Die Remote-Arbeit wird in vielen kleinen und mittelgroßen Unternehmen auch zukünftig weiter zum Alltag gehören – genau wie die Cybersicherheitsprobleme, die häufig damit einhergehen. Die folgenden Methoden helfen, auch dann die IT-Sicherheit im Unternehmen zu gewährleisten, wenn viele Angestellte im Homeoffice arbeiten.
IT-Sicherheit in KMU: 3 Maßnahmen, um das Personal und damit das gesamte Unternehmen vor Cyberangriffen zu schützen
1. Regelmäßig mit Angestellten über Best Practices sprechen
Ein kleiner Fehler reicht aus, um die IT-Sicherheit im Unternehmen zu kompromittieren: Jemand klickt auf den falschen Link, Schadcode wird installiert und schon können Cyberkriminelle sich Zugang verschaffen. Das Personal ist bei der Verteidigung gegen Cybersicherheitsbedrohungen nicht nur das wichtigste, sondern auch das schwächste Glied (vollständige Untersuchung für Gartner-Kunden verfügbar).
Angestellte arbeiten von verschiedenen Orten aus und nutzen dazu ihre persönliche Internetverbindung, die sie oft mit Partnerpersonen, WG-Mitgliedern oder Familienmitgliedern teilen. Durch die Pandemie sind viele von ihnen gestresst und die Arbeit im Homeoffice kann zum Burnout führen, was die Angestellten besonders anfällig für Fehler oder Unachtsamkeiten macht. Ihre Rolle für die IT-Sicherheit im Unternehmen ist gleichzeitig wichtiger als je zuvor. Ausführliche Cybersicherheitsschulungen für das gesamte Personal sollten daher für jede Unternehmensleitung eine hohe Priorität haben.
Eine Untersuchung von SolarWinds ergab, dass ganze 80 % der Cybersicherheitsvorfälle mit Fehlern durch interne Nutzer zusammenhängen.
Regelmäßige Gespräche über Best Practices helfen, die Cybersicherheit im Bewusstsein aller Angestellten zu halten. Sinnvoll sind beispielsweise längere Workshops sowie regelmäßige Newsletter mit Tipps zur Cybersicherheit.
Es gibt zahlreiche unkomplizierte Maßnahmen, die sich stark auf die IT-Sicherheit des Unternehmens auswirken können, darunter die Vermeidung von ungesicherten öffentlichen WLAN-Netzwerken, Schulungen zum Erkennen von Phishing-Versuchen, mehrstufige Authentifizierung und die Nutzung eines VPNs (Virtual Private Network) bei der Internetnutzung über eine private Verbindung.
Es ist sinnvoll, diese Richtlinien den Angestellten wöchentlich oder monatlich in Erinnerung zu rufen, damit keine Lücken in der Sicherheit entstehen.
2. In die richtige Sicherheitstechnologie investieren
62 % der Unternehmen in Deutschland, Österreich und der Schweiz wollen 2021 mehr für die IT-Sicherheit ausgeben und für Investitionen in diesem Bereich ist es nie zu spät.
Sinnvoll ist es, zunächst zu analysieren, wo die eigenen Stärken und Schwächen im Bereich IT-Sicherheit liegen und welche Tools bereits vorhanden sind, bevor neue Tools für eine sichere Remote-Arbeit ausgewählt werden. Die folgenden Softwarelösungen sind für die Netzwerksicherheit besonders wichtig:
Endpunkt-Sicherheitssoftware dient dem Schutz von Netzwerkservern und Geräten wie Laptops und Smartphones. Sie kann Malware erkennen und blockieren, Ransomware-Angriffen vorbeugen und heruntergeladene Dateien überprüfen.
Virtuelle private Netzwerke (VPNs) bieten Angestellten, die ihre private Internetverbindung nutzen, zusätzliche Sicherheit. Das VPN verschlüsselt die über Webserver gesendeten Daten. Viele Unternehmen verlangen die Nutzung eines VPNs, wenn Remote-Teammitglieder auf vertrauliche Informationen, Kundendaten oder das Intranet des Unternehmens zugreifen.
Ein großer Teil der Cybersicherheitsverletzungen geht auf schwache Passwörter zurück. Passwortmanagement-Software hilft Teammitgliedern, starke Passwörter zu erstellen und sie sicher zu speichern.
