Laptops, Smartphones und Tablets sind nicht mehr aus dem Geschäftsleben wegzudenken. Immer mehr Prozesse laufen digital ab; Mitarbeiter greifen von überall auf Firmendaten zu und Cloud-Speicher ersetzen den klassischen Aktenordner.
Leider bringt die Digitalisierung auch ein Risiko: Cyberangriffe auf Unternehmen. Durch Hacker-Attacken entstehen jedes Jahr Schäden in Milliardenhöhe. Nicht nur große Konzerne sind betroffen. Kleine und mittelständische Firmen haben oft nicht das nötige Know-how, um sich zu wappnen. Das macht sie zur beliebten Zielscheibe.
Umso wichtiger ist der richtige Schutz. In diesem Artikel zeigen wir, wie Sie die Cybersicherheit Ihres Unternehmens verbessern und Bedrohungen abwehren können.
Definition: Was ist ein Cyberangriff?
Unter einem Cyberangriff versteht man den Versuch, sich unerlaubt Zugang zu computerbasierten Systemen zu verschaffen. Einmal im System, können Hacker Daten auslesen, verändern, sperren und sogar löschen.
Die Motive dafür sind vielfältig: Sie können persönlich oder politisch sein – so z. B. bei Cyberattacken auf staatliche Einrichtungen. In der Geschäftswelt spielen meist finanzielle Motive eine Rolle. Hacker versuchen, mithilfe von Phishing und Ransomware Zahlungen zu erpressen. Auch der Diebstahl von Kundendaten oder geistigem Eigentum kann hinter dem Cyberangriff stecken. Im Extremfall wird die gesamte Infrastruktur lahmgelegt. Das führt zu massiven Einbußen und kann Unternehmen in den Ruin treiben.
Die 11 wichtigsten Cyber Security Maßnahmen
1. Sicherheits-Updates
Sicherheits-Updates sind essentiell, um Geräte und Software auf dem neusten Stand zu halten. Die Installation sollte automatisch erfolgen – auch auf wenig beachteter Hardware wie Druckern und Routern. Ansonsten drohen dort Sicherheitslücken, die sich auf das ganze Netzwerk ausweiten können.
Doch was ist, wenn das Gerät nicht mehr mit Updates versorgt wird? Dann sollte es so bald wie möglich ausgetauscht werden. Jedes Gerät einzeln zu überprüfen, ist natürlich langwierig. Mehr Effizienz bieten MDM-Lösungen. Sie stellen den Update-Stand der Geräteflotte übersichtlich dar. Bei Bedarf lassen sich Updates dann remote aufspielen.
2. Geteilte Netzwerke
Zu den Grundlagen der Cyber Security gehört folgender Tipp: Netzwerke, die nicht unbedingt miteinander kommunizieren müssen, sollten getrennt werden. So sind bei einem erfolgreichen Cyber-Angriff nicht alle Netze betroffen. Der Schaden lässt sich leichter eindämmen.
Realisiert wird die Netzwerktrennung mithilfe sog. VLANs (Virtual Local Area Network). Diese empfehlen sich vor allem für Abteilungen, die viel externen Email-Kontakt pflegen: etwa Marketing, Vertrieb und Human Resources. VLANs können relativ einfach eingerichtet werden, da es sich um logische, nicht um physische Netzwerke handelt. Voraussetzung ist lediglich ein VLAN-fähiges Switch.
Auch eine sog. Demilitarisierte Zone (DMZ) kann die Sicherheit im Unternehmen erhöhen. Sie schafft eine Trennung zwischen Internetauftritt und Firmen-Netzwerk. Selbst, wenn Hacker sich Zugriff auf den öffentlichen Server verschaffen, bleiben die internen Daten geschützt.
3. Privileged Access Management (PAM)
Privileged Access spielt vor allem in größeren Unternehmen eine Rolle. Dort gibt es oft mehrere privilegierte Nutzer, die auf die wichtigsten Systeme Zugriff haben. Das Problem: Werden die Login-Daten der Nutzer gestohlen, können Hacker das gesamte Firmennetzwerk lahmlegen.
Abhilfe schafft ein Privileged Access Management (PAM). Statt sich in jedes System separat einzuloggen, erfolgt die Anmeldung im PAM – idealerweise mit einer Multi-Faktor-Authentifizierung. Die Passwörter der einzelnen Systeme werden dann vom PAM verwaltet und regelmäßig ausgetauscht.
Darüber hinaus dienen PAMs als Kontrollinstanz: Sie überwachen das Verhalten aller Personen, die auf privilegierte Systeme zugreifen, und erstellen Reports. So lassen sich verdächtige Aktivitäten schnell erkennen.
4. Daten verschlüsseln
Unternehmen sind nicht nur für ihre eigenen Daten, sondern auch die ihrer Kunden zuständig. Werden diese gestohlen, drohen hohe Bußgelder. Eine Möglichkeit, Missbrauch zu verhindern, ist die Verschlüsselung.
Sobald eine Datei gespeichert wird, wandeln Programme wie VeraCrypt, AxCrypt oder Bitlocker sie in unleserlichen Code um. Um ihn zu dechiffrieren, ist ein Schlüssel nötig. Das heißt, wer nicht zugriffsberechtigt ist, kann mit den Daten nichts anfangen.
Die Verschlüsselung von Daten ist bisher nicht vorgeschrieben. Sie wird von der DSGVO lediglich empfohlen. Auch die Art der Verschlüsselung bleibt Unternehmen selbst überlassen. Symmetrische Verschlüsselung basiert auf einem Key für Ver- und Entschlüsselung. Das Problem: Dieser Key muss zwischen den Nutzern ausgetauscht werden – ein Sicherheitsrisiko, wenn Hacker den Datenverkehr überwachen.
Dagegen setzt die asymmetrische Variante zwei separate Schlüssel ein. Der Key zum Verschlüsseln kann öffentlich gemacht werden. Um Daten jedoch zu dechiffrieren, ist ein privater Key nötig. Dieser wird – genau wie ein Passwort – niemals weitergegeben. Die asymmetrische Verschlüsselung gilt darum als sicherer.
5. Sichere Passwörter
Passwörter sind das A und O der IT-Sicherheit. Wer sie kennt, kann sich problemlos Zugang zu einem System verschaffen. Leider wissen das auch Hacker – und entwickeln Methoden, um Passwörter zu knacken.
Es soll immer noch Nutzer geben, die „1234“ oder ihr Geburtsdatum verwenden. Doch solche Passwörter bieten kaum Schutz. Sie haben im Business nichts verloren. Stattdessen sollten folgende Grundregeln eingehalten werden:
- Experten empfehlen mindestens 12 Zeichen, Groß- und Kleinschreibung, Zahlen und/oder Sonderzeichen. Je komplexer ein Passwort, desto höher die Sicherheit.
- Mitarbeiter sollten ihre Passwörter nicht im Browser speichern. Sonst könnten Personen, die das Gerät entwenden, sie auslesen.
- Ebenso empfiehlt es sich, Passwörter nur einmal zu verwenden. Das verringert die Chance, dass Hacker mit einem Zugang mehrere Logins knacken können.
6. Multi-Faktor-Authentifizierung
Wer die Sicherheit beim Login erhöhen möchte, sollte eine Multi-Faktor-Authentifizierung einrichten. Diese funktioniert so: Mitarbeiter geben zuerst ihr Passwort ein. Danach erhalten Sie einen Code per SMS oder Authentifizierungs-App und geben ihn ein. Erst dann erfolgt die Anmeldung.
Das mag umständlich klingen, hat aber einen Vorteil: Selbst, wenn Hacker das Passwort herausgefunden haben, können sie es nicht verwenden. Zwei-Faktor-Authentifizierung bietet damit zusätzlichen Schutz vor Cyberkriminalität.
Neuerdings ist eine weitere Möglichkeit dazugekommen: biometrische Identifizierung. Dabei werden Nutzer anhand ihrer persönlichen Merkmale identifiziert. Fingerabdruck-, Gesichts- und Iris-Scanner gelten als ähnlich sicher wie ein starkes Passwort.
Unternehmen sollten jedoch beachten: Nicht alle Arbeitnehmer sind von der Idee begeistert, ihre biometrischen Daten preiszugeben. Ob sie das müssen, ist aktuell noch ungeklärt. Es handelt sich um eine relativ junge Technologie. Dementsprechend befindet sich auch die Rechtsprechung noch am Anfang. In den meisten Fällen dürfte jedoch die Zustimmung der Mitarbeiter nötig sein.
