5 Schritte zur Cyber Resilienz
KMU müssen sich darauf einstellen, Opfer von Cyberangriffen zu werden. Mit einer starken Cyber Resilienz minimieren Sie die Folgeschäden.
Schweizer KMU-Inhaber wiegen sich oft in falscher Sicherheit: «Wen interessieren schon unsere Daten», heisst es da. Oder: «Wir kommen auch ein paar Tage ohne Internet aus.» Diese Gewissheit ist trügerisch. Erstens sind KMU das bevorzugte Ziel von Cyberkriminellen. Erfolgreiche Attacken auf multinationale Konzerne machen zwar häufiger Schlagzeilen, sind zahlenmässig aber eher die Ausnahme. Denn der Markt für Cyberkriminelle ist heiss umkämpft. Das äussert sich unter anderem in einem riesigen Angebot an Werkzeugen (quasi digitale Brechstangen für den Einbruch), die im Darkweb zum Teil zu Spottpreisen verfügbar sind.
Rein finanziell lohnt sich für die Angreifer also auch eine Cyberangriff auf eher kleine Firmen, da die Investition entsprechend klein bleibt. Das zweite Argument (es ginge schon ohne Internet) dürfte bei näherer Betrachtung ebenso in sich zusammenfallen: In Zeiten von Homeoffice, vernetzten Arbeitsplätzen und digitalen Speichern ist praktisch niemand mehr unverletzlich.
Eine weitere Erkenntnis hat sich in den letzten Jahren durchgesetzt: Guter Schutz ist wichtig, reicht aber selten wirklich aus. Darum sollten KMU immer mit einem erfolgreichen Angriff rechnen und eine sogenannte Cyber Resilienz entwickeln. Das heisst, die Firma übersteht einen erfolgreichen Angriff ohne grosse finanzielle Verluste und kann trotz teilweise lahmgelegter IT weiterhin operativ arbeiten.
Um diese Cyber Resilienz zu erreichen, braucht es präventive Massnahmen. Dies ist unter Umständen mit einiger Arbeit verbunden, je nachdem, in welchem Zustand sich die interne IT befindet. Sollten dazu intern nicht genügend Ressourcen zur Verfügung stehen, ist es ratsam, mit einem externen Dienstleiser zusammenzuarbeiten. Grob lässt sich der Weg einer starken Cyber Resilienz in fünf Schritte aufteilen:
Schritt 1: Awareness des Managements
Zuerst ist das Management gefordert: Nur wenn sich die Führungsetage bewusst ist, dass ein erfolgreicher Cyberangriff im schlimmsten Fall die Existenz der Firma bedroht. Datenverlust, Reputationsschaden, Forderungen von Kunden wegen unterlassenen Lieferungen bzw. Dienstleistungen usw. sind nur einige der Folgen, die ein Cyberangriff nach sich ziehen kann. Erst, wenn das Management diese Gefahren erkennt, besteht auch die Bereitschaft, die nötigen personellen und finanziellen Ressourcen für eine nachhaltige Cyber Resilienz bereitzustellen.
Schritt 2: Übersicht
In KMU ist die IT-Landschaft oft organisch gewachsen. Es wurde beschafft, was für die produktive Arbeit nötig war, oft auch gleich auf Abteilungsstufe. Produktionsmaschinen laufen häufig mit stark veralteten Betriebssystemen, die ihren Dienst aber grundsätzlich tadellos verrichten. Doch mit der zunehmenden Vernetzung all dieser Geräte wächst das Risiko für eine fatale Sicherheitslücke. Erst eine akribisch erstellte Liste aller verwendeten digitalen Geräte erlaubt es, die Risiken einzuschätzen. Man sollte auch versteckte Geräte nicht vergessen, wie beispielsweise Türöffner, Drucker oder Überwachungskameras.
Schritt 3: IT-Sicherheit nachbessern
Dies ist der logische nächste Schritt. Bei der Analyse der vorhandenen Infrastruktur zeigen sich schnell veraltete Systeme, Sicherheitsmängel und ungepatchte Software. Bei dieser Gelegenheit bietet es sich an, auf Zero Trust Security umzusteigen, identitäts- und rollenbasierte Authentifizierung einzuführen, das grosse Netzwerk in Mikronetzwerke zu segmentieren und Voraussetzungen für die Echtzeitüberwachung des Datenverkehrs zu schaffen.
Selbstverständlich muss spätestens jetzt auch über ein ausfallsicheres Backup der Daten gesprochen werden, das ebenfalls in dieser Phase ausführlich getestet wird. Dies ist keine abschliessende Liste, die Massnahmen hängen sehr stark von der vorhandenen Infrastruktur ab. Es empfiehlt sich aber in jedem Fall, einen erfahrenen Dienstleister beizuziehen.
Schritt 4: Resilient werden
Jetzt geht es ans Eingemachte: Was passiert, wenn trotz aller Vorbereitung ein Angriff erfolgreich ist? Dank der Vorarbeit wissen die Verantwortlichen sehr genau, wie die Infrastruktur aussieht und welche Prozesse wo ablaufen. Jetzt können für jedes Ereignis die entsprechenden Folgen abgeschätzt werden. Ist das möglich, lassen sich geeignete Massnahmen bei einem Ausfall definieren und schriftlich festhalten. Auf diese Weise ist die schnelle Reaktionsfähigkeit bei einem erfolgreichen Angriff gewährleistet. Das Ziel dieses Schrittes muss sein, die operative Funktionsfähigkeit des Betriebs im Fall eines erfolgreichen Angriffs zumindest minimal aufrechtzuerhalten.
Schritt 5: Awareness der Mitarbeitenden
Parallel zu den bisherigen Massnahmen müssen die Mitarbeitenden ein Awareness-Training absolvieren. Dies ist ein wichtiger Schritt zur Prävention. Eine generelle Schulung zum Thema Cyberangriffe schafft die Grundlagen, ein konkretes Notfalltraining verbessert die Resilienz: Was ist zu tun, wenn der Ernstfall eintritt? Hier helfen die in Schritt vier festgelegten Notfallpläne. Besonders hervorzuheben ist in diesem Zusammenhang die Rolle des Managements. Deren Teilnahme an den Schulungen ist zwingend. Einerseits weil gerade die Führungsriege ein bevorzugtes Ziel für Cyberangriffe ist (Stichwort Spearfishing), andererseits zeigt das Management bis hin zum Firmenbesitzer mit seiner Anwesenheit auch, wie wichtig das Thema für die Firma ist.
Fazit
Cyber Resilienz ist die logische Ergänzung zu einem umfassenden IT-Sicherheitsdispositiv. Die Verantwortlichen in einem KMU müssen davon ausgehen, früher oder später Opfer eines erfolgreichen Cyber-Angriffs zu werden. Eine starke Cyber Resilienz sorgt dafür, dass die operative Tätigkeit des Betriebs auch im schlimmsten Fall gewährleistet ist. So lassen sich massive finanzielle Verluste und Reputationsschäden abwenden oder zumindest abmildern. Wer hier spart, spielt mit der Existenz seiner Firma.
Wenn Sie bereit sind, Ihre Reise in die digitale Zukunft anzutreten und von den zahlreichen Vorteilen zu profitieren, zögern Sie nicht, uns unverbindlich zu kontaktieren. Wir stehen Ihnen gerne zur Verfügung, um Ihnen bei der Umsetzung und Implementierung passender Lösungen zu helfen.