle von Datenverlusten. Dasselbe gilt für Polizeibehörden.
  • Geben Sie auf keinen Fall Authentifizierungsverfahren (z. B. BestSign, mobile TAN) frei, wenn Sie diese nicht selbst aktiv angefordert haben. Geben Sie entsprechenden Aufforderungen auch dann nicht nach, wenn sie mehrfach erfolgen.
  • Achtung: Kriminelle können sowohl die Absenderadresse einer E-Mail als auch die in der Rufnummernanzeige sichtbare Telefonnummer manipulieren (Fachbegriff: „spoofing“, deutsch: parodieren). Seien Sie also auch dann misstrauisch, wenn die angezeigte Nummer die der Postbank zu sein scheint. Gut zu wissen: Damit Sie sichergehen können, dass E-Mails mit dem Absender Postbank auch wirklich von der Postbank stammen, sind diese mit einem E-Mail-Signaturverfahren signiert. Mehr dazu erfahren Sie im Sicherheitsbereich auf der Postbank Website.
  • Wenn Sie einen Betrugsversuch vermuten, ändern Sie sofort Ihre Postbank-ID und Ihr Passwort und senden Sie uns bitte direkt anschließend eine E-Mail an missbrauch@postbank.de
  • Lesen Sie regelmäßig die aktuellen Sicherheitshinweise auf der Postbank Website.

Quellen: Gesamtverband der Deutschen Versicherungswirtschaft, Bundesamt für Sicherheit in der Informationstechnik, eigene Recherchen
Alle Angaben ohne Gewähr; Stand: März 2023
Bildnachweis: iStockphoto / solarseven