Angesichts zunehmender Angriffe brauchen KMUs ein Cybersecurity Playbook

Ein kleines oder mittleres Unternehmen (SMB) ist nicht unbedingt das bevorzugte Ziel eines erfahrenen Cyberkriminellen. Der größere Knall entsteht, wenn man die Abwehr eines großen Unternehmens durchdringt - eines Unternehmens mit Millionen von Kunden und Milliardenbeträgen auf der Bank.

Aber Cyberkriminelle gehen dorthin, wo die Schwachstellen sind. Und da große Unternehmen in den letzten Jahren ihre Cyberabwehr verbessert haben, geraten zunehmend auch KMUs ins Fadenkreuz.

Eine Umfrage des Versicherungsunternehmens Hiscox aus dem Jahr 2022 zeigt, dass Unternehmen mit einem Umsatz zwischen 100.000 und 500.000 US-Dollar genauso häufig angegriffen werden wie Unternehmen, die 10- oder 20-mal so groß sind.[1] Jeder, der wie wir bei Mimecast die Sicherheitsherausforderungen von KMUs kennt, hat anekdotische Beweise für die gleiche Sache gehört: KMUs werden ins Visier genommen. Da ist das B2B-Dienstleistungsunternehmen, das uns mitteilte, dass sein Controller kurz davor war, Geschenkkarten im Wert von 2.000 US-Dollar zu versenden, bevor er in letzter Minute erfuhr, dass die Anfrage von einer gefälschten E-Mail-Adresse kam. Und dann ist da noch der Geschäftsführer eines kleinen Unternehmens, der uns erzählte, dass die Zahl der Geldanfragen, die er über Phishing-E-Mails erhielt, so hoch war, dass sie fast schon komisch wirkte. Er erkannte jedoch die ernste Gefahr, die von solchen E-Mail-Angriffen ausging. "Ich dachte mir, dass es nur eine Frage der Zeit ist, bis wir auf einen von ihnen hereinfallen", sagte der CEO. Aus dieser Überzeugung heraus kaufte der Geschäftsführer ein Softwareprogramm, um die E-Mails seines Unternehmens zu sichern.

Alle Augen sind auf SMBs gerichtet

Cyberkriminelle sind nicht die Einzigen, die sich auf KMUs konzentrieren. Dies scheint in den Jahren der Pandemie der Heimarbeit begonnen zu haben, als mehr KMUs Cloud-gehostete Softwarelösungen anwandten und mehr ihrer Prozesse digitalisierten. Die daraus resultierende Zunahme von Cyberangriffen auf kleine und mittlere Unternehmen (SMB) hat viele im Bereich der Cyberabwehr - darunter Regierungsbehörden, Forscher und Unternehmen für Cybersicherheitssoftware - dazu veranlasst, ihre Aufmerksamkeit auch auf die Schwachstellen von SMB zu richten. 

Das kann zwar den Druck auf KMUs erhöhen, aber es kann auch den Führungskräften von KMUs zugute kommen, die von Jahr zu Jahr schwierige Entscheidungen über ihre Ausgaben für Cybersicherheit treffen müssen. Einige haben vielleicht nicht einmal einen eigenen IT-Mitarbeiter. Mit der Erfahrung, den Erkenntnissen und den Tools von Forschern, Aufsichtsbehörden und Anbietern von Cybersicherheitslösungen können KMUs eine wirksame Verteidigung aufbauen.

4 Cybersecurity-Müsse" für KMUs

KMU-Führungskräfte wissen, wie wichtig es ist, das Beste aus ihren begrenzten Ressourcen herauszuholen - sowohl aus ihren Mitarbeitern als auch aus ihren Investitionen. Dies gilt insbesondere für den Bereich der Cybersicherheit. Die folgenden vier Best Practices sind ein guter Ausgangspunkt für KMU-Führungskräfte, um ihre finanziellen und personellen Ressourcen für die Cybersicherheit optimal zu nutzen.
 