7. Virenschutz und Firewall
Jedes Gerät im Unternehmen sollte über einen Virenschutz verfügen, der Trojaner, Ransomware und andere Schadsoftware abblockt.
Hier empfiehlt es sich, auf folgende Kriterien zu achten:
- Ein guter Virenschutz für Unternehmen erkennt Schadsoftware nicht nur, sondern kann sie auch entfernen.
- Die Software sollte mit allen Firmengeräten kompatibel sein. Das betrifft sowohl die Art (Laptop, Tablet etc.) als auch das Betriebssystem.
- Schutz ist essenziell. Doch ein Virenschutz, der die Systemleistung deutlich verlangsamt, macht im Geschäftsalltag kaum Sinn.
- Ständig wird neue Malware entwickelt. Achten Sie also darauf, wie lange und wie oft Ihr Virenscanner Updates erhält.
Ebenso wichtig ist eine Firewall für Unternehmen. Dieser „Gatekeeper“ überwacht den Datenverkehr im Firmennetzwerk und entscheidet, wer sich einloggen darf. Nicht nur große, auch mittelständische Unternehmen nutzen Firewalls immer häufiger. Hardware-Lösungen gelten dabei als sicherer, aber teurer als Software-Firewalls. Unternehmen sollten sich genau beraten lassen, welche Firewall für ihre Zwecke geeignet ist.
8. Schutz vor Phishing
Hardware und Software spielen beim Schutz vor Cyberangriffen eine wichtige Rolle. Dennoch bleibt ein Risikofaktor: der Mensch. Hacker richten sich gezielt an Mitarbeiter, um vertrauliche Informationen abzugreifen. Das Ganze nennt sich Phishing.
Meist geben sich die Täter als vertrauenswürdige Absender aus – etwa Geschäftspartner, Banken oder Behörden. In einer E-Mail verlangen sie die Begleichung offener Rechnungen, fordern Login-Daten an oder versenden einen Anhang, der Schadsoftware auf den Computer lädt.
Ein gutes Email-Programm filtert diese Mails bereits im Vorfeld und verschiebt sie in den Spam-Ordner. Doch die Tricks der Betrüger werden immer ausgefeilter. Mit KI-basierten Tools und IP-Spoofing lassen sich selbst die besten Schutzmechanismen umgehen.
Es empfiehlt sich daher dringend, Mitarbeiter im kritischen Umgang mit Phishing-Mails zu schulen. Grundregeln könnten etwa lauten:
- Niemals Zugangsdaten oder Zahlungs-Informationen per E-Mail weitergeben
- keine verdächtigen Anhänge herunterladen
- Mails genau untersuchen: z. B. auf Rechtschreibfehler, ungewöhnliche Formulierungen, allgemeine statt persönlicher Anrede, Hinweis auf Dringlichkeit oder gar Drohungen
- Beim vermeintlichen Absender nachfragen. Dafür sollten Mitarbeiter nicht den Antwort-Button nutzen, sondern die Person direkt im Adressbuch auswählen.
9. WLAN-Netzwerke schützen
Drahtlose Netzwerke sind praktisch. Sie haben jedoch einen Nachteil im Vergleich zu klassischen LAN-Netzen: Anders als dort müssen Geräte nicht physisch verbunden werden. Jeder Nutzer mit entsprechendem Endgerät kann das Netzwerk sehen und versuchen, sich einzuloggen.
Zum Schutz vor Cyber Attacken sollten Firmen einige Vorsichtsmaßnahmen treffen:
- Das Passwort muss unbedingt nach Einrichtung des Routers geändert werden. Dabei gelten die bereits genannten Regeln: Verwenden Sie möglichst komplexe Passwörter mit Zahlen und Sonderzeichen.
- Jeder Router besitzt ein eigenes Sicherheitsverfahren. Allerdings bieten WEP und WPA heute kaum noch ausreichenden Schutz. Als Mindest-Standard empfiehlt sich WPA 2. Branchen wie Versicherungen und Finanzwesen nutzen meist den noch strengeren Standard WPA 3.
- Die Firmware des Routers muss stets aktuell sein. Achten Sie darauf, dass die neusten Sicherheitsupdates installiert sind.
- WLAN für Besucher ist ein gern gesehener Service. Allerdings sollten Fremde keinen Zugang zum Firmennetzwerk haben.
