5 Beispiele, bei denen sich KMU-Geschäftsführer in falscher IT-Sicherheit wiegen

Die meisten KMU unternehmen diverse Anstrengungen für Datenschutz und Datensicherheit. Doch unklare Zuständigkeiten und Verantwortlichkeiten unterlaufen den Schutz vor Datenverlust und Cyberattacken. Fünf Beispiele – und Lösungsansätze.

Die Daten werden regelmässig im Backup gesichert, der IT-Partner spielt Updates ein und der Zugriff auf die Cloud-Datenablage ist mit verschiedenen Zugriffsrechten geregelt. Alles im grünen Bereich also? Schauen wir genauer hin und entlarven wir die Irrtümer, die die gut gemeinten Sicherheitsmassnahmen wieder zunichte machen. Die drei Beispiele haben etwas gemeinsam: Das Scheitern liegt nicht an der Technik, sondern an organisatorischen Fehleinschätzungen.

Ein genauer Blick lohnt sich, denn Geschäftsführer und Inhaberinnen sind von Gesetzes wegen verantwortlich für Datenschutz und Datensicherheit in ihrem KMU. Diese Verantwortung sowie das Risiko lassen sich nicht auslagern – weder an Mitarbeitende noch an IT-Dienstleister oder an eine Versicherung. Und das neue Datenschutzgesetz (nDSG), das am 1. September 2023 in Kraft trat, erhöht die Ansprüche an die Datensicherheit als Voraussetzung für den Datenschutz. Jetzt ist also ein guter Moment, um die getroffenen Massnahmen zu prüfen, zu hinterfragen – und zu verbessern. Dieser Artikel zeigt mögliche Probleme auf und liefert Lösungsansätze in Form einer Checkliste.

Irrtum 1: Dank Backup sind die Daten gesichert

In regelmässigen Abständen sichert das KMU seine wichtigen Geschäftsdaten – Office-Dokumente, die Datenbanken von CRM und ERP, Handbücher und was sonst noch an relevanten digitalen Informationen anfällt. Doch im Notfall muss sichergestellt sein, dass die Daten auch wiederhergestellt werden können. Und Cyberkriminelle dürfen bei einem erfolgreichen Angriff keinen Zugriff auf die Backups erhalten, weil sie diese sonst verschlüsseln und unbrauchbar machen oder veröffentlichen können.

Überdenken Sie Ihre Backup-Strategie, falls eine dieser Aussagen auf Sie zutrifft:

• Die Sicherung ist permanent von einem PC aus zugänglich, weil sie auf einer externen Festplatte oder in einem Netzwerkspeicher liegt.
• Die Sicherung ist unverschlüsselt.
• Es gibt keine Prüfung, ob die Wiederherstellung funktioniert und ob die Backup-Medien verfügbar und lesbar sind.

Irrtum 2: Sichere Passwörter sind sicher

Alle verwendeten Passwörter entsprechen den Richtlinien für sichere Passwörter wie etwa: mindestens 12 Zeichen, Sonderzeichen, keine Wörter aus dem Wörterbuch. Das ist ein guter Ansatz, aber noch lange keine Garantie: Wird ein solches Passwort bei einem Datendiebstahl oder mittels Phishing entwendet, ist es nicht mehr sicher. Denn Cyberkriminelle versuchen, sich via «Credential Stuffing» mit bekannten Zugangsdaten an verschiedenen Diensten anzumelden. Zusätzliche Schutzmassnahmen sind zumindest für wichtige Konten wie Microsoft 365 oder Unternehmensanwendungen notwendig. Eine Zweifaktor-Authentifizierung (2FA) erhöht die Sicherheit, kann aber je nach Verfahren ebenfalls ausgehebelt werden. Besser sind Ansätze, die eine Authentifizierung ohne Passwort ermöglichen.

Wenn eine der folgenden Aussagen auf Ihr KMU zutrifft, sollten Sie den Schutz geschäftlicher Konten verbessern:

• Wir verwenden für mehrere Konten dasselbe Passwort.
• Wir arbeiten ohne Passwort-Manager.
• Es gibt keine Richtlinien für Passwörter.
• Unsere Konten sind nur mit einem Passwort geschützt, ohne zusätzliche Sicherheitsmassnahme.