• Setzen Sie einen Verantwortlichen für Ihre Cybersicherheitsbemühungen ein. Es macht nichts, wenn Sie zu den vielen KMU gehören, die niemanden mit dem Titel "Technologie" beschäftigen. Sie brauchen immer noch jemanden, der die Verantwortung für die Cybersicherheit übernimmt. Selbst in kleinen Unternehmen gibt es in der Regel jemanden, der sich bereits mit IT-Problemen befasst. Es könnte ein Betriebsleiter sein, der die Bemühungen Ihres Unternehmens anführt, ein altes Datenbanksystem durch ein benutzerfreundlicheres und kostengünstigeres System zu ersetzen. Oder es könnte eine Hochschulabsolventin sein, die es auf sich genommen hat, Ihre Mitarbeiter in der Nutzung von Slack oder einer anderen Plattform für die Zusammenarbeit zu schulen. Wenn Sie niemanden haben, der sich für die Aufgabe eignet, de facto Ihr Cybersecurity-Zar zu werden, suchen Sie nach einem externen KMU-Technologieberater oder -Unternehmer, der diese Aufgabe übernehmen kann.
• Investieren Sie in ein E-Mail-Filterprogramm, das Ihre Daten schützen kann. Die E-Mail ist nach wie vor das schwächste Glied in der Abwehr von Cyberangriffen. KMUs müssen sich gegen Spam, Phishing-Angriffe, Malware und Domain-Impersonationsversuche wehren, die per E-Mail eingehen. Eine Plattform von einem etablierten Unternehmen, das sich auf E-Mail-Sicherheit spezialisiert hat, sollte der wichtigste Posten im Cybersecurity-Budget eines jeden KMUs sein. Ein Cloud-basiertes System bietet sofortigen Zugriff auf Software-Updates und macht die Wartung überflüssig. Die besten Cloud-E-Mail-Sicherheitssysteme nutzen heute künstliche Intelligenz, um verdächtige E-Mails zu erkennen, und zeigen Pop-up-Banner an, um Mitarbeiter vor potenzieller Malware zu warnen. Wenn Sie nicht wissen, wo Sie anfangen sollen, wenden Sie sich an Ihr berufliches Netzwerk, um sich beraten zu lassen. Aber treffen Sie Ihre Wahl nicht allein auf der Grundlage der Empfehlung einer anderen Person, egal wie sehr Sie ihr vertrauen. Was ein Gleichaltriger für wichtig hält, ist vielleicht nicht das, was für Sie wichtig ist. Testen Sie die Software, um sicherzustellen, dass sie Ihren Anforderungen entspricht.
• Verwenden Sie die Multi-Faktor-Authentifizierung (MFA). Mittlerweile sind die meisten von uns mit diesem Sicherheitskonzept vertraut, bei dem nach dem Passwort noch zusätzliche Informationen (oft ein sechsstelliger Sicherheitscode) eingegeben werden müssen, bevor der Zugriff auf ein System möglich ist. Auch wenn MFA für Ihr Team etwas umständlich sein mag, ist es ein äußerst wirksamer Schutz gegen viele E-Mail-Bedrohungen, da Cyberkriminelle zunehmend identitätsbasierte Angriffe starten. Selbst wenn einer Ihrer Mitarbeiter darauf hereinfällt und bei einem Phishing-Angriff sein Passwort preisgibt, können Cyberkriminelle nicht in Ihr System eindringen, wenn sie keinen Zugriff auf den zufällig generierten Zugangscode haben. Diese zusätzliche Sicherheitsebene, die durch MFA bereitgestellt wird, ist auch nützlich, um Ihre Angriffsfläche zu verringern, die Endgeräte wie Laptops, Mobiltelefone, Tablets und Smartwatches umfasst.
• Machen Sie jeden Mitarbeiter zu einem Kämpfer im Kampf gegen Cyberangriffe. Letztlich sind die größten Schwachstellen für jedes Unternehmen Fehler, die von Mitarbeitern oder Partnern aufgrund mangelnden Bewusstseins gemacht werden. Investitionen in Maßnahmen zur Sensibilisierung für Cybersicherheit und entsprechende Schulungen zahlen sich aus. Ihr designierter Cybersecurity-Verantwortlicher - egal, ob Sie diese Rolle intern oder extern besetzen - sollte sich mit den aktuellen Bedrohungen auskennen und eine Reihe von Richtlinien zur Risikovermeidung und Angriffsabwehr erstellen können. Richten Sie persönliche Treffen ein, um diese Richtlinien zu vermitteln, und - wenn Sie der CEO sind - nehmen Sie aktiv an diesen Lernsitzungen teil. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit empfiehlt ausdrücklich, dass die Geschäftsführer kleiner Unternehmen eine Rolle bei der Einführung einer "Sicherheitskultur" in ihren Unternehmen spielen sollten[2].

Die Quintessenz

Da große Unternehmen ihre Sicherheit verbessert haben, nehmen Cyberkriminelle zunehmend KMU ins Visier. KMUs brauchen keine extrem ausgefeilte Sicherheitsstrategie. Stattdessen sollten sie sich auf eine Handvoll Schritte konzentrieren, die eine große Wirkung haben. Dazu gehören die Beauftragung einer Person mit der Überwachung ihres Cybersecurity-Pushs und die Nutzung von MFA und Cloud-basierten E-Mail-Sicherheitsprodukten. Lesen Sie, wie die integrierte E-Mail-Sicherheitslösung von Mimecast Ihre Bemühungen um die Sicherheit Ihrer Daten und Systeme unterstützen kann. 

[1] "The Hiscox Cyber Readiness Report 2022," Hiscox

[2 ] "Cyber Guidance for Small Businesses", Agentur für Cybersicherheitsinfrastruktur & Security Agency