Auch kleinere Unternehmen können sich gegen Hacker wehren
Gerade Kleinunternehmen gehen das Thema IT-Sicherheit oft hemdsärmelig an. Zu wenig Zeit, zu wenig Geld, zu wenig Expertise. Dabei ist es gar nicht so teuer und aufwendig, sich gegen Angriffe aus dem Web zu schützen. Günstige Technik, praxisnahe Leitfäden und kompetente Versicherer helfen dabei
Fäule ist nie eine gute Sache. Das weiß jeder, der schon mal einen ganzen Beutel Kartoffeln wegen einer paar schimmliger Knollen wegwerfen musste. Nun kann man Kartoffeln immerhin nachkaufen. Wenn aber wichtige Daten von Fäule betroffen sind, kann alles zu spät sein, unersetzliche Fotos oder Geschäftsunterlagen sind plötzlich unlesbar.
Datenfäule – so etwas gibt es? „Tatsächlich sprechen wir von Bitrot oder Silent Data Corruption“, sagt Marc Rendenbach, Inhaber der IT-Beratung NAS-Central.de. „Da ‚kippt‘ ein einzelnes Bit auf Ihrer Festplatte, ohne dass Sie es merken, und schon ist eine ganze Datei unbrauchbar“. Wohl dem, der dann eine nicht verrottete Sicherheitskopie hat. „Die bringt Ihnen allerdings auch nichts, wenn durch einen Backup-Lauf irgendwann mal unbemerkt eine alte, noch intakte Kopie mit der neuen, schadhaften überschrieben wurde.“
Nur 60 Prozent der deutschen Unternehmen testen regelmäßig, ob ihre Sicherheitskopien intakt sind und nach einem Hackerangriff zurückgespielt werden könnten, ergab eine aktuelle Umfrage des Marktforschungsunternehmens Forsa im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). Nur ein Beispiel dafür, dass in vielen Firmen die gefühlte IT-Sicherheit höher ist als die tatsächliche. Ein regelmäßiger Test der Sicherheitskopien gehört zu den zehn Cybersecurity Standards, die der GDV allen Unternehmen empfiehlt. Vollständig umgesetzt haben sie nur 21 Prozent der befragten Unternehmen.
IT-Sicherheitslage spitzt sich zu
Das Bundesamt für Sicherheit in der Informationstechnik bewertet die IT-Sicherheitslage in Deutschland in seinem Jahresbericht 2021 als „angespannt bis kritisch“. Die Zahl der Schadprogramme sei gegenüber dem Vorjahr um gut 22 Prozent gewachsen – auf durchschnittlich 394.000 neue Varianten pro Tag. Bis zu 40.000 IT-Systeme werden täglich infiltriert und oftmals lahmgelegt. Doch vor allem in kleineren Unternehmen nimmt sich oft niemand die Zeit für einen kritischen Blick auf die selbst zusammenkaufte IT, die über die Zeit zu einem Gebilde herangewachsen ist, das keiner mehr richtig überblickt. „Dabei sind die wichtigsten Eckpfeiler einer guten Cybersecurity-Strategie heute kein Hexenwerk mehr“, sagt David Fuhr, Forschungs- und Innovationschef bei der IT-Sicherheits-Beratung HiSolutions. Für eine erste Selbsteinschätzung hat die GDV-Tochter VdS Schadenverhütung den Quick-Check für das Informationssicherheit-Management in kleinen und mittelständischen Unternehmen entwickelt – für unter zehn Euro und ein wenig Zeitaufwand bekommen Teilnehmer eine konkrete Maßnahmenliste an die Hand.