Irrtum 3: Zugriffsrechte und persönliche Konten schützen unsere Daten

Im Prinzip ist diese Aussage korrekt. Doch in der Realität schaut die Situation oftmals anders aus, indem beispielsweise alle auf alles Zugriff haben. Was vielleicht als Vertrauensbeweis in die Mitarbeitenden gedacht ist, erleichtert Cyberkriminellen die Arbeit ungemein. Denn ist eine Ransomware erst einmal im lokalen Netzwerk aktiv, kann sie ungehindert auf alle Systeme zugreifen und die Daten verschlüsseln. Und das Risiko von Fehlmanipulationen steigt, wenn Mitarbeitende beispielsweise versehentlich die gesamte digitale Projektablage im Papierkorb entsorgen können.

Auch hier: Wenn eine der folgenden Aussagen auf Sie zutrifft, sollten Sie die Berechtigungen überprüfen:

• Alle Mitarbeitenden haben Zugriff auf die gesamte Dokumentenablage – mit wenigen Ausnahmen wie Buchhaltung und HR.
• Wenn Mitarbeitende das Unternehmen verlassen, bleiben die Konten eine Zeit lang aktiv.
• Für gewisse Cloud-Dienste oder das Intranet nutzen mehrere Mitarbeitende dasselbe Konto und Passwort.

Irrtum 4: Wir spielen regelmässig Updates ein

Das Problem liegt in der Definition von «regelmässig»: Spielen Sie Sicherheits-Updates sofort nach Erscheinen ein, oder gibt es fixe Zeitintervalle, in denen Ihr KMU selbst oder der IT-Partner Arbeitsstationen und Server aktualisiert? Bei schwerwiegenden Sicherheitslücken in Windows und in Office-Anwendungen (Microsoft 365) verschaffen Sie Cyberkriminellen mit verzögerten Updates ein – hoch willkommenes – Zeitfenster, um die Lücke auszunutzen.

Sie kennen es bereits: Wenn eine der folgenden Aussagen auf Sie zutrifft, sollten Sie die Update-Strategie hinterfragen:

• Wir (oder der IT-Partner) installieren Updates in definierten Zeitabständen.
• Wir haben Systeme in Betrieb, für die es keine Sicherheits-Updates mehr gibt.
• Gewisse Systeme können wir nicht aktualisieren, weil die Software, die darauf läuft, zu alt für neuere Betriebssysteme ist.
• Es liegt in der Entscheidung der Mitarbeitenden, wann – und ob – sie Updates installieren.

Irrtum 5: Dank Firewall sind wir sicher

Diese Aussage muss nicht falsch sein. Aber es kommt darauf an, was die Firewall erkennt. Ältere Firewalls schützen oft nur bei Angriffen von aussen oder blockieren den Zugriff auf bestimmte Adressen. Malware, die via Mailprogramm oder Browser heruntergeladen wird, oder ein bösartiges Skript auf einer Website werden dabei nicht erkannt. Sie gelangen ins Firmennetz, ohne dass die Firewall Alarm schlägt. Einen besseren Schutz bietet eine Firewall, die den Inhalt des Netzwerkverkehrs untersuchen kann – und die dafür auch richtig konfiguriert ist. Doch egal, wie gut die Firewall im Büro ist: Im Homeoffice oder beim Arbeiten unterwegs nützt sie nichts.

Auch hier: Wenn eine der folgenden Aussagen auf Sie zutrifft, sollten Sie den Schutz ihrer lokalen Infrastruktur prüfen:

• Wir haben die Zuständigkeiten für den Betrieb der Firewall nicht definiert (zum Beispiel in einem Servicevertrag mit einem IT-Partner).
• Wir haben keinen Prozess dafür definiert, wie wir mit Warnungen der Firewall umgehen.
• Die Geschäfts-Notebooks sind nur mit den grundlegenden Schutzmassnahmen wie Antivirensoftware geschützt.

