Cyberangriffe auf Unternehmen nehmen weltweit schon seit Jahren zu – erst recht seit Beginn der Covid-19 Pandemie. Gerade kleine und mittlere Unternehmen das Risiko. Damit haben Angreifer oft leichtes Spiel. Denn Backups, Antiviren-Software und Firewalls sind nur drei von vielen Massnahmen, die es braucht, um ein Unternehmen wirksam zu schützen.

Mehr denn je sollten sich Organisationen daher ausreichend schützen, denn einfacher Virenschutz reicht heutzutage nicht mehr aus. Massnahmen zum Cyberschutz sollten Sie auf verschiedenen Ebenen angehen: bei den Mitarbeitenden, der IT-Infrastruktur und den Prozessen. Folgende 10 Schutz-Maßnahmen gegen Cyber-Angriffe sind unseres Erachtens die wichtigsten:

1. Die Mitarbeitenden müssen informiert und sensibilisiert werden
   • Die meisten Cyberattacken finden via E-Mail statt (Phishing-Mail). Sensibilisieren Sie Ihre Mitarbeitenden mindestens 4mal im Jahr für den Cyberschutz. Wie läuft eine Cyberattacke ab? Was sind die Folgen? Wie gehe ich sicher mit vertraulichen Daten um, wie mit E-Mail und Internet? Fragen wie diese sollten auch mit neuen Mitarbeitenden frühzeitig besprochen werden.
   • Erstellen Sie Richtlinien für den korrekten Umgang mit Daten, Passwörtern und Datenträgern.
   • Bestimmen Sie Verantwortliche für IT-Sicherheit, an die sich die Mitarbeitenden mit Fragen wenden können.
2. Überblick über die IT-Infrastruktur verschaffen
   • Verschaffen Sie sich einen Überblick über alle Systeme und Geräte sowie deren Anforderungen an die Wartung. Dazu gehören auch die Webseite, Onlineshop und Badge-System.
   • Führen Sie alle Sicherheitsupdates Ihrer Software regelmässig und vollständig durch.
   • Führen Sie auch ein Register aller Datensammlungen.
3. Sicheres Arbeiten im Homeoffice
   • Das Homeoffice hat mit der Pandemie an Bedeutung gewonnen. Erstellen Sie Richtlinien für das sichere Arbeiten ausserhalb des Firmenbüros.
   • Sorgen Sie ausserdem für sichere digitale Tunnel ins Firmennetzwerk (Remote Access Service, Virtual Private Network VPN), die nur durch Passwort- und zusätzliche Code-Eingabe (2-Faktor-Authentifizierung) zugänglich sind.
   • Achten Sie darauf, welche Konferenz-Tools Sie nutzen. Für geschäftliche Online-Meetings sollten nur Plattformen eingesetzt werden, die von Ihren IT-Verantwortlichen als sicher bewertet wurden.
4. Netzwerk schützen und verwalten
   • Schützen Sie den Internetzugang mit Firewalls, das Wifi-Netzwerk mit dem Verschlüsselungsprotokoll WPA2 und Ihre Webseite mit einer Web Application Firewall (WAF).
   • Schränken Sie die Nutzung bestimmter Webseiten auf Firmengeräten ein, sofern sie für die Arbeit nicht benötigt werden.
   • Segmentieren Sie Ihr Netzwerk in verschiedene Zonen, um die Erreichbarkeit sensibler Daten und Systeme einzuschränken.
5. Alle Aktualisierungen durchführen
   • Führen Sie laufend Systemaktualisierungen durch und folgen Sie den Empfehlungen der Hersteller.
   • Alle Einstellungen für Kennwörter oder Systemkonfigurationen sollten immer auf dem neuesten Stand sein.
   • Vergessen Sie auch nicht, das Content Management System Ihres Webauftritts aktuell zu halten.
6. Schutzprogramme installieren
   • Installieren Sie auf allen Geräten professionelle Anti-Schadsoftware (Antivirus, Antispyware). Sie sollte immer aktiviert und automatisch aktualisiert werden, um wirksam zu arbeiten. Dabei sollten vollständige Systemscans durchgeführt werden.
   • Schützen Sie Ihren Onlineshops vor (D)Dos Angriffen ((Distributed) Denial of Service). Bei einem (D)Dos-Angriff wird ein Internetdienst mit einer Flut von Anfragen gezielt von Hackern überlastet. Dadurch ist der Dienst nur noch verzögert oder gar nicht mehr erreichbar.
7. Rechte verwalten
   • Alle IT-Anwenderinnen und Anwender sollten namentlich identifiziert sein und nur auf die Systeme und Ablagen zugreifen können, mit denen sie arbeiten.
   • Neue Software werden durch von der IT Abteilung überprüft und installiert.
   • Ausgewählte Administratoren verwalten die Benutzerkonten, überwachen die Aktivitäten, geben Zugriffsrechte, machen Software-Aktualisierungen etc.
8. Sichere Zahlungen ausführen
   • E-Mails sind für Geldtransfers tabu. Sicherer ist per Post oder in dringenden Fällen und für Rückfragen per Telefon. Die Zahlungen können danach per E-Banking freigegeben werden.
   • Deaktivieren Sie Zahlungen in Länder oder Regionen, in denen Ihr Unternehmen geschäftlich gar nicht tätig ist.
9. Daten sichern
   • Die Daten sollten mindestens einmal pro Woche vollständig gesichert werden (Backup).
   • Die Backups sollten am besten an einem anderen Standort aufbewahrt werden, auf jeden Fall getrennt vom Firmen-Netzwerk.
10. Vorbereitet sein, falls doch etwas passiert
    • Machen Sie eine Notfallplanung und eine Risikoabschätzung. Bestimmen Sie, wer für Krisenmanagement, Kommunikation, etc. zuständig ist.
    • Erstellen Sie einen Plan, wie Sie die Geschäftstätigkeit aufrechterhalten, falls Sie den Zugriff auf die Systeme oder Ihre Daten verlieren.
    • Angriffsversuche lassen sich mit einem Netzmonitoring und in den Systemprotokollen (Logdateien) erkennen.

Gibt es Schwachstellen, die dringend zu beseitigen sind? Hat die Einführung von Home Office neue Lücken aufgerissen? Sind Ihre Mitarbeiter dafür sensibilisiert, jede E-Mail kritisch zu betrachten? Unsere Experten verschaffen sich über all das und noch viel mehr einen Überblick, um Ihnen darauf aufbauend Empfehlungen für die Optimierung Ihrer IT-Sicherheit geben zu können. Auf Wunsch setzen Sie die empfohlenen Maßnahmen anschließend um.

Mehr Informationen finden Sie auf unserer Infrastruktur-Analyse Seite: Infrastruktur-Analyse
Mehr Informationen finden Sie auf unserer IT Penetrationstest Seite: IT Penetrationstest
Mehr Informationen finden Sie auf unserer Sicherheitsanalyse Seite: Sicherheitsanalyse