Der Bedarf ist vorhanden: 2021 gaben rund 27 Prozent der vom GDV befragten mittelständischen Unternehmen an, schon mindestens einmal von einer Cyberattacke betroffen gewesen zu sein, in den meisten Fällen ausgelöst durch Schadsoftware, die per E-Mail kam. „Wer heute noch sagt: ‚Mich greift kein Hacker an, ich bin doch nur ein kleiner Fisch‘, hat das System nicht verstanden“, sagt Peter Graß, Experte für Cyberversicherungen beim GDV „Was da passiert, ist wie Schleppnetzfischen. Es wird massenweise Schadsoftware verschickt, die auf weit verbreitete Sicherheitslücken abzielt. Da ist die Gefahr erst einmal für alle gleich.“
So häufen sich seit Monaten Angriffe auf die in der Geschäftswelt weit verbreiteten Microsoft-Exchange-Server, weil in Tausenden Firmen noch veraltete, unsichere Versionen laufen. Im August wurde bekannt, dass einige Router von Vodafone und Deutscher Telekom dringend Sicherheitsupdates brauchten. Sogar Drucker können ein Risiko darstellen: Der führende Hersteller HP musste gerade für mehr als 100 Modelle Updates herausgeben, weil über die Geräte Firmennetze hätten infiltriert werden können.
Konzerne und Kleinunternehmen gleichermaßen betroffen
Das Ziel solcher Attacken ist meist, Ransomware in das System einschleusen, also Schadsoftware, die sämtliche Daten auf den Firmenrechnern verschlüsselt und erst gegen Zahlung von Lösegeld wieder freigibt. Wer dann keine aktuellen – und intakten – Sicherheitskopien hat, ist den Angreifern ausgeliefert. „Egal ob Konzern oder Kleinstunternehmen: Ohne eine vollständige Backup-Strategie kann es keine IT-Sicherheit geben“, sagt Marc Rendenbach von NAS-Central.de.
Die schlechte Nachricht: Einmal pro Woche mit der USB-Festplatte von Rechner zu Rechner gehen, reicht nicht mehr aus. „Unsere IT-Geräte sind heute viel vernetzter, wir haben immer größere Datenmengen, die sich viel schneller verändern – damit muss ein Backup Schritt halten können“, sagt Rendenbach. „Backups müssen automatisch laufen – Menschen werden irgendwann nachlässig und halten sich nicht mehr an Pläne. Und es darf bei Backups nie einen Single Point of Failure geben – ein einzelnes Ereignis, das alles kaputt machen kann.“ Wenn zum Beispiel alle Backup-Laufwerke in einem Raum stehen, sind bei einem Feuer oder Einbruch auch sämtliche Kopien weg.
Robuste Backup-Systeme kosten nicht viel
Die gute Nachricht: Ein robustes Backup-System kostet heute nicht mehr viel und ist auch für kleinere Unternehmen ohne eigene IT-Abteilung gut zu handhaben. Hersteller wie Synology, Qnap und Asustor bieten kompakte, einfach zu bedienende und vergleichsweise günstige Miniserver an, mit denen sich mustergültige Backup-Lösungen aufsetzen lassen, auch „Network Attached Storage“ (NAS) genannt. Sie beruhen auf einer Technik namens RAID; dabei werden die Daten nicht nur auf einer, sondern parallel auf mehreren Festplatten gespeichert, die ständig auf Fehler geprüft werden. Wenn eine versagt, sorgen die übrigen dafür, dass nicht keine Infomation verloren geht. Darüber hinaus stellen die Hersteller auch nach Jahren noch Sicherheitsupdates bereit. Zudem werden sie mit einer (meist kostenloser) Backup-Software ausgeliefert, die die Kontrolle über die regelmäßige Datensicherung übernimmt. Richtig eingestellt verhindert sie, dass Ransomware auch die Sicherheitskopien befällt oder Mitarbeiter aus Versehen Daten dauerhaft löschen. „Damit das klappt“, sagt Backup-Experte Rendenbach, „sollte man sich bei der Auswahl und der Einrichtung beraten lassen.“
Denn gerade die Benutzerfreundlichkeit und der große Funktionsumfang verleite viele Firmen zu unsicheren NAS-Installationen. „Man kann darauf alles Mögliche installieren, einen Mailserver, die Steuerung der Überwachungskameras, eine Fotoalbum-Software und einen Fernzugriff für zu Hause – und plötzlich hat man lauter Löcher in der Firewall und das Backup wird angreifbar.“
Schluss mit Passwörtern auf Post-its
Eine weitere Säule der IT-Sicherheit ist ein zuverlässiges Passwort-Management-System, das mit leicht zu knackenden Passwörtern aufräumt, die auf alten Post-Its unter der Schreibtischunterlage kleben oder in Excel-Tabellen offen abgespeichert werden. Dienste wie 1Password, Bitwarden oder Avira erzeugen komplexe, sichere Passwörter, die sich kein Mensch merken kann und die darum schwer zu knacken sind – und speichern diese verschlüsselt ab. Für ein paar Euro mehr pro Monat bekommt man Business-Versionen dieser Dienste, mit denen man die Zugangsberechtigungen für das Team, für Praktikanten, Dienstleister oder Kunden verwalten kann.