Checkliste: Fragen an den IT-Partner zur Stärkung der IT-Sicherheit

Solche Sicherheitsprobleme sind meist keine Absicht. Sondern sie entstehen aufgrund unklarer Verantwortlichkeiten zwischen KMU und IT-Partner, mangelhafter Dokumentation oder Kostendruck bei IT-Dienstleistungen. Zeitnahe Updates beispielsweise bedingen häufigere Ein­sätze der IT-Fachleute oder des IT-Partners. Und gerade Updates sind ein gutes Beispiel dafür: IT-Sicherheit ist ein kontinuierlicher Prozess, den es laufend zu hinterfragen und anzupassen gilt.

Es lohnt sich, bei IT-Sicherheit näher hinzuschauen und Klarheit zu schaffen. Die Transparenz über Aufgaben und Verantwortlichkeiten zeigt Ihnen, wo Ihr KMU steht. Mit den passenden Sicherheitsmassnahmen reduzieren Sie die Risiken eines Cyberangriffs und den damit verbundenen Reputationsschaden sowie Betriebsausfälle. Ein ausgearbeiteter und kommunizierter Notfallplan senkt die Auswirkungen eines potenziellen Angriffs.

Diese Checkliste fasst wichtige Punkte zusammen, die Sie zusammen mit Ihrem IT-Partner diskutieren können, um zusammen die IT-Sicherheit zu professionalisieren:

1. Geschäftskritische Daten und Applikationen: Was benötigen Sie zwingend, um den Betrieb zu gewährleisten? Dies gibt Ihnen einen Hinweis auf die Priorisierung von IT-Sicherheitsmassnahmen.
2. Leistungsbeschrieb der Serviceverträge: Welche Aufgaben und Verantwortlichkeiten sind darin geregelt? Sind beispielsweise die Verschlüsselung von Backups festgehalten, das Update-Intervall, das Benutzermanagement oder die Reaktionszeit bei einem Ausfall?
3. Dokumentation: Gibt es eine standardisierte Checkliste für Wartungsarbeiten? Werden die erledigten Aufgaben protokolliert? Haben Sie als Geschäftsführer dank der Dokumentation Transparenz über den aktuellen Zustand Ihrer IT?
4. Einhaltung und Prüfung und der Vorgaben: Werden die Vorgaben eingehalten, und entsprechen sie noch den aktuellen Bedürfnissen? Veränderungen an der IT-Umgebung können andere Richtlinien bedingen.
5. Security-Assessment: Müssen Sie Klarheit schaffen über den aktuellen Stand Ihrer IT-Sicherheit? Mit einem Assessment erhalten Sie eine detaillierte Zustandsbeschreibung Ihrer Infrastruktur und können allfällige Optimierungs-Massnahmen auf Faktenbasis planen.
6. Zusatzaufwände: Wie werden zusätzliche Leistungen geregelt und verrechnet? Darunter fällt beispielsweise der ungeplante Austausch von Hardware oder die Anpassung von Firewall-Regeln ausserhalb der vereinbarten Wartung.
7. Notfallplan: Und zum guten und wichtigen Schluss: Funktionieren die Notfallmassnahmen bei einem Datenverlust oder Cyberangriff? Dazu gehört, dass präventive Sicherheitsmassnahmen wie ein Backup oder der Ausfall redundanter Netzwerkkomponenten getestet werden, bevor etwas passiert.

Die regelmässige Überprüfung und Anpassung von IT-Sicherheitsmassnahmen senkt das Risiko vor Datenverlust und erfolgreichen Cyberangriffen und damit auch das Risiko vor Betriebsausfällen. Zudem ist IT-Sicherheit ein zentraler Bestandteil der Vorgaben im neuen Datenschutzgesetz, das die Geschäftsleitung in die Verantwortung und Fürsorgepflicht gegenüber ihren Mitarbeitenden nimmt. Das nDSG sieht bei Verstössen eine persönliche Haftung und entsprechende Bussen vor. Mit einer erhöhten IT-Sicherheit verringern Sie das Risiko solcher Vorfälle und schützen damit sich selbst und Ihre Mitarbeitenden.