Damit KMU erfolgreiche Cyber-Attacken abfedern können, brauchen sie eine ausreichende Cyber-Resilienz. So können sie massive Folgeschäden verhindern.
Kundendaten, Buchhaltung, Budget, Bestellungen, Korrespondenz oder Lagerverwaltung: Auch in KMU unterlagen diese Schlüsselpositionen der Geschäftsführung in den letzten Jahren einer digitalen Transformation. Kaum jemand arbeitet heute noch mit Karteikarten und Bundesordnern. Entsprechend radikal haben sich auch die Prozesse verändert. Datenspeicherung in der Cloud ist heute eher die Regel als die Ausnahme, die Angestellten sind digital vernetzt und arbeiten nicht selten zuhause oder unterwegs mit Firmendaten. Das erhöht die Effizienz und damit die Rentabilität.
Daten sind viel Wert
Doch wo Licht ist, ist auch Schatten: Wo früher die Geschäftsdaten von KMU für Kriminelle eher uninteressant waren, hat sich das in den letzten Jahren dramatisch verändert. Digitale Daten sich heute Gold wert, entsprechend zahlreich sind die Meldungen über Cyber-Bedrohungen und -Angriffe. Breit eingesetzt werden Trojaner, um unerkannt die Systeme ausspionieren zu können. Gefälschte Links in sogenannten Phishingmails gewähren Cyberkriminellen den Zugang in ungenügend abgesicherte Netzwerke. Nicht nur das Absaugen von Daten ist so möglich. Zunehmend beliebt ist Ransomware, die sämtliche Daten des angegriffenen Unternehmens verschlüsselt. Wer ein Lösegeld zahlt, erhält wieder Zugriff auf seine Daten – so zumindest das Versprechen der Kriminellen. Experten raten allerdings dringend davon ab, zu zahlen. Denn nicht selten folgen weitere Forderungen – oder man hört gar nichts mehr und die Daten sind trotz Zahlung verloren.
Cyber-Resilienz beim Angriff
Entsprechend viel investieren Schweizer Firmen in Cyber Security und die Abwehr von Angriffen. Das ist zwar wichtig, aber nur die halbe Miete. Genauso wichtig ist die Cyber-Resilienz. Damit ist die Fähigkeit des Unternehmens gemeint, eine Cyber-Attacke zu überleben und auch während des Angriffs die geschäftskritischen Prozesse weiterhin aufrecht zu erhalten. Machen wir uns nichts vor: Auch die besten Abwehrmassnahmen gewähren keinen hundertprozentigen Schutz. Sollte doch mal etwas schiefgehen, ist es für das Unternehmen überlebenswichtig, seine Daten und Prozesse weiterhin nutzen zu können beziehungsweise möglichst schnell wieder in den Normalbetrieb zurückzukehren. Der Fachbegriff heisst Business Continuity, also die Fähigkeit, auch während Krisen weiterhin einigermassen normal zu funktionieren und so massive finanzielle Verluste zu vermeiden.
Technische Hilfsmittel
Eine starke Cyber-Resilienz ruht auf verschiedenen Pfeilern. Als Grundvoraussetzung sollten die Verantwortlichen die Folgen eines Notfalls kennen. Welche Konsequenzen hat es beispielsweise, wenn die Firma keinen Zugriff auf die Cloud mehr oder auf die eigenen Server hat? Wie genau ist die Produktion betroffen, die interne und externe Kommunikation, der Verkauf oder die Zahlungsfähigkeit? Mit dieser grundsätzlichen Analyse ist eine wirksame Prävention möglich und es lassen sich Alternativlösungen entwickeln.
Das krisentaugliche Backup aller Daten ist entscheidend, darauf beruht letztlich der gesamte Krisenplan. Ganz wichtig hier: Testen! Ein Backup einzurichten, hilft nichts, wenn sich im Krisenfall zeigt, dass es nur ungenügend konfiguriert ist. Ein besonderes Augenmerk sollte auf den Backup-Rhythmus gelegt werden. Gewisse Daten brauchen ein häufigeres Backup als andere. Die richtige Backup-Strategie entscheidet gerade bei einem Ransomware-Angriff häufig über die Zukunft der Firma.