Viele dieser Dienste bieten zusätzlich eine Zwei-Faktor-Authentifizierung an, wie sie mittlerweile jeder vom Online-Banking kennt: Jedes Login, jede Überweisung muss dabei auf einem zweiten Gerät bestätigt werden, etwa durch eine TAN, die als SMS aufs Handy kommt, oder durch eine Authenticator-App, in der man sich zum Beispiel mit seinem Fingerabdruck ausweist. Eine andere Möglichkeit, Online-Dienste sicherer zu machen, sind digitale Schlüssel, die wie USB-Sticks aussehen und schon ab etwa 30 Euro zu haben sind. Nur wer einen solchen Schlüssel in seinen Rechner steckt, kann sich einloggen. Jeder Dienst, der über das Internet erreichbar ist, sollte heute durch eine Zwei-Faktor-Authentifizierung geschützt sein – gerade in Home-Office-Zeiten.
Cyberpolicen decken Kosten für die Wiederherstellung der IT-Systeme ab
„Diese Maßnahmen können sogar Kleinstunternehmen mit überschaubarem Aufwand umsetzen“ sagt David Fuhr. „Jedenfalls mit weniger Aufwand, als eine erfolgreiche Ransomware-Attacke verursacht.“ Fuhr weiß, wovon er spricht: HiSolutions wird von Versicherungsunternehmen angeheuert, wenn deren Kunden Opfer von Hackerangriffen geworden sind. Dieser Service ist Vertragsbestandteil von sogenannten Cyber-Versicherungen, mit denen sich Firmen seit einigen Jahren gegen die zunehmende Bedrohung aus dem Netz absichern können. Die Versicherungen übernehmen zum Beispiel die Kosten für die Wiederherstellung der Systeme oder die Regressforderungen von Kunden, die nicht bedient werden konnten.
Sicherheitschecks und Cyberpolicen schützen
„Nehmen Sie sich mal einen halben Tag Zeit und überlegen sich: Was würde es uns kosten, wenn unsere gesamte IT eine Woche lang ausfällt?“, sagt Fuhr. „Keine Mails, kein Chat, keine Auftragsannahme, kein Rechnungswesen, keine Produktion. Was kommt da an Forderungen und Zahlungsausfällen auf Sie zu? Was kostet Sie der Imageschaden?“ Der GDV-Umfrage zufolge dauerte es bei 39 Prozent der angegriffenen Unternehmen vier Tage und länger, die IT-Systeme wiederherzustellen.
Als Voraussetzung für den Abschluss einer Cyber-Versicherung müssen die Kunden zuerst eine Checkliste mit den wichtigsten Sicherheitsmaßnahmen abarbeiten; ein Muster dafür hat der GDV entwickelt. Passwortmanagement steht ebenso darauf wie ein regelmäßiges Durchführen von Backups sowie ein regelmäßiger Test, ob sich die Backups im Notfall auch wieder fehlerfrei zurückspielen lassen. Datenfäule, Sie erinnern sich?
