Schlagkräftiger digitaler Schutz für Kleinstunternehmen - Pflicht statt Kür

Doch so geringfügig diese Unternehmensklasse wirken mag, sie ist allein in Deutschland überwältigend groß. 2022 zählten nicht weniger als 82,0 Prozent aller Firmen hierzulande zu dieser Gruppe.

Schon statistisch gesehen liegen die kleinsten Wirtschaftsbetriebe daher zwangsläufig im Fokus von Cyberkriminellen. Hinzu kommt, dass viele dieser Häuser einfach nicht die finanziellen und personellen Kapazitäten besitzen, um äußerst umfassende eigene Sicherheitslösungen aufzubauen - das sorgt für weiteres kriminelles Interesse. Dennoch lässt sich mit den richtigen Kniffen ein schlagkräftiger digitaler Schutzschild erzielen - aber wie?

Sicherheit zur Angelegenheit für alle machen

In größeren Unternehmen mit eigenem IT-Personal kann man es sich vielleicht leisten, wenn der restliche Mitarbeiterstab etwas weniger auf Sicherheit fokussiert ist. In solchen Fällen können sich die anderweitig Beschäftigten entlang der Schutzmaßnahmen der IT-Profis bewegen. In Kleinstunternehmen funktioniert das häufig nicht. Das heißt, hier sollte es vom CEO bis zum Praktikanten eine einheitliche Linie geben:

  • Jeder sollte umfassend, regelmäßig und gleichermaßen geschult werden, damit die häufigsten Schwachstellen bekannt sind und beseitigt werden können.
  • Jeder sollte in der Gewissheit arbeiten, dass sein Verhalten von höchster Relevanz ist - selbst, wenn seine Arbeit nur wenig mit IT zu tun hat.
  • Allen sollte klar sein, dass das Unternehmen trotz und wegen seiner geringen Größe ein interessantes Ziel ist. Denn im Mindesten gibt es Firmenkonten, Kundendaten und Betriebsinterna.

Naturgemäß sollte diese Philosophie „oben“ beginnen: Digitalsicherheit muss besonders in Kleinstunternehmen Chefsache sein. Denn in solchen Häusern ist sie kein IT-Thema, sondern ein Führungsthema.

Etablierte Werkzeuge statt komplizierte Insellösungen wählen

Jedes Unternehmen möchte viele Alleinstellungsmerkmale generieren. Was allerdings die digitalen Werkzeuge zwischen Betriebssystem, Office-Software und insbesondere den digitalen Sicherheitslösungen anbelangt, wäre es falsch, nach größter Einzigartigkeit zu streben. Manche etablierten Tools mögen vielleicht nicht so exklusiv wirken wie ein individuell programmiertes Werkzeug; andere bieten mitunter nicht das letzte Quäntchen Anpassbarkeit für das jeweilige Unternehmen. Dafür jedoch stecken hinter diesen Werkzeugen eine große fachmännische Expertise und Millionen oder gar Milliarden User - und somit enorme Erfahrungsschätze. Das bietet nicht nur an sich eine hohe inhärente Sicherheit, sondern liefert diese Sicherheit zu vergleichsweise geringen Kosten. Mit anderen Worten: Ein besseres Preis-Leistungs-Verhältnis lässt sich für Kleinstunternehmen kaum finden.

Auf gesunden Menschenverstand setzen

Warum tun sich Cyberkriminelle gegen Großunternehmen schwerer als gegen kleinere Häuser? Nicht zuletzt deshalb, weil Konzerne nicht nur IT-Abteilungen betreiben, sondern eigene Sicherheitsexperten, die 24/7 nichts anderes tun. In Kleinstunternehmen gibt es häufig nicht einmal einen IT-Profi - der sowieso die Sicherheit nur nebenbei erledigen könnte. Das ist nicht nur ein starkes Argument, im Zweifel stets outzusourcen. Es ist ebenso ein Argument dafür, maximal auf gesunden Menschenverstand zu setzen.

Betrachtet man das aktuelle Vorgehen von Cyberkriminellen, lässt sich leicht erkennen, was die beliebtesten Angriffsvektoren sind:

Und, auch das zeigt die Realität, immer wieder sind es Lücken, die mit gesundem Menschenverstand geschlossen werden könnten. Allein, wenn alle Mitarbeiter regelmäßig in Sachen IT-Sicherheit geschult werden, ist bereits ein wichtiger Schritt getan. Dennoch sollten auch folgende Maßnahmen ergriffen werden:

  • Minimalprinzip bei der Rechtevergabe („Least Privilege Principle“). Jeder hat nur auf das Zugriff, was er für die Arbeit wirklich benötigt.
  • Primäre Absicherung von E-Mail und Internet, weil es die bedeutendsten Einfallstore sind. Hierbei helfen unter anderem DNS-basierte Filter und leistungsfähige Spamfilter.
  • Leichtverständliche, von Profis gestaltete Anleitungen für die tägliche Nutzung nach dem Wenn-Dann-Prinzip. Etwa: „Wenn E-Mail Überweisung fordert, dann bei CEO persönlich oder telefonisch nachfragen“.

Wenn dann noch jeder Mitarbeiter eigene Zugangsdaten hat und jeder Zugriff protokolliert wird, lässt sich bereits eine hohe Grundsicherheit erzielen. Nicht lückenlos, aber viele wichtige Angriffsvektoren abdeckend. Denn, das beweisen die Cybercrime-Statistiken ebenfalls: Die wenigsten Cyberkriminellen sind extrem versierte Hacker. Viele suchen vielmehr nach simplen, günstigen Gelegenheiten über etablierte, einfache Angriffswege.

