Sie glauben, dass nur große Konzerne oder Banken von Hackingangriffen bedroht sind? Im Jahr 2021 stimmt das leider nicht mehr: Durch die weitgehende Automatisierung von Cyberattacken sind kleine und mittelgroße Unternehmen das neue Hauptziel.

Die IT ist in diesen Unternehmen (fast) nie ausreichend geschützt und hier können ohne großen Aufwand viele Daten erbeutet werden. Das Resultat: Ihre Firma steht still, Sie müssen Daten rekonstruieren und stehen vor einem wirtschaftlichen Scherbenhaufen.

Genau das ist vor einiger Zeit auch einem unserer Kunden passiert: Dieser wollte beim geringen Betrag eines Sicherheitskonzeptes einsparen und fühlte sich sicher.

Aber: Durch eine kleine Unachtsamkeit seiner Mitarbeiter konnten Hacker alle Unternehmensdaten verschlüsseln und einen Schaden von mehr als 50.000 Euro anrichten. Wie es dazu kam, erzähle ich Ihnen weiter unten in diesem Beitrag.

Wie können Sie sich als Unternehmer vor dieser Gefahr schützen? Welche Maßnahmen sind unbedingt nötig und mit welchen Kosten müssen Sie rechnen?

Diese Fragen beantworte ich Ihnen in diesem Beitrag. Sie erfahren:

Was ist ein IT Sicherheitskonzept?

In einem IT Sicherheitskonzept sind alle Maßnahmen aufgelistet, die Unternehmen ergreifen, um ihre Daten bestmöglich vor Angriffen zu schützen.

Die konkreten Maßnahmen sind von Firma zu Firma unterschiedlich. Hier kommt es vor allem auf mögliche Bedrohungsszenarien an.

Sind Sie Inhaber eines Produktionsbetriebs, dass laufend laufend Daten mit Lieferanten austauscht und SAP-Zugriffe für 30 Mitarbeiter zur Verfügung stellen muss? Oder sind Sie Ein-Personen-Unternehmer und nutzen “nur” E-Mail und Ihren Computer, um zu arbeiten?

In diesen beiden Fällen werden sich die IT Sicherheitskonzepte und die konkreten Maßnahmen stark voneinander unterscheiden, da jede Firma von anderen Risiken betroffen ist.

Aber eins steht fest: Jedes Unternehmen muss zumindest einen Mindeststandard in der IT-Sicherheit erfüllen. Welche Punkte ich für wirklich jedes Unternehmen empfehle, erkläre ich Ihnen im nächsten Abschnitt dieses Beitrags.

Diese 9 Punkte müssen in einem IT Sicherheitskonzept enthalten sein

1. Back-Ups: Ihre Daten werden laufend automatisch gespeichert

Im besten Fall sollten Ihre Firmendaten auf drei verschiedenen Datenträgern gesichert werden. Einer dieser Datenträger sollte sich (im Falle eines Einbruchs oder einer Naturkatastrophe) nicht direkt in Ihrer Firma befinden.

Eine mögliche Lösung wäre die lokale Speicherung auf Ihrer Festplatte sowie die zusätzliche Sicherung auf einem NAS (Network Attached Storage) und in einer Cloud (zum Beispiel Dropbox).

Diese Datensicherung sollte immer automatisch ablaufen. So sparen Sie Zeit und beugen Missverständnissen vor.

2. Firewall: Sicherheitssystem, dass Ihren gesamten Internetverkehr filtert

Eine Firewall ist eine Art Filter zwischen Ihrem Netzwerk und dem Internet. Das Ziel ist es, dass Viren abgefangen werden, bevor diese Schadsoftware auf Ihrem Computer landet.

Welche 4 Punkte jede Firewall erfüllen muss, damit sie auch wirklich sicher ist, habe ich Ihnen in einem eigenen Blogbeitrag zusammengefasst. Klicken Sie auf den folgenden Link, um zum Beitrag zu gelangen: https://www.rysit.at/4-wichtige-eckpunkte-die-ihre-firewall-wirklich-sicher-machen/

3. Proxyserver: Ihr erstes “Abwehrsystem” bei einem Hacker-Angriff

Vereinfacht gesagt ist ein Proxyserver die Vorstufe einer Firewall. Bevor Daten in Ihr System gelagen und von der Firwall geprüft werden, laufen sie bereits über einen externen Proxyserver.

Ähnlich wie eine Firewall filtert ein Proxyserver schädliche Programme und schützt so Ihr Netzwerk. Zusätzlich dazu können potentiell schädliche Webseiten mit einem Proxyserver sogar gesperrt werden.

4. Mailgateway: Prüft alle eingehenden E-Mails auf Spam und Viren

Ein Mailgateway funktioniert sehr ähnlich wie ein Proxyserver: Bevor E-Mails in Ihr System gelangen, werden sie gefiltert.

Spam und E-Mails, die schädliche Link oder Anhänge enthalten, landen so in der Regel nicht mehr in Ihrem Posteingang.

