Die (nicht vorhandene) IT-Sicherheit von KMU

Vor allem bei kleinen und mittleren Unternehmen stellen wir als IT-Systemhaus immer wieder fest, dass die digitale Infrastruktur in diesen oft nur unzureichend gesichert ist. Da wird der Windows Defender als Hauptsicherheitsbarriere genutzt, Backups werden entweder gar nicht oder nur unregelmäßig durchgeführt und nicht zuletzt stellen ungeschulte Mitarbeiter ein Risiko dar.

Das hat häufig die Ursache, dass sich die Leiter dieser Unternehmen der allgegenwärtigen Gefahr nicht bewusst sind.

“Wir werden schon nicht gehackt…”

So oder ähnlich ist noch häufig die Denkweise: “Wir sind doch nur ein kleines Unternehmen, das lohnt sich für die doch gar nicht.” oder “Uns ist in den letzten 20 Jahren nichts passiert, warum sollte uns jetzt jemand hacken?”

Ganz einfach: Weil sich die Angreifer mittlerweile genau dieser Denkweise bewusst geworden sind. Und nicht zuletzt, weil sich die Hackerangriffe pro Tag in Deutschland in den letzten Jahren auf über 40 Millionen vervielfacht haben.  Dazu kommen jeden Tag neue Bedrohungen (ca. 350000), die nur mit modernen Security-Anwendungen schnell erfasst und bekämpft werden können. Der Windows Defender, Avast oder Avira mag zwar als kostenlose Lösung für Privatanwender das Mittel zum Zweck sein. Für Unternehmen kann das aber den schnellen Datentod bedeuten.

Dienste wie Webroot, Sophos oder Panda bieten moderne IT-Sicherheits-Dienste nutzen die Leistung von Cloudcomputern mit KI für bessere Erkennung. Somit ist Ihr Virenschutz immer auf dem neusten Stand und kann in Echtzeit Ihre Systeme überprüfen.

Sichern Sie Ihre Daten regelmäßig

Ein durchdachtes Backup-Konzept ist für jedes Unternehmen unverzichtbar. Auch ohne Angriffe von außen können Daten durch Stromausfall, Defekte oder Unachtsamkeit von jetzt auf gleich verloren gehen.

Eine einfache Vorgehensweise ist die 3-2-1-Regel. Sie besagt:

Erstellen Sie von den zu sichernden Dateien mindestens drei Sicherungskopien. Sichern Sie diese auf zwei verschiedenen Speichermedien (Cloud, Festplatte, Server,…). Eine Kopie sollte möglichst an einem Speicherort außerhalb der Unternehmensräume gelagert werden.

Ein geeigneter Anbieter für Backups mit der 3-2-1-Regel ist z.B. Veeam Backup.

Ungeschulte Angestellte: Die Gefahr von innen

Ein weiteres großes Sicherheitsrisiko bilden nach wie vor die Anwender selbst. Vielen sind die Maschen der Internetbetrüger einfach nicht bekannt oder sie verlassen sich zu sehr auf die Antivirus-Anwendungen. Auch diese sind schließlich nicht allwissend und können bei neuen Hackermethoden nur reagieren. Darum ist es wichtig, dass Sie Ihren Mitarbeitern grundlegend vermitteln, im Umgang mit Kundendaten und dem Internet stets wachsam zu bleiben. Mehr oder weniger authentische Fake-Rechnungen oder scheinbar verlockende Produktangebote münden immer noch häufig in Betrug oder abgegriffenen Daten.

Das 1×1 der E-Mail-Sicherheit

Sensibilisieren Sie Ihre Mitarbeiter für die Basics des Internet-Betrugs. Für die Prävention von Schaden durch Spam- oder Phishing-Mails gelten z.B. folgende Regeln:

• Mails von unbekannten/verdächtigen Absendern zuerst gründlich durchlesen…
• …und nicht auf Links oder Anhänge klicken, bevor keine Sicherheit besteht
• Mails auf auffällig viele Rechtschreib-/Satzbaufehler untersuchen
• verdächtige Details, z.B. fehlende Anschrift, persönliche Anrede oder Name

Mehrstufige Sicherheit ist der Schlüssel

Generell können Sie Fehler durch Ihre Mitarbeiter schon reduzieren, indem Sie innerhalb Ihrer Firma verschiedene verhältnismäßig unkomplizierte Sicherheitsvorkehrungen treffen. Eine Firewall am PC-Arbeitsplatz muss z.B. nicht ausgeschaltet werden, nur weil sie nicht voll konfiguriert ist.

Auch im Router sollte unbedingt eine Firewall vorhanden sein. Zudem können Sie auch den Datenverkehr einschränken, indem Sie IPs aus bestimmten Ländern sperren (GeoBlocking) und kritische Webadressen/Verbindungen blockieren.

Achten Sie immer auf eine sichere Passwortstrategie in Ihrem Unternehmen und verwenden Sie ein Verschlüsselungssystem in Ihrem WLAN. So verhindern Sie sogenannte “Man-in-the-Middle”-Angriffe.

Patchen Sie ungenutzte Netzwerkdosen in Ihren Betriebsräumen ab, damit diese nicht unbefugt genutzt werden können.

Nutzen Sie Switche mit Portsecurity. So wird nur Geräten mit erlaubten MAC-Adressen die Kommunikation in Ihrem Netzwerk erlaubt.

Gerade in Zeiten von Homeoffice wichtig: Verwenden Sie Remotedesktoparbeitsplätze (RDP Verbindungen) für den Fernzugriff nur über ein VPN (Virtual Private Network). So wird Ihre Einwahl bei der Verbindung verschlüsselt. 

Keine IT-Abteilung? Kein Problem!

Oftmals wird als Argument vorgebracht, dass man sich in kleinen Betrieben keine IT-Abteilung leisten könne. Vorhandene Mitarbeiter aus anderen Abteilungen verfügen zudem meist nicht über das Wissen oder die Zeit um die IT in der Firma ausreichend zu betreuen.

Eine preiswertere Lösung bieten hier sogenannte MSPs (Managed Service Provider). Das sind externe Dienstleister, die sich nach der Einrichtung der benötigten Services um alles kümmern. Dabei lohnen sie sich vor allem für kleine und mittlere Unternehmen, sowohl preislich als auch in der Wirkung. 

Fazit

Eine umfassende Sicherheitsinfrastruktur ist heutzutage für jedes Unternehmen Pflicht. Es gibt zu viele potenzielle Risiken, als dass die Internet-Sicherheit in Ihrem Unternehmen ignoriert oder vernachlässigt werden darf. Allerdings nützt auch die beste Sicherheitsstrategie nichts, wenn Ihre Angestellten das Hauptrisiko darstellen.

Sie sollten also sowohl eine auf effiziente Security-Lösung, als auch auf Schulungen für Ihre Mitarbeiter setzen, damit Ihr Unternehmen zukünftig vor Angriffen von außen geschützt ist.

Natürlich können wir Ihnen dabei behilflich sein. Auf den nachfolgenden Seiten können Sie sich zu unseren Leistungen informieren oder uns über das Kontaktformular kontaktieren.

Bild von Werner Moser auf Pixabay