Deutschland
 

Risk-Management für KMU

Mittelstand besonders gefährdet für Cyberangriffe

Für viele mittelständische Unternehmen wurde E-Commerce in der Pandemie zur neuen Einnahmequelle, um den Rückgang im klassischen Handel zu kompensieren. Dadurch sind jedoch auch neue Angriffsflächen im Internet entstanden.
Von 
CSO | 30. Mai 2022 05:48 Uhr
Cybervorfälle können gerade in kleineren und mittleren Unternehmen (KMU) großen Schaden anrichten. Lesen Sie dazu, welche Schutzmaßnahmen im Mittelstand erforderlich sind.
Cybervorfälle können gerade in kleineren und mittleren Unternehmen (KMU) großen Schaden anrichten. Lesen Sie dazu, welche Schutzmaßnahmen im Mittelstand erforderlich sind.
Foto: Nebojsa Tatomirov - shutterstock.com

Während eine Security-Verletzung bei einem größeren Unternehmen einen hohen finanziellen Verlust, den Ausfall von Geschäftsprozessen und manchmal auch einen großen Imageschaden verursacht, kann dies bei kleineren Betrieben zur Aufgabe der Geschäftstätigkeit führen. Das bestätigt auch eine Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI): Demnach haben eine von vier Cyberattacken sehr schwere oder existenzbedrohende Folgen für den Mittelstand.

Der Data Breach Investigation Report 2021 zeigt, dass inzwischen kleinere Unternehmen bis 1.000 Mitarbeiter bei der Anzahl der verifizierten Sicherheitsverletzungen (1.037) die größeren Unternehmen mit mehr als 1.000 Mitarbeitern (819) deutlich übertreffen. Daher ist es für mittelständische Unternehmen ratsam, sofort eine Inspektion der Sicherheitsprotokolle, des IT-Risikomanagements und des Sicherheitsequipments vorzunehmen sowie die richtigen Investitionen in die IT-Sicherheit durchzuführen. Ohne diese Inspektionen laufen die Unternehmen blind in die Arme der Angreifer. Ebenfalls sollten neue Arbeitsrichtlinien eingeführt werden. Wichtig ist auch die Beantwortung der Frage, ob es eine schriftlich fixierte Strategie gibt, um mögliche Unterbrechungen des Betriebsablaufs durch Cyberangriffe zu verhindern, beziehungsweise eine schnelle Wiederinbetriebnahme einzuleiten.

Im Folgenden sind die wichtigsten Schritte zur Umsetzung eines erfolgreichen Risk-Managements beschrieben.

Das IT-Management durchleuchten

Die Grundlage von allem ist, die Cyberrisiken zu verstehen und herauszufinden, wo genau sich die Stellen mit hohem Risiko im Unternehmen befinden. Dies ist für die Fortführung der Betriebsabläufe im Krisenfall von entscheidender Bedeutung. Allerdings ist der Zeitaufwand dafür enorm. Glücklicherweise stellen industriespezifische nationale Organisationen Vorschriften und Rahmenwerke zur Verfügung. Dazu gehören Regulierungsstandards wie ISO 27001, IEC 62443 und die NIST-Rahmenwerke. Nationale Sicherheitsbehörden wie das BSI stellen ebenfalls Orientierungshilfen zur Verfügung.

Tipp: Security-Strategien sollten erläutern, wie sie die Anforderungen der Compliance-Vorgaben erfüllen.

Benutzerkonten schützen - Reduktion der Angriffsoberfläche

Die Kontrolle und die Sicherheit von Benutzerkonten stehen ganz oben auf der Liste der IT-Risiken. Einen privilegierten Zugang mit Zugriff auf kritische Anwendungen und Systeme haben beispielsweise häufig externe Dienstleister und interne Administratoren. Diese Konten sind ein bevorzugtes Ziel für Cyberangriffe – vor allem Identitätsdiebstahl. Denn mit nur einem Zugang kann ein Angreifer wichtige Daten extrahieren, manipulieren oder verschlüsseln und tiefer in die Infrastruktur und den Betrieb eindringen. Den Schutz privilegierter Konten bieten geeignete Tools.

Tipp: Die Zugangsdaten zu kritischen Systemen sollten den Benutzern nicht bekannt sein, sondern stattdessen in einem sicheren Passwort-Manager aufbewahrt und regelmäßig geändert werden. Zur sicheren Benutzer-Authentifizierung existieren Technologien wie die Multi-Faktor-Authentifizierung (MFA). Mit der Verwaltung aller privilegierten Konten über eine zentralisierte Lösung ist die MFA ein großer Schritt zu einer soliden Cybersicherheit.

