Cyber-Security: Schützen Sie Ihre IT in fünf Schritten

Auch im Jahr 2022 sind Unternehmen den immer dreisteren Cyber-Angriffen ausgeliefert. Zuletzt sorgte die Log4Shell Sicherheitslücke für etliche gefährdete Server und Apps. Die Situation ist noch immer ernst, die Angriffsserie reisst nicht ab. Auch das SRF berichtete in einem spannenden Beitrag (ab Minute 10:23), wie Schweizer KMU von Hacker-Angriffen lahmgelegt und teilweise sogar in den Konkurs getrieben wurden. Denn zahlreiche Firmen sind nicht genügend geschützt oder die Mitarbeitenden nicht im Umgang mit der richtigen IT-Sicherheit geschult. Dabei gibt es einiges, was Sie tun können. Wir zeigen Ihnen, welche fünf Punkte Sie beachten sollten, wenn Sie sich und Ihre Systeme nachhaltig vor Hacker-Angriffen schützen möchten.

IT-Sicherheit – Schritt 1: Management / Verantwortung

Was viele Unternehmen nicht wissen: Die Verantwortung über die Cyber-Security liegt nicht bei der IT-Leitung, sondern ist Sache des Managements und muss entsprechend delegiert werden. Cybersicherheit ist ein Prozess, an dem fortwährend gearbeitet werden muss. Das erfordert ein Bewusstsein für Gefahren, die man allenfalls nicht versteht oder kommen sieht. Ein Chief Information Security Officer (CISO) kann vermitteln – er übersetzt technische Cyberrisiken und Bedrohungen in die Geschäftssprache. Und zeigt, was ein Cyberangriff finanziell, für das Geschäft und die Reputation bedeuten kann. Denn ein solcher Angriff kann enorme direkte und indirekte Kosten verursachen und die Existenz eines Unternehmens gefährden. Ebenso kann die Reputation des Unternehmens nachhaltig geschädigt werden. Aus diesem Grund gehört das Thema Cyber-Security unbedingt auf die Traktandenliste von Verwaltungsrat und Geschäftsleitung. Diese Facetten sollten einbezogen werden:

• Unternehmensweites Risikomanagement: Nicht nur Markt- und Finanzrisiken beobachten, sondern auch Bedrohungen aus dem Cyberspace.
• Kenntnis der Compliance-Anforderungen: Der Verwaltungsraut muss alle anwendbaren Gesetze und branchenspezifischen Regularien kennen.
• Sicherheitsstrategie: Jedes Unternehmen benötigt einen einheitlichen Ansatz, wie es auf Sicherheitsrisiken reagiert.
• Sicherheitsarchitektur: Der Verwaltungsrat muss dafür sorgen, dass die aufgestellten Regeln und vorhandenen Kontrollmechanismen sich ergänzen und harmonisieren.

IT-Sicherheit – Schritt 2: Infrastruktur / Engineering

Regelmässige Updates und ein sicheres Backup der Infrastruktur sowie AntiVirus-Software sind auf Infrastruktur-Ebene ein besonders wichtiges Thema. Dabei spielt es keine Rolle, ob es sich um ein Enterprise-Unternehmen oder eine Privatperson handelt – jeder ist gefährdet. Die Angreifer scannen das Internet nach Sicherheitslücken, platzieren ihre Schadstoffware und analysieren erst bei erfolgreichem Eindringen, mit wem sie es genau zu tun haben. Um zu verhindern, dass Ihre Software Ziel eines Angriffs wird, sollten Sie diese stets Up-to-date halten und für sichere Backups sorgen. Achten Sie auf Herstellerhinweise zu End-of-Life-Produkten oder zu verfügbaren Updates. Diese Punkte sind dabei wichtig:

