Cyber Security – So schützt du dein Unternehmen

von Theres Preißler in Featured, Organisation
Cyber Security

Durch Home Office und die fortschreitende Digitalisierung bewegen wir uns mehr und mehr im virtuellen Raum, der neben vielen Vorteilen, wie zum Beispiel der verstärkten Konnektivität, auch Gefahren bereithält, allen voran die Cyberkriminalität. Nicht zuletzt weil diese einen immer höheren Grad an Professionalität annimmt und die Bedrohungen immer diversifizierter werden, sollte sich jede*r Unternehmer*in mit dem Thema Cyber Security auseinandersetzen, um große Schäden zu vermeiden.

Dieser Beitrag erklärt dir, was Cyber Security überhaupt bedeutet, mit welchen Gefahren du im Netz konfrontiert wirst und wie du dich und dein Unternehmen am Besten davor schützen kannst.

Was ist Cyber Security?

Der Begriff Cyber-Security umfasst alle organisatorischen und technischen Maßnahmen, die ergriffen werden, um Netzwerke und IT-Systeme vor Cyber Angriffen und anderen Bedrohungen zu schützen. Diese Bedrohungen umfassen unter anderem:

  • Beschädigung oder Diebstahl von Hard- und Software
  • Beschädigung oder Diebstahl von Daten
  • Unterbrechung oder Missbrauch von Diensten und Funktionen

Die Konsequenz ist dabei nicht nur ein meist großer finanzieller Schaden, auch der Ruf des Unternehmens ist gefährdet, besonders wenn zum Beispiel der Verlust von Kundendaten involviert ist. Um dies zu vermeiden, ist es absolut wichtig, geeignete Maßnahmen zur Stärkung deiner Cyber-Security zu setzen.

Verschiedene Arten von Cyber Angriffen

Es gibt eine große Anzahl an unterschiedlichen Cyber Attacken, die verschiedene Ausformungen annehmen und verschiedene Konsequenzen nach sich ziehen:

  • Schadsoftware/Malware: Alle Arten von Softwares, die dein System beschädigen, z.B. Trojaner, Viren, Würmer
  • Ransomware: Software, die ein System verschlüsselt und somit den Zugriff auf Daten verhindert. Der Zugriff wird von den Angreifern erst wieder freigegeben, wenn das Opfer eine bestimmte Menge an Lösegeld (meistens in Form von Kryptowährung) bezahlt. Ransomware wird häufig durch Spam Mails, Phishing oder Drive-by-Exploits (dabei werden Schwachstellen von Browsern, Browser-Plugins und Betriebssystemen ausgenutzt) verbreitet.
  • Spam und Phishing: Spam bezeichnet unerwünschte Emails, die häufig dazu dienen, Schadsoftware zu verbreiten. Phishing Mails gehören zur Kategorie Spam und fordern den User dazu auf, eine bestimmte Aktion auszuführen (zum Beispiel seine Login Daten preiszugeben).
  • DDOS (Distributed Denial of Service): Das Ziel eines DDOS Angriffes ist es, einen Server oder Dienst lahmzulegen. Dafür wird eine riesige Menge an Anfragen an einen Server gesendet, so dass dieser überlastet ist und somit nicht mehr funktioniert.

Cyberkriminelle erpressen, sabotieren, spionieren und stehlen. Häufig ist dabei auch geistiges Eigentum betoffen, wie z. B. Firmengeheimnisse, oder Identitäten werden gestohlen, zum Beispiel wenn sich der Täter als CEO ausgibt und so an sensible Daten kommt (siehe auch Social Engineering). Vieles ist möglich, wobei du als Unternehmer*in sogar doppelt betroffen sein kannst, wenn zum Beispiel Kundendaten missbraucht wurden: als direkt Betroffene*r und als Verantwortliche*r für den Schaden anderer.

Gesetzliche Rahmenbedingungen

In Österreich trägt stets der/die Geschäftsführer*in die Verantwortung für die Informationssicherheit und die Einhaltung gesetzlicher Bestimmungen. Besonders zu beachten sind in diesem Zusammenhang:

  • DSVGO: Die EU-Datenschutz-Grundverordnung und das österreichische Datenschutzgesetz regeln den Umgang mit personenbezogenen Daten, wie zum Beispiel Namen, (E-Mail)Adressen, etc.
  • NIS-Richtline (EU) 2016/1148: wurde Ende 2018 durch das Netz- und Informationssystemsicherheitsgesetz (NISG) umgesetzt und umfasst Regelungen zur Cyber Security von Betreibern wesentlicher Dienste (öffentliche oder private Einrichtungen aus bestimmten Sektoren), Anbieter digitaler Dienste (online Marktplatz, online Suchmaschine, Cloud Dienste) und Einrichtungen des Bundes. Betroffene Unternehmen müssen bestimmte Sicherheitsvorkehrungen treffen und Sicherheitsvorfälle melden.

Wie du dich vor Cyberkriminalität schützen kannst

Wenn du unsere Tipps beachtest und einige präventive Maßnahmen setzt, kannst du das Risiko eines großen Schadens durch Cyber Angriffe wesentlich reduzieren. Dabei macht es Sinn, den unternehmensinternen Umgang mit Cyber Security zumindest teilweise auch nach außen hin zu kommunizieren, damit Kunden Vertrauen aufbauen und dir guten Gewissens ihre Daten übergeben.

  • Regelmäßige Updates: Achte darauf, dass sowohl bei deinem Betriebssystem als auch bei all deinen anderen Computerprogrammen immer alle Sicherheitsupdates installiert sind. Neue Updates schließen oft Sicherheitslücken, die erkannt wurden.
  • Sichere Passwörter: Je länger und komplexer ein Passwort ist, desto sicherer ist es. Benutze Klein- und Großschreibung, Sonderzeichen und Ziffern. Da sich niemand solche Passwörter merken kann, empfehlen wir dir den Einsatz von Passwort Managern. Besonders sicher sind außerdem Zwei-Faktor-Authentifizierungen.
  • Mitarbeiter sensibilisieren: Der Mensch ist einer der größten Gefahrenquellen, wenn es um das Thema Cyber Security geht. Cyberkriminelle nutzen fehlendes Bewusstsein aus, um zum Beispiel durch Phising Mails an Daten zu kommen. Auch der vermehrte Einsatz von privaten Devices im beruflichen Umfeld kommt mit einem großen Sicherheitsrisiko einher, da verschiedene Apps installiert werden, das Handy in unsicheren Netzwerken unterwegs ist oder womöglich verloren geht. Daher schule deine Mitarbeiter*innen ausführlich und mache sie auf die verschiedenen Bedrohungen aufmerksam, zum Beispiel mit Hilfe des IT-Sicherheitshandbuches für Mitarbeiter von der WKO.
  • Virenschutzprogramme und Firewall: zum Schutz vor Gefahren, die durch eine Netzwerkverbindung drohen
  • Teilweise und vollständig verschlüsselte Verbindungen: ermöglichen das sichere Surfen im Internet, besonders wenn WLAN Netzwerke benutzt werden.
  • Rechteverwaltung: Stelle sicher, dass jede*r deiner Mitarbeiter*innen nur auf die Daten und Programme Zugriff hat, die er/sie wirklich benötigt, damit sich im Falle eines Angriffs der Schaden in Grenzen hält. Übrigens wusstest du schon, dass auch everbill eine Multiuser Funktion mit integrierter Rechteverwaltung hat? So kannst du genau bestimmen, wer auf welche Bereiche Zugriff hat und wer welche Daten bearbeiten kann. Und das vollkommen ortsunabhängig dank Cloud. Klicke hier für mehr Infos zur Buchhaltungssoftware.
  • Cyber Versicherung: zum Schutz vor den finanziellen Verlusten, die Cyber Attacken nach sich ziehen können, ist es empfehlenswert, eine Cyber Versicherung abzuschließen. Diese deckt sowohl Schäden, die dem Unternehmen selbst entstanden sind, als auch Haftpflichtschäden, die entstehen können, wenn Dritte (z. B. Kunden) involviert sind.

Entwicklung eines Sicherheitskonzepts

Besonders wenn du ein größeres Unternehmen leitest, macht es Sinn, ein Sicherheitskonzept bzw. eine Sicherheitsstrategie zu entwickeln. Dabei sind unter anderem folgende Punkte zu beachten:

  • Verantwortliche*n bestimmten: Ernenne eine*n Mitarbeiter*in, der für die Umsetzung aller Sicherheitsmaßnahmen verantwortlich ist und den Überblick bewahrt.
  • Risikomanagement: bevor du dich für bestimmte Maßnahmen entscheidest und diese umsetzt, ist es empfehlenswert, bestehende Risiken zu bewerten und zu priorisieren. Dafür werden im Rahmen eines Risikomanagements Geschäftsprozesse und ihre Schwachstellen analysiert, um herauszufinden, welche die wichtigsten Prozesse sind, welche Schäden ein möglicher Angriff auf diese Prozesse anrichten kann und wie wahrscheinlich ein solcher Angriff ist. Aus dieser Risikobewertung lässt sich ableiten, wo der größte Handlungsbedarf besteht.
  • Vulnerability Management: ist ein laufender Prozess, der Schwachstellen zeitnah identifiziert, klassifiziert, priorisiert, behebt und/oder mindert.
  • Cyber Resilienz: umschreibt den Zustand der nachhaltigen Widerstandsfähigkeit von Unternehmen. Bei diesem Konzept geht es vor allem darum, Angriffe möglichst zu verhindern und bei Vorfällen schnell zu reagieren, um den Geschäftsbetrieb so gut wie möglich aufrechtzuerhalten. Ein besonderer Fokus liegt dabei auf den präventiven Maßnahmen.
  • Datensicherungskonzept: um deine Daten zu schützen, solltest du auch ein Datensicherungskonzept erstellen. Dieses implementiert ein regelmäßiges Daten-Backup und legt zum Beispiel fest, wie oft deine Daten gesichert werden, wo sie gesichert werden, wer dafür zuständig ist, usw. Die WKO stellt einen Online-Ratgeber zum Thema Datensicherung zur Verfügung, mit dem du eine Bestandsaufnahme machen kannst und der dir Tipps gibt, wie du deine Datensicherung verbessern kannst.

Weiterführende Ressourcen zum Thema Cyber Security

  • Online Ratgeber IT-Safe: Die WKO bietet einen Online Ratgeber an, der dir eine Evaluierung deiner derzeitigen IT-Sicherheitsstandards ermöglicht und dir darauf basierend Tipps für mehr Sicherheit gibt.
  • IT-Sicherheitshandbuch für KMU: stellt wichtige Informationen über Cyber Security, Datensicherheit und die rechtlichen Rahmenbedingungen zur Verfügung.
Theres Preißler
Theres Preißler
Theres Preißler		 Theres hat Anthropologie studiert und ist seit ihrer Kindheit leidenschaftliche Texterin. Während sie als Mädchen Pferdegeschichten schrieb, nutzt sie ihre Kreativität und Know-How heute, um der everbill Community wertvollen Content zu bieten. Egal ob es um Tipps & Tricks bezüglich Finanzen, Gründung oder Recht geht, sie gibt ihr für Unternehmer interessantes Wissen in Form von informativen Beiträgen weiter.

Kommentare