Neben dem Backup wird in vielen KMU das Patch-Management sträflich vernachlässigt. Veraltete, ungepflegte Systeme sind ein äusserst beliebtes Einfallstor für Cyber-Attacken. Dabei geht es bei weitem nicht nur um das Betriebssystem, sondern um sämtliche installierte Software. Heute gibt es keine Software mehr ohne Internetzugang. Entsprechend drohen Attacken über jedes installierte Programm. Eine Übersicht über die vorhandene Software und deren Status ist deshalb absolut zentral für die Cyber-Resilienz. Achtung: Webseiten und angeschlossene Tools keinesfalls vergessen!
Awareness bei der Belegschaft
Neben den technischen Massnahmen gehört auch die Weiterbildung der Belegschaft zu einer ausgereiften Cyber-Resilienz. Stichwort Awareness. Denn die meisten Cyber-Attacken erfolgen heute mithilfe der eigenen Angestellten. Ein Klick auf einen manipulierten Link, das Öffnen einer befallenen Webseite, die Nutzung eines infizierten USB-Sticks oder schlicht die vertrauensselige Preisgabe von Informationen an Unbekannte. Nur gut ausgebildete und wache Mitarbeitende sind fähig, die Gefahren rechtzeitig zu erkennen. Neben der Awareness gehört zur Ausbildung auch, wie im Krisenfall zu reagieren ist. Wer hat welche Rolle und Verantwortung? Kennen alle Mitarbeitenden das Krisenszenario und können sie sich entsprechend verhalten? Die Kommunikation mit Kunden und Partnern sollte nicht vergessen gehen. Auch diese Massnahme muss früh genug vorbereitet werden, damit während des Notfalls nicht unnötig Ressourcen gebunden sind.
Ein wichtiger Punkt, der von Security-Profis immer wieder betont wird: Das obere Management muss mitmachen. Es nützt nichts, die Angestellten zu einem Awareness-Kurs zu verdonnern und die Führungscrew davon auszunehmen. Denn gerade das Management wird häufig sehr gezielt attackiert – dort ist auch am meisten zu holen. Ausserdem wirkt es motivierend für die Belegschaft, wenn sie mit dem Chef gemeinsam die Schulbank drückt.
Fazit
Cyber-Bedrohungen gehören heute zum normalen Geschäftsalltag jedes KMU. Cyber-Security-Massnahmen müssen heute eine Selbstverständlichkeit sein. Ein erfolgreicher Angriff kann ohne Weiteres den Weiterbestand eines Unternehmens gefährden. Daneben drohen Reputationsschäden und finanzielle Schäden. Neben der Prävention braucht es aber auch eine ausreichende Vorbereitung auf den Ernstfall, der nie völlig auszuschliessen ist. Mit Massnahmen für die Cyber-Resilienz gewährleistet das Unternehmen, auch bei einer erfolgreichen Attacke weiterhin funktionieren zu können (Business Continuity) und grössere Schäden zu vermeiden. Hierzu braucht es eine Analyse des Ist-Zustands und die definierten Reaktionen auf ein Schadensereignis. Unter dem Stichwort Awareness muss die Belegschaft auf einen Angriff vorbereitet werden. Wichtig ist die enge Einbindung des Managements in die allfällige Aus- und Weiterbildung.
Wenn Sie bereit sind, Ihre Reise in die digitale Zukunft anzutreten und von den zahlreichen Vorteilen zu profitieren, zögern Sie nicht, uns unverbindlich zu kontaktieren. Wir stehen Ihnen gerne zur Verfügung, um Ihnen bei der Umsetzung und Implementierung passender Lösungen zu helfen.