Zusätzlicher Schutz für kritische Systeme

Eine Zusammenarbeit und der Austausch mit kritischen Systemen, besonders durch privilegierte Benutzer, stellt ein sehr hohes Risiko dar. Hier kann durch ein vorsätzliches oder unbeabsichtigt fehlerhaftes Handeln ein großer Schaden entstehen. Typische Beispiele sind ein vollständiger Systemausfall, Infektionen mit Schadcode oder Der Abfluss vertraulicher Daten. Es sollte sichergestellt sein, dass Interaktionen mit kritischen Systemen die Sicherheitsvorgaben nicht verletzen und lückenlos nachvollziehbar sind. Auf diese Weise können manipulative Eingriffe auf die Datenintegrität sofort erfasst, unterbunden und gemeldet werden.

Tipp: Anhand von Risikoklassen sollten konkrete Regelwerke und Überwachungssysteme definiert und umgesetzt werden, um den Aktionsrahmen auf kritischen Systemen in Echtzeit zu kontrollieren und damit Audit-fähig zu machen.

Anwendung des Prinzips der geringsten Privilegien

Damit Benutzer die Infrastruktur nicht schädigen können, sollten ihnen alle Privilegien auf Benutzer-, Applikations- oder Prozessebene entzogen werden. Diese drastische Maßnahme kann zwar erhebliche Auswirkungen auf die Produktivität der Anwender haben, wenn die Zugriffsberechtigungen auf wichtige Ressourcen nicht mehr ausreichen. Doch mit den richtigen Einstellungen sollte die Produktivität nicht eingeschränkt sein.

Um Sicherheit und Produktivität in Einklang zu bringen, ist das Prinzip der Privilegien mit der geringsten Notwendigkeit (principle of least privileges) anzuwenden. Basierend auf Benutzer- und Systemprofilen werden nur die Privilegien erteilt, die für die reibungsfreie Arbeit erforderlich sind, ohne Einschränkungen hinnehmen zu müssen. Hier muss im Vorfeld exakt definiert werden, auf welche Ressourcen jeder Benutzer zugreifen darf. Alle anderen Anwendungen, Tools und Daten sind für den User nicht sichtbar, und damit auch nicht für einen potenziellen Angreifer. Was er nicht sehen kann, kann er nicht angreifen.

Tipp: Die Privilegien von Business Applikationen sollten durch gültige Regelwerke an Benutzer- und Maschinenprofile angepasst werden.

Zero-Trust als allein gültiges Prinzip

Das Zero-Trust-Prinzip besagt, dass niemandem, auch nicht den einst privilegierten Benutzern, automatisch vertraut werden darf. Denn selbst Mitarbeiter mit hohen Privilegien können falsche Befehle auf dem falschen kritischen System ausführen. Oftmals können sie gar nichts dafür, denn die Betrügereien mittels ausgeklügelter Phishing-Maßnahmen sind immer schwerer zu entdecken. Es ist leicht, darauf reinzufallen. Darüber hinaus gibt es zudem Mitarbeiter, auch wenn viele Unternehmen das nicht wahrhaben möchten, die sich an der Firma rächen wollen. Diese stellen oft das größte Sicherheitsrisiko dar.

Deshalb gilt grundsätzlich: Benutzer müssen immer sicher identifiziert werden (Nachweis durch starke Authentifizierung) und sich an die Hausordnung halten (konkrete Regelwerke für die jeweilige "Risikoklasse" des zu schützenden Systems).

Tipp: Solche Regelwerke solten Unternehmen in zwei Schritten erstellen. Sie starten mit der Klassifizierung der kritischen Systeme (zum Beispiel Risikoklasse 0 für hohes Risiko und maximale Einschränkung beim Zugriff). Danach werden die Regelwerke für die jeweiligen Risikoklassen definiert.

Sich erfolgreich mit dem Risiko auseinandersetzen

Da mittelständische und kleine Unternehmen anfälliger als große Unternehmen für Cyberangriffe sind und die Folgen für diese Unternehmen fatal sein können, ist eine proaktive Investition in eine IT-Risikomanagementstrategie essenziell. Im Zentrum steht dabei der Schutz von privilegierten Benutzern und von privilegierten Zugängen. Ergreifen Unternehmen frühzeitig geeignete Maßnahmen, reduzieren sie das Risiko einer Gefährdung ihrer Infrastruktur deutlich. Beginnen Sie jetzt mit der Strategieplanung und planen sie ein ausreichendes Budget für die Umsetzung ein. Solche Budgets sind letztlich immer kleiner als der Schaden, den ein erfolgreicher Angriff verursacht! (jm)

Lesetipp: DsiN-Praxisreport - Mangelhafter IT-Schutz im deutschen Mittelstand

Stefan Rabben ist Area Sales Director DACH and Eastern Europe bei Wallix.
Folgen: