Unsere Empfehlungen für mehr IT-Sicherheit in Ihrem Unternehmen.
Bert Kondruß
Bert Kondruß
Gründer und Geschäftsführer von KonBriefing.com

Haben Sie Fragen? Gerne per Mail Kontakt

Relevant für:
Geschäftsführer/Geschäftsführerinnen (*) und IT-Verantwortliche in kleinen und mittleren Unternehmen (KMU) bzw. im Mittelstand

Themen:
IT-Sicherheit

Auch kleine Unternehmen sind begehrte Ziele von Cyber-Angriffen

Kleinvieh macht auch Mist - das gilt für Finanzamt und Cyber-Banden gleichermaßen. Die geforderten Summen werden entsprechend geringer angesetzt als bei Großkonzernen.
Dazu kommt: Kleinere Unternehmen haben oft einen geringeren Schutz als Großunternehmen.

Bereiten Sie ein Team für den IT-Notfall vor

Dabei müssen viele Geschäftsbereiche eines Unternehmens zusammenspielen, wählen Sie die Mitarbeitenden entsprechend aus.
Bereiten Sie die Mitarbeiter auf ihre Aufgabe vor und üben Sie mit ihnen regelmäßig.
Denn gute Vorbereitung ist ein wichtiges Element zur erfolgreichen Bewältigung eines Cyber-Angriffs

Denken Sie über den Abschluss einer Cyber-Versicherung nach

Kleine und mittlere Unternehmen

Dokumentieren Sie Ihre IT-Infrastruktur

Bei einem Cyber-Angriff ist es sehr nützlich, eine Übersicht über die IT-Infrastruktur des Unternehmens zu haben.
Erstellen Sie deshalb ein Inventar über die Arbeitsplatzrechner, Notebooks, Server, Drucker usw. sowie über das Netzwerk.
Dann wissen Sie, was betroffen ist und ggf. neu aufgesetzt werden muss.

Erklären Sie Ihren Mitarbeitenden, wie CEO Fraud funktioniert

Bei CEO Fraud werden falsche Identitäten genutzt
Mitarbeitende sollen beispielsweise zur Überweisung von Geld auf Konten von Betrügern veranlasst werden.
Besonders im Visier sind Mitarbeiter der Buchhaltung.
Klären Sie über die Methoden auf und schaffen Sie Prozesse, die solchen Betrug erschweren.

Erlauben Sie niemals einem Unbekannten, Geräte per USB an Ihrem Computer aufzuladen

Über USB angeschlossene Geräte können genutzt werden, um unbemerkt Schadsoftware auf dem Computer zu intallieren.
Lehnen Sie solche Bitten grundsätzlich ab.

Erstellen Sie eine Richtlinie zur Meldung von IT-Sicherheitsvorfällen

Erstellen Sie Offline-Datensicherungen!

Erstellen Sie Datensicherungen, die vom Netzwerk getrennt wird.
Bewahren Sie immer mehrere Generationen auf unterschiedlichen Datenträgern auf.
Damit schaffen Sie eine gute Optionen zur Wiederherstellung der Systeme nach einem Ransomware-Angriff.

Führen Sie regelmäßige Awareness-Trainings mit Ihren Mitarbeitenden durch

Mitarbeiter und Mitarbeiterinnen sollen die möglichen Cyber-Gefahren kennen.
Sie sollen lernen, wie sie sich verhalten müssen.

Halten Sie Ihren IT-Notfallplan in einem technisch einfachen Format vor

In einer Notsituation sollte der Plan schnell zugänglich sein.
Er sollte auch dann zugänglich sein, wenn die normale IT-Infrastruktur nicht mehr verfügbar ist.
Halten Sie ihn deshalb in einem Format vor, das nur geringe technische Voraussetzungen stellt, z.B. als PDF oder ausgedruckt auf Papier.

Hängen Sie Kontaktdaten zur Meldung von IT-Sicherheitsvorfällen aus

Sicherheitsvorfälle müssen so schnell wie möglich gemeldet werden und alle Informationen darüber sollten an zentraler Stelle zusammenfließen.
Machen Sie es deshalb Ihren Mitarbeitenden so einfach wie möglich, solche Vorfälle zu melden.
Für KMU:

Kennen Sie Ihre kritischen Geschäftsprozesse?

Welche Prozesse sind für Ihr Business besonders zeitkritisch?
Bei welchen hätte das Unternehmen in einem Notfall den größten Schaden oder die meisten Schwierigkeiten?
Sichern Sie diese besonders ab, z.B. durch redundante IT-Systeme und Rückfalllösungen.
Damit sie diese Prozesse nach einem Ausfall als erste wiederherstellen können.

Lassen Sie regelmäßig Penetration Tests auf Ihre IT-Infrastruktur machen

Ihre IT-Infrastruktur wird nur dann halbwegs sicher, wenn sie immer wieder aus den Augen eines Angreifers betrachtet wird.
Beauftragen Sie qualifizierte externe Dienstleister damit, die IT Ihres Unternehmens anzugreifen, um Sicherheitslücken zu finden.
Lassen Sie solche Tests regelmäßig durchführen, z.B. einmal jährlich.

Mit der Richtline VdS 10000 können speziell kleine und mittlere Unternehmen ihre Informationssicherheit verbessern.

Sprechen Sie mit Ihren Lieferanten über Vorkehrungen zur IT-Sicherheit

In einigen Branchen ist der Nachweis von angemessenen Vorkehrungen für Lieferanten bereits Pflicht, in vielen anderen Branchen jedoch nicht.
Wenn Ihr Unternehmen stark von Lieferanten abhängig ist, sollten Sie es thematisieren und ggf. entsprechende Verpflichtungen einfordern.
Damit reduzieren Sie das Risiko eines Ausfalls des Lieferanten durch einen Cyber-Angriff.
Sie reduzieren auch das Risiko, dass durch einen Cyber-Angriff auf den Lieferanten auch vertrauliche Daten von Ihnen offengelegt werden.

Teilen Sie das Netzwerk in mehrere Segmente auf

Bei einer Netzwerksegmentierung werden mehrere voneinander unabhängige Bereiche geschaffen.
Beispiel: Bürokommunikation, Produktion, IP-Telefonie
Damit verringert sich bei einem Ransomware-Angriff das Risiko, dass die gesamte Infrastruktur betroffen ist. Bei einem Angriff auf das Büronetz kann die Produktion trotzdem weiterarbeiten.

Testen Sie regelmäßig Ihre Datensicherungen

Stellen Sie sicher, dass Ihre Datensicherungen im Notfall tatsächlich nutzbar sind.
Prüfen Sie regelmäßig:
- Wurden alle Daten gesichert?
- Lassen sich die Daten wieder einspielen?

Überprüfen Sie regelmäßig den Status der Windows-Updates

Ein mit aktuellen Patches versehenes Betriebssystem ist ein Grundbaustein bei der Abwehr von Schadsoftware.
Microsoft stellt regelmäßig Updates zur Verfügung und es ist gute Praxis, wenn diese automatisch eingespielt werden.
Durch Konfigurationsfehler kann es jedoch passieren, dass die Updates nicht mehr auf die Rechner gelangen.
Machen Sie deshalb immer wieder Stichproben, ob die Rechner tatsächlich Updates erhalten.

Vereinbaren Sie mit Ihrem IT-Dienstleister eine Bereitschaft für den Notfall

Bert Kondruß
Senior Analyst

Hallo und herzlich willkommen, ich bin Bert Kondruss, Gründer und Senior Analyst von KonBriefing.com. Seit meinem Uni-Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur bin ich seit über 30 Jahren in verschiedenen Fach- und Führungspositionen der IT tätig. Mein Fokus ist IT-Sicherheit und Compliance. Ich lebe in der Region Stuttgart.

Mein persönliches Anliegen ist Aufklärungsarbeit im Mittelstand. Kleine und mittlere Unternehmen (KMU) haben oft nicht die Ressourcen, um sich mit den Fragen der IT-Sicherheit intensiv zu beschäftigen. Dadurch entstehen Lücken, durch die eine Organisation unerwartet in eine schwere Krise geraten kann.

Diese Risiken lassen sich reduzieren. Ein wichtiger Baustein ist die Vorbereitung auf einen Notfall. Ist diese Vorlage für den IT-Notfallplan für Sie nützlich? Dann freue ich mich, wenn Sie sich mit mir bei LinkedIn oder Xing verbinden. Klicken Sie auf die nachfolgenden Links …

LinkedIn Xing
(*) Wir meinen immer alle Geschlechter.