Viele kleine und mittelständische Unternehmen gehen davon aus, dass sie für Cyberkriminelle kein lohnendes Ziel darstellen. Dieser Irrtum kann existenzgefährdend sein.
IT-Security und Datensicherheit stellen gerade für kleine und mittelständische Unternehmen (KMU) eine große Herausforderung dar. Oft fehlen Fachpersonal, Zeit und technische Ressourcen, um einen bestmöglichen Schutz zu gewährleisten. Manchmal mangelt es aber auch einfach am Problembewusstsein: KMU glauben gerne, dass es so etwas wie „Security by Obscurity“ gibt und nur große Unternehmen Opfer gezielter Angriffe werden. Ein fataler Irrtum, wie Statistiken zeigen: Laut dem „2019 Data Breach Investigations Report“ von Verizon betrafen im vergangenen Jahr 43 Prozent der Sicherheitsvorfälle kleine und mittelständische Unternehmen. Im Jahr 2018 hatten fast drei Viertel aller Ransomware-Attacken kleine Unternehmen zum Ziel. Dem Branchenverband Bitkom zufolge entsteht der deutschen Wirtschaft durch Cybercrime ein jährlicher Schaden von über 100 Milliarden Euro. Betroffen sind dabei nicht nur Konzerne, sondern drei Viertel aller deutschen Unternehmen.
Es muss aber gar kein Angriff von außen sein, der zu Datenverlust führt. Auch wenn Festplatten ausfallen oder Mitarbeiter Daten löschen – sei es aus Versehen oder mit Absicht, kann der Schaden erheblich sein. Laut dem jährlich erscheinenden „Data Health Check“ gehen rund 60 Prozent aller Fälle von Datenverlust auf Hardwarefehler und menschliches Versagen zurück. Viele kleine und mittelständische Unternehmen schützen sich jedoch nur unzureichend vor solchen Vorfällen. Der SMB Group zufolge gibt es in 40 Prozent der kleinen Unternehmen keine strukturierte Datensicherung, 58 Prozent erstellen keine Backups von Endgeräten.
Datenschutz wird vernachlässigt
Besonders problematisch wird ein Datenverlust, wenn dabei personenbezogene Informationen in falsche Hände gelangen. Die 2018 wirksam gewordene Europäische Datenschutzgrundverordnung (DSGVO) sieht in diesem Fall strenge Berichtsvorschriften und hohe Strafen vor. Sie unterscheidet dabei nicht zwischen Zehn-Mann-Unternehmen und Großkonzernen.
Wie schlecht es um den Datenschutz in KMU bestellt ist, zeigt die Nutzerstudie 2019 des Beratungsunternehmens Capterra: Mehr als die Hälfte der befragten Unternehmen hatte nicht genügend Zeit und Ressourcen, um die Datenschutzbestimmungen einhalten zu können, 56 Prozent bezeichneten sich als nicht gut mit der DSGVO vertraut und 40 Prozent prüften ihre Datenschutzbestimmungen nur einmal im Jahr.
Die wichtigsten Bausteine für IT-Security und Datensicherheit
Wenn Geld und Fachkräfte knapp sind, sollten sich KMU auf die wichtigsten Aspekte der IT-Sicherheit konzentrieren, um mit den beschränkten Ressourcen eine möglichst effektive Risikominimierung zu erreichen. Dabei spielen folgende Komponenten eine entscheidende Rolle:
- Datensicherung: Jedes Unternehmen benötigt eine Backup-Lösung, die kontinuierlich Daten sichert und diese vor Ort auf einem Server oder in der Cloud speichert. Cloud-fähige Backup-Appliances wie die PowerProtect DD Serie von Dell EMC sind hier zu empfehlen, denn sie bieten einen integrierten Schutz vor Ort, der sich für die langfristige Aufbewahrung von Daten und die Notfall-Wiederherstellung um Cloud-Ressourcen erweitern lässt.
- Schutz vor Malware: Bei der Wahl von IT-Sicherheitslösungen sollten KMU auf eine möglichst umfassende Erkennung und Abwehr von Bedrohungen achten. Sie sollte vor Viren und Trojanern schützen, bösartige Webseiten erkennen sowie Phishing-Attacken zuverlässig blockieren.
- Schutz der Endpunkte: Ungenügend geschützte Clients stellen das Haupteinfallstor für Cyberkriminelle dar. Unternehmen sollten daher auf Hardware mit integrierten Sicherheitsmechanismen achten. Der Hersteller Dell bietet beispielsweise mit „SafeID“ einen integrierten Schutz vor einer Geräteübernahme. Die Zugangsdaten werden dabei auf einem dedizierten Sicherheitschip gespeichert und sind so vor Malwareangriffen von außen abgeschottet. Verschlüsselte Festplatten, wie sie in den Laptops und 2-in-1-Systemen der Dell-Latitude-Produktreihe zum Einsatz kommen, bewahren sensible Daten selbst dann vor fremden Augen, wenn das Endgerät verloren geht oder gestohlen wird.
- Schutz von Speicher und Server: Damit Hacker kein einfaches Spiel haben, wenn sie in die interne IT-Umgebung eingedrungen sind, sollten Speicher und Server auf Firm- und Hardware-Ebene einen durchgängigen Schutz bieten. Dell EMC PowerEdge Rack- und Tower-Server bieten beispielsweise einen integrierten Sperrmodus, der Serverkonfiguration und Firmware vor Änderungen schützt. Im Fall eines Angriffs kann der Server mit der gespeicherten Konfiguration neu gestartet und so in den Zustand vor der Kompromittierung zurückversetzt werden.
- Identity and Access Management (IAM): Die zunehmende Nutzung von Public-Cloud-Ressourcen, die über das Internet zugänglich sind, und der Trend zum verteilten, mobilen Arbeiten haben die Bedeutung des Zugangs- und Berechtigungsmanagements drastisch erhöht. Wenn Cyberkriminelle Zugangsdaten erbeuten, können sie damit häufig ganze Netzwerke übernehmen und großen Schaden anrichten. Aber auch intern führt eine zu großzügige Vergabe von Zugangsrechten zu unnötigen Risiken. KMU sollten daher beim Zugangsmanagement auf eine starke Authentifizierung durch mehrere Faktoren achten und Berechtigungen auf ein Mindestmaß beschränken.
- Security Awareness: Laut einer Dell Endnutzerbefragung zum Thema Sicherheit sind 72 Prozent der Mitarbeiter bereit, vertrauliche Daten Externen zu übermitteln, 50 Prozent geben sensible Informationen über private Cloud-Anwendungen oder per E-Mail weiter. Phishing und Social Engineering haben daher leichtes Spiel: Sie zielen direkt auf das Verhalten ab und versuchen, Mitarbeiter zur Preisgabe von Passwörtern oder der Ausführung Malware-verseuchter Dateien zu bewegen. Schulungen und Trainings, die auf diese Gefahren aufmerksam machen und alternative Verhaltensweisen einüben, gehören deshalb zu den effektivsten Mitteln zur Senkung des IT-Sicherheitsrisikos.
Fazit
Datensicherheit und Datenschutz darf für KMU keine Nebensache sein. Neben einer Backup-Strategie zum Schutz vor Datenverlust ist ein mehrstufiges Sicherheitskonzept vonnöten, das Angriffe zuverlässig erkennt und abwehrt, Zugänge und sensible Daten schützt und das Verhalten der Mitarbeiter einbezieht. Um dieses Konzept wirkungsvoll umsetzen zu können, sollten sich kleine Unternehmen Unterstützung holen, wie sie etwa die Dell Technologieberater bieten. Sie helfen, sich in der Vielzahl der Technologien zurechtzufinden und bieten fortlaufenden Support.
Informieren Sie sich jetzt und verbessern Sie nachhaltig Ihre IT-Sicherheit!
kommentar field