- Über die Reset-Taste wird der Router – und damit auch das Passwort – zurückgesetzt. Außerdem können Geräte per WPS-Button ohne Passwort hinzugefügt werden. Stellen Sie Ihren Router am besten dort auf, wo Unbefugte keinen Zutritt haben: etwa in einem abschließbaren Raum.
- Das WLAN-Netzwerk sollte weder den Firmennamen noch den Namen des Herstellers oder Routers enthalten. So können Hacker es weniger leicht identifizieren.
10. Backups anlegen
Backups empfehlen sich aus zwei Gründen. Zum einen bleiben Daten gesichert, wenn ein Gerät kaputt- oder verlorengeht. Zum anderen sind Unternehmen so besser vor Ransomware geschützt.
Nehmen wir an, ein Laptop wurde infiziert. Hacker verlangen Geld, um die Dateien wieder freizugeben. Mit einem Backup ist das kein Problem, da Kopien der Daten anderswo gespeichert sind. Das Gerät kann formatiert und die Daten neu aufgespielt werden.
Zwei Arten von Backups kommen infrage:
Im einfachsten Fall werden Daten auf einer externen Festplatte gespeichert. Das Problem: Wird diese beschädigt oder tritt ein Fehler auf, sind auch die Daten verloren. Außerdem ist das manuelle Anlegen von Backups zeitaufwändig und nur vor Ort möglich.
Viele Unternehmen entscheiden sich daher für Cloud-Speicher. Diese ermöglichen den Zugriff von überall. Die Daten lagern getrennt vom Firmennetzwerk auf externen Servern. Hundertprozentig sicher sind Cloud-Lösungen jedoch nicht. Nutzer sollten darauf achten, welche Art der Verschlüsselung und Authentifizierung verwendet wird – und, ob ihre Daten sicher vor Zugriff sind. Server in Deutschland oder anderen EU-Ländern unterliegen z. B. strengeren Datenschutzvorgaben als Server in den USA.
In unserem Beitrag Cloud-Speicher für Unternehmen erfahren Sie mehr.
11. Sicheres Arbeiten zuhause und unterwegs
Viele Unternehmen erlauben es Mitarbeitern, mobil zu arbeiten – entweder mit Firmengeräten oder der eigenen Hardware. Vor allem die zweite Option birgt jedoch Risiken. Private Geräte sind oft unzureichend geschützt. So haben es Hacker leichter, an die Daten des Unternehmens zu kommen.
Eine Lösung stellen sog. Container dar. Dabei erhalten mobile Geräteein privates und ein berufliches Profil. Ihre IT-Abteilung kann dann per MDM (Mobile Device Management) Zugriffsrechte erteilen und die Nutzung regulieren: also z. B. starke Passwörter und Mehrfaktor-Authentifizierung verlangen sowie bestimmte Apps verbieten.
Auch unterwegs ist Vorsicht geboten. Mitarbeiter sollten sich nur in geschützte Netzwerke einloggen, wenn sie Firmendaten bearbeiten. Der Grund: Ohne Passwort könnten sich Hacker Zugriff verschaffen und den Datenverkehr ausspionieren. Manchmal werden öffentliche Netzwerke sogar genau zu diesem Zweck erstellt.
Ein VPN minimiert das Risiko. Dieses private Netzwerk verbirgt die IP-Adresse und verschlüsselt alle gesendeten Informationen. Es sollte daher auf jedem Firmengerät installiert werden.
Cybersicherheit für Unternehmen – Fazit
Sie sehen schon: Es gibt zahlreiche Möglichkeiten, die Cybersicherheit zu erhöhen. Doch welche davon eignet sich für Ihr Business? Die Antwort hängt von mehreren Faktoren ab. Größe, Grad der Digitalisierung und Geschäftstätigkeit spielen ebenso eine Rolle wie das verfügbare Budget. Viele Unternehmen haben nicht die Mittel, teure Hardware zu kaufen und zu verwalten. In dem Fall sind Managed Service-Lösungen externer Partner eine Überlegung wert.
Beachten Sie: Hardware und Software tragen zur Cybersicherheit bei. Aber auch das Verhalten Ihrer Mitarbeiter ist von Bedeutung. Mit Aushängen, Rundschreiben und Schulungen können Sie Ihr Team für dieses Thema sensibilisieren. So lassen sich viele Bedrohungen von Anfang an vermeiden.