Software-Updates sind ein grundlegender Sicherheitsfaktor. Alle Angestellten sollten wissen, wie wichtig es ist, Updates sofort durchzuführen und nicht zu verschieben. Patch-Management-Software kann Unternehmen bei der Update-Verwaltung unterstützen und Erinnerungen an Angestellte senden, die im Homeoffice arbeiten.
Tools für die mehrstufige Authentifizierung fügen eine zusätzliche Sicherheitsebene hinzu, indem sie für den Zugriff auf geschäftliche Konten neben dem Passwort auch einen Passcode oder biometrische Informationen anfordern.
Diese und weitere Sicherheitssoftware und -technologien stärken die IT-Sicherheit im Unternehmen und gleichen die Risiken aus, die durch Remote-Arbeit entstehen.
3. Einen Reaktionsplan für Cybersicherheitsvorfälle erstellen
Mit Schulungen für das Personal und guter Sicherheitssoftware tun Unternehmen bereits viel, um das Risiko von Cyberangriffen einzudämmen. Selbst mit den besten Maßnahmen kann man sich jedoch nie vollständig schützen und jedes Unternehmen sollte darauf vorbereitet sein, früher oder später doch einmal einem Angriff zum Opfer zu fallen.
Nichtsdestotrotz haben Gartner zufolge nur 37 % der Unternehmen einen Reaktionsplan für Cyberangriffe (vollständige Studie für Kunden verfügbar).
Ein durchdachter Plan für den Umgang mit der Situation ist im Falle eines Angriffs entscheidend. An wen soll sich beispielsweise ein Angestellter wenden, wenn er versehentlich auf einen Link in einer Phishing-E-Mail geklickt hat? Wie soll die kontaktierte Person anschließend vorgehen, um weitere Verantwortliche im Unternehmen zu informieren und die Auswirkungen auf das Geschäft und die Daten zu minimieren?
Der Krisenmanagementplan für die IT-Sicherheit sollte so einfach wie möglich gehalten werden, damit im Ernstfall sofort klar ist, was zu tun ist. Dabei gilt es, bestehende sowie neue Bedrohungen einzubeziehen, kritische Infrastrukturen zu berücksichtigen und den Plan regelmäßig zu testen, damit er in der Praxis auch wirklich funktioniert.
Im Rahmen dieser Planung sollten Unternehmen ein Team für das Krisenmanagement benennen, festlegen, welche Art von Vorfall die Umsetzung des Plans auslöst, und ein Ablaufdiagramm für das Krisenmanagement erstellen, das darstellt, welche Maßnahmen wann ergriffen werden.
Ebenfalls sinnvoll sind Vorlagen für die Krisenkommunikation, mit denen im Krisenfall Zeit gespart werden kann. Im Reaktionsplan sollten Rollen und Verantwortlichkeiten für jedes Mitglied des Reaktionsteams klar definiert werden.
Wichtig ist, dass alle Angestellten den Plan kennen und jederzeit zugänglich haben, damit sie gleich wissen, an wen sie sich in welchen Fällen wenden können.
Ganzheitliche Cybersicherheitsstrategien für mehr IT-Sicherheit im Unternehmen
Für einen wirksamen Schutz vor Cybersicherheitsbedrohungen müssen Unternehmen in allen wichtigen Bereichen Maßnahmen ergreifen.
Keiner von den obigen Schritten darf ausgelassen werden, wenn du in der Lage sein willst, Sicherheitsvorfälle wirkungsvoll zu verhindern und zu bewältigen. Informiere deine Angestellten über Best Practices und führe Schulungen durch, damit sie wissen, wie sie Phishing-E-Mails und verdächtige Websites erkennen, wie starke Passwörter aufgebaut sind und welche weiteren Sicherheitsmaßnahmen im Arbeitsalltag wichtig sind. Sicherheitssoftware bietet zusätzlichen Schutz für deine sensiblen Unternehmensdaten.
Mit diesen Maßnahmen lässt sich das Risiko bereits deutlich reduzieren, doch das heißt nicht, dass du auf einen guten Krisenmanagementplan verzichten könntest. Erst damit wissen alle, was im Ernstfall zu tun ist und wie weiterer Schaden verhindert werden kann.
Alles zusammen schafft eine sichere Umgebung, in der du und deine Teams entspannt arbeiten können.
