Ein unbedachter Klick auf den Mailanhang und schon kann sich der gefährliche Eindringling im gesamten Unternehmensnetzwerk in Sekunden breitmachen. Die Folgen sind weitreichend und verheerend: Bei Ransomware werden alle Daten vom Schädling verschlüsselt, der Zugang wird nur gegen Lösegeld freigegeben. Ein Backdoor-Schädling kann hingegen wichtige Firmengeheimnisse ausspionieren – und nebenbei auch weitere Schädlinge in das Netzwerk einschleusen. Auch beliebt sind Phishingmails, die vorgeben, von der obersten Chefetage zu stammen, und Mitarbeiter mit Finanzvollmachten auffordern, eine hohe Geldsumme schnellstmöglich auf ein bestimmtes Konto zu überweisen.

Sie glauben, das alles passiert nur anderen? Von wegen, all das hat sich schon in der Schweiz ereignet. Damit Sie verschont bleiben, hat der PCtipp die vier grossen Sicherheitsanbieter Bitdefender, Eset, G Data und Kaspersky nach der aktuellen Bedrohungslage für kleine und mittelständische Unternehmen (KMU) befragt. Gleichzeitig erhalten Sie wichtige Tipps zum Schutz Ihrer Firma. 

Thomas Uhlemann, Eset: Einer der häufigsten Gründe für erfolgreiche Cyberangriffe bei KMU ist der Glaube, nicht betroffen zu sein. Viele unterschätzen, dass Sicherheit wie Datenschutz ein Prozess ist. Sie machen ihn allein am Sicherheitsprodukt fest. Die Bedrohungen und Anforderungen ändern sich stetig, sodass technische Implementierungen sowie Richtlinien im Umgang mit BYOD (Bring Your Own Device; Nutzung persönlicher Geräte in der Firma), die App-Verwendung und Sicherheitseinstellungen regelmässig überprüft.

Tim Berghoff, G Data: Viele gehen los und kaufen Werkzeuge ein, bevor sie sich Gedanken machen und einen Plan entwickeln. So wird an den eigenen Anforderungen «vorbeigekauft». Danach versucht man, seine eigenen Prozesse und Strukturen an die Gegebenheiten der neuen Lösung anzupassen, was häufig einen steigenden Administrationsaufwand bedeutet.

Holger Suhl, Kaspersky: 80 Prozent der IT-Sicherheitsvorfälle werden von den Mitarbeitern verursacht. Daher muss auch bei kleineren Unternehmen neben technischen Lösungen die Schulungen von Mitarbeitern den technischen Lösungen die Schulung von Mitarbeitern (vom Geschäftsführer bis zur Sekretärin) eine Rolle innerhalb der Cybersicherheitsstrategie der Firma spielen.

Thomas Uhlemann: Folgt man der 2016er-Statistik, hatten die meisten Schweizer Unternehmen mit Phishing (84 Prozent), Malware (80 Prozent) und Social-Engineering-Angriffen (64 Prozent) zu tun. Dazu zählen zum Beispiel gefälschte Rechnungen im Postfach bis hin zum sogenannten CEO-Fraud. Ziel des CEO-Frauds ist es, einen Mitarbeiter mit Finanzverantwortung zu finden, der per Mail eine angeblich vom Chef angeordnete, streng geheime Blitzüberweisung tätigen soll. Allein im Kanton Genf waren bereits 2015 zehn solcher Angriffe erfolgreich. Der Schaden belief sich  auf rund 400'000 Franken.

Liviu Arsene, Bitdefender: Cyberangriffe zielen häufig auf den schwächsten Punkt innerhalb eines Unternehmens. Angestellte in der Buchhaltung, am Empfang oder im Vertrieb werden oftmals mit Social Engineering, also nicht technischen Tricks, dazu überlistet, bösartige Anhänge auszuführen. Denn diese Mitarbeiter sind für gewöhnlich im regelmässigen Austausch mit den Kunden und haben nur wenig bis gar keine Sicherheitsschulungen durchlaufen. Nachdem ein Computer kompromittiert wurde, versuchen Angreifer, die nachhaltige Kontrolle des Rechners zu erlangen.

