In der heutigen digitalen Welt ist Cybersecurity ein zentraler Bestandteil jeder Unternehmensstrategie geworden. Besonders für mittelständische Unternehmen, die oft als Rückgrat der Wirtschaft gelten, ist das Verständnis und die Implementierung einer soliden Cybersecurity-Strategie entscheidend. Dieser Artikel beleuchtet, warum Cybersecurity für mittelständische Unternehmen eine ganzheitliche Herausforderung ist und welche Schritte unternommen werden können, um dieser gerecht zu werden.
Mehr als nur IT-Sicherheit
Cybersecurity im Mittelstand geht weit über die reine IT-Sicherheit hinaus. Es handelt sich um einen umfassenden Ansatz, der nicht nur technische, sondern auch organisatorische, rechtliche und kulturelle Aspekte umfasst.
Viele mittelständische Unternehmen machen den Fehler zu glauben, Cybersecurity sei lediglich eine IT-Angelegenheit. Dieser Ansatz übersieht jedoch, dass Cyberbedrohungen jeden Aspekt eines Unternehmens betreffen können, von den Finanzen über den Kundenservice bis hin zur Lieferkette. Cybersecurity ist daher eine Geschäftsstrategie, die eine breite Beteiligung erfordert, einschließlich der Geschäftsführung, der Rechtsabteilung, der Personalabteilung und natürlich auch der IT-Abteilung.
Daher liegt es nahe für den Einstieg einen externen Berater zu engagieren, der rasch und kosteneffektiv das Unternehmen auf dem Weg zu mehr Cyber-Resilienz begleitet. Diese Rolle eines externen Beraters nennt man vCISO (virtueller Chief Information Security Officer).
Haftung: Welche Verantwortung hat der Geschäftsführer?
Der Eingang wird Abends versperrt, der Empfang ist besetzt. Sicherheitskameras überwachen den Eingang. Alles Selbstverständlichkeiten!
Diese Mindeststandards sind in der physischen Welt bereits fest etabliert, da wir ihre Bedeutung erkannt und verstanden haben. In der digitalen Welt besteht jedoch Nachholbedarf.
Generell muss bei Haftungsfragen IT-Sicherheit im eigenen Unternehmen genauso behandeln wie Arbeitssicherheit oder Brandschutz. Die Gesetze sind jedoch (noch) nicht sehr spezifisch. Jedenfalls kann es zu zivilrechtlichen Schadensersatzforderungen, zu Bußgeld und möglicherweise auch zur Strafbarkeit kommen. Jedenfalls gibt es Schadenersatz nach DSGVO, BDSG/DSG, BSIG, etc.
Die Verantwortung für Cybersecurity liegt nicht allein bei der IT-Abteilung. Die Geschäftsleitung spielt eine entscheidende Rolle bei der Festlegung der Prioritäten und Ressourcen für Cybersecurity-Maßnahmen. Sie muss sich bewusst sein, dass die Sicherheit von Daten und Systemen direkt mit dem Erfolg und der Reputation des Unternehmens verbunden ist.
Eine starke Führung und ein klares Bekenntnis zur Cybersecurity sind entscheidend, um das Bewusstsein und die Beteiligung auf allen Ebenen des Unternehmens zu fördern.
Eine Versicherung wird nicht zahlen, wenn die Türe 24/7 offen bleibt. Genausowenig wird eine Cyberversicherung zahlen, wenn man sich nicht um Mindeststandards kümmert.
Grundverständnis von Cybersecurity: Warum jedes Unternehmen betroffen ist
Zu den grundlegenden Zielen der Cybersecurity gehören die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – oft zusammengefasst als das „CIA-Trias“:
- Vertraulichkeit: Schutz sensibler Informationen vor unbefugtem Zugriff.
- Integrität: Sicherstellung, dass Daten genau und unverändert bleiben.
- Verfügbarkeit: Gewährleistung, dass Informationen und Ressourcen für autorisierte Nutzer zugänglich sind, wenn sie benötigt werden.
Diese Ziele bilden das Fundament der Cybersecurity und sind für den Schutz gegen eine Vielzahl von Bedrohungen, wie Malware, Phishing, Ransomware, Denial-of-Service-Angriffe und weitere Cyberkriminalitätsformen, entscheidend.