Sicherheitsupdates sollten schnell installiert werden
Wichtig ist außerdem, dass alle Systeme stets auf dem neuesten Stand sind und Sicherheitsupdates so schnell wie möglich installiert werden. Berater schlagen immer wieder die Hände über dem Kopf zusammen, wenn sie bei Kunden auf Uralt-Betriebssysteme und Netzwerkgeräte mit längst bekannten Sicherheitslücken stoßen. Ein anderer Dauerbrenner sind die Benutzerrechte, mit denen sich Unternehmer und Mitarbeiter auf ihren Dienstcomputern einloggen. Wenn der neue Dienstlaptop ausgepackt und eingerichtet wird, hat der stolze Benutzer nämlich erst einmal volle Zugriffsrechte, kann Software installieren, Systemeinstellungen ändern – und so aus Versehen viel Unheil anrichten.
Sichere Standards für Kleinunternehmen
Gerade für Kleinunternehmen sind der VdS Quick Check oder die Angebote des GDV oft das erste Mal, dass sie systematisch an das Thema IT-Sicherheit herangehen. Viele sind damit überfordert: „Wir beobachten, dass etwa ein Drittel der Angaben in unseren Quick-Checks nicht stimmen“, sagt Markus Edel, Leiter Cybersecurity bei der VdS Schadenverhütung. „Nicht weil gelogen wird, sondern weil oft das Bewusstsein und das Wissen fehlt: Der Gedankengang ist dann: ‚Haben wir das? Machen wir das? Ich glaub schon – kreuzen wir mal JA an‘.“
Zwar gibt es konkrete Regelwerke wie den „IT Grundschutz“ des Bundesamt für Sicherheit in der Informationstechnik (BSI), die sehr genau erklären, wie man jeden einzelnen Aspekt der Firmen-IT absichern sollte – sie sind aber für kleinere Unternehmen viel zu komplex. „Der IT-Grundschutz hat mehrere tausend Seiten“, sagt David Fuhr. „Wichtig ist erst einmal, dass das Unternehmen IT-Sicherheit als ein Qualitätsthema erkennt und wirklich etwas unternehmen will. Dann bekommen wir auch mit Kleinunternehmen gute Lösungen hin, bei denen es übrigens nicht ausschließlich um Hardware oder Software geht, sondern ganz stark um Prozesse: Wie nutzen wir unsere Systeme? Wie müssen wir unsere Leute schulen? Wie nehmen wir uns selbst in die Verantwortung?“
Damit sich auch weniger große Betriebe auf ein vernünftiges Sicherheitsniveau bringen können, hat die VdS Schadenverhütung ein Zertifizierungsverfahren für Unternehmen mit bis zu 20 Mitarbeitern erarbeitet, die VdS-Richtlinien 10005 „Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen“. Für rund 180 Euro gibt es die Richtlinie und einen interaktiven Maßnahmenkatalog, der durch Themen wie Virenschutz führt oder das Aufstellen von Datensicherungsplänen, die Konfiguration des Netzwerks und seiner Verbindungen sowie die Schulung von Mitarbeitern. „Eine kleine Werbeagentur mit nur wenigen Endpoints schafft sowas in zwei bis drei Tagen“, sagt Markus Edel. „Bei einem forschungsintensiven Unternehmen mit vielen Speicherorten können es auch mal zwei Wochen sein.“
Aufwand für IT-Sicherheit kleiner als potenzieller Schaden
Den Abschluss bildet ein halbtägiges Assessment durch Sicherheitsexperten der VdS, das noch einmal 450 Euro kostet: „Wir gehen dann remote mit Unternehmen alle Punkte durch und schalten uns auch auf die Systeme, um alle Punkte durchzuchecken.“ Wer das Testat nicht schafft, geht mit einer konkreten Mängelanalyse aus dem Verfahren und weiß, wo er nacharbeiten muss, wenn er das Testat erneut versuchen will.
Ein wenig Aufwand muss man also schon betreiben, um seine Netzwerke und Daten zu schützen. Die Folgen einer erfolgreichen Ransomware-Attacke wären jedoch wahrscheinlich erheblich zeitaufwendiger und teurer. Und sehr viel unangenehmer als der Griff in einen Beutel mit faulen Kartoffeln.
Text: Georg Dahm