Posts in category: Allgemein

Die KI von Microsoft bringt bahnbrechende Arbeitserleichterungen und dann auch noch dort, wo sie braucht wird. Zum Beispiel in Microsoft 365.

Alle Unternehmen, ob groß oder klein, sind mit Geschäftsrisiken konfrontiert. In Deutschland sind die beiden führenden Risiken Cyberrisiken und Betriebsunterbrechung. Cyber-Vorfälle sind eine wachsende Ursache für Geschäftsunterbrechungen. Für viele Unternehmen kann selbst eine kurze Geschäftsunterbrechung schwerwiegende Auswirkungen auf den Ruf und die finanzielle Nachhaltigkeit des Unternehmens haben.

Zudem haben KMUs begrenzte Ressourcen. Sie müssen ihre Sicherheit so gut wie möglich gewährleisten, aber gleichzeitig müssen sie die geschäftliche Flexibilität und Produktivität aufrechterhalten. Es ist ein schwieriges Gleichgewicht, aber es gibt Möglichkeiten, dies mit einem vernünftigen Aufwand an Zeit und Mühe zu erreichen.

Tipps zur Erhöhung der IT-Sicherheit von KMUs

Die Unternehmen müssen sich auf fünf Bereiche konzentrieren, um ihre Sicherheit bestmöglich zu gewährleisten.

• Zugang zu Daten und Diensten schützen. Viele Sicherheitsvorfälle beginnen, wenn sich jemand unbefugten Zugang zu einem Konto verschafft. Um solche Vorfälle zu verhindern, sollten Sie den Zugang so weit wie möglich einschränken. Benutzerkonten sollten nur die Berechtigungen haben, die sie benötigen. Beispielsweise sollten normale Benutzerkonten keinen Administratorzugriff haben. Starke Authentifizierungsmethoden halten Eindringlinge davon ab, in Konten einzubrechen. Setzen Sie auf starke Passwörter und verwenden Sie eine Zwei-Faktor-Authentifizierung, wo es angebracht ist. Schließen Sie Konten, die nicht mehr verwendet werden.
• Verwalten und Sichern von Geräte. Es ist wichtig, eine Bestandsaufnahme der Geräte im Netzwerk und eine Richtlinie für deren Verwaltung zu haben. Mobile Geräte, einschließlich Laptops, stellen ein besonderes Risiko dar. Sie können verloren gehen oder gestohlen werden und darüber große Datenmengen freilegen. Ein Unternehmen muss Anforderungen für Telefone und andere mobile Geräte festlegen, die auf das Netzwerk zugreifen. Die Verschlüsselung ihrer Inhalte trägt dazu bei, Informationen vor Dieben zu schützen.
• Vor Bedrohungen schützen. Netzwerke sind ständigen Angriffen ausgesetzt. Mehrere Schutzebenen sind notwendig, um sie am Erfolg zu hindern. Es müssen Sicherheitsupdates installiert werden. Eine Firewall ist notwendig, um feindliche Anfragen abzuwehren. Bedrohungsscans identifizieren bösartige Software und erkennen die Kommunikation mit den Servern der Kriminellen. Durch die sofortige Entfernung von Bedrohungen wird der von ihnen verursachte Schaden minimiert und ihre Verbreitung im Netzwerk verhindert. Der Schutz vor Bedrohungen ist einer der kompliziertesten Teile der Netzwerksicherheit und erfordert es, sich über die neuesten Angriffe auf dem Laufenden zu halten.
• Informationen schützen. Bei der gesamten IT-Sicherheit geht es um den Schutz von Informationen. Dies bezieht sich auf die Frage, wo Informationen aufbewahrt und wie sie bewegt werden. Die Aufbewahrung sensibler Informationen auf schlecht geschützten Rechnern gefährdet diese. Die Übertragung von einem Ort zum anderen ohne ausreichende Sicherheit ist ebenfalls gefährlich. Die Verschlüsselung von Daten, sowohl im Ruhezustand als auch während der Übertragung, macht sie sicherer. Sensible Informationen sollten sich nur auf gut geschützten Servern befinden, und die Datenübertragung sollte über sichere Protokolle erfolgen.
• Schulung und Ausbildung der Benutzer. Menschliches Versagen ist eine der Hauptursachen für Sicherheitsverletzungen. Mitarbeiter sollten lernen, mit unerwarteten E-Mail-Nachrichten, Anhängen und Links vorsichtig umzugehen. Sie sollten wissen, wie man sichere Passwörter erstellt und diese schützt. Schulungen und Tests zum Sicherheitsbewusstsein bedeuten weniger gefährliche Fehler.

Wie sieht IT-Sicherheit in der Umsetzung aus

Es gibt viel zu tun, und die Unternehmen haben nur begrenzte IT-Ressourcen. Das ist ein Grund, warum viele KMUs auf zuverlässige Cloud-Dienste wie Microsoft 365 zurückgreifen. Der Cloud-Anbieter übernimmt die Verantwortung für viele der Sicherheitsaufgaben. Die Kosten sind angemessen, und der Service reduziert den Arbeitsaufwand für das IT-Personal erheblich.

Microsoft 365 unterhält Server an mehreren Standorten, so dass der Ausfall einer einzelnen Komponente den Dienst nicht unterbricht. Experten halten das Niveau des Bedrohungsschutzes hoch, und es gibt nur sehr wenige Ausfallzeiten.

Der beste Weg, um mit der Verbesserung der IT-Sicherheit zu beginnen, ist eine Bewertung Ihres bestehenden Netzwerks. So können Sie Schwachstellen identifizieren und entscheiden, welche Verbesserungen zuerst kommen sollten.

Microsoft Secure Score ist ein Dienst, der Systemmanagern zur Messung des Sicherheitsstatus ihrer Organisation angeboten wird. Eine Organisation erhält Punkte für sicherheitsrelevante Funktionen und Maßnahmen. Je höher die Punktzahl, desto besser. Unternehmen, die über Microsoft 365 verfügen, können online auf ihren Secure Score zugreifen.

Diejenigen, die nicht über eine Selbstbewertung verfügen, können ein Assessment anhand der von Microsoft bereitgestellten Fragen durchführen. Die Bewertung dauert etwa zehn Minuten und vermittelt ein besseres Verständnis dafür, wie gut Ihre Organisation die besten Sicherheitsverfahren befolgt.

Die Aufrechterhaltung der IT-Sicherheit erfordert einen gewissen Aufwand, aber es lohnt, um auch in Zukunft in der höchsten Liga in Sachen IT-Sicherheit mitspielen zu können.

Viele kleine und mittlere Unternehmen sind mit der bestehenden Datensicherheit zufrieden. Viele Eigentümer haben das Gefühl, auf Grund der gerningen Unternehmensgröße unter dem Radar zu fliegen. Allerdings haben bereits mehr als 50% der KMU einen Cyberangriff oder eine Datenschutz-Verletzung erlebt. Tatsache ist, dass kleine und mittlere Unternehmen nicht immun gegen Fragen der Datensicherheit sind und in einigen Fällen Probleme haben, die größere Unternehmen nicht haben. Die Folgen eines Verstoßes können schwerwiegend sein. 78% der Kunden werden ein Unternehmen langfristig nach einem solchen Datenleck meiden. Und je mehr Wettbewerb Sie haben, desto einfacher wird es für Ihre Kunden, Alternativen zu finden.

Tatsächlich verschwinden rund 60% der kleinen Unternehmen, die einen Cyberangriff erleben, innerhalb von sechs Monaten vom Markt.

Die DSGVO verlangt, dass Unternehmen den für die Verarbeitung Verantwortlichen innerhalb von 72 Stunden nach Feststellung eines Verstoßes gegen personenbezogene Daten benachrichtigen, und sieht Geldbußen für Unternehmen vor, die sorglos mit Daten umgehen – Geldbußen, die ein kleines bis mittleres Unternehmen leicht in die Insolvenz treiben können.

Allein in Deutschland gab es im ersten Jahr der DSGVO 75 Verstöße gegen personenbezogene Daten, mit Bußgeldern in einer Gesamthöhe von 449.000 Euro.

Hier sind einige der größten Risiken, denen kleine und mittlere Unternehmen ausgesetzt sind:

Benutzerfehler

Die häufigste Ursache für einen Verstoß ist menschliches Versagen. 90% der Verstöße können auf einen Fehler eines einzelnen Benutzers zurückgeführt werden. Kleine Unternehmen investieren selten in Schulungen und Trainings ihrer Mitarbeiter (und Inhaber) über häufige Verstöße und Techniken zur Vermeidung dieser Verstöße. Menschen gelten im Allgemeinen als das schwächste Glied in Ihrem Cybersicherheitssystem. Sie müssen sicherstellen, dass Ihre Mitarbeiter über folgende Aspekte informiert sind:

• Nicht auf Links oder Anhänge in unerwünschten E-Mails zu klicken. Gehen Sie immer zu Bank- oder Finanzseiten, indem Sie die URL eingeben oder ein Lesezeichen verwenden, auch wenn die E-Mail legitim aussieht.
• Keine sensiblen Daten per E-Mail versenden, ohne noch einmal zu überprüfen, ob die Anfrage von der eigentlichen Person stammt. Ein häufiger Betrug wird als „business email compromise“ (BEC) bezeichnet. Die Hacker geben sich als Führungskraft, Personalabteilung oder Verkäufer aus und bitten jemanden, Geld zu überweisen, Mitarbeiterdaten zu senden usw.
• URL vor dem Eingeben von Anmeldedaten genauestens überprüfen. Probleme können auftreten, weil Angreifer eine Adresse einrichten mit ähnlicher URL oder eine Website klonen. Insbesondere geklonte Websites können extrem schwer zu erkennen sein.
• Jederzeit ein Auge auf mobile Geräte haben und einen freigeschalteten Laptop niemals unbeaufsichtigt zu lassen, auch nicht für kurze Zeit.
• Multi-Faktor-Authentifizierung wenn möglich immer nutzen.
• Starke Passwörter oder Passphrasen verwenden. Einer der größten Verstöße in Deutschland betraf die Verwendung sehr offensichtlicher Passwörter.

Unnötige Benutzerrechte

Viele Unternehmen gewähren zu vielen Mitarbeitern Zugriff auf ein privilegiertes oder Administrator-Konto. Sehr kleine Unternehmen geben manchmal jedem Mitarbeiter per default Administrator-Rechte.

Mitarbeiter sollten nur den Zugang haben, den sie auch benötigen, das so genannte „least privilege“, und dies sollte regelmäßig überprüft werden.

Besonders vorsichtig sollte man beim Administratorzugriff auf Windows-Computern sein. Viele Nutzungsanfragen erfordern Administratorzugriff und die einfache Beschränkung auf Standardkonten kann oft schon ausreichen. Der Administratorzugriff sollte nur dann verwendet werden, wenn er wirklich erforderlich und durch ein sicheres Passwort geschützt ist. 80% der Sicherheitsverletzungen betreffen eine Form von privilegierten Anmeldeinformationen.

Unsichere Geräte im Netzwerk

Mitarbeiter gehen ins Büro und verbinden ihr persönliches Handy mit dem WLAN. Auch Firmengeräte werden möglicherweise nicht immer auf dem neuesten Stand gehalten. Es ist wichtig, eine Richtlinie zu haben, dass alle an das Netzwerk angeschlossenen Geräte über ein aktuelles Betriebssystem verfügen, alles gepatcht ist und einen angemessenen Schutz vor Malware bietet.

Viele kleinere Unternehmen haben keine Richtlinie, die das Mitbringen eigener Geräte regelt. Sie erlauben ihren Mitarbeitern und sogar Gästen oft, das Unternehmens-WLAN zu nutzen. Dies erhöht jedoch das Risiko eines gefährdeten Geräts im Netzwerk. Eine Möglichkeit für mehr Sicherheit im Unternehmensnetzwerk besteht darin, persönliche Geräte vollständig aus dem Netzwerk zu verbieten. Eine andere wäre eine Richtlinie, die verlangt, dass Mitarbeiter bestimmte Anwendungen, von denen bekannt ist, dass sie Probleme verursachen, nicht installieren, alles gepatcht halten und Antivirensoftware benutzen. Sie können auch ein separates WLAN-Netzwerk für unternehmensfremde Geräte betreiben, das vom Hauptnetzwerk ferngesteuert wird.

