Veröffentlicht am 06.10.2021

IT-Sicherheit für KMU - welche Maßnahmen unerlässlich sind

Wenn es um die Sicherheit von IT-Infrastrukturen geht, stehen kleine und mittelständische Unternehmen (KMU) in einem wesentlichen Punkt vor dem gleichen Problem wie große Unternehmen und Konzerne: Sie verfügen über ein spezielles Know-how und damit über einen sensiblen Datenpool, der unbedingt vor dem Zugriff von Cyberkriminellen geschützt werden muss. Diese Daten sind substanziell für die Geschäftsprozesse, so dass ein Verlust die Existenz des gesamten Betriebs in Frage stellen kann.

Aber nicht nur das. Mehr als 90 Prozent aller deutschen Unternehmen gehören laut Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Mittelstand. Angesichts dieser Zahlen wird schnell klar, dass jede Gefährdung und jeder Schaden an der Leistungsfähigkeit auch Einfluss auf den öffentlichen Sektor und die gesamte Volkswirtschaft hat. Deshalb kommt dem Schutz der Daten in KMU eine besondere Bedeutung zu.

Mangelndes Problembewusstsein und fehlende Ressourcen

Leider ist festzustellen, dass bis heute viele Unternehmen kein wirkliches Problembewusstsein für das Thema IT-Sicherheit haben und den Schutz ihrer Systeme vernachlässigen, obwohl es genügend spektakuläre Fälle mit entsprechender Berichterstattung in den Medien gibt. Cyberattacken stehen heutzutage praktisch auf der Tagesordnung. Verantwortlich dafür sind unter anderem schädliche E-Mail-Anhänge, die unbekümmert geöffnet werden, Programmdownloads aus unsicheren Quellen, aber auch massive Sicherheitslücken in so manch bekannter und millionenfach genutzter Software, die von namhaften Herstellern auf den Markt gebracht wird.

Eine weitere Schwierigkeit stellen häufig die erforderlichen Investitionen dar, die für einen sicheren Schutz der IT-Infrastrukturen erforderlich sind. KMU verfügen nur selten über die finanziellen und personellen Ressourcen für entsprechende Maßnahmen. Es müssen aber nicht immer gleich technisch hochgerüstete Lösungen implementiert werden. Jedes Unternehmen sollte zunächst einmal für sich selbst prüfen, ob nicht auch organisatorische Vorgaben und Regelungen gegen Attacken greifen können.

Kritische Schwachstelle Personal

Die wachsende Vernetzung und der zunehmende Gebrauch mobiler Endgeräte trägt ebenfalls dazu bei, dass sich mehr und mehr Sicherheitsrisiken auftun. Eine nicht unwesentliche Rolle spielen dabei die Mitarbeiterinnen und Mitarbeiter eines Unternehmens. Hier ergeben sich erste Ansätze für organisatorische Maßnahmen.

Organisatorische Maßnahmen zur Verbesserung der IT-Sicherheit

Zunächst müssen die Verantwortlichkeiten klar geregelt werden, etwa, indem ein Team gebildet wird, das für die IT-Sicherheit zuständig ist. Da Sicherheitsfragen immer auch Chefsache sind, sollte die Geschäftsführung mit mindestens einer Person vertreten sein und auch die Teamleitung übernehmen. Des weiteren kommen IT-Administratoren und Datenschutzbeauftragte für die Mitgliedschaft im Team in Frage. Alle Mitarbeiter sollten Bescheid wissen, dass sie sich bei Fragen und Problemen bezüglich der IT-Sicherheit an dieses Team wenden können bzw. bei einem realen Vorfall wenden müssen.

In einem zweiten Schritt können die Mitarbeiter geschult und darüber aufgeklärt werden, wo Gefahren lauern und wie diese sich äußern. Zudem sollte in diesen Schulungen das Bewusstsein geschärft werden, dass ein Cyberangriff jederzeit möglich ist und auf vielfältige Art und Weise stattfinden kann.

Außer dem verantwortlichen IT-Administrator und seinem Stellvertreter sollten keine anderen "normalen" Mitarbeiter administrative Rechte erhalten, um Missbrauch - auch unbeabsichtigten - zu verhindern.

Nicht selten gestatten Unternehmen ihren Mitarbeitern, eigene Geräte zu nutzen und sich damit auch in das firmeninterne Netz einzuloggen. Dieses Vorgehen ist als "Bring Your Own Device" (BYOD) bekannt. BYOD hat ein großes Gefahrenpotenzial. In vielen Fällen verwenden die Besitzer lediglich einfachste, leicht zu merkende Passwörter, die von Profis schnell und leicht zu knacken sind. Zudem muss nur ein Smartphone oder Notebook bereits mit Malware infiziert sein, um diese bei der Nutzung des Gerätes im Unternehmen auf das Firmennetzwerk zu übertragen.

Technische Maßnahmen zur Verbesserung der IT-Sicherheit

Grundlegende technische Maßnahmen müssen keine Unsummen verschlingen. Die IT-Sicherheit kann bereits mit einfachen Mitteln verbessert werden. So sollte jedes Endgerät, das auf das Firmennetzwerk zugreifen kann, mit einem Virenschutz und einer Firewall ausgestattet ausgestattet sein. Zusätzlich ist das System unabhängig vom Virenschutz regelmäßig auf Viren zu scannen.

Gegenüber dem Internet sollte das Netzwerk ebenfalls mit einer Firewall geschützt werden. Als gängiger Standard dabei gilt, dass jeglicher Datenverkehr zwischen Netzwerk und Internet unterbunden wird, der nicht durch eine bestimmte Firewall-Regel explizit autorisiert ist.

Ganz wichtig ist die Durchführung regelmäßiger Backups. Sie sollten am besten täglich und auf mehreren, voneinander unabhängigen Speicherplätzen erfolgen, beispielsweise im Unternehmen selbst und in einem Rechenzentrum bzw. in der Cloud.

Als nützlich hat sich auch eine Segmentierung des Netzwerks erwiesen. Dafür werden etwa Buchhaltungs-, Personal- und Kundendaten in eigenen Netzwerken organisiert und sind von Nutzern im allgemeinen Netzwerk nicht erreichbar.

E-Mails sind ein beliebtes Werkzeug bei Cyberkriminellen, um Zugriff auf fremde Computer zu bekommen. Deshalb sollte jedes Netzwerk über einen Spam-Filter verfügen. Ebenso können bereits am E-Mail-Gateway potenziell schädliche Anhänge mit ganz spezifischen Anhängen erkannt und blockiert werden.

Weitere, einfach durchzuführende Maßnahmen sind eine Festplattenverschlüsselung, die Verwendung von sicheren Passwörtern, ein Viren-Scan vor der Nutzung von USB-Sticks sowie eine Überprüfung von Bauteilen an Computern, die nicht durch das Unternehmen selbst installiert wurden.

Externe Dienstleister beauftragen

Für kleine und mittelständische Unternehmen lohnt es sich auf Grund ihrer fehlenden Ressourcen häufig, einen externen Dienstleister in Anspruch zu nehmen, der Beratungen und Schulungen vornehmen kann, individuelle Sicherheitskonzepte entwickelt oder auch das IT-Sicherheitsmanagement vollständig übernimmt.