Backups wie Profis anlegen

Unbekannte Täter sperren die IT eines Kleinstunternehmens via Ransomware. Für viele Firmen würde das mindestens eine Zwangsunterbrechung bedeuten - mitunter sogar das Aus. Dabei können gerade kleinste Betriebe auf vergleichsweise leichtem Weg Backups generieren, sofern sie nicht sowieso konsequent auf professionelle Cloud-Lösungen setzen.

Denn das Datenaufkommen ist in solchen Häusern vergleichsweise überschaubar. Backups sind daher leicht, schnell und kostengünstig zu erstellen.

Es ist jedoch nötig, folgende Prinzipien zu beherzigen:

  • Immer nach der 3-2-1-Regel: 3 Kopien von allen Datensätzen auf 2 unterschiedlichen Medien, von denen wenigstens 1 Exemplar ständig offline oder (besser) gar nicht angeschlossen ist - die sogenannte Air Gap.
  • Alle Backups werden mit vom Hauptsystem getrennten Methoden verschlüsselt. Auch dafür existieren spezielle Tools.
  • Einmal pro Quartal mit allen Kopien Restore-Tests durchführen, um Schwierigkeiten aufzudecken und dem Personal Routine zu vermitteln.

 

Absolut kein BYOD - idealerweise

Bring Your Own Device. Sinngemäß übersetzt: Das Nutzen privater Mitarbeiter-Geräte entweder zulassen oder sogar aktiv fördern. Das ist aus Sicht von Kleinstunternehmen zunächst sinnvoll, kann es doch auf den ersten Blick Kosten reduzieren helfen. In Sachen Digitalsicherheit handelt es sich jedoch meistens um eine unnötige Schwachstelle.

Denn nicht jeder Mitarbeiter verhält sich auf seinen Geräten auch im Privaten so sicher, wie er es auf der Arbeit macht. Daneben finden sich darauf jede Menge Programme, Apps und dergleichen, die nichts mit dem Unternehmen zu tun haben - oft jedoch über intransparente, geräteinterne Zugriffsrechte zum Einfallstor werden können. Idealerweise sollten Kleinstunternehmen daher BYOD komplett untersagen. Falls das nicht gewünscht/möglich ist, sollten die Geräte mindestens über ein (Mobile) Device Management (MDM) kontrolliert eingebunden werden.

Tags
Nach themenverwandten Beiträgen filtern

Aktuellste news

Austropanel & Paneelpartner GmbH: Werkstart für Sandwichpaneele

Austropanel & Paneelpartner GmbH: Werkstart für Sandwichpaneele

Mit dem Aufbau eines neuen Produktionswerks für Sandwichpaneele im Balkan setzt Austropanel ein deutliches Zeichen für den europäischen Markt. Für die Paneelpartner GmbH, die als strategischer Vertriebspartner fungiert, bedeutet der…

Ultradünne transparente Displays richtig einsetzen

Ultradünne transparente Displays richtig einsetzen

Die nächste Generation digitaler Unternehmenskommunikation beginnt auf Glas. Erfahren Sie, wie ultradünne transparente LED-Filme bestehende Glasflächen in intelligente Kommunikationsplattformen verwandeln und völlig neue Möglichkeiten für Showrooms, Retail, Messen und Unternehmensgebäude…

Nachhaltigkeit und Kostenkontrolle: Wie Unternehmen ihre Flotte zukunftsfähig aufstellen

Nachhaltigkeit und Kostenkontrolle: Wie Unternehmen ihre Flotte zukunftsfähig aufstellen

Steigende Kraftstoffpreise, die das Budget zunehmend belasten, verschärfte Emissionsvorschriften, die auf europäischer und nationaler Ebene immer strengere Grenzwerte vorgeben, sowie wachsender gesellschaftlicher Druck setzen Fuhrparkverantwortliche in deutschen Unternehmen unter erheblichen…

Aktuellste Interviews

Wir reparieren keine Autos, wir lösen Probleme

Interview mit Timo Szabo, Geschäftsführer der Szabo GmbH

Wir reparieren keine Autos, wir lösen Probleme

Kaum eine Branche verändert sich derzeit so dynamisch wie der Automobilhandel. Zwischen Elektromobilität, Digitalisierung und wachsendem Wettbewerbsdruck sind klare Strategien gefragt. Die Szabo GmbH begegnet diesem Wandel mit einer konsequenten…

„Unser Produkt ist der Mensch!“

Interview mit Manuel Fink, Geschäftsführer der ProServ Produktionsservice und Personaldienste GmbH

„Unser Produkt ist der Mensch!“

ProServ hat sich als schlagkräftiger Personaldienstleister in Produktion und Logistik nicht nur dank seines weltbekannten Gesellschafters Michelin einen Namen gemacht. Geschäftsführer Manuel Fink verriet im Interview mit Wirtschaftsforum, wie sich…

Geschmack trifft Emotion

Interview mit Lukas M. Walchhofer, geschäftsführender Gesellschafter von STAY SPICED !

Geschmack trifft Emotion

Was macht aus einem Gewürz ein Lifestyle-Produkt? Die SPICEWORLD GmbH vereint in ihrer Marke STAY SPICED ! hochwertige Rohstoffe, nachhaltige Produktion und eine emotionale Markenwelt. So entwickelte sich das Unternehmen…

TOP