• Spielen Sie regelmässig die aktuellsten System- und Software-Updates auf dem Server und allen Arbeitsstationen ein. So werden bestehende Sicherheitslücken entsprechend geschlossen und können nicht aktiv ausgenutzt werden.
• Anschliessend ist es wichtig, dass Sie auf Ihrem Server und den Arbeitsstationen (auch macOS) eine aktuelle Antivirus-Software installiert haben. Wir empfehlen unseren Kunden die Lösung von Sophos. Wenn Sie wünschen, erstellen wir Ihnen gerne ein entsprechendes Angebot. Dazu müssen wir lediglich die Anzahl der eingesetzten Geräte wissen.
• Achten Sie bei der Firewall darauf, dass laufend die aktuellsten Software-Updates eingespielt werden. So werden bestehende Sicherheitslücken entsprechend geschlossen und können nicht aktiv ausgenutzt werden.
• Bauen Sie auf ein durchdachtes Backup-Konzept, bei welchem mindestens ein Daten-Stand offline ist. So, dass bei einem Verschlüsselungs-Trojaner dieser eine Datenstand noch intakt ist und zurückgelesen werden kann. Wir bieten unseren Kunden jeweils ein kostenattraktives Cloud-Backup an.

IT-Sicherheit – Schritt 3: Home-Office

Seit Beginn der Corona-Pandemie arbeiten viele Menschen verstärkt im Home-Office. Zwar sind die meisten Mitarbeitenden ins Büro zurückgekehrt, das Konzept des Home-Office hat sich nun aber vielerorts etabliert. Hier lauern jedoch einige Security-Fallen, denen Sie sich bewusst sein sollten. Machen Sie das Home-Office unbedingt zu einem sicheren Arbeitsort! Diese Gefahren lauern auf Ihre Mitarbeitenden:

• Gefälschte E-Mails, teilweise mit Bezug auf Finanz-Themen (z. B.: CEO fordert eine Sofortüberweisung für ein vermeintliches Geschäft
• Phishing-Mails von vermeintlich vertrauenswürdigen Quellen (z. B.: Ihr Microsoft 365 Konto benötigt mehr Speicherplatz)
• Malware-Infektionen basierend beispielsweise auf betriebsinternen Personal-Informationen (z. B.: Anbei die komprimierten Fotos des letzten Firmen-Events)

Wir empfehlen Ihnen folgende Vorkehrungen, die Ihre IT-Abteilung bei den Mitarbeitenden treffen kann:

Security-Awareness

Sorgen Sie dafür, dass Zugangsdaten nicht gemeinsam genutzt werden. Das Gerät sollte nur für berufliche Zwecke verwendet werden, auf private Downloads sollte verzichtet werden. Der Datenschutz gilt auch im Home-Office. Zudem sollten die Mitarbeitenden umfassend über die potentiellen Gefahren informiert werden.

Technische Vorkehrungen

Ein aktivierter und vollständiger Virenschutz sollte auf jedem Gerät gewährleistet sein, zudem sollte jedes Gerät über eine Verschlüsselung verfügen. Alle Sicherheitssysteme sollten regelmässig überprüft werden. Remote-Zugriffe auf das Unternehmensnetzwerk müssen mit einer Multi-Faktor-Authentisierung geschützt werden. Ausserdem sollte auf starke Passwörter geachtet werden und diese mit technischen Mitteln erzwungen werden. Dies vor allem, wenn Mitarbeitende zuhause mit ihrem privaten Computer arbeiten und dieser von mehreren Familienmitgliedern genutzt wird. Im Browser sollte immer auf aktuellen Versionen gearbeitet werden. Prüfen und aktualisieren Sie trotz Vorkehrungen alle Sicherheitssysteme regelmässig. Auch ein externer IT-Security-Partner kann Ihre Massnahmen kontrollieren und mögliche Sicherheitslücken aufdecken. Gerne sind wir Ihnen hierbei behilflich und unterstützen Sie bei der Umsetzung oder Überprüfung der richtigen Sicherheitsmassnahmen. Welche Vorkehrungen die Mitarbeitenden selbst treffen sollten und was seitens Management erledigt werden sollte, lesen Sie im umfangreichen Whitepaper von InfoGuard:

