Viele kleine und mittlere Unternehmen sind mit der bestehenden Datensicherheit zufrieden. Viele Eigentümer haben das Gefühl, auf Grund der gerningen Unternehmensgröße unter dem Radar zu fliegen. Allerdings haben bereits mehr als 50% der KMU einen Cyberangriff oder eine Datenschutz-Verletzung erlebt. Tatsache ist, dass kleine und mittlere Unternehmen nicht immun gegen Fragen der Datensicherheit sind und in einigen Fällen Probleme haben, die größere Unternehmen nicht haben. Die Folgen eines Verstoßes können schwerwiegend sein. 78% der Kunden werden ein Unternehmen langfristig nach einem solchen Datenleck meiden. Und je mehr Wettbewerb Sie haben, desto einfacher wird es für Ihre Kunden, Alternativen zu finden.
Tatsächlich verschwinden rund 60% der kleinen Unternehmen, die einen Cyberangriff erleben, innerhalb von sechs Monaten vom Markt.
Die DSGVO verlangt, dass Unternehmen den für die Verarbeitung Verantwortlichen innerhalb von 72 Stunden nach Feststellung eines Verstoßes gegen personenbezogene Daten benachrichtigen, und sieht Geldbußen für Unternehmen vor, die sorglos mit Daten umgehen – Geldbußen, die ein kleines bis mittleres Unternehmen leicht in die Insolvenz treiben können.
Allein in Deutschland gab es im ersten Jahr der DSGVO 75 Verstöße gegen personenbezogene Daten, mit Bußgeldern in einer Gesamthöhe von 449.000 Euro.
Hier sind einige der größten Risiken, denen kleine und mittlere Unternehmen ausgesetzt sind:
Benutzerfehler
Die häufigste Ursache für einen Verstoß ist menschliches Versagen. 90% der Verstöße können auf einen Fehler eines einzelnen Benutzers zurückgeführt werden. Kleine Unternehmen investieren selten in Schulungen und Trainings ihrer Mitarbeiter (und Inhaber) über häufige Verstöße und Techniken zur Vermeidung dieser Verstöße. Menschen gelten im Allgemeinen als das schwächste Glied in Ihrem Cybersicherheitssystem. Sie müssen sicherstellen, dass Ihre Mitarbeiter über folgende Aspekte informiert sind:
- Nicht auf Links oder Anhänge in unerwünschten E-Mails zu klicken. Gehen Sie immer zu Bank- oder Finanzseiten, indem Sie die URL eingeben oder ein Lesezeichen verwenden, auch wenn die E-Mail legitim aussieht.
- Keine sensiblen Daten per E-Mail versenden, ohne noch einmal zu überprüfen, ob die Anfrage von der eigentlichen Person stammt. Ein häufiger Betrug wird als „business email compromise“ (BEC) bezeichnet. Die Hacker geben sich als Führungskraft, Personalabteilung oder Verkäufer aus und bitten jemanden, Geld zu überweisen, Mitarbeiterdaten zu senden usw.
- URL vor dem Eingeben von Anmeldedaten genauestens überprüfen. Probleme können auftreten, weil Angreifer eine Adresse einrichten mit ähnlicher URL oder eine Website klonen. Insbesondere geklonte Websites können extrem schwer zu erkennen sein.
- Jederzeit ein Auge auf mobile Geräte haben und einen freigeschalteten Laptop niemals unbeaufsichtigt zu lassen, auch nicht für kurze Zeit.
- Multi-Faktor-Authentifizierung wenn möglich immer nutzen.
- Starke Passwörter oder Passphrasen verwenden. Einer der größten Verstöße in Deutschland betraf die Verwendung sehr offensichtlicher Passwörter.
Unnötige Benutzerrechte
Viele Unternehmen gewähren zu vielen Mitarbeitern Zugriff auf ein privilegiertes oder Administrator-Konto. Sehr kleine Unternehmen geben manchmal jedem Mitarbeiter per default Administrator-Rechte.
Mitarbeiter sollten nur den Zugang haben, den sie auch benötigen, das so genannte „least privilege“, und dies sollte regelmäßig überprüft werden.
Besonders vorsichtig sollte man beim Administratorzugriff auf Windows-Computern sein. Viele Nutzungsanfragen erfordern Administratorzugriff und die einfache Beschränkung auf Standardkonten kann oft schon ausreichen. Der Administratorzugriff sollte nur dann verwendet werden, wenn er wirklich erforderlich und durch ein sicheres Passwort geschützt ist. 80% der Sicherheitsverletzungen betreffen eine Form von privilegierten Anmeldeinformationen.
Unsichere Geräte im Netzwerk
Mitarbeiter gehen ins Büro und verbinden ihr persönliches Handy mit dem WLAN. Auch Firmengeräte werden möglicherweise nicht immer auf dem neuesten Stand gehalten. Es ist wichtig, eine Richtlinie zu haben, dass alle an das Netzwerk angeschlossenen Geräte über ein aktuelles Betriebssystem verfügen, alles gepatcht ist und einen angemessenen Schutz vor Malware bietet.
Viele kleinere Unternehmen haben keine Richtlinie, die das Mitbringen eigener Geräte regelt. Sie erlauben ihren Mitarbeitern und sogar Gästen oft, das Unternehmens-WLAN zu nutzen. Dies erhöht jedoch das Risiko eines gefährdeten Geräts im Netzwerk. Eine Möglichkeit für mehr Sicherheit im Unternehmensnetzwerk besteht darin, persönliche Geräte vollständig aus dem Netzwerk zu verbieten. Eine andere wäre eine Richtlinie, die verlangt, dass Mitarbeiter bestimmte Anwendungen, von denen bekannt ist, dass sie Probleme verursachen, nicht installieren, alles gepatcht halten und Antivirensoftware benutzen. Sie können auch ein separates WLAN-Netzwerk für unternehmensfremde Geräte betreiben, das vom Hauptnetzwerk ferngesteuert wird.
Für Mitarbeiter, die von zu Hause arbeiten, ist eine Richtlinie zur Anforderung von Updates und Antivirensoftware unerlässlich. Moderne Unternehmen nutzen zunehmend Cloud-Services wie Microsoft 365, die den sicheren Austausch von Informationen und Dateien online ermöglichen. Wenn Sie Ihre Daten immer noch im Haus speichern und Mitarbeiter haben, die Fernzugriff benötigen, sollten Sie Technologien wie Microsoft Direct Access verwenden.
Veraltete und ältere Software
Kleinere Unternehmen haben in der Regel kleinere IT-Budgets. Das bedeutet, dass sie eher ältere Software nutzen, die möglicherweise weniger sicher ist. Auch wird häufig ältere Hardware verwendet und das Betriebssystem möglicherweise nicht aktualisiert, weil sie keine Legacy-Anwendungen ersetzen müssen. So haben beispielsweise ein Drittel der Unternehmen noch Systeme mit XP und über 70% noch mindestens ein System mit Win7.
Das Ausführen einer nicht mehr unterstützten Betriebssystem-Version kann etwas Ärger und Kosten ersparen, öffnet aber das Netzwerk für potenzielle Angriffe.
Mit günstigen Sicherheitslösungen
Das bereits angesprochene kleine IT-Budget veranlasst viele kleine und mittlere Unternehmen auch dazu, billige oder kostenlose Sicherheitslösungen zu nutzen. Diese kostenlose Antivirensoftware kann für einen Heimanwender zwar in Ordnung sein, verfügt aber wahrscheinlich über veraltete Bibliotheken, die die Benutzer anfällig für so genannte stündliche Angriffe oder Angriffe in neuer Software machen. Für den Einsatz in Unternehmen müssen Sie etwas mehr bezahlen, um Ihr Unternehmen zu schützen. Stellen Sie sicher, dass die verwendeten Sicherheitslösungen seriös und für Ihren Einsatz ausgelegt sind.
Für deutsche Unternehmen ist es besonders wichtig, sich für ein lokales IT-Unternehmen zu entscheiden, das seinen Sitz in Deutschland hat und weiß, wie man mit Fragen im Zusammenhang mit der DSGVO umgeht, die bestimmte Standards für die Verarbeitung personenbezogener Daten voraussetzen. In diesem Fall kann die vermeintliche Ersparnis, die durch die Nutzung günstiger, lediglich für den persönlichen Gebrauch ausgelegte Lösungen erhofft wird, schnell verschwinden und im Falle eines Verstoßes sogar weitaus größere Ausgaben mit sich ziehen.
Kleine Unternehmen haben spezielle Anforderungen an die Cybersicherheit und es ist wichtig, dass Sie diese erfüllen und einen Sicherheitsanbieter wählen, der über Erfahrung verfügt, das geltende Recht kennt und Ihnen beim Datenschutz helfen kann. Ebenso wichtig ist die Schulung Ihrer Mitarbeiter, damit sie keine Verstöße verursachen, indem sie Fehler machen oder auf Phishing-Angriffe hereinfallen.
Wie kann man wissen, wo Ihr Unternehmen in Bezug auf die Sicherheit steht?
Der erste Schritt zur Verbesserung der Datensicherheit in Ihrem Unternehmen ist die Analyse der aktuellen Situation. Um diese Bewertung so einfach und unkompliziert wie möglich zu gestalten, haben wir ein Online-Assessment entwickelt, das nur 5 Minuten in Anspruch nimmt.
Nehmen Sie an unserem kostenlosen Selbst-Test teil und informieren Sie sich in weniger als 5 Minuten über den Stand Ihres Datenschutzes.