IT-Sicherheit für KMU

Das KMU ist dynamisch, flexibel, spontan und agil. Man ist auf den Markt fokussiert und orientiert sich an den Kundenbedürfnissen. Aufgrund des oft übersichtlichen Mengengerüsts von Produkten, Aufträgen und Kunden wirkt das Ganze beherrschbar. Interne Prozesse und Systeme sind da oft nicht primär im Fokus.

Und dann geschieht es: Plötzlich verschlüsselt eine Ransomware das ganze System und man ist ausgesperrt. So, und jetzt, wie weiter? Ist das Backup auch betroffen? Wie stellen wir das Ganze wieder her? Gibt es einen Notfallplan? Können wir mit unseren Kunden noch kommunizieren? Wie bezahlen wir Rechnungen? Was haben wir überhaupt für Rechnungen? Ist überhaupt noch Geld auf dem Bankkonto? Was hat das für Konsequenzen? Sind wir versichert? Wer ist haftbar?

Die meisten KMU sind viel abhängiger von einer funktionierenden IT-Infrastruktur als ihnen bewusst ist. Dies kombiniert mit den wirtschaftlichen Verhältnissen in einem Erste-Welt-Land, macht sie zur idealen Zielgruppe für Cyber-Kriminelle. Denn aus Sicht der Angreifer gibt es bei uns mit wenig Aufwand viel zu holen.

Glücklicherweise ist es nicht unmöglich, sich zu schützen. Auch nicht aufwändig. Man muss sich lediglich fundiert mit der Sache auseinandersetzen.

Der Gedanke ist naheliegend. Die IT-Infrastruktur wird separiert in einen Teil mit und einen Teil ohne Internet. Dies bringt im Alltag jedoch viele Hürden mit sich. Wie kann man beispielsweise eine Fernwartung auf ein System ohne Internet aufbauen? Oder wie kommuniziert man auf einem solchen System? Online Recherchen, E-Mail, u.U. Telefonie – alles nicht verfügbar. Wie arbeitet man mit Daten? Der USB-Stick ist für ein nicht-aktuelles offline-System nicht nur unsicher, sondern auch veraltet. Die Daten liegen heute oft in der Cloud. Oder auf dem Server, auf den man ohne Netzwerkzugang auch nicht zugreifen kann.

Oft wird der Netzwerkzugriff zwar erlaubt, aber der Internetzugriff nicht. Das vom Internet isolierte System ist so dennoch via Netzwerk angreifbar und könnte in der Folge entsprechenden Schaden anrichten.

Selbstverständlich kann man zwei komplette Infrastrukturen aufbauen – mit entsprechender Kostenfolge und Umständen in der täglichen Bedienung.

Alle paar Jahre muss die Infrastruktur erneuert werden. Die «Haltbarkeit» liegt in KMU in der Regel bei rund fünf Jahren. Mittels eines Projekts wird Windows 7 abgelöst, ein neuer Server angeschafft, die Firewall getauscht etc. Der Auftraggeber fühlt sich gut, denn er hat in eine aktuelle und sichere Infrastruktur investiert. Auch der Lieferant ist zufrieden, hat er doch einen Kunden glücklich gemacht.

Ginge es hier um ein Möbel, so wäre nun alles abgeschlossen und erledigt. Aber die IT-Sicherheit ist ein Prozess, kein Projekt. Eine Anschaffung muss nach der Inbetriebnahme auch unterhalten werden. Durch Überwachung wird festgestellt, wenn etwas den Regelbereich verlässt und dank Service werden Systeme aktuell gehalten und Backups zu Testzwecken zurückgespielt. Die Infrastruktur – ob lokal, in der Cloud, virtuell oder physisch – ist nur ein Teil der Lösung. Der Betrieb und die Sicherheit müssen laufend geregelt sein.

Doch was sollte alles «gemacht» werden? Der Bund und Information Security Society Switzerland zeigen mit ihrem 10-Punkte-Programm komprimiert und in Anwendersprache auf, was sie für einen IT-Grundschutz empfehlen.

Machen Sie sich vorab Gedanken über die benötigte Verfügbarkeit von Systemen. Wie lange dürfen sie ausfallen und was möchten Sie für entsprechende Vorkehrungen ausgeben? Gängige Mittel sind unterbrechungsfreie Stromversorgung wie auch Redundanz für Festplatten, Netzteile, ganze Server und Netzwerk.