Warum Cybersecurity für jedes Unternehmen wichtig ist
Schutz sensibler Daten: Jedes Unternehmen, unabhängig von seiner Größe, verarbeitet sensible Daten, sei es Kundeninformationen, Finanzdaten oder geistiges Eigentum. Ein Cyberangriff, der zu Datenverlust oder -diebstahl führt, kann schwerwiegende finanzielle und reputationsbedingte Schäden nach sich ziehen.
Einhaltung gesetzlicher Vorgaben: Unternehmen sind zunehmend gesetzlichen und regulatorischen Anforderungen unterworfen, die den Schutz personenbezogener und sensibler Daten vorschreiben. Die Nichtbeachtung dieser Vorgaben kann zu hohen Strafen führen.
Schutz vor Betriebsunterbrechungen: Cyberangriffe können zu erheblichen Betriebsunterbrechungen führen, die nicht nur finanzielle Verluste, sondern auch Verzögerungen in der Lieferkette und den Geschäftsabläufen nach sich ziehen.
Aufrechterhaltung des Kundenvertrauens: Kunden erwarten, dass ihre Daten sicher aufbewahrt und verarbeitet werden. Ein einziger Sicherheitsvorfall kann das Vertrauen der Kunden erheblich erschüttern und langfristige Auswirkungen auf das Geschäft haben.
Viele Angreifer gehen den Weg des geringsten Widerstandes. Deshalb sind Angriffe oft einfach und laufen automatisiert ab. Eine wichtige Regel lautet: Mach dich weniger angreifbar als andere Unternehmen.
Regeln und Normen in der Cybersecurity: Ein Leitfaden für den Mittelstand
Der Schutz vor Cyberangriffen, Datendiebstahl und anderen Sicherheitsbedrohungen ist essentiell, um die Integrität und das Vertrauen in eure Geschäftsprozesse zu wahren. Doch welche Regeln und Normen sind relevant, und wie kannst du diese effektiv in deinem Unternehmen umsetzen?
Richtlinien und Verordnungen
Mit der Überarbeitung der Richtlinie zur Netz- und Informationssystemsicherheit (NIS2) und der Einführung der Verordnung über digitale Betriebsresilienz (DORA) setzt die Europäische Union neue Maßstäbe in der Cybersecurity. Während NIS2 den Schutz kritischer Infrastrukturen und die Meldung von Sicherheitsvorfällen in den Vordergrund stellt, zielt DORA auf die Stärkung der digitalen Resilienz im Finanzsektor ab. Für mittelständische Unternehmen bedeutet dies, dass sie ihre Sicherheitsmaßnahmen überdenken und gegebenenfalls anpassen müssen, um den neuen gesetzlichen Anforderungen gerecht zu werden denn auch Lieferanten werden in die Pflicht genommen!
Branchenspezifische Sicherheitsstandards
Neben allgemeinen Normen gibt es branchenspezifische Sicherheitsstandards, die für mittelständische Unternehmen relevant sein können, wie z.B. der Payment Card Industry Data Security Standard (PCI DSS) für den Zahlungsverkehr oder spezifische Normen für die Gesundheitsbranche (HIPAA – Health Insurance Portability and Accountability Act). Es ist wichtig, die für eure Branche geltenden Standards zu kennen und umzusetzen.
ISMS: Ein strukturierter Ansatz für die Cybersecurity
Ein Informationssicherheitsmanagementsystem (ISMS) bietet einen strukturierten Rahmen, um proaktiv Risiken für die Informationssicherheit zu managen. Es hilft Unternehmen, Sicherheitskontrollen systematisch zu planen, zu implementieren, zu überwachen und zu verbessern. Für mittelständische Unternehmen ist die Einführung eines ISMS (z.B. nach ISO/IEC 27001 oder NIST CSF) nicht nur ein Schritt zur Compliance mit verschiedenen Sicherheitsstandards und gesetzlichen Anforderungen, sondern auch ein Zeichen für Kunden und Partner, dass ihr Informationssicherheit ernst nehmt.
