Hauptbereich
So sorgen Sie für mehr IT-Sicherheit im Unternehmen
Cyber-Sicherheit sollte heute ein integraler Bestandteil jeder Unternehmensstrategie sein. Denn: Egal, was Ihr Unternehmen produziert, Hacker-Angriffe können jeden treffen. In diesem Artikel erfahren Sie, wie Sie Ihre IT-Sicherheit verbessern können.
Digitale Kriminalität – Fakten und Zahlen
Nachrichtendienste kommunizieren immer wieder, dass die «abstrakte Bedrohung im Cyberraum» heute höher sei als früher. «Abstrakt» bedeutet in diesem Fall, dass Unternehmen zwar angegriffen oder bedroht werden können, es gleichzeitig aber keine konkreten Anzeichen für einen bevorstehenden Angriff gibt. Da es heute jedoch viel mehr kriminelle Aktivitäten im Internet gibt als früher, kann sich niemand zurücklehnen. Jedes Unternehmen, weltweit und ohne Ausnahme, kann zum Opfer einer Attacke werden. Dabei kann es um pure Sabotage, politisch motivierte Angriffe, Spionage oder Erpressung gehen.
Dem Bundesamt für Statistik (BFS) wurden im Jahr 2021 insgesamt 30'351 digitale Straftaten gemeldet. Die meisten davon werden der Cyber Wirtschaftskriminalität zugeordnet.
Einige Kennzahlen
-
Erpressung: 987 Straftaten
-
Unbefugte Datenbeschaffung: 713 Straftaten
-
Datenbeschädigung: 686 Straftaten
-
Unbefugtes Eindringen in ein Datenverarbeitungssystem: 551 Straftaten
Das BFS weist jedoch darauf hin, dass diese Zahlen mit Vorsicht zu interpretieren sind und die Dunkelziffer vermutlich deutlich höher ist. Das liegt zum einen daran, dass viele Straftaten gar nicht erst angezeigt werden. Zum anderen tauchen ständig neue Phänomene in der digitalen Kriminalität auf, die laufend zur Liste der Tatvorgehen hinzugefügt werden.
Schritt 1: Analysieren Sie die Schwachstellen Ihrer IT-Landschaft
Viele Cyberangriffe beruhen nicht auf ausgeklügelten Plänen, sondern treffen diejenigen, die das Thema IT-Sicherheit nicht genügend ernst nehmen. Die IT-Landschaft einer Firma gleicht einem Netz aus Systemen und Personen, in welchem Daten hin- und her fliessen und gespeichert werden. Dieses Netz ist nur so stark wie sein schwächstes Element. Ein einziges «Leck» kann bereits für einen Angriff ausreichen.
Um dieses Netz zu stärken, muss man es zunächst im Detail kennen. Eine Analyse der Systeme, Prozesse und Akteure steht am Anfang jeder Optimierung. Wichtig hierbei ist auch die Klassifizierung der Daten sowie von deren Speicherorten. Diese Analyse sollte regelmässig erfolgen und streng geheim behandelt werden. Denn sie zeigt die Schwachstellen auf und kann gezielt genutzt werden, um in die Systeme einzudringen.
Nach Abschluss der Analyse sollten Sie einen Überblick über Risiken und Schwachstellen erhalten haben und können damit weiterarbeiten.
Schritt 2: Integrieren Sie das Thema IT-Sicherheit in Ihre Unternehmensstrategie
Die Schwachstellen, welche die Analyse unter Schritt 1 aufgezeigt hat, gilt es zu beheben. Ausserdem sollte es für jedes Risiko-Szenario einen Notfallplan geben.
Bei der Umsetzung der konkreten Massnahmen ist vor allem wichtig, dass IT-Sicherheit sowohl kulturell gelebt als auch im Rahmen der Unternehmensstrategie für wichtig befunden wird. Egal, ob es um einen Verkaufsprozess oder um die Sicherung kritischer Daten geht: Jeder Mitarbeitende sollte sich fragen, ob seine Arbeitsweise oder sein Verhalten ein Risiko darstellen könnten. Schulungen, Anleitungen für «best practice»-Prozesse und regelmässige Hinweise zu Sicherheitsthemen können hier einen wichtigen Beitrag zur Unternehmenssicherheit leisten.
Artikel: Diese Rolle spielt der «Faktor Mensch», wenn es um IT-Sicherheit geht
«Low hanging fruits»: Machen Sie Ihre Hausaufgaben beim Thema IT-Sicherheit
Bevor Sie jedoch alle Überlegungen unter Schritt 1 und 2 anstellen, sollten Sie Ihre grundlegenden Hausaufgaben erledigen. Folgende Elemente gehören zur IT-Grundsicherung für jedes Unternehmen:
-
Verschlüsseln Sie Ihre Webseiten mit SSL-Zertifikaten und sichern Sie Ihren Mailverkehr mit S/MIME-Zertifikaten, damit Daten verschlüsselt ausgetauscht werden können. SwissSign ist eine Schweizer CA und bietet «Swiss made» Zertifikate.
Zum Zertifikats-Webshop von SwissSign -
Legen Sie Backups aller kritischen Daten an. Neben Hackerangriffen gibt es weitere Gefahren wie Diebstahl oder Zerstörung von physischen Geräten, zum Beispiel bei einem Brand im Unternehmensgebäude oder einem Wasserschaden.
-
Installieren Sie ohne Verzug alle Sicherheitsupdates. Dies sollte nicht als eine lästige Pflicht angesehen werden, sondern als Glücksfall. Denn ausser der Installation aller Patches müssen Sie nichts weiter unternehmen – die grossen Hersteller beheben für Sie allfällige Sicherheitsprobleme und halten Ihre Infrastruktur up-to-date.
-
Tauschen Sie «end of life»-Systeme rechtzeitig aus. Sobald diese nicht mehr unterstützt werden, werden sie zu Gefahrenquellen. Gegebenenfalls auch vorher schon, denn neu auftretende Sicherheitslücken können im Laufe der Zeit immer schlechter korrigiert werden.
-
Vergeben Sie Zugriffsrechte restriktiv und nur wenn unbedingt nötig. Je mehr Personen Zugang zu einer Ressource haben, desto grösser ist das Risiko.
-
Erlauben Sie keine Privatgeräte in Firmennetzwerken, denn der Sicherheitsstatus dieser Geräte und auch das unbekannte Surfverhalten der Besitzer stellt ein Risiko dar. Eine sinnvolle Alternative ist das Einrichten eines Gäste-WLAN, natürlich auch hier am besten in verschlüsselter Form mit einem starken Passwort.