Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco

KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

[datensicherheit.de, 18.07.2024] Cyber-Angriffe haben in den letzten Jahren offensichtlich drastisch zugenommen. Diese können Betriebe jeglicher Größe treffen – egal, ob Großunternehmen oder kleine und mittelständische Unternehmen (KMU). Aus dieser Erkenntnis erwächst umso dringlicher die Notwendigkeit gezielt zu handeln und die eigenen Cyber-Sicherheitsmaßnahmen so anzupassen, dass sie auch künftig Cyber-Angriffen standhalten können. Nils Gerhardt, „CTO“ von Utimaco, gibt in seiner aktuellen Stellungnahme vier Tipps, wie sich insbesondere KMU mit innovativen Angeboten schützen können, auch wenn sie eben nicht über IT-Security-Experten in den eigenen Reihen verfügen.

Foto: Utimaco

Nils Gerhardt gibt Tipps, wie sich KMU mit innovativen Angeboten schützen können – auch ohne über IT-Security-Experten im Hause zu verfügen

Utimaco-CTO rät Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen

„Cyber-Angriffe betreffen nur Großunternehmen, Soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken.“ Doch gerade dort fehlten oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten.

Allein in den Jahren 2018 bis 2020 seien laut einer Auswertung der KfW knapp 30 Prozent der deutschen Mittelständler Opfer von Cyber-Kriminalität geworden. Gerhardt betont: „Es handelt sich also um eine konkrete Bedrohung, die zu enormer Geschäftsschädigung führen kann. Gleichzeitig sehen EU-weite Verordnungen wie NIS-2 und DORA vor, dass Manager in bestimmten Branchen auch persönlich für IT-Sicherheitsverstöße haftbar gemacht werden können, was die Dringlichkeit dieses Themas natürlich noch erhöht.“ Es sei daher höchste Zeit für Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen.

1. Utimaco-Tipp: Auf die Cloud setzen!

Gerhardt führt hierzu aus: „Lange Zeit gab es Vorbehalte gegen Datenhaltung in der ,Cloud’. Unternehmen fühlten sich nicht sicher dabei, Daten aus der Hand zu geben. Das eigene Rechenzentrum, der eigene Server schienen die sicherere und kontrollierbarere Infrastruktur zu sein. Doch der Schein trügt. Ein kleineres Unternehmen, das eigene Infrastrukturen betreibt, kann niemals die Ressourcen zur Cyber-Abwehr aufbieten wie ein großer ,Cloud’-Provider.“

Ein solches werde auch kaum eine 24-Stundenbereitschaft abstellen können, um jederzeit Patches einspielen zu können, damit Systeme stets aktuell sind. Die Situation lasse sich mit Bargeld unter der Matratze vergleichen: „Dass dieses dort wesentlich unsicherer verwahrt ist, als in einem Banksafe, der vielfach gesichert und rund um die Uhr bewacht ist, leuchtet schnell ein. Warum nicht auch beim Thema ,Cloud’ umdenken?“

Um Datensicherheit und Datenschutz gleichzeitig zu gewährleisten, gebe es allerdings auch dort einiges zu beachten: Die Großen der ,Cloud’-Branche verfügten natürlich über enorme Ressourcen im Sicherheitsbereich. Allerdings handele es sich bei ihnen um US-amerikanische Unternehmen mit anderen Datenschutzvorgaben als ihre europäischen Kunden. „Nutzer aus der EU sollten also sicherstellen und vertraglich vereinbaren, dass die ,Hyperscaler’ ihre Daten ausschließlich in Rechenzentren innerhalb der Union hosten!“ Inzwischen böten sie sogar auch eine eigene Datenverschlüsselung an. Doch ein gewisser Grad der Abhängigkeit bleibe. Gerhardts Empfehlung: „Unternehmen, die sich doppelt absichern wollen und sich nicht ausschließlich auf den ,Cloud’-Provider verlassen möchten, können ihre Daten selbst verschlüsseln, bevor diese in eine ,Cloud’ gelangen.“

2. Utimaco-Tipp: Kryptographie nutzen!

„Kryptographie und Datenverschlüsselung“ klinge hochkomplex und das sei es auch. Gerhardt betont: „Doch das sollte KMU nicht verunsichern!“ Inzwischen existierten auch auf diesem Gebiet leistungsfähige „As-a-Service“-Lösungen zertifizierter europäischer Partner.

Beispielsweise könnten Unternehmen so eine Datei- und Ordnerverschlüsselung umsetzen, die unabhängig vom Speicherort funktioniere und vollständig vom Anbieter gemanagt werde.

