Der Digitalisierungsgrad im Mittelstand steigt - und damit auch das Risiko von Cyberattacken. Die Häufigkeit der Attacken nimmt permanent zu und trifft inzwischen alle Branchen. Gleichzeitig wächst die Komplexität und Anpassungsfähigkeit der Angriffe. Treffen Hacker auf ältere oder kaum geschützte Netzwerke, können sie ausgeprägte und gar existenzbedrohende Schäden verursachen. Es ist daher ein Cybersecurity-Konzept erforderlich, das die Angriffsfläche minimiert und schnelles Handeln ermöglicht. Wie und aus welchen Komponenten so ein Konzept bestehen sollte, haben wir hier einmal zusammengefasst.
Die vier Basiskomponenten der Cybersicherheit
Cybersecurity ist ein Betätigungsfeld mit enormer Tragweite. Die Erarbeitung und Umsetzung eines passenden Schutzkonzepts sollte daher nicht nur Aufgabe des IT-Beauftragten sein. Vielmehr liegt die Verantwortung und die Abwehr existenzbedrohender Gefahren zuallererst bei der Geschäftsleitung, die der Thematik eine angemessene Priorität verleihen muss. Wichtig ist in jedem Fall ein ganzheitliches Management der IT-Sicherheit - bestenfalls unter Einbeziehung von IT-Security-Experten. Die wichtigsten Stellschrauben sind hierbei die folgenden:
1. Risikoanalyse
2. Netzwerksicherheit
3. Verhalten der Mitarbeiter
4. Notfallplan
1. Risikoanalyse
Die Absicherung von Unternehmensnetzwerken sollte stets mit einer eingehenden Analyse der vorhandenen Prozesse und der zugehörigen IT-Infrastruktur einhergehen. Eine umfassende Risikoanalyse hat dabei zum Ziel, strukturiert Schwachstellen und Gefahren entlang des gesamten Organisations-, Produktions-, Vertriebs- oder Supply-Chain-Management aufzudecken und zu quantifizieren. Zusätzlich müssen kritische Abhängigkeiten zwischen den Unternehmensabläufen und den beteiligten IT-Komponenten identifiziert und bewertet werden.
Die Analyse umfasst außerdem die wirtschaftliche Bewertung der Top-Risiken und ermöglicht so die Festlegung und Priorisierung fester Schutzziele. Außerdem sind Organisationen der Kritischen Infrastruktur (KRITIS) durch das IT-Sicherheitsgesetz in Deutschland verpflichtet, verschiedene Cyber-Sicherheitsmaßnahmen zu ergreifen. Dies betrifft auch SAP-Systeme. Denn hier liegen oft die Daten, die besonders schützenswert sind. Seit Mai 2023 gelten dazu noch einmal deutlich verschärfte Regeln, die in der Risikoanalyse mit einzubeziehen sind. So ist nun zum Beispiel der Einsatz einer Software zur Angriffserkennung verpflichtend.
2. Netzwerksicherheit
Nach erfolgter Risikoanalyse wird klar, welche sensiblen Punkte besonders gut geschützt werden müssen. So kann die Auswahl der dafür erforderlichen Instrumente und Möglichkeiten wesentlich zielgerichteter erfolgen, ein besserer Schutz erreicht und unnötige Kosten werden vermieden. Ebenso lässt sich auf dieser Basis besser einschätzen, wie sich die Wiederanlaufzeiten im Ernstfall darstellen.
Eine weitere wichtige Maßnahme ist das regelmäßige Anlegen von Back-ups der wichtigsten Daten. Es muss organisatorisch klar festgelegt werden, wie häufig und durch wen die Sicherungskopien erfolgen. Besonders sensible Daten sollten außerdem durch Verschlüsselung geschützt werden. Ein ebenso wichtiges Thema der Cybersecurity ist darüber hinaus das differenzierte Management der Benutzer und Zugriffsrechte. Abgerundet wird der technische Teil der Netzwerksicherheit durch regelmäßige Software-Updates und modernen Viren- bzw. Malware-Schutz. Selbstverständlich müssen die Cybersecurity-Lösungen neben stationären PCs und Anlagen auch bei mobilen Endgeräten greifen.
3. Verhalten der Mitarbeiter
Eine der größten Schwachstellen der Cybersicherheit sind die eigenen Mitarbeiter. Entsprechend gilt es, ihr Problembewusstsein regelmäßig zu schärfen und sicherzustellen, dass sie sich wachsam verhalten. An dieser Stelle setzen Awareness-Trainings an. Diese Schulungen sollten möglichst praxisnah gestaltet sein und die Vielfältigkeit von Cyberattacken abbilden. So denken die meisten Mitarbeiter bei Cybervorfällen beispielsweise eher an Viren. Risiken wie gefälschte E-Mails oder persönliche Kontakte via Telefon und Social Media sind in den Köpfen hingegen weitaus weniger präsent.
Auch die Passwortsicherheit ist ein ernstzunehmendes Thema. So nutzen zahlreiche Mitarbeiter ein immer gleiches Passwort für mehrere Online-Konten, da es ihnen schwerfällt, sich mehrere Passwörter zu merken. Teils werden die Passwörter jedoch auch in ein ungeschütztes Dokument geschrieben. In diesem Kontext können Tipps und klare Vorgaben (z. B. Passwörter mit Großbuchstaben, Zahlen und Sonderzeichen) das Risiko deutlich senken.
4. Notfallplan
Selbst mit den besten Präventivmaßnahmen können Cybervorfälle nicht vollständig ausgeschlossen werden. Cybersecurity-Konzepte müssen daher zwingend eine Planung von Notfallmaßnahmen enthalten, mit denen Systeme und Geschäftsprozesse schnell wiederhergestellt werden können. Bereits im Vorfeld sollten zudem IT-Experten oder externe Sachverständige benannt werden, um diese im Ernstfall umgehend einschalten zu können.
Ebenso sollte ein Ablaufplan vorhanden sein, aus dem hervorgeht, wie sich die Mitarbeiter im Falle einer Cyber-Attacke verhalten müssen. Dieser Plan umfasst im Optimalfall auch die relevanten Ansprechpartner samt ihrer Kontaktinformationen. Im Notfall kann auf diese Weise wertvolle Zeit gespart werden, wodurch die Schäden möglicherweise geringer ausfallen. Wichtig ist es nicht zuletzt, bestehende Notfallpläne regelmäßig zu aktualisieren.
Fazit: Ganzheitlicher Ansatz erforderlich
Digitalisierung ist von höchster Bedeutung für die Wettbewerbsfähigkeit. Sie darf jedoch nicht zulasten der Sicherheit gehen. Entsprechend ist es wichtig, ein umfassendes Konzept der Cybersecurity zu implementieren. Ein angemessenes Schutzlevel ist hierbei nur durch einen professionellen Mix aus technischen Maßnahmen, organisatorischen Regelungen und Mitarbeitersensibilisierung realisierbar. Wer noch nicht begonnen hat, sich mit diesen Bausteinen zu beschäftigen, sollte dies aufgrund der stetig steigenden Risiken umgehend nachholen. Dies gilt in Zeiten der COVID-19 bedingten Ausweitung von "Remote Work" umso mehr.
Haben wir Ihr Interesse geweckt? Dann sprechen Sie uns gern an.
Unser Berater-Team freut sich auf Sie.