5. Antivirus: Prüft Dateien auf Ihrem Computer auf Viren

Ein Antivirus-Programm prüft Dateien, die sich bereits auf Ihrem Computer befinden.

Sollten also trotz Firewall, Proxyserver und Mailgateway schädliche Programme den Weg in Ihr Netzwerk finden, ist ein Antivirus eine weitere Schutzebene.

6. Sichere Passwörter: Setzen Sie auf die Zwei-Faktor-Authentifizierung

Ihre Passwörter sollten mindestens 8 Zeichen (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen) enthalten. Von Passwörtern wie “12345” oder “passwort” rate ich Ihnen ganz klar ab.

Diese sind zwar einfach zu merken, aber können auch in weniger als 10 Minuten von Hackern geknackt werden.

Der beste zusätzliche Schutz bei Passwörtern ist die Zwei-Faktor-Authentifizierung. Zusätzlich zu Ihrem Passwort benötigen Sie noch einen Code, der Ihnen per E-Mail oder SMS gesendet wird, um sich anmelden zu können.

7. Automatische Updates: Mit aktueller Software machen Sie es Hackern so schwierig wie möglich

Firewalls, Proxyserver, Antivirus & Co. schützen Ihre Firma nur, wenn sie laufend auf den neuesten Stand gebracht werden.

Viele Nutzer begehen allerdings den Fehler, aufpoppende Update-Benachrichtigungen einfach wegzudrücken. Oft werden diese Aufforderungen monatelang ignoriert und die Programme sind danach hoffnungslos veraltet.

Updates sollten deshalb am besten immer automatisch durchgeführt werden.

8. Mitarbeiterschulungen: Tun Sie alles, um das “Sicherheitsrisiko Mensch” zu verringern

Die Überschrift klingt zwar hart, stimmt aber dennoch: In 76% aller Fälle kann ein erfolgreicher Hacking-Angriff auf menschliches Versagen zurückgeführt werden.

Ihre Mitarbeiter müssen mindestens die folgenden Fragen beantworten können:

  • Wie erkenne ich schädliche E-Mails?
  • Welche E-Mail-Anhänge dürfen nie geöffnet werden?
  • Worauf muss ich beim Download von Programmen achten?
  • Wie sichere ich den Server-Raum?

Wenn Sie selbst Schwierigkeiten haben, diese Fragen zu beantworten, empfehle ich Ihnen, sich von einem Profi schulen zu lassen.

9. Manuelle Sperren: Blockierung von USB-Ports oder Programminstallationen als zusätzliche Sicherheit

Zugegeben: Dieser Punkt lässt sich nicht in jedem Unternehmen umsetzen. Aber Fakt ist, dass Sie Ihre IT-Sicherheit erhöhen, je mehr Funktionen Sie einschränken.

Sie müssen aber immer zwischen Sicherheit und Arbeitsfähigkeit abwägen. Manche Firmen sind schlichtweg auf die Verwendung von USB-Sticks angewiesen und die Sperrung aller USB-Ports würde die Arbeit massiv verkomplizieren.

Dort wo es möglich ist, sollte allerdings das Installieren von Programmen oder das Öffnen von E-Mail-Anhängen gesperrt werden. So können Sie das oben erklärte “Sicherheitsrisiko Mensch” weiter senken.

Zwei Mythen entkräftet: Darum benötigt wirkliche jede Firma ein IT Sicherheitskonzept

Obwohl die Gefahr eines Hacking-Angriffs so groß wie noch nie ist, wird die Situation in der Praxis von vielen Unternehmern verharmlost.

Vor allem zwei Mythen bekomme ich in meinem Alltag als EDV-Betreuer in Wien fast wöchentlich zu hören:

Mythos 1: Wir sind zu klein und haben keine Daten, die Angreifen wollen

Wie bereits eingangs erwähnt, stimmt diese Aussage nicht mehr. Während vor 10 Jahren fast nur größere Unternehmen angegriffen wurden, ist jetzt jedes Unternehmen akut gefährdet.

Denn Hacking hat sich von “One-Man-Shows” zu einer regelrechten Industrie entwickelt. Angriffe mit Bots laufen heutzutage vollständig automatisert ab und so können Tausende Unternehmen zeitgleich attackiert werden.

Auch die Art der Daten ist gar nicht so wichtig, wie Sie vielleicht glauben. In den meisten Fällen verkaufen die Hacker Ihre Daten nämlich zuerst nicht weiter, sondern erpressen Sie. Um Ihre Daten wiederzubekommen müssen Sie dann ein Lösegeld an die Kriminellen überweisen.

Auch ein großes deutsches Versicherungsunternehmen, die Allianz, hat das erkannt und listete Cyberkriminalität im jährlich erscheinenden Risk Barometer als größtes Risiko für alle Unternehmen.

Mythos 2: Unsere IT läuft problemlos und die Mehrkosten rentieren sich nicht

Dieser Trugschluss kommt besonders häufig vor. Denn nur, weil Sie glücklicherweise noch nie attackiert wurden, schützt Sie das nicht vor Angriffen in der Zukunft.