Für Mitarbeiter, die von zu Hause arbeiten, ist eine Richtlinie zur Anforderung von Updates und Antivirensoftware unerlässlich. Moderne Unternehmen nutzen zunehmend Cloud-Services wie Microsoft 365, die den sicheren Austausch von Informationen und Dateien online ermöglichen. Wenn Sie Ihre Daten immer noch im Haus speichern und Mitarbeiter haben, die Fernzugriff benötigen, sollten Sie Technologien wie Microsoft Direct Access verwenden.

Veraltete und ältere Software

Kleinere Unternehmen haben in der Regel kleinere IT-Budgets. Das bedeutet, dass sie eher ältere Software nutzen, die möglicherweise weniger sicher ist. Auch wird häufig ältere Hardware verwendet und das Betriebssystem möglicherweise nicht aktualisiert, weil sie keine Legacy-Anwendungen ersetzen müssen. So haben beispielsweise ein Drittel der Unternehmen noch Systeme mit XP und über 70% noch mindestens ein System mit Win7.

Das Ausführen einer nicht mehr unterstützten Betriebssystem-Version kann etwas Ärger und Kosten ersparen, öffnet aber das Netzwerk für potenzielle Angriffe.

Mit günstigen Sicherheitslösungen

Das bereits angesprochene kleine IT-Budget veranlasst viele kleine und mittlere Unternehmen auch dazu, billige oder kostenlose Sicherheitslösungen zu nutzen. Diese kostenlose Antivirensoftware kann für einen Heimanwender zwar in Ordnung sein, verfügt aber wahrscheinlich über veraltete Bibliotheken, die die Benutzer anfällig für so genannte stündliche Angriffe oder Angriffe in neuer Software machen. Für den Einsatz in Unternehmen müssen Sie etwas mehr bezahlen, um Ihr Unternehmen zu schützen. Stellen Sie sicher, dass die verwendeten Sicherheitslösungen seriös und für Ihren Einsatz ausgelegt sind.

Für deutsche Unternehmen ist es besonders wichtig, sich für ein lokales IT-Unternehmen zu entscheiden, das seinen Sitz in Deutschland hat und weiß, wie man mit Fragen im Zusammenhang mit der DSGVO umgeht, die bestimmte Standards für die Verarbeitung personenbezogener Daten voraussetzen. In diesem Fall kann die vermeintliche Ersparnis, die durch die Nutzung günstiger, lediglich für den persönlichen Gebrauch ausgelegte Lösungen erhofft wird, schnell verschwinden und im Falle eines Verstoßes sogar weitaus größere Ausgaben mit sich ziehen.

Kleine Unternehmen haben spezielle Anforderungen an die Cybersicherheit und es ist wichtig, dass Sie diese erfüllen und einen Sicherheitsanbieter wählen, der über Erfahrung verfügt, das geltende Recht kennt und Ihnen beim Datenschutz helfen kann. Ebenso wichtig ist die Schulung Ihrer Mitarbeiter, damit sie keine Verstöße verursachen, indem sie Fehler machen oder auf Phishing-Angriffe hereinfallen.

Wie kann man wissen, wo Ihr Unternehmen in Bezug auf die Sicherheit steht?

Der erste Schritt zur Verbesserung der Datensicherheit in Ihrem Unternehmen ist die Analyse der aktuellen Situation. Um diese Bewertung so einfach und unkompliziert wie möglich zu gestalten, haben wir ein Online-Assessment entwickelt, das nur 5 Minuten in Anspruch nimmt.

Nehmen Sie an unserem kostenlosen Selbst-Test teil und informieren Sie sich in weniger als 5 Minuten über den Stand Ihres Datenschutzes.