Thomas Uhlemann: Der Mensch ist das wichtigste Glied und die grösste Schwachstelle in der Sicherheitskette. KMU stehen deswegen im Fokus der Kriminellen, weil kaum eine dieser Firmen eine Anlaufstelle für IT-Sicherheitsfragen oder einen Datenschutzbeauftragten hat. Im Umkehrschluss bedeutet das, dass Mitarbeiter häufig weitaus mehr Zugriffsrechte haben, als sie sollten. Können diese damit nicht umgehen, haben Kriminelle leichtes Spiel.

Tim Berghoff: Der Mensch ist und bleibt noch immer Dreh- und Angelpunkt in einem Sicherheitskonzept. Das darf man bei aller Technik und Automation nicht vergessen. Technik kann den Menschen zwar in vielen Belangen unterstützen und ihm teilweise auch Arbeit abnehmen, allerdings kann sie den Menschen nicht ersetzen. Das sieht man spätestens an den jüngsten Betrugsfällen, in denen kein Computersystem gehackt und kein Netzwerk kompromittiert wurde. Hier haben Betrüger nur mit Menschen interagiert, ganz ohne Schad-Software und aufwendige Spionagewerkzeuge.

Thomas Uhlemann: Im Fahrwasser von Internet of Things (IoT) könnte in Zukunft das vernetzte Auto einer Unternehmensflotte freigekauft werden müssen, um es wieder zu benutzen. Bisher spielt die Sicherheit in der Produktentwicklung bei den wenigsten «smarten» Herstellern eine Rolle und Sicherheitsanbietern sind die Hände gebunden. So wird vielleicht künftig der Kühlschrank anstelle der Webcam zum Einfallstor ins Netzwerk oder Teil eines infizierten Netzwerks, das wiederum andere Server über einen Angriff (zum Beispiel durch eine Spam-Flut) in die Knie zwingt.

Liviu Arsene: Künftige Bedrohungen werden noch ausgefeilter und nachhaltiger sein. Zudem werden bereits bekannte Bedrohungen (beispielsweise nach Ransomware-Muster und den damit verbundenen Erpressungen) noch gefährlicher. Es sind Methoden, die dazu prädestiniert sind, schnell Geld zu erwirtschaften.

Thomas Uhlemann: Gerade kleineren und mittelständischen Unternehmen fehlen häufig finanzielle und personelle Ressourcen. Der erste Schritt in Richtung Sicherheit und Datenschutz ist proaktives statt reaktives Arbeiten. Auch der wahllose Erwerb von Software hilft Unternehmen nicht unbedingt weiter. Verfügt die Firma über keine eigene IT-Abteilung, sind professionelle IT-Dienstleister eine gute Anlaufstelle für ein ganzheitliches Sicherheitskonzept: vom Status quo über Lücken- und Gefährdungsanalysen bis zum Notfallplan. Darüber hinaus gehört auch eine gründliche Planung von störungsfreien Wartungsfenstern für die einzelnen Systeme dazu, um Software- und Betriebssystem-Updates so zeitnah wie möglich zu installieren. Neben technischen Lösungen ist es wichtig, dass das gesamte Unternehmen Sicherheit «lebt», und zwar in aller Konsequenz. Trainings zum Umgang mit Technologien und Cyberangriffen sollten im Budget unbedingt eingeplant werden, genauso wie mögliche Upgrades bei Hard- und Software.

Liviu Arsene: Die einzige Richtlinie, um sich gegen Angriffe effizient zu schützen, besteht darin, vorbereitet zu sein, wenn sie passieren. Einen soliden Notfallplan zu haben, den man Schritt für Schritt abarbeiten kann, sobald ein Vorfall identifiziert wurde, macht den grossen Unterschied aus und ermöglicht die Aufrechterhaltung der Geschäftsprozesse. Natürlich ist auch die kontinuierliche Prüfung der eigenen Infrastruktur wichtig, da diese den IT-Teams dabei hilft, den Notfallplan kontinuierlich zu verbessern und gefundene Schwachstellen zu flicken, noch bevor Angreifer sie verwenden.

Tim Berghoff: Am Anfang eines solchen Sicherheitsprojekts steht immer eine Bestandsaufnahme. Diese umfasst alle Geräte, die mit dem Firmennetzwerk verbunden sind, wie auch die Infrastruktur des eigenen Netzwerks und das Erstellen eines Anforderungsprofils. Hat  man diese Standortbestimmung vorgenommen und damit das Ziel der Reise definiert, können darauf basierend schon die nächsten Schritte geplant werden – das Stichwort lautet hier «Incident Readiness» (zu Deutsch: «Bereitschaft für den Ernstfall»). Das können zum Beispiel die Trennung vertraulicher Daten von öffentlichen Informationen, neu anzuschaffende Hardware oder Umstrukturierungen innerhalb des Netzwerks sein.

Tim Berghoff: Sofern man die private Nutzung von Firmengeräten duldet oder ausdrücklich erlaubt, muss natürlich sichergestellt sein, dass für all diese Geräte genau dieselben Richtlinien gelten – egal, ob es sich um einen «stationären» Computer oder ein Mobilgerät wie einen Laptop, ein Tablet oder ein Smartphone handelt. So kann zum Beispiel ein Richtlinien-Management dafür sorgen, dass USB-Sticks auch ausserhalb des Firmennetzes nicht angeschlossen werden können. Ebenso wichtig ist die Versorgung mit Software-Aktualisierungen. Ein Patch-Management muss auch den Fall abdecken können, dass ein Gerät, das sich gerade nicht im Netzwerk befindet, zeitnah kritische Programmaktualisierungen erhält.

Holger Suhl: Solche Geräte müssen im Rahmen einer Bring-Your-Own-Device- oder Choose-Your-Own-Device-Strategie berücksichtigt und verwaltet werden. Denn jedes Endgerät innerhalb eines Unternehmensnetzwerks könnte ein mögliches Cybereinfallstor sein.

Thomas Uhlemann: Wir kennen nicht nur die Arbeitsweise der Kriminellen, wir kennen auch das Nutzerverhalten. Deswegen enthalten alle Produkte ineinandergreifende Schutzmassnahmen. Die Produkte lassen sich miteinander kombinieren und integrieren, um Schutz, Datensicherheit und Administration abzudecken. Unsere Innovationen sind fakten- und nutzerorientiert statt ökonomisch. Als EU-Unternehmen halten wir uns an europäisches Recht sowie Datenschutz und sind unabhängig von politischen Interessen.

Tim Berghoff: Als Mittelständler haben wir einen genauen Blick für die Bedürfnisse von KMU und können so schnell auf Kundenwünsche reagieren. Unsere Business-Lösungen sind modular aufgebaut und können passgenau auf jede Betriebsgrösse und Anforderung zugeschnitten werden. Unsere flexiblen und skalierbaren Lösungen umfassen zudem viele weitere Funktionen, welche die Verwaltung aller Netzwerkkomponenten erleichtern und gleichzeitig sensible Daten schützen.

Holger Suhl: Weil wir ein Produkt- und Service-Portfolio anbieten, das einerseits klassische Security-Ansätze berücksichtigt, aber auch neue innovative Ansätze wie HuMachine einbezieht. Auch haben wir mit KasperskyOS ein eigenes Betriebssystem entwickelt, mit dem wir Geräte des Internets der Dinge sowie kritische Systeme vor Cybergefahren schützen können.

Liviu Arsene: Bitdefender wurde viele Male von unabhängigen Testlabors getestet. Auch deshalb können wir heute sagen, dass wir den bestmöglichen Schutz mit einem Minimum an «False Positives» (also Fehlalarmen) bieten. Darüber hinaus konzentrieren wir uns auch auf das Thema Performance. Niemand will eine Security-Lösung, welche die Leistung von Systemen ausbremst.