Wenn die Personaldecke im Unternehmen dünn wird, weil viele Mitarbeitende gleichzeitig im Urlaub sind oder im Home-Office arbeiten, dann wittern Cyberkriminelle ihre Chance. Die Bedrohungslage für mittelständische Unternehmen in Deutschland verschärft sich, sagen 74% der befragten Sicherheitsexperten in der Eco-Sicherheitsstudie 2021, in der insgesamt 175 Personen befragt wurden. Cyberkriminelle kennen die gängigen und aktuellen Sicherheitslücken, z.B. auf E-Mail Servern, und suchen gezielt nach Systemen, die diese noch nicht geschlossen haben. Rund jedes fünfte Unternehmen hatte im vergangenen Jahr einen oder mehrere gravierende Sicherheitsvorfälle. Bei rund 20% dieser Vorfälle haben die Cyberkriminellen Trojaner-Software eingesetzt, um Lösegeld zu erpressen, die Firmen zahlen sollten, damit verschlüsselte Dateien wieder freigegeben werden. IT-Verantwortliche sollten regelmäßig, besonders in der Urlaubszeit, die Sicherheit aller IT-Systeme checken und die Kollegen und Kolleginnen schulen und sensibilisieren. Konkret gibt der Eco – Verband der Internetwirtschaft dafür sechs Tipps:
Halten Sie alle Systeme jederzeit auf dem neuesten Stand. Machen Sie dazu eine Bestandsaufnahme der eingesetzten Software und Systeme: Was wird wo genutzt? Welche Systeme laufen aktuell und welche wurden außer Betrieb genommen? Legen Sie Prozesse für regelmäßige Updates und für Notfallpatches fest und üben Sie diese mit Ihren Mitarbeitenden ein.
Sammeln Sie proaktiv Informationen zu möglichen Schwachstellen, etwa vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und CERT-Bund. Bewerten Sie Risiken und klassifizieren Sie diese entsprechend: Welche Services sind für mein Unternehmen am wichtigsten, welche Auswirkungen haben Schwachstellen für mein Geschäft?
Planen Sie Ihre Reaktion auf eine eventuelle Krise oder Notfall im Vorfeld. Fast jedes dritte Unternehmen (31%) hat noch keinen Notfallplan festgelegt, um entsprechend reagieren zu können.* Holen Sie das so schnell wie möglich nach und briefen Sie Ihre Mitarbeiter:innen entsprechend, um Schäden für Organisationen, Unternehmen oder Einzelpersonen zu begrenzen oder abzuwenden.
Sensibilisieren Sie Ihre Belegschaft regelmäßig hinsichtlich der Cybergefahren, die z.B. durch Phishing-Attacken drohen. Klären Sie Ihre Mitarbeitenden regelmäßig auf und bauen Sie entsprechende Kompetenzen auf, damit Ihre Kolleg:innen im Zweifelsfall richtig reagieren. Mit regelmäßigen Schulungen halten Sie diese Security-Awareness und das Bewusstsein für die Cybergefahren in der Unternehmenskultur hoch.
Nutzen Sie starke Passwörter entsprechend der Empfehlung des BSI: Wählen Sie Passwortlängen von mindestens acht Zeichen, verwenden Sie Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern. Passwörter sollten nicht notiert, sondern nur verschlüsselt auf dem Rechner gespeichert werden. Tipp: Eselsbrücken können helfen, sich kryptische Passwörter zu merken.
Machen Sie regelmäßige Backups, die schützen Sie und Ihr Unternehmen vor Datenverlust, beispielsweise bei Ransomware-Vorfällen und Hardware-Schäden. Anwendungen für Computer, Tablets und Smartphones machen die Sicherung für jeden in kurzer Zeit möglich – beispielsweise über Cloudlösungen oder externe Gerätespeicher. Die Datensicherung des Computers und der mobilen Geräte sollte wie das tägliche Zähneputzen zu einem unverzichtbaren Ritual werden.