DSGVO: Datenschutz als Priorität für jedes Unternehmen
Die Datenschutz-Grundverordnung (DSGVO) ist ein zentrales Element im europäischen Datenschutzrecht, das strenge Anforderungen an die Verarbeitung personenbezogener Daten stellt. Für mittelständische Unternehmen bedeutet dies, dass sie umfangreiche Maßnahmen ergreifen müssen, um die Privatsphäre von Kunden, Mitarbeitern und Partnern zu schützen. Dies umfasst (abhängig von dem Unternehmen) die Einführung von Datenschutzrichtlinien, die Durchführung von Datenschutz-Folgenabschätzungen und die Benennung eines Datenschutzbeauftragten. Die Einhaltung der DSGVO ist nicht nur eine rechtliche Verpflichtung, sondern stärkt auch das Vertrauen in eure Marke.
Kenne deine Kronjuwelen: Identifikation und Schutz kritischer Unternehmenswerte
Die Identifikation der Assets ist entscheidend, weil sie die Grundlage für jegliche Sicherheitsmaßnahmen bildet. Wenn Organisationen nicht genau wissen, welche Ressourcen sie besitzen und wie diese genutzt werden, können sie nicht effektiv schützen, was für sie wertvoll ist. Durch das Erkennen aller Assets – von Hardware über Software bis hin zu sensiblen Daten – können Sicherheitsteams verstehen, wo ihre „Kronjuwelen“, also die wichtigsten und wertvollsten Vermögenswerte, liegen.
Wenn du nicht schützen kannst, was du nicht siehst, wie willst du dann Cyber-Risiken bewältigen? Sichtbarkeit ist entscheidend, um Bedrohungen zu erkennen und abzuwehren. Ohne klare Einsicht ist jede Sicherheitsstrategie wie im Dunkeln zu tappen.
Dies ermöglicht es, Prioritäten zu setzen: Die Ressourcen, die den größten Wert darstellen oder das höchste Risiko bei einem Sicherheitsvorfall bergen, können gezielt geschützt werden. Ohne diese Kenntnis wäre jede Sicherheitsstrategie weniger zielgerichtet und könnte kritische Schwachstellen übersehen, wodurch die Organisation anfälliger für Cyberangriffe wird. Die Identifikation der Assets und das Erkennen der Kronjuwelen sind somit fundamentale Schritte für eine robuste Cybersecurity-Strategie.
Erkennst Du hier einige Deiner Assets wieder? Welche sind besonders schützenswert?
Hardware:
- Server und Netzwerkgeräte wie Router, Switches und Firewalls
- Arbeitsstationen, Laptops und mobile Geräte
- Speichergeräte wie Festplatten und NAS-Systeme (Network Attached Storage)
- Drucker
- IoT-Geräte (Internet of Things), wie Smart-Home-Systeme und Industriesteuerungssysteme
Virtuelle Infrastruktur
- Storage Services wie AWS S3, Microsoft Blob oder Google Cloud Storage
- E-Mail und mehr wie Microsoft 365 oder Google G Suite
- Eigene Cloud Services wie Nextcloud oder ownCloud
Software:
- Betriebssysteme (z.B. Windows, macOS, Linux-Distributionen)
- e-Banking Software
- Anwendungssoftware für Geschäftsprozesse (z.B. CRM-Systeme, ERP-Software)
- Datenbankmanagementsysteme (z.B. MySQL, Oracle, SQL Server)
- Entwicklertools und -plattformen (z.B. Gitlab, Github)
- Sicherheitssoftware wie Antivirus-Programme, Verschlüsselungssoftware und Firewalls
Daten:
- Kundeninformationen (z.B. Namen, Adressen, Zahlungsinformationen)
- Geschäftsgeheimnisse und geistiges Eigentum (z.B. Patente, Entwurfsdokumente, Quellcode)
- Mitarbeiterdaten (z.B. persönliche Informationen, Gehaltsdaten)
- Finanzdaten des Unternehmens (z.B. Bilanzen, Geschäftsberichte)
- Forschungs- und Entwicklungsdaten
Risk Appetite im Mittelstand: Wie viel Sicherheit ist genug?
Einfach ausgedrückt, beschreibt der „Risk Appetite“ die Menge an Risiko, die dein Unternehmen bereit ist zu akzeptieren, während es seine Ziele verfolgt. Es geht nicht darum, alle Risiken um jeden Preis zu eliminieren, sondern zu entscheiden, wie viel Risiko akzeptabel ist.
Die Bedeutung des „Risk Appetite“
Für mittelständische Unternehmen ist es besonders wichtig, ihren „Risk Appetite“ zu definieren. Die Ressourcen sind begrenzt, und nicht jedes Sicherheitsrisiko kann oder sollte mit denselben Mitteln bekämpft werden. Ein klar definierter „Risk Appetite“ hilft dir, Prioritäten zu setzen und sicherzustellen, dass deine Investitionen in Cybersicherheit dort erfolgen, wo sie den größten Nutzen bringen.
Wie bestimmt man den „Risk Appetite“?
Die Bestimmung des „Risk Appetite“ kann wie eine Herausforderung erscheinen, aber mit einem strukturierten Ansatz ist es durchaus machbar. Hier sind einige Schritte, die du berücksichtigen solltest:
Bewertung der aktuellen Sicherheitslage: Der erste Schritt ist zu verstehen, wo dein Unternehmen steht. Dies kann durch Sicherheitsaudits, Risikobewertungen und die Analyse von Schwachstellen erfolgen.
Identifizierung kritischer Assets: Nicht alle Daten oder Systeme sind gleich wichtig. Identifiziere, welche Assets kritisch für deine Geschäftsziele sind, und konzentriere deine Sicherheitsbemühungen darauf.
Analyse von Bedrohungslandschaften / realistischen Szenarien, gegen die du dich schützen musst.
Den Risk Appetite deines Unternehmens legst Du dann fest, wenn es zum Abwägung von Risiko gegenüber Kosten geht. Sicherheitsmaßnahmen kosten Geld. Es ist wichtig, die Kosten dieser Maßnahmen gegen das potenzielle Risiko abzuwägen, um zu entscheiden, wo Investitionen am meisten Sinn machen.
Gibt es einen pragmatischen Ansatz in der Cybersecurity
Leider gibt es diesen nicht! Cybersecurity ist kein Ziel sondern ein Weg.
Die ersten Schritte in eine Cybersichere Zukunft sind schwer, resourcen intensiv und kosten Geld. Deshalb kann es hilfreich sein die ersten Schritte aus dem Unternehmen heraus zu machen.
Lies mehr dazu in unserem Beitrag über Quick Wins.
Welche technischen Maßnahmen sind zu ergreifen
Generell wird in der Cybersicherheit auf den „Defence in Depth“ Ansatz gesetzt. Dies bedeutet, dass ein wichtiges Asset durch mehrere Schichten (deshalb oft der Vergleich zu einer Zwiebel) geschützt wird. z.B. Ein Angreifer muss erst durch die Firewall, dann muss er um auf den PC zu kommen das EDR überwinden und dann noch User Passwörter knacken um endlich als Admin in Deinem Unternehmen zu sein.
Weiters sind Technologien nach möglichkeiten und Cybersecurity Reifegrad des Unternehmens auszurollen. Im People-Management sagt man oft „hol den Mitarbeiter dort ab wo er steht“ (überfordere oder unterfordere den Mitarbeiter niemals) Selbiges gilt in der Cybersecurity.
Immerhin verschließe ich den Eingang, wenn ich am Abend das Unternehmen verlasse
Eine Firewall im Internetzugang (Perimeterfirewall), ein EDR (Antivirus) und eine Backup-Strategie sind die ersten Schritte, die ein Unternehmen technologisch umsetzen muss.
Solange ich es nicht weiss, kann ich nichts entscheiden.
Als nächstes zählt das Vulnerability Scanning als wesentlich. Dadurch erkennst Du technische Schwachstellen.
Durch Log Collection und Management mittels SIEM hast Du alle Sicherheits (und Policy) relevanten informationen zentral gesammelt und kannst daraus auf Angriffe schließen.
Für Vortgeschrittene Unternehmen
Durch Netzwerksegmentierung kann der Datenverkehr effektiver kontrolliert und überwacht werden. Diese Strategie reduziert nicht nur die Angriffsfläche für potenzielle Cyberbedrohungen, sondern ermöglicht es auch, Sicherheitsrichtlinien gezielter anzuwenden. Im Falle eines Sicherheitsvorfalls begrenzt die Segmentierung die Ausbreitung von Schadsoftware und den Zugriff auf sensible Daten, was die Schadensbegrenzung erleichtert.
