„Wir haben keine hochsicheren Geheimnisse“, ist die Meinung vieler kleiner und mittlerer Betriebe. Während große Konzerne ihr EDV wie Fort Knox abschotten, gehen viele KMU`s sehr unbedarft mit der IT-Sicherheit um. Hackern und Datendieben geht es jedoch nicht ausschließlich um die gezielte Suche nach Daten und Sicherheitslücken – oftmals sind die Gründe vielfältig.
Teilweise ist es einfach nur der Spaß am Hacken, oder es geht um das „Ausprobieren“ von neuen Methoden. Oftmals wird ein System kompromittiert, um die „Hoheit“ darüber zu gewinnen und mit weiteren bereits übernommenen Rechnern einen großen Angriff gegen weitere Zielsysteme „zusammenzuschalten“.
Dabei werden die IT-Systeme der KMUs in der Regel nach dem „Gießkannenprinzip“ angegriffen. Das bedeutet, dass viele Betriebe mit einfachen, standardisierten Manipulationsmethoden „kontaktiert“ werden – in der Hoffnung, dass irgendein Unternehmen (ohne ausreichenden Schutz) dann zufällig „gehackt“ werden kann.
Gerade in diesem Zusammenhang gibt es diverse Mittel und Wege, Schadsoftware von außen einzuschleusen. Eine der häufigsten Methoden ist das Versenden von „manipulierten“ E-Mails. An diese Nachrichten hängt der Hacker einen Schadcode oder fordert den Leser auf, eine spezielle – zuvor mit Schadsoftware infizierte – Website anzuwählen. Auf diese Weise erlangen sie dann z.B. die Hoheit über das Betriebssystem, die computergesteuerte Fräse, die Lohnabrechnung oder einfach über Dinge, mit denen sich Erpressungsversuche lohnen. Jeder solcher Ausfälle kostet nämlich viel Zeit, Sorgen und Geld: In der Vergangenheit waren nicht wenige Betroffene bereit, kleine bis mittlere Geldbeträge zu überweisen. Für den Hacker in der Summe ein lohnendes Geschäft.
Um sich richtig zu schützen, benötigen Insbesondere kleine und mittlere Betriebe hier konkrete Hilfestellungen. Viele sind zwar schon aktiv, oftmals jedoch nur halbherzig: So bieten veraltete Virenscanner oder Firewalls mit dem Passwort „admin“ keinen echten Schutz! Wer sicherer werden will, stößt schnell an Grenzen: Gängige Sicherheitskonzepte sehen einen Rundum-Schutz vor, den sich eine KMU kaum leisten kann und will.
Daher ist es wichtig, sich gezielt auf die „gefährlichsten“ Bedrohungen zu konzentrieren. Wichtige Basis-Maßnahmen sind zum Beispiel:
- Die Ernennung eines festen Sicherheitsverantwortlichen (Kümmerer).
- Ein einfaches und effektives Backup-Management, das vor dem Verlust wichtiger Daten schützt.
- Ein wirksamer Virenschutz, der sich automatisch aktualisiert.
- Die Einrichtung einer lückenlosen Firewall, die Bedrohungen sicher abblockt.
- Den Aufbau einer „gelebten“ Sicherheitskultur mit eindeutigen Regeln: Insbesondere bei denen, die von „außerhalb“ auf das System des Unternehmens Zugriff haben.
Wichtig ist es, realistische Lösungen für kleine und mittlere Unternehmen zu schaffen. Es gibt nicht die eine, ultimative Lösung. Unternehmen müssen sich intensiv Gedanken machen, was genau zu schützen ist. Der Fokus sollte auf den wirklich sensiblen und kritischen Unternehmensdaten liegen, die für ihr Geschäft notwendig sind – und nicht nur auf den standardisierten Schutz sämtlicher IT-Systeme. Die Entscheidung für eine Security-Lösung sollte insbesondere davon abhängen, ob und wie man diese wirkungsvoll und realistisch betreiben kann. Das ist nicht allein mit automatisierten Sicherheits-Tools zu bewerkstelligen. Es braucht klare Regeln und vor allem Verantwortliche – selbst in kleinen Unternehmen.