Die Gefahrenlage für die IT-Infrastruktur von KMU hat sich drastisch verändert. Früher reichte es als gängige Praxis aus, PCs und Server mit Antivirus-Software zu schützen und eine Paketfilter-Firewall zu betreiben. Heute überleben KMU mit solchen Minimalmassnahmen die zerstörerischen Auswirkungen moderner Malware nur noch mit viel Glück. Oder mit kompetenter Beratung.
Wer heute noch glaubt, als KMU nicht interessant genug für einen Cyber-Angriff zu sein, irrt sich. Grossunternehmen und internationale Organisationen bleiben zwar die interessantesten Ziele für direkte, tiefgehende Angriffe von Hackern, die sich mit Prestige-Zielen schmücken wollen oder sich dadurch grössere Erpressungsmöglichkeiten erhoffen. Allerdings sind diese Angriffe sehr zeitaufwändig und risikobehaftet. Die Werkzeuge und Techniken dieser spezialisierten Angriffe, sogenannte Advanced Persistent Threats (APT), werden heute im Cyber-Untergrund als Massenware vertrieben. Jeder Hobbyhacker kann sich dort ein individuelles Angriffspaket bequem zusammenklicken und es auf die Welt loslassen. KMU sind meistens einfache Ziele, weil sie heute noch selten auf einen solchen Angriff vorbereitet sind.
Beliebt und effektiv ist sogenannte Ransomware. Diese Erpressungstrojaner haben als Ziel, die Daten eines Unternehmens zu verschlüsseln und so unbrauchbar zu machen. Die Angreifer sind nicht wirklich am Inhalt des Datenspeichers interessiert, aber sollte ein KMU nicht in der Lage sein, diesen Angriff abzuwehren oder die Daten zeitnah und vollständig wiederherzustellen, hat es ein grosses Problem. Es bleibt dem Unternehmen dann nichts anderes übrig, als entweder auf die Erpressung einzugehen und zu bezahlen, oder das Unternehmen muss die Daten mühsam selbst rekonstruieren.
Jedes KMU sollte einen Massnahmenplan erarbeiten, um einem Cyber-Angriff vorzubeugen, und diesen im Ernstfall verfolgen. Mithilfe eines erfahrenen IT-Dienstleisters gilt es, dazu mindestens folgende Punkte zu klären:
- Datensicherung, die von den laufenden Systemen nicht erreichbar ist
- regelmässige Überprüfung, ob sich die Daten wiederherstellen lassen
- unterschiedliche Zugangsdaten für die kritischen Systeme
- Patchmanagement, um die Systeme auf dem neusten Stand zu halten
- Segmentierung des Netzwerks, um die Verbreitung von Schädlingen einzudämmen und zu definieren, welche Systeme worauf Zugriff haben
- Firewall mit modernen Schutzmassnahmen wie Intrusion-Prevention-Systeme (IPS), Gateway-Antivirus, SSL-Inspection, Botnetzsperren, APT-Schutz, Sperre von Webseiten mit unerwünschtem Inhalt
- Antivirus und Host-Sensoren auf den Rechnern, die ihre Events mit den Netzwerkevents der Firewall in Korrelation bringen
- Monitoring und Überwachung der Vorkommnisse, um zeitnah zu reagieren
Zudem ist zu klären, was im Ernstfall zu tun ist. Welche Systeme werden abgeschaltet, welche Netzwerksegmente isoliert? Wer identifiziert die betroffenen Systeme und den Angriffsvektor? Wer organisiert die Wiederherstellung des normalen Betriebs?
Jedes KMU sollte sich überlegen, wie lange es ohne voll funktionsfähige IT überleben kann. Denn vielleicht ist es bereits an der Zeit, Lösungen ins Auge zu fassen, die ursprünglich für Grossunternehmen gedacht waren, aber heute bei KMU genauso gut zum Einsatz kommen können.