In der Welt der Cyber Security stehen kleine und mittelständische Unternehmen (KMUs) vor erheblichen Herausforderungen.
Hier sind aus meiner Sicht die drei wichtigsten:
WIRKSAMKEIT
Eines der drängendsten Probleme für viele Unternehmen ist die Unsicherheit darüber, wie effektiv ihre Cyber-Sicherheitsmaßnahmen tatsächlich sind. Haben sie die richtigen Systeme und Konfigurationen, um sich vor Cyber-Angriffen zu schützen? Die Versprechungen der Hersteller, dass ihre Lösungen 100%igen Schutz bieten, sind irreführend. Cyber-Angriffe sind ein allgemeines Risiko, und es gibt keine Wunderlösung, die sie vollständig beseitigen kann.
Stattdessen sollten Unternehmen darauf abzielen, es Angreifern so schwer wie möglich zu machen.
Die große Herausforderung besteht darin, sinnvolle Sicherheitsmaßnahmen von bloßem Marketing zu unterscheiden. Viele Unternehmen fragen sich: „Was sollten wir wirklich implementieren, um unser Risiko zu reduzieren?“ Aus meiner Erfahrung heraus zeigt sich, dass oft die Grundabsicherung nicht sauber umgesetzt ist. Viele veraltete oder unsichere Konfigurationen werden weiterhin verwendet. Der Versuch, Angriffe durch zusätzliche Techniken und vor allem durch Detektion (u.a. Systeme zur Angriffserkennung) zu erkennen, führt häufig zu einem Problem: Aufgrund der schlechten Konfiguration der Basisinfrastruktur müssen zu viele Daten analysiert werden, was zu False-Positives (falschen Erkennungen) führt. Anderenfalls werden zu viele Elemente in eine Safelist aufgenommen, was wiederum keine Alarme auslöst und dem Angreifer viele Möglichkeiten bietet unentdeckt zu bleiben.
Wie soll ein System zur Detektion entscheiden, welche dieser Aktionen bösartig sind. Es kommt zu vielen Meldungen die irgendwann ignoriert werden. Habe ich im Unternehmen ein gutes Administrationskonzept und nur zwei administrative Benutzer, die ich aber nur selten benutze, werden die Alarme seltener, dafür umso eindeutiger.
Ein weiteres Thema ist der Umgang mit den erzeugten Meldungen – was muss ich bei einem Alarm tun? Haben Sie ein Playbook für solche Szenarien und wissen Sie, welche ersten Schritte zu unternehmen sind, um angemessen auf solche Meldungen zu reagieren?
REALISIERUNG
Die Realisierung ist eine weitere Herausforderung, vielleicht die Schwierigste. Jetzt hat man ein tolles Konzept und dafür wahrscheinlich auch viel Geld bezahlt und einiges an Zeit investiert. Wer hilft einem bei der Umsetzung? Die IT-Abteilung hat die Aufgabe, alles am Laufen zu halten, „Up- and Running“ heißt es hier.
Die Umsetzung bindet viele Ressourcen und ohne Erfahrungen aus ähnlichen Projekten dauert es länger und der Mut, den Schalter umzulegen, fehlt häufig. Das ist absolut verständlich, nur es hilft leider nichts, wenn es um die Reduzierung der Cyberrisiken und den Schutz des Unternehmens geht. Es gibt in den meisten Unternehmen Konzepte und Handlungsempfehlungen zum Thema IT-Sicherheit, die aus Audits oder Workshops stammen. Leider fühlen sich viele in diesem Bereich von Ihren Dienstleistern und Beratern alleine gelassen und können diese Empfehlungen nicht umsetzen.
Hier ist aus meiner Sicht auch nicht die IT-Abteilung gefragt, sondern das Management bzw. die Geschäftsführung. Der Buchhaltung werden auch Ressourcen für den jährlichen Jahresabschluss bereitgestellt. Da hier keiner etwas falsch machen will, holt man sich einen Steuerberater an seine Seite. Das gleiche Verständnis muss es auch im Bereich IT-Sicherheit und Cyberschutz geben, denn nur wer hier investiert, investiert in den Fortbestand seines Unternehmens.
Hier findet Ihr Maßnahmen die man mit Bordmitteln umsetzen kann: 3 WICHTIGE SECURITY MASSNAHMEN MIT BORDMITTELN UMSETZEN
IT-NOTFALLPLANUNG
Beim Thema IT-Notfallplanung gibt es viele Möglichkeiten zur Umsetzung, von einer DinA4 Seite bis hin zu einem 200-seitigen Notfallhandbuch oder einer komplexen Softwarelösung.
Was benötige ich für mein Unternehmen?
Meine Erfahrung zeigt, dass die Praxis entscheidend ist. Nur wenn ich praktischen Nutzen aus meinem IT-Notfallhandbuch ziehe, werde ich es tatsächlich einsetzen und regelmäßig pflegen. Daher empfehle ich, das Handbuch in verschiedene Teile aufzuteilen, beispielsweise einen Abschnitt für den Umgang mit Schadcode, den man zur Analyse von kleineren Sicherheitsvorfällen verwenden kann. Dieser Teil enthält auch eine Checkliste von Tätigkeiten, die immer durchgeführt werden sollten, um Routine in diese Abläufe zu bringen und die Dokumentation zu vereinfachen. In der heutigen Zeit enthält ein Notfallhandbuch natürlich einen hohen Anteil an IT-Maßnahmen, da in den meisten Unternehmen ohne IT nicht mehr viel funktioniert. Dennoch dürfen organisatorische Maßnahmen nicht unterschätzt werden. Dazu gehören die Benennung eines Krisenstabs und eines Notfallteams. Die Aktualisierung von Kontaktdaten ist dabei nur eine der Herausforderungen. Das Thema Kommunikation während einer Krise kann gut vorbereitet werden und spart viel Ärger und Reputationsschäden. Hierbei ist es wichtig zu überlegen, welche Zielgruppe welche Informationen erhält und ob Kunden denselben Kenntnisstand wie die Mitarbeiter haben. Welchen Weg nutze ich zur Kommunikation, wenn meine E-Mail Infrastruktur nicht mehr funktioniert? Hier empfehle ich externe Newsletter-Tools und eine aktuelle Kundenliste, um nicht auf die Wiederherstellung der Kundendatenbank warten zu müssen.
Weitere Informationen findet Ihr in folgendem Artikel: 3 ESSENTIELLE FRAGEN ZUR IT-NOTFALLPLANUNG