Cybersicherheit: Fünf Massnahmen zum Schutz Ihres Unternehmens

Ein Drittel der Schweizer KMU ist bereits Opfer von Cyberangriffen geworden. «Die Frage ist nicht, ob ein KMU angegriffen wird, sondern wann», beginnt ­Nicolas Germiquet, Initiativmanager der Plattform Cybero.ch. Diese Plattform wird vom Bund unterstützt, um Führungskräfte von Unternehmen für die Gefahren der Cyberwelt zu sensibilisieren.

«Die Firmenchefs nehmen die Bedrohung durch Cyberangriffe nicht ernst, weil sie glauben, dass ihre Unternehmen zu klein sind, um gehackt zu werden», stellt Nicolas Germiquet fest. Doch die Zeiten der Hacker in Kapuzenpullovern, die aus dunklen Kellern operieren, sind längst vorbei. «Heutzutage sind sie in organisierten, industriellen Strukturen tätig, die Netzwerke durchsuchen und bei Schwachstellen zuschlagen», erklärt Nicolas Germiquet. Er fügt hinzu, dass die Angriffe zunächst auf die Mitarbeitenden und erst danach auf die Computersysteme abzielen.

Um einem Cyberangriff vorzugreifen, haben wir fünf einfache und kostengünstige Massnahmen aufgelistet, die Sie treffen können, um den Weg zur Cybersicherheit in Ihrem KMU zu beschreiten.

Weitere Informationen und den Cybero Check finden Sie unter www.cybero.ch.

  1. Definieren Sie die Assets Ihres Unternehmens

Ein Asset kann jede Art von wertvollen Daten, Einrichtungen oder anderen Ressourcen innerhalb Ihrer Betriebsorganisation sein. Sie sind kostbar, weil sie sensible Informationen enthalten oder für den Zugriff auf wichtige Daten verwendet werden können.

Assets können vielfältig sein, von Produktions­maschinen über das Personal, die technische Infrastruktur oder ein ERP-System bis hin zum Zugriff auf Anwendungen oder Online-Shops.

Sobald die Assets ermittelt sind, ist es zunächst wichtig zu wissen, welche davon durch Schwachstellen gefährdet sind und in welchem Ausmass. Anschliessend müssen Massnahmen zur Vermeidung und Eindämmung von Cyberrisiken bestimmt werden.

 

  1. Sensibilisieren Sie Ihr Personal

Die Sensibilisierung der Mitarbeitenden kann durch Schulungen erfolgen. Diese Schulungen bestehen in der Regel aus zwei Teilen: Phishing-Simulationen und Online-Schulungen. Es ist empfehlenswert, die Mitarbeitenden mit konkreten Fallbeispielen zu konfrontieren, selbst wenn Online-Schulungen bereits sehr hilfreich sind.

Parallel dazu ist die Einführung einer offenen Kommunikationspolitik im Unternehmen ratsam, um zu vermeiden, dass Personen für Fehler verantwortlich gemacht werden und sich dazu entschliessen, versehentliche Klicks zu verheimlichen. So können Sie schnell reagieren und die betroffenen Mitarbeitenden aktiv einbeziehen.

Mitarbeitende sind sehr häufig das Ziel von ­Cyberangriffen, da Hacker versuchen, diese Schwachstelle in einem Unternehmen auszunutzen. Daher ist es wichtig, dass alle Mit­arbeitenden über das Thema Cybersicherheit informiert sind, um im Notfall angemessen handeln zu können.

 

  1. Erstellen Sie einen Notfallplan

Zunächst geht es darum, wie Sie in Krisen­situationen kommunizieren, indem Sie eine Liste mit Ansprechpartnern – und deren Stellvertretern – für den Fall eines Angriffs erstellen. So ist allen Beteiligten klar, wie im Notfall vorgegangen wird.

Denken Sie daran, diese Informationen nicht nur digital zu speichern, sondern auch auszudrucken und an einem sicheren und leicht zugänglichen Ort aufzubewahren.

In einem weiteren Schritt geht es darum, wie Sie die für den Geschäftsbetrieb wichtigen Assets so schnell wie möglich wiederherstellen können. Der Notfallplan muss stets aktualisiert werden, insbesondere wenn eine Person die Stelle wechselt oder Änderungen in der IT-Infrastruktur vorgenommen werden.

 

  1. Führen Sie Datensicherungen durch

Beginnen Sie mit der Kategorisierung Ihrer Daten, indem Sie festlegen, innerhalb welches Zeitrahmens diese Daten im Falle eines Angriffs wieder hergestellt sein müssen. Legen Sie dann einen Backup-Typ fest, der mit der Kategorisierung über­einstimmt. Vergessen Sie nicht, auch Daten zu sichern, die sich in der Cloud befinden.

Es ist entscheidend, Sicherungen offline, also getrennt vom Unternehmensnetzwerk, zu erstellen.

Hacker dringen oft mehrere Tage vor ihrem Angriff in das System eines Unternehmens ein. Daher ist es von grundlegender Bedeutung, eine datenabhängige Backup-Politik zu haben, um sicherzustellen, dass Sie nicht eine Version des Systems wiederherstellen, die bereits infiziert ist.

 

  1. Führen Sie regelmässige ­Aktualisierungen durch

Kriminelle finden ständig neue Angriffsmöglichkeiten und Schwachstellen, um in Systeme einzudringen und Schaden anzurichten. Aus diesem Grund bemühen sich Softwarehersteller, Schwachstellen durch Updates zu beheben. Indem sie ihre Systeme aktualisieren, schliessen Nutzer Sicherheitslücken und schützen sich vor Viren.

Alle mit dem Internet verbundenen Geräte sollten ­regelmässig auf Updates überprüft werden: Computer, Server, Router, Drucker, Gebäudekontrollsysteme.

Neben dem Betriebssystem sollten auch alle anderen Programme und Anwendungen regelmässig aktualisiert werden: Betriebssysteme (wie Windows und macOS), Browser (wie Chrome, Firefox, Safari, ­Microsoft Edge usw.), Antivirensoftware, Office-­Programme, Anwendungen und Firewalls sowie alle anderen verwendeten Programme.