Wir bitten Sie an dieser Stelle um Ihre Einwilligung für die Nutzung unseres Videodienstes. Nähere Informationen zu allen Diensten finden Sie, wenn Sie die Pfeile rechts aufklappen. Sie können Ihre Einwilligungen jederzeit erteilen oder für die Zukunft widerrufen. Rufen Sie dazu bitte diese Einwilligungsverwaltung über den Link am Ende der Seite erneut auf.
Diese Webseite setzt temporäre Session Cookies. Diese sind technisch notwendig und deshalb nicht abwählbar. Sie dienen ausschließlich dazu, Ihnen die Nutzung der Webseite zu ermöglichen.
Das Ministerium präsentiert seine Arbeit auf dieser Webseite auch in Form von Videos. Diese werden vom deutschen Anbieter TV1 mit Hilfe des JW-Players mit Sitz in den USA ausgeliefert. Bitte willigen Sie in die Übertragung Ihrer IP-Adresse und anderer technischer Daten an den JW-Player ein, und erlauben Sie JW-Player, Cookies auf Ihrem Endgerät zu setzen, wenn Sie unser Video-Angebot nutzen wollen. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Energie. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Über die Einwilligungsverwaltung am Ende der Seite können Sie jederzeit steuern, ob Sie den Videodienst JW-Player zur Übertragung freigeben oder nicht.
Ausführliche Informationen über Ihre Betroffenenrechte und darüber, wie wir Ihre Privatsphäre schützen, entnehmen Sie bitte unserer Datenschutzerklärung.
Einwilligung zum Videodienst JW-Player
Das Ministerium präsentiert seine Arbeit auf dieser Webseite auch in Form von Videos. Diese werden vom deutschen Anbieter TV1 mit Hilfe des JW-Players mit Sitz in den USA ausgeliefert. Bitte willigen Sie in die Übertragung Ihrer IP-Adresse und anderer technischer Daten an den JW-Player ein, und erlauben Sie JW-Player, Cookies auf Ihrem Endgerät zu setzen, wenn Sie unser Video-Angebot nutzen wollen. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Energie. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Über die Einwilligungsverwaltung am Ende der Seite können Sie jederzeit steuern, ob Sie den Videodienst JW-Player zur Übertragung freigeben oder nicht.
Mit diesen 6 Maßnahmen stärken Sie Ihren Schutz vor CyberbedrohungenCyberresilienz
Einleitung
Es ist ein ewiges Katz-und-Maus-Spiel: Kaum ist eine Sicherheitslücke geschlossen, finden Angreifer auch schon neue Schwachstellen, die sie für sich nutzen können. Das macht den Schutz vor Cyberangriffen jedoch nicht überflüssig, sondern erfordert im Gegenteil ständige Wachsamkeit und die fortlaufende Umsetzung von Maßnahmen, die verhindern, dass Cyberkriminelle erfolgreich sind. Unternehmen können sich wirksam schützen, indem sie möglichst wenig Angriffspunkte bieten und gegen den Worst Case eines erfolgten Angriffs gut gewappnet sind. „Je besser man vorbereitet ist, desto wahrscheinlicher ist es, dass man das Schadensmaß in einem sehr geringen Umfang halten kann“, weiß Marc Dönges, Projektleiter Transferstelle Cybersicherheit im Mittelstand. Die folgende Übersicht stellt sechs zentrale Maßnahmen vor, mit denen kleine und mittlere Unternehmen (KMU) ihren Schutz vor Cyberangriffen beträchtlich verbessern können.
1. Sensibilisierung und Schulung der Mitarbeitenden
Mitarbeitende spielen eine entscheidende Rolle in der Sicherheitsarchitektur und sind ein wichtiger Teil der „human firewall“ („menschlicher Schutzwall“) eines Unternehmens, zumal sie das Hauptziel für Phishing und andere Social-Engineering-Attacken darstellen. „Typisch für Social-Engineering-Methoden ist, dass der Angreifende versucht, das Opfer durch Anreize, Mitleid oder Druck zu bestimmten Handlungen zu verleiten“, erklärt Michelle Walther, Social-Engineering-Expertin vom Mittelstand-Digital Zentrum Fokus Mensch. „Dies tut er, indem er eine falsche Identität annimmt, um seine wahren Absichten zu verbergen und eine glaubhafte Situation vorzutäuschen. Häufig sind etwa Phishing-E-Mails, die anscheinend von einer vertrauten Person oder Organisation stammen, in Wirklichkeit aber nur dazu dienen, Trojaner, Malware oder Ransomware ins IT-System einzuschleusen.“
Das Bewusstsein für diese Gefahren sollte in der Belegschaft durch regelmäßige Schulungen und Workshops geschärft werden. „Bei der Abwehr von Social-Engineering-Attacken oder zumindest der Minimierung der damit verbundenen Schäden zählt jede Sekunde“, betont Michelle Walther. Dem stimmt auch Marc Dönges zu und rät: „Die Sensibilisierung der Mitarbeitenden sollte daher kontinuierlich erfolgen, um sicherzustellen, dass das Wissen über die aktuellen Bedrohungen stets auf dem neuesten Stand ist. Neben Schulungen bieten sich dafür beispielsweise im Intranet abrufbare Kurzvideos oder Simulationsübungen wie der Versand von Testphishing-Mails an.“
Für eine erfolgreiche Sicherheitskultur sind aber nicht nur die Mitarbeitenden verantwortlich. „Der Schutz vor Cybergefahren ist Sache der Geschäftsführung“, betont Marc Dönges. „Führungskräfte müssen transparent kommunizieren, was sie von ihren Mitarbeitenden erwarten, und ihnen etwa auch entsprechend Zeit für Übungen oder Back-ups einräumen. Es kommt darauf an, dass sie ihre Vorbildfunktion wahrnehmen und sich aktiv für Cