Cyber-Sicherheit für junge Unternehmen

Das eigene Unternehmen ist gegründet. Die ersten Waren und Dienstleistungen sind am Markt erfolgreich. Aber sind das junge Unternehmen und seine Daten auch sicher gegen Cyberattacken? Moderatorin und Technikexpertin Sarah Elßer, Mitgründerin von Tech Well Told, erklärt, worauf kleine und mittelständische Unternehmen bei der Datensicherheit achten sollten. Begleiten Sie Sarah Elßer auf ihrer Cyber-Security-Journey.

Kleine und mittelständische Unternehmen (KMU) sind das Rückgrat der deutschen Wirtschaft. Gut 99 Prozent der 2,6 Millionen bundesdeutschen Firmen sind KMU. Sie schaffen rund 56 Prozent aller Arbeitsplätze und erarbeiten ein Drittel aller Umsätze. Das zeigen Zahlen des Statistischen Bundesamtes.  

Genau wie Großunternehmen können auch KMU Opfer von Cyberattacken werden. Schlimmer noch: Gerade junge Unternehmen sind besonders verwundbar. Denn für sie kann jeder erfolgreiche Hackerangriff das finanzielle Aus bedeuten. Ihnen fehlen schlicht die Rücklagen für die Schadensbeseitigung und einen temporären Ausfall des Geschäftsbetriebes. KMU und junge Unternehmen brauchen daher einen ganz besonderen Cyberschutz. Die „Betrifft mich nicht“-Einstellung wird nach Erhebungen des Spezialversicherers Hiscox jedes Jahr rund 46 Prozent aller deutschen Unternehmen zum Verhängnis. Sie werden Opfer gefährlicher und teurer Hackerangriffe – ein internationaler Spitzenwert.

 

Cyberwissen für junge Unternehmen mit Sarah Elßer von Tech Well Told 

Sarah Elßer ist Mitgründerin des jungen Unternehmens Tech Well Told. Als Moderatorin und Tech-Expertin erklärt sie Technik als „Nerd Dolmetscherin“ besonders einfach. Als Unternehmerin muss sie sich auch intensiv mit dem Thema Cyber-Sicherheit beschäftigen. Elßer weiß daher, wie wichtig Cyber-Security für junge Unternehmen ist und hat sich auf eine spannende Cyber-Security-Journey begeben. Auf dieser Reise durch alle Security-Themen zeigt sie gemeinsam mit Vodafone und tatkräftiger Unterstützung von Accenture worauf kleine und mittelständische Firmen achten sollten.

Begleiten Sie Sarah Elßer auf ihrer Reise und finden Sie auf jeder Etappe heraus, wie auch Sie Ihr junges Unternehmen ein ganzes Stück weit sicherer gegen Hackerattacken machen.

Alle Fenster und Türen im eigenen Unternehmen für Hackergruppen geöffnet? Sarah Elßer zeigt Ihnen, worauf Sie achten sollten.

Diese Angriffstypen gibt es: Hackerangriffe auf Unternehmen

In diesem Abschnitt erfahren Sie mehr zu den einzelnen Angriffstypen, denen sich junge Teams häufig ausgesetzt sehen. Einige Beispiele:

Social Engineering: Bei diesem Angriffstyp spielt der Faktor Mensch die entscheidende Rolle. Hacker:innen sprechen Ihre Mitarbeiter:innen persönlich an oder nehmen über das Telefon Kontakt auf. Sie geben sich dabei als IT-Techniker: innen, Bankmitarbeiter:innen oder Behördenvertreter:innen aus.

Ransomware: Angreifer schleusen Erpressersoftware in Ihre Systeme ein. Die verschlüsselt Ihre Daten und fordert ein Lösegeld für das Entschlüsselungspasswort.

Identitätsdiebstahl: Hacker:innen stehlen persönliche Passwörter oder übernehmen Firmenaccounts, um gegenüber Dritten Ihre Identität anzunehmen. Die Angreifer:innen senden Ihnen E-Mails, die Sie auf täuschend echte Anmeldeseiten für Ihren E-Mail-Account, Ihr Amazon-Firmenkonto oder Ihren firmeneigenen YouTube-Kanal umleiten. Formen des Identitätsdiebstahls sind das Session-Hijacking und Man-in-the-Middle-Angriffe, die wir an anderer Stelle im V-Hub beschreiben.

Industriespionage: Wenn Hacker:innen ganz gezielt über längere Zeit Ihr Unternehmen attackieren und dabei gleich über mehrere Kanäle versuchen, an Ihre Passwörter zu gelangen, liegt der Verdacht nahe, dass es ein Wettbewerber auf sie abgesehen hat.

Malware: Nicht immer richten sich Cyberattacken gezielt gegen Ihr Unternehmen. Manche Angreifer:innen versenden Schadsoftware (Malware) mit darin versteckten Trojanern automatisiert an Millionen Empfänger:innen gleichzeitig.

 

Hintergrund Cyber-Security: Die eigenen Mitarbeiter:innen im Visier von Hacker:innen 

Weltweite Hackergruppen sind inzwischen organisiert wie große Firmen in der legalen Wirtschaft. Mit Manager:innen, Netzwerkspezialist:innen und einer Forschungsabteilung, die immer die neusten Lücken in aktueller Software findet. Sie entwickeln komplexe Schadprogramme, setzen sie selbst ein oder verkaufen und vermieten sie an andere Hacker:innen. Zum Beispiel als RaaS (Ransomware-as-a-Service).

Im Median kostet ein solcher Angriff das betroffene Unternehmen rund 18.000 Euro – gerade für junge Firmen kann dies schnell das wirtschaftliche Aus bedeuten. Hinzu kommen der Reputationsverlust sowie der Verlust der eigenen Daten und der von Kund:innen.

Elßer mahnt: „Wenn Hacker:innen in Unternehmen eindringen, kann das die Arbeit von Jahrzehnten zerstören.“ Auch Mitarbeiter:innen von Sarah Elßer waren privat schon Opfer von Cyberkriminalität. Ihr Unternehmen selbst hingegen noch nicht.

Damit dies auch in Zukunft so bleibt, verfolgen die Expert:innen von Accenture und Vodafone einen holistischen Ansatz auf der Cyber-Security-Reise von Tech Well Told, der auch für andere Unternehmen gilt. Ein sicheres Unternehmen muss den Blick auf Datensicherheit in drei Dimensionen haben:

Mensch: Alle Mitarbeiter:innen müssen regelmäßig geschult werden, damit sie und das Unternehmen beispielsweise auch gegen Attacken per Social Engineering gut geschützt sind. Wie Unternehmen hier handeln können, haben wir in dem Artikel „Social Engineering – Angriffe auf die Schwachstelle Mensch“ zusammengestellt.

Technik: Die gesamte Digitaltechnik im Unternehmen muss neuesten Sicherheitsstandards entsprechen. Auch private Endgeräte, die beruflich genutzt werden, müssen dabei einbezogen werden. Was Unternehmen dabei beachten sollten, lesen Sie in dem Artikel „Was ist BYOD („Bring Your Own Device”)?“.

Prozesse: In allen Prozessen müssen die Mitarbeiter:innen Datensicherheit lückenlos mitdenken. Beispielsweise dürfen sie Geschäftsdaten und insbesondere persönliche Daten grundsätzlich nur verschlüsselt speichern und ungesicherte Endgeräte nicht unbeaufsichtigt lassen.

Um Einfallstore, zum Beispiel durch Unachtsamkeit von Mitarbeiter:innen, schnell aufzuspüren und Lücken zu schließen, ist im ersten Schritt ein Schwachstellentest sinnvoll. Ein solcher Test kann bereits viele Sicherheitslücken aufdecken. Hat das Unternehmen diese Lücken geschlossen, folgt ein ausführlicher Pentest, der auch überprüft, ob die Behebung der bereits bekannten Lücken erfolgreich war und auch die Mitarbeiter:innen für das Thema Cyber-Sicherheit nun sensibilisiert sind. Wie ein Pentest durchgeführt wird und was er aufdeckt, lesen Sie an anderer Stelle hier im V-Hub.

Tipps für die ersten Schritte zu mehr Cyber-Sicherheit

Sarah Elßer warnt, dass jedes Unternehmen – egal wie groß oder klein es ist, von Cyberattacken betroffen sein kann. Aus der Zusammenarbeit mit Vodafone und Accenture nimmt sie in einem ersten Schritt diese Tipps mit:

  • Das Wahrnehmen von möglichen Cybergefahren ist extrem wichtig für Firmen. Erst diese Erkenntnis macht Unternehmen ausreichend sensibel und handlungsfähig.
  • Die individuelle Awareness der Mitarbeiter:innen ist entscheidend für dauerhaften Schutz. Denn der Mensch ist das wichtigste Einfallstor für Cyberattacken.
  • Die Technik sollte regelmäßig überprüft werden. Firewall und Antivirenprogramme, aber auch alle anderen in der Firma genutzten Programme müssen immer auf dem neuesten Stand sein.
  • Schwachstellen sollten aktiv erkannt und behoben werden
  • Externe Fachkompetenz von Securityexpert:innen liefert den wichtigen Blick von außen auf die eigene Sicherheit und schützt so das Unternehmen vor Gefahren, die sich vielleicht schon länger und unbemerkt eingeschlichen haben. Regelmäßige Pentests sichern die Erkenntnisse ab.

Die umfassende Checkliste: Cyber-Sicherheit kompakt 

Mit dieser einfachen Checkliste prüfen Sie, wie gut Ihr Unternehmen gegen Angriffe gewappnet ist und wo Sie gegebenenfalls mit der Expertise von externen Expert:innen nachbessern sollten.

    • Haben Sie Ihr Unternehmen bereits mit einem grundlegenden Sicherheitscheck auf mögliche Lücken in Ihrer Cyberabwehr überprüft?
    • Führen Sie regelmäßige Pentests durch, die Ihre gesamte Technik, Ihre Prozesse und die Aufmerksamkeit Ihrer Mitarbeiter:innen berücksichtigen und Ihnen Hinweise zur Verbesserung liefern? Halten Ihre Systeme auch besonders aggressiven und gezielten Hackerattacken im APT-Umfeld (Advanced Persistent Threatsstand? Wurde dies bereits getestet?
    • Gibt es ein umfassendes Datenschutzkonzept für Ihre Daten? Speichern Sie alle Ihre Geschäftsdaten verschlüsselt (beispielsweise in einer Cloud) und sichern Sie diese mehrfach gegen unerlaubten Zugriff? Wie gehen Sie mit persönlichen Daten von Kund:innen und Mitarbeiter:innen um, für die die Datenschutzgrundverordnung (DSGVO) besondere Vorgaben zum Datenschutz macht?
    • Haben Sie Ihre Lieferketten und Ihre Zusammenarbeit mit Ihren Kund:innen auf Sicherheitslücken geprüft? Tauschen Sie noch Daten über ungeschützte Kanäle mit Dritten aus oder verwenden Sie Software und Webinterfaces von Geschäftspartner:innen, die nicht auf Cybersicherheit geprüft sind?
    • Werden alle Ihre Mitarbeiter:innen regelmäßig, etwa in Form von Awareness-Workshops zu den neuesten Gefahren von Hackerattacken geschult?
    • Binden Sie alle BYOD-Geräte wie beispielsweise Notebooks im Homeoffice oder privat und beruflich genutzte Smartphones und Tablets sicher in Ihr Firmennetz ein? Verwenden Sie hierfür ein leistungsfähiges Unified-Endpoint-Management mit Benutzerfreigaben?
    • Was tun, wenn der Schadensfall eingetreten ist? Haben Sie ein Konzept für den Fall, dass Ihre Systeme mit Malware befallen oder Geschäftsdaten gestohlen wurden? Sind Ihre Systeme nach einem Schadensfall zeitnah aus Cloud-Backups wiederherstellbar?

Cyber-Security in der Übersicht

  • Auch junge Unternehmen können jederzeit Opfer von Hackerattacken werden. Solche Angriffe treffen nicht allein Großunternehmen.
  • Fast jede zweite deutsche Firma wurde im letzten Jahr Opfer eines Cyberangriffes. Die Schadenshöhe lag im Median bei rund 18.000 Euro.
  • Zusammenarbeit macht stark und sicher: Junge Unternehmen sollten sich mit ihren Geschäftspartner:innen auf gemeinsame Sicherheitsstandards einigen.
  • Aufmerksame Mitarbeiter:innen und sichere Technologien und Prozesse sind der beste Schutz gegen Angreifer:innen, insbesondere gegen Social Engineering.
  • Das Wissen über Cyberattacken sollte regelmäßig erneuert werden – beispielsweise in Awareness-Workshops.
  • Sahra Elßer hat auf ihrer Reise mit Vodafone und Accenture viele Tricks von Hacker:innen kennengelernt und rät daher jungen Firmen, sich von Profis regelmäßig unterstützen zu lassen, beispielsweise in Form von Security-Checks und Schulungen.

Quelle:

https://www.vodafone.de/business/featured/digitale-vorreiter/experten/cyber-sicherheit-fuer-junge-unternehmen-sarah-elsser-von-tech-well-told-zeigt-worauf-es-ankommt/