IT-Sicherheit – Schritt 4: Mensch / Prävention

Das A und O bei der richtigen Cybersicherheit ist die stetige Prävention der Mitarbeitenden. Dies muss unbedingt auf eine verständliche Art und Weise erfolgen. Die meisten Cyber-Attacken bei KMU´s erfolgen nicht aufgrund mangelhafter Virenprogramme. Die grösste Sicherheitslücke liegt in den Mitarbeitenden – wenn diese zu wenig für die Risiken und Gefahren sensibilisiert sind. Abhilfe kann hier beispielsweise der IT-Vertrag bieten – er bietet einen hohen Schutz in Bezug auf Cyber-Sicherheit. Denn er sensibilisiert Ihre Mitarbeitenden, regelt Rechte und Pflichten, reduziert die Cyber-Risiken und schützt Ihre IT-Infrastruktur. Der IT-Vertrag umfasst neun Seiten und beinhaltet:

• Zugriffsschutz
• Zugangsschutz
• Datenschutz
• Datensicherung
• Virenschutz
• Beschaffung der Hardware
• Reparatur der Hardware
• Installation der Hardware
• Mobile Phone
• Verlust des Arbeitsgerätes
• Private Nutzung
• Collaboration
• Internet
• Kontrolle und Überwachung

IT-Sicherheit – Schritt 5: Absicherung / Wenn der schlimmste Fall eintritt

Fällt die IT-Infrastruktur aufgrund eines Cyber-Angriffes aus, tritt schnell ein echter Notfall ein. Besteht auch noch die Gefahr eines nachhaltigen Datenverlustes, wird es für Unternehmen schnell richtig gefährlich. Digitale Geschäftsprozesse und umfassende Datenbestände sollten deshalb immer mittels Disaster-Recovery-Plan (DR) abgesichert sein. Tritt dann der Ernstfall ein und Hacker haben Ihre IT-Systeme erfolgreich geknackt, wird der Schaden auf ein Minimum reduziert und der Geschäftsablauf kann schnell wiederhergestellt werden. Und – noch wichtiger – wichtige Daten gehen nicht verloren. Die Entwicklung und Umsetzung eines strategisch fundierten Disaster-Recovery-Plans ist ein Gemeinschaftsprojekt. Es geht darum, das Notfallszenario als abteilungsübergreifendes Thema zu begreifen. Wir empfehlen, ein übergeordnetes Projektteam einzuberufen. Dieses befasst sich dann schwerpunktmässig mit vier Themen:

• dem Plan selbst
• der Dokumentation
• den umfassenden Testszenarien
• der zuverlässigen Ausführung von Fallback-Mechanismen im Schadensfall

Welche Workflows verarbeiten kritische Daten? Wo sind die Schnittstellen zwischen Abteilungen? Wer muss im Ernstfall wie reagieren? Diese und ähnliche Fragen gilt es gemeinsam zu klären. Dabei hilft am besten der regelmässige Testzyklus. Stellen Sie die Ausfallsicherheit ihrer Systeme in regelmässigen Abständen und realitätsnah auf den Prüfstand. Leiten Sie im Anschluss entsprechende Erkenntnisse ab und verbessern Sie den Plan. Wir bieten Ihnen verschiedene Lösungen für integrale Disaster-Recovery-Pläne. Mit unserer Community Cloud verfügen wir zudem über die nötige Infrastruktur, um Ihre Daten in einem Rechenzentrum in der Schweiz zu sichern – schon ab 99 CHF im Monat. Das ermöglicht im Verlustfall einen schnellen und unmittelbaren Zugriff auf Ihr Backup.

Auch die Hochschule Luzern informiert über die digitale Sicherheit. Und zeigt ebenfalls fünf Schritte, mit denen Sie Ihre Daten und Geräte schützen können. Diese umfassen:

• Sichern der Daten
• Überwachen mit Virenschutz und Firewall
• Vorbeugen mit Software-Updates
• Schützen der Online-Zugänge
• Aufpassen und wachsam sein