KMU sind für Cyberkriminelle ein leichteres Ziel als Grossunternehmen, da sie meist weniger in ihre Abwehr investieren. Wieso KMUs seit Beginn der Coronakrise noch angreifbarer geworden sind, verrät Mike Imseng, Head of Security Consulting, T-Systems Schweiz.
Viele Unternehmen laufen Gefahr, durch aus der Not entstandene und rasch eingeführte Lösungen ihre Compliance nicht mehr zu erfüllen bzw. zu verletzen. Wie stark die Firmen gefährdet sind, hängt in hohem Masse davon ab, ob den Mitarbeitern Firmengeräte ausgehändigt wurden, die Teil eines umfassendem Sicherheitskonzepts sind. Falls private Endgeräte für den Zugriff auf Unternehmensressourcen benutzt werden, empfehlen wir, Richtlinien dafür zu erarbeiten, um das Risiko für das Unternehmen auf ein vernünftiges Mass zu reduzieren. Das kann von Malwareschutz bis zu Multifaktor-Authentifizierung für VPN und E-Mail in der Microsoft365-Cloud gehen.
An erster Stelle stehen Social-Engineering-Angriffe in Form von Phishing-E-Mails, mit denen der Benutzer dazu verleitet werden soll, vertrauliche Daten preiszugeben oder unwissentlich Schadsoftware zu installieren. Dies ist der günstigste und vielversprechendste Angriffsvektor. Es werden aber auch bekannte Schwachstellen zum Eindringen und Erlangen von privilegierten Zugriffsrechten ausgenutzt. Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der Angriffe auf Remote-Desktop-Verbindungen (RDP) massiv erhöht.
Wir beraten unsere Kunden dahingehend, wie sie basierend auf dem etablierten NIST Cybersecurity Framework «Identify, Protect, Detect, Respond, Recover» eine unternehmensweit durchgängige Security-Strategie verfolgen können. Genauso erfolgskritisch ist jedoch die Schulung der Mitarbeitenden im Umgang mit Phishing-E-Mails, Social Engineering, Sicherheit im WLAN bzw. Home-Office und sicheren Passwörtern. Cybersecurity ist ein Prozess, der in den Unternehmenszielen verankert werden muss und Chefsache ist. Nur dies garantiert eine vollumfängliche Umsetzung über alle Stufen und Hierarchien hinweg.
Die Mitarbeiter sind ein zentraler Bestandteil der Verteidigungslinie.
Mike Imseng ist Head of Security Consulting bei T-Systems Schweiz mit über 20 Jahren Erfahrung im ICT-Dienstleistungsbereich. Zu seinen Fachgebieten zählen Security Awareness, Vulnerability Management (IT/OT), Industrial Control System (ICS) und Customer Security Management.
Wir empfehlen zunächst ein «Security Baseline Assessment» zum Ist- und Soll-Zustand. Die Schulung der Mitarbeitenden mittels «Security Awareness & Phishing»-Kampagnen (Angriffs-Simulationen im gesicherten Umfeld) ist, wie gesagt, zentral. Damit und mit Richtlinien zu sicheren sowie periodisch zu ändernden Passwörtern wird der Mitarbeiter zum integralen Bestandteil der Verteidigungslinie. Technisch sind Backup und Recovery der kritischen Unternehmensdaten mit routinemässigen Wiederherstellungstests sowie in regelmässigen Intervallen Schwachstellen-Scans und Netzwerk-Segmentierungen nötig.
In Gesprächen mit Kunden stellen wir fest, dass es trotz der grossen medialen Aufmerksamkeit noch immer ein falsches Risikoverständnis gibt. Viele Unternehmen glauben, sie wären zu klein bzw. zu unbedeutend für Cyberkriminelle, um als Opfer attraktiv zu sein. Dies stimmt leider nicht (mehr). Wir fürchten, dass sich ein Problembewusstsein erst entwickelt, wenn eine Meldepflicht für Cybervorfälle eingeführt wird. Daher ist Sensibilisierung so immens wichtig.