„Unternehmen, die bereits eigene kryptographische Dienste betreiben, dafür aber kein eigenes Hardware-Sicherheitsmodul ,On-Prem’ bereitstellen wollen oder können, können auf Angebote wie ,HSM-as-a-Service’ zurückgreifen.“ Dabei werde das Modul in einer hochsicheren Umgebung des Anbieters betrieben, stehe aber unter der alleinigen Fernkontrolle des Nutzers.

3. Utimaco-Tipp: Phishing-Fallen ausweichen!

Phishing, also das Abgreifen von Zugangsdaten mit gefälschten digitalen Inhalten, bilde den häufigsten Angriffsvektor. „Die Inhalte der Betrüger werden dabei immer ausgefeilter und sind wesentlich schwerer zu erkennen als noch vor wenigen Jahren“, erläutert Gerhardt. Besonders gefährlich werde es, „wenn Phishing noch mit ,Social Engineering’ kombiniert wird, wobei gezielt einzelne Personen ins Visier genommen und unter Druck gesetzt werden“. Angreifer recherchierten hierzu im Vorfeld ausgiebig und verschafften sich möglichst detaillierte Informationen zur Firma und zum Opfer. „Meist geben sie akute Notfälle vor, was Mitarbeiter immer wieder wider besseren Wissens zu gefährlichen Aktionen verleitet.“

Gerhardt rät: „Neben Aufklärung und Schulung von Mitarbeitern sollten also immer auch technische Lösungen implementiert werden, die im Ernstfall greifen.“ Setzen Unternehmen konsequent auf Multifaktor-Authentifizierung (MFA), würden erbeutete Zugangsdaten allein einem Angreifer nicht viel nützen. Eine Anmeldung müsste über einen weiteren Faktor, in der Regel das Mobiltelefon des Mitarbeiters, bestätigt werden.

Gegen gefälschte digitale Inhalte könnten Unternehmen vorgehen, indem sie Dokumente oder E-Mails elektronisch signierten. Dadurch könne sichergestellt werden, „dass diese authentisch und unverändert sind, sowie wirklich vom angegebenen Absender stammen“. Elektronische Signaturen könnten von Integratoren sehr leicht in bestehende Prozesse eingebunden werden, so dass dadurch kaum zusätzliche Komplexität entstehe.

4. Utimaco-Tipp: Verifizierung und Zertifizierung statt blindem Vertrauen!

Der Zugang zum Betriebsgelände sei in der Regel reglementiert und der Pförtner überwache am Eingang, wer hineinkommt. Dazu prüfe er die Identitäten von ihm unbekannten Personen und verifiziere im Zweifelsfall, ob diese tatsächlich eine Zugangsberechtigung haben. „Ähnlich verhielt sich dies lange Zeit auch mit den IT-Umgebungen von Unternehmen. Mittels Firewall konnten die Systeme ziemlich gut gegen die Außenwelt abgeschottet werden. Seit dem massiven Wachstum der Drahtlosnetzwerke – von WLAN bis 5G – und in Zeiten von IoT ergeben sich allerdings ganz neue Herausforderungen.“

Auch Mitarbeiter im sogenannten Home-Office benötigten Zugriff auf Daten und Dienste des Unternehmens. „Werden in der Industrie ,Smart Factories’ aufgebaut, kommen dort unzählige weiter vernetzte Geräte und Maschinen hinzu. Um Agile Prozesse zu gewährleisten, müssen mitunter auch Kunden, Lieferanten oder Partner mit ihren Geräten auf Unternehmensnetzwerke zugreifen.“

Die Überwachung und Verwaltung der Geräte im eigenen Netzwerk sei also heute oberste Pflicht. „Während traditionelles ,Identity and Access Management’ auf ,Accounts’ und rollenbasierte Zugriffmodelle setzt, stellen sich beim Thema IoT ganz neue Fragen. Hinter einem vernetzen Gerät steht kein Mensch mit einem persönlichen ,Account’, der sich bei Bedarf mit Multi-Faktor-Authentifizierung verifizieren kann. Dennoch ist es von immenser Bedeutung, den Zugriff von IoT-Devices reglementieren zu können.“ Dafür benötigten diese allerdings erst einmal eine eindeutige, fälschungssichere Identität. Dafür könne wiederum Kryptograpgie genutzt werden – „indem ein sicherer Schlüssel als Erkennungsmerkmal in die Geräte eingebracht wird“. Sogar solche komplexen Techniken seien mittlerweile als Service zu beziehen.

Weitere Informationen zum Thema:

KfW, KfW Research, 23.02.2023
KfW-Mittelstandspanel: Cyberkriminalität betrifft insbesondere die Vorreiter der Digitalisierung