Auch KMUs kommen an IT-Sicherheit nicht vorbei

Die europäische Datenschutz-Grundverordnung ist nun seit über einem Jahr in Kraft und zeigt schon jetzt ihre Zähne. Es vergeht kaum eine Woche in der nicht kleinere und größere Datenschutz-Vorfälle gemeldet werden, die im Zweifelsfall hohe Bußgelder nach sich ziehen. So soll etwa die Fluggesellschaft British Airways (BA) für ein Datenleck knapp 205 Millionen Euro Strafe zahlen. Bei dem Vorfall waren rund 500.000 Kundendaten betroffen. Die schwachen Sicherheitsvorkehrungen des Unternehmens konnten von Cyberkriminellen umgangen werden, um persönliche Daten und Kreditkarteninfos samt Sicherheitscodes abzufangen.

Die DSGVO zielt aber nicht nur auf große Konzerne ab, auch kleine und mittlere Unternehmen sind dazu verpflichtet, die im Betrieb anfallenden Kundendaten zuverlässig zu schützen. Dabei gilt, je größer das Risiko für die Betroffenen, desto umfangreicher muss das Schutz­niveau ausfallen.

Diese Risiko-basierte Grundkonzeption machen sich aber auch Cyberkriminelle zu Nutzen, weiß Michael Veit,  Technology Evangelist beim Security-Spezialisten Sophos. „Der Ansatz 'bei uns gibt’s ja nichts zu holen' ist spätestens seit der DSGVO pas­sé. Dank der Verordnung und der Meldepflicht haben sich neue Erspressungsmethoden etabliert, die den einzelnen Sicherheits-Verantwortlichen und Unternehmensleiter ins Visier nehmen. Datenschutzverstöße können damit als Druckmittel genutzt werden.“

Selbst kleine Unternehmen können mit solchen Erspressungsmethoden unter Druck gesetzt werden. Zumal Sicherheitsvorfälle für KMUs ohnehin schnell kritische Ausmaße annehmen können. Zu den direkt durch einen möglichen Produktionsausfall verursachten Kosten kommen Reputationsverluste und Geldstrafen hinzu - Cyberattacken zwingen so manches Unternehmen damit sogar zur kompletten Aufgabe des Betriebs.

Wie der aktuelle Data Breach Investigations Report 2019 von Verizon belegt, treffen 43 Prozent aller Angriffe gezielt kleine Unternehmen. Für Cyberkriminelle sind KMUs ein lukratives Ziel, sagt Barry McMahon, Senior International Marketing Manager von LogMeIn. Ein Grund dafür ist etwa die Lieferkette, mit der auch kleinere Unternehmen mit großen Konzernen verknüpft sind. "Und wenn es den Angreifern gelingt, kleine Zulieferer zu infiltrieren, eröffnet dies auch den Zugriff auf die Netzwerke größerer Partnern.“

Nichtsdesotrotz hat die DSGVO sehr wohl einen positiven Einfluss auf die Sicherheitslandschaft. McMahon ist sich sicher, dass die Verordnung den Firmen vor Augen führt, dass IT-Sicherheit jedes Unternehmen betrifft und auch in Zukunft betreffen wird. "Darüber hinaus machen die Strafen nun IT-Sicherheit bedeutsamer für Firmen."

Das Thema Sicherheit betrifft heutzutage die gesamte Firma, von der Unternehmensführung bis hinunter zu jedem einzelnen Mitarbeiter. "IT-Entscheider müssen etwa dafür Sorge tragen, dass die Mitarbeiter ordentlich geschult wurden, und jeder einzelne muss Awareness für die lauernden Gefahren aufbauen", erklärt McMahon.

Darüber hinaus könne der Einsatz von smarten Sicherheitslösungen wesentlich dazu beitragen, die Angriffsfläche für Attacken zu vermindern. So enttarnen und vereiteln etwa teilautomatisierte Login-Dienste mit mehrschichtigen Authentifizierungsmethoden zuverlässig Phishing-Versuche. Und auch die Achtsamkeit der Mitarbeiter lässt sich mit Tools beständig trainieren und ausbauen.

Oft fehlt es bei kleineren Betrieben aber nicht einmal an dem Bewusstsein für die potenzielle Bedrohung. Viel mehr fehlen hier die Ressourcen, um sämtliche Angriffsvektoren effektiv abzusichern. Zumal der anhaltende Fachkräftemangel im Bereich IT-Sicherheit die Situation der KMUs weiter zuspitzt. Dennoch dürfen knappe Ressourcen natürlich kein Grund für mangelnde Cybersicherheit sein.

Einen Ausweg aus dieser Misere bieten beispielsweise automatisierte Sicherheitslösungen, die mittels Machine Learning viele Prozesse in der Cybersicherheit vereinfachen. Daneben punkten KI-gestützte Systeme zudem mit weiteren Vorteilen bei der Abwehr neuartiger Angriffsarten, die ebenfalls ausgefeilte Algorithmen nutzen, um unbemerkt ins Firmennetz einzudringen. „Ein Angreifer ist im Schnitt sieben Monate im Unternehmen, bis er entdeckt wird. Diese Hacker gilt es mit der automatisierten Erkennung von Anomalien aufzuspüren", erklärt Sicherheitsexperte Veit. Herkömmliche Firewalls und Virenscanner sind bei solchen Angriffen kein probates Mittel, hier sind Next-Gen-Lösungen erforderlich.

Auch die Symantec-Spezialisten Andre Engel, Sr. Consultant Cyber Security, und Candid Wüest, Senior Principal Threat Researcher, sprechen sich für den Einsatz von Machine Learning für die IT-Sicherheit in KMUs aus. Dank der anfallenden Telemetriedaten lassen sich mit modernen Lösungen mögliche Sicherheitsvorfälle automatisiert analysieren und kategorisieren. Durch diesen Vorgang werden im Vorfeld drei Viertel an False Positives herausgefiltert, was Sicherheitsverantwortlichen mehr Freiraum für die Bearbeitung wirklich relevanter Ereignisse schafft.

Daneben können Firmen die IT-Sicherheit heutzutage auch auslagern und als Service-Leistung von Security-Spezialisten beziehen. Letztere kümmern sich dann um das Monitoring und schlagen Alarm, sobald Auffälligkeiten im Netzwerk zu verzeichnen sind. Auch für die Abwehr von Angriffen und der anschließenden Analyse stehen Managed Security Services bereit.

Neue Angriffsarten erfordern zudem ein hohes Maß an Sicherheitsexpertise. Sophos verzeichnet mitunter vermehrt Attacken über Blendet Threads, erläutert Veit weiter. "Dabei werden automatisiert Ziele infiziert und Basiskomponenten installiert. Dann erst greift ein menschlicher Hacker ein, um sich gezielt im Unternehmensnetz auszubreiten und die wertvollsten Daten als Geisel zu nehmen.“ Dahingegen werden breite Angriffe nach dem Gießkannenprinzip wie WannaCry immer seltener, weil sie weniger attraktiv für die Angreifer sind.

Die Nutzererfahrung im Tagesgeschäft darf allerdings durch den Einsatz ausgeklügelter Schutztechniken nicht in Mitleidenschaft gezogen werden. "Ansonsten werden Mitarbeiter einen Weg finden, um umständliche Prozesse zu umgehen -  über Schatten-IT oder die Nutzung von eigenen Geräten zur Verarbeitung von Unternehmensdaten“, ist sich McMahon sicher.

IT-Sicherheit bedeutet für KMUs folglich, den Balanceakt zwischen Usability, Security und Wirtschaftlichkeit zu meistern.