Prüfen Sie als nächstes, ob in Ihrem KMU Antworten auf die folgenden Fragen vorhanden sind.

Daten und Backup

• Was sind die Anforderungen betreffend Backup? Wie weit soll in die Vergangenheit geschaut werden können? Wird neben einem Server auch eine Cloud eingesetzt, wie wird die gesichert? Werden die Backups überwacht und standortgetrennt aufbewahrt? Wird im Rahmen des BCM (Business Continuity Management) regelmässig die komplette Wiederherstellbarkeit geprüft?

• Wie ist die Dateiablage aufgebaut und sind Zugriffsrechte organisiert? Wer ist Administrator und wer «nur» Anwender?

Updates, Firewall und Anti-Virus

• Ist eine umfassende Sicherheitslösung mit Anti-Virus und Content-Filter aktiv? Ist das Programm aktuell und funktionieren die Signaturupdates? Gibt es einen Spam-Schutz, der die Bedürfnisse abdeckt? Und last but not least, wird das Ganze überwacht?

• Wer kümmert sich darum, dass nicht nur die Server, sondern auch die Clients alle notwendigen Patches und Updates regelmässig bekommen? Ähnlich wie ein Ölwechsel bei einem Dienstwagen kann dies in aller Regel nicht den Usern zugemutet werden.

• Sind Netzwerkübergänge mit einer leistungsfähigen und aktuellen Firewall abgesichert? Sind externe Zugriffe abgesichert, dokumentiert und bewusst vergeben worden?

• Mobile Geräte bergen zusätzliche Risiken. Was geschieht mit den Daten, wenn beispielsweise ein Notebook verloren wird? Gibt es eine Übersicht über alle Geräte?

Physische Sicherheit und WLAN

• Falls ein WiFi betrieben wird, ist dies sicher konfiguriert? Ein Angreifer könnte auch von ausserhalb des Gebäudes versuchen, Zugang zu erhalten. So sollte sich beispielsweise vom Namen des Netzwerks nicht ableiten lassen, wem es gehört.

• Beachtet werden muss auch die physische Sicherheit von IT-Infrastrukturen. Besteht im Serverraum Gefahr durch Wassereinbruch? Stehen Drucker an öffentlich zugänglichen Orten? Sind nur die notwendigen Netzwerkanschlüsse aktiviert?

Organisatorische Massnahmen

• Werden die Benutzer laufend geschult und unterstützt in Sachen IT-Sicherheit? Sensibilisieren Sie die Anwender auf die Gefahren unverschlüsselter drahtloser Netzwerke, weshalb starke Passwörter besonders wichtig sind und dass der Arbeitsplatz bei Verlassen gesperrt werden soll? Erkennen Ihre Kollegen Fishing-Attacken und wird dies auch regelmässig geprüft?

• Besteht eine Benutzerleitlinie? Darin steht beispielsweise, ob und wie die Infrastruktur privat verwendet werden darf, wie weit die Überwachung und Archivierung geht und wie bei sicherheitsrelevanten Vorkommnissen reagiert werden soll.

• Ist die IT In der Unternehmensorganisation integriert? Superuser übernehmen die Zuständigkeiten für einzelne ihnen besonders naheliegende Systeme und eine IT-affine-Person steht der Informatik vor, kommuniziert mit Lieferanten, ist intern erste Ansprechperson und übernimmt die Koordination.

• Besteht ein Pflichtenheft für externe Lieferanten, in welchem Reaktionszeiten, Verfügbarkeit, Service-Leistungen, Garantielaufzeiten und Konditionen definiert sind? Was geschieht mit Datenträgern alter Systeme?

Und als letztes, sprechen Sie mit ihrem IT-Dienstleister oder der intern für die IT zuständigen Person regelmässig über aktuelle Themen, Budget, Entwicklung etc. Wägen Sie ab, ob sie Ihr KMU mittels einer Cyber-Versicherung zusätzlich vor IT-Risiken schützen können und möchten.

Mit der Einhaltung der empfohlenen Schritte und Antworten auf die aufgeführten Fragen steht einem sicheren und zuverlässigen IT-Betrieb in Ihrem KMU nichts im Weg. Weitere Informationen finden Sie im 10-Punkte-Programm des ISSS unter kmu.admin.ch.