Cyberrisiken & Bedrohungen für KMU’s
Cyber-Angriffe; die Frage ist nicht ob, sondern wann es einen trifft
2020 wurden über 88% der Schweizer KMU in irgendeiner Form von Cyberattacken bedroht. Einer der Gründe könnte sein, weil Cyber-Kriminelle davon ausgehen, bei kleinen und mittleren Unternehmen eine schwächere Cyber-Security vorzufinden. Im Gegensatz zu Gross-Firmen sind die Budgets für IT-Security bei KMU geringer, weshalb die Einschätzung der Cyber-Angreifer wohl oftmals zutreffen mag. Umso wichtiger ist es, auch mit kleinem Budget das Maximum an IT-Sicherheit herauszuholen.
Doch auf welche Angriffe muss sich ein KMU vorbereiten? Die meistgesehenen Attacken teilen sich in folgende Bereiche auf:
- Social Engineering
- Phishing
- DDOS
- Malware / Ransomware
- Datenlecks
Social Engineering
Hierbei versucht der Angreifer mittels Täuschung, Mitarbeiter einer Firma so zu manipulieren, dass diese vertrauliche oder persönliche Informationen preisgeben. Diese nutzt der Angreifer dann für betrügerische Zwecke.
Um dem entgegenzuwirken, bedarf es kontinuierlicher Mitarbeiterschulungen um die Security Awareness jedes einzelnen zu schärfen. Dazu gibt es verschiedene Tools (z.B. Hoxhunt, Treesolution), die Sie selbst konfigurieren und nutzen können. Eine zweite Möglichkeit ist die Mitarbeiter-Schulung durch externe Anbieter.
Phishing
Bezeichnet die betrügerische Praxis des Versendens von E-Mails, die vorgeben, von seriösen Unternehmen zu stammen, um Personen dazu zu verleiten, persönliche Daten wie Passwörter und Kreditkartennummern preiszugeben.
Auch hier ist die wichtigste Gegenmassnahme die Mitarbeiter-Schulung, da aufgrund der immer besser werdenden Qualität nicht alle Phishing-Mails durch eine E-Mail-Security Lösung geblockt werden.
DDOS – Denial of Service
Bei dieser Angriffsform werden Dienste (z. B. Websites) in ihrer Funktionalität beeinträchtigt, so dass diese nicht mehr oder nur eingeschränkt zur Verfügung stehen. Dabei wird von den Angreifern eine hohe Belastung auf die Systeme verursacht, so dass diese Systeme letztlich ausfallen.
Solche Attacken können mit einer Intrusion Detection System (IDS) – Lösung respektive einer Firewall, oder Web Application Firewall abgewehrt werden.
Malware / Ransomware
Malware ist Software, die speziell entwickelt wurde, um ein Computersystem zu stören, zu beschädigen oder sich unbefugten Zugriff darauf zu verschaffen. Diese geht oft Hand in Hand mit
Ransomware, einer Art von Schadsoftware, die den Zugriff auf ein Computersystem blockiert, bis eine Geldsumme gezahlt wird.
Als Schutzmassnahme empfiehlt sich hier eine Malware Protection Software. Darauf aufbauend, kann eine Endpoint Detection & Response-Lösung helfen, Vorfälle durch Malware und Ransomware zu verhindern. Zusätzlich lohnt es sich, die Systeme so zu konfigurieren, dass Mitarbeiter ohne Informatik-Aufgaben auch keine Programme installieren dürfen (Software-Installation-Policy). Ebenfalls sollte eine E-Mail-Security-Lösung eingesetzt werden.
Datenleck
Durch eine Datenschutzverletzung (oder Datenleck) werden vertrauliche, sensible oder geschützte Informationen einer unbefugten Person zugänglich gemacht. Die Dateien bei einem Datenleck werden ohne Erlaubnis eingesehen und weitergegeben.
Dem kann mit Daten-Verschlüsselung, einer Access-Management oder einer Daten-Schutz-Lösung entgegengewirkt werden.
Fazit
Wie Sie sehen, sind wir alle stets vielen Arten von Cyber-Bedrohungen ausgesetzt. Als Gedankenstütze dazu dient das «Merkblatt Informationssicherheit für KMUs» der Melde- und Analysestelle Informationssicherung (MELANI).
Gerne unterstützen wir Sie bei der Planung, Umsetzung und Überprüfung Ihrer IT-Security-Strategie mit
Quellen:
https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/checkliste-ciso.html
https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen/aktuelle-themen/schuetzen-sie-ihr-kmu.html
https://www.bnits.ch/news/das-sind-die-6-haeufigsten-cyberrisiken-fuer-kmu
https://www.societybyte.swiss/2018/01/03/cyber-risiken-fuer-kmu-kein-thema/
https://www.allianz.ch/de/geschaeftskunden/ratgeber/studie-cyber-risiken.html