Mit einer Intrusion Detection und Prevention (IDS/IPS) kannst Du auch deinen Netzwerkverkehr nach Cybersecurity Problemen überwachen.
Durch Hardening kannst du die Workstations und Server deines Unternehmens von allen vorinstallierten aber nicht benötigten Diensten befreien und aktuelle Konfigurationen hinsichtlich Cybersecurity verbessern.
Jede dieser Massnahmen kann man als Quick-Win „einfach“ einführen. Es ist jedoch wichtig zu verstehen dass man jede dieser Massnahmen auch mit mehr Aufwand und somit besser betreiben kann.
Welche Organisatorischen Maßnahmen
Auch hier gilt „Defence in Depth“!
Erste Schritte für eine solide Basis
Schule deine Mitarbeiter auf Cybersecurity relevante Verhaltensregeln. Dies ist die Basis für eine gesunde Sicherheitskultur in deinem Unternehmen.
Mache eine Liste deiner User Typen und deren Rollen. Im speziellen Benutzer und Rollen die höhere Zugriffsrechte auf IT Systeme haben. Mache eine Liste von Systemen für die zuvor gesammelten User inklusive Use-Cases für deren normalen Arbeitstage und Gewohnheiten.
Finde heraus welche Access Control Methode Du verwendest und (z.B. RBAC für die interne Cloud und DAC für Windows und Linux Computer.
Definiere eine Passwort Policy und implementiere MFA wo es möglich ist. (z.B. Passphrases mit mindestens 14 Zeichen, die einmal im Jahr geändert werden müssen) – Siehe auch NIST SP 800-63B
Admin User mit erhöhten Zugriffsrechten und trenne deren normale User Konten von den Konten mit erhöhten Zugriffsrechten. z.b. admin_ als Username-Prefix für diese Konten. (Überwache diese Konten mit deinem SIEM)
Grundlegende Regeln im Unternehmen
Einige Dokumente müssen im „Security Team“ deines Unternehmens erstellt werden und manche davon deinen Mitarbeitern näher gebracht werden.
Incident response Plan um rasch und richtig auf Cybersecurity Vorfälle reagieren zu können
Risk Assessment um die Cybersecurity Risiken in deinem Unternehmen zu verstehen.
Business Continuity Plan um für die kritischen Prozesse in deinem Unternehmen auch einen Backup Plan zu haben (z.B: wie überweist Du Gehälter wenn deine IT-Infrastruktur kompromittiert ist)
Für Vortgeschrittene Unternehmen
Alle Erkenntnisse aus den Tätigkeiten zuvor sollten in ein Information Security Management System (ISMS) eingepflegt und regelmäßig gewartet werden. Das ISMS legt Regeln und Verfahren fest, mit denen die Informationssicherheit in einem Unternehmen sichergestellt wird und steuern, kontrollieren und kontinuierlich verbessern lässt.
Cybersecurity als Teil der Unternehmenskultur
Cybersecurity erfordert einen kulturellen Wandel innerhalb des Unternehmens. Jeder Mitarbeiter, vom Praktikanten bis zum CEO, muss verstehen, wie wichtig es ist, sichere Online-Praktiken zu befolgen. Schulungen und Sensibilisierungsprogramme sind unerlässlich, um das Bewusstsein für Cyberbedrohungen zu schärfen und Mitarbeiter dazu zu befähigen, Teil der Lösung zu sein.
Cybersecurity ist kein bloßes IT-Problem, es ist das Fundament, auf dem die Zukunftsfähigkeit eines Unternehmens ruht. In einer Ära, wo Daten das neue Gold sind, wird die Sicherheit dieser Daten zum A und O des geschäftlichen Erfolgs.
Ein sicherheitsbewusstes Unternehmen ist wie eine Festung in der digitalen Landschaft – unerschütterlich, vertrauenswürdig und vorbereitet.
Deshalb muss Cybersecurity in die DNA eines jeden mittelständischen Unternehmens eingewoben werden, als Teil seiner Kultur, nicht nur als Checkliste. Es geht darum, eine Kultur zu schaffen, in der Sicherheit nicht als Kostenfaktor, sondern als Investition in die Zukunft gesehen wird. Denn in der digitalen Welt ist das stärkste Passwort das kollektive Sicherheitsbewusstsein.