Ganz im Gegenteil: Wenn Sie weiter untätig bleiben, veralten Ihre Sicherheitsmaßnahmen noch mehr und Ihr Risiko steigt weiter an. Ein erfolgreicher Hacking-Angriff ist dann nur noch eine Frage der Zeit.

Wenn Sie allerdings sofort Maßnahmen ergreifen (Back-Ups überprüfen, Updates durchführen, Mitarbeiter schulen, etc.) senken Sie Ihr Risiko um mehr als 50 %.

50.000 Euro Schaden: So gefährdet eine Cyberattacke die Existenz Ihrer Firma (Beispiel aus der Praxis)

Vor Kurzem mussten wir nach einem Hacking-Angriff die IT einer kleinen Firma mit zehn Angestellten wieder instandsetzen. Folgendes war passiert:

Das Unternehmen hatte eine Stelle ausgeschrieben und per E-Mail eine täuschend echte Bewerbung in einwandfreiem Deutsch erhalten. Die (scheinbaren) Bewerbungsunterlagen waren als ZIP Datei an die E-Mail angehängt.

Beim Öffnen des Anhangs wurden allerdings nicht die Bewerbungsunterlagen, sondern ein Virus heruntergeladen. Das Resultat: Alle Daten wurden innerhalb weniger Sekunden verschlüsselt und unwiederbringlich verloren. Der Betrieb stand einige Tage komplett still.

Besonders fatal:  Mythos Nummer 2 (die Mehrkosten rentieren sich nicht) hat voll zugeschlagen! Weil man sich unser Backup-Service ersparen wollte, installierte die Firma ein internes Backup-System mit eigenen Mitarbeitern. Zwischen diesen gab es jedoch ein Missverständnis und das letzte Backup war 1,5 Jahre alt.

Alle verlorenen Daten zwischen dem letzten Back-Up und dem Tag des Hacking-Angriffs mussten per Hand rekonstruiert werden. Alleine die Wiederherstellung der Buchhaltungs-Unterlagen dauerte drei Monate.

Unterm Strich entstand durch den Betriebsstillstand, die erhöhten Steuerberatungskosten und die Wiederherstellungskosten der Daten ein Schaden von mehr als 50.000 Euro.

Die meistens beste Alternative für KMU: IT Sicherheitskonzept vom Profi

Ohne IT-Abteilung stehen viele Unternehmer bei Firewall, Proxyserver & Co. häufig auf verlorenem Posten. In diesem Fall ist die Auslagerung an einen EDV-Betreuer wahrscheinlich die sicherste und auch zeitsparendste Lösung.

Von der Analyse aller möglichen Bedrohungen über die Umsetzung aller nötigen Maßnahmen bis hin zu laufenden Updates und Mitarbeiterschulungen werden alle in diesem Beitrag beschriebenen Punkte für Sie übernommen.

Je nach Unternehmensgröße müssen Sie mit einmaligen Einrichtungskosten zwischen 500 und 4.000 Euro und laufenden Kosten von jährlich 500 bis 10.000 Euro rechnen.

Dafür haben Sie bei einem seriösen Anbieter allerdings die Garantie, dass Sie sehr gut geschützt und alle Systeme auf dem neuesten Stand sind.

Fazit: Nur eines von zehn Unternehmen ist ausreichend geschützt

Das Risiko, dass Sie als Inhaber eines kleinen oder mittelgroßen Unternehmens Opfer einer Hacking-Attacke werden, war noch nie so groß wie heute. Dennoch sind laut meiner Erfahrung nur etwa 10 % aller Unternehmen auf einen Angriff vorbereitet.

Das Ausarbeiten und Umsetzen eines IT-Sicherheitskonzepts sollte deshalb für die anderen 90 % oberste Priorität haben. Nur mit Firewall, Antivirus, Mitarbeiterschulungen und den sechs anderen in diesem Beitrag erklärten Punkten, schützen Sie Ihr Unternehmen wirklich effektiv.

Sie haben weitere Fragen zum IT-Sicherheitskonzept oder möchten sich gerne dazu beraten lassen? Gerne stehen wir Ihnen gerne als Ansprechpartner zur Verfügung.

Unsere Erstberatung ist für Sie kostenlos und unverbindlich. Rufen Sie dafür einfach unter + 43 1 361 95 00 an oder schreiben Sie uns eine E-Mail an [email protected].

Wir haben uns auf EDV-Betreuung für Unternehmen spezialisiert und helfen auch Ihnen gerne weiter.

Foto: © fizkes – stock.adobe.com

Jobs: 1 IT-Techniker & 1 "Vertriebler" gesucht!

Sie wollen ins beste IT-Team Wiens? Sie suchen einen attraktiven Job mit tollen Extras? Wir suchen aktuell einen IT-Techniker (m/w) und einen Vertriebs-Mitarbeiter/Sales-Manager (m/w). Interesse? Klicken Sie auf den orangen Button!

Zu den Jobs

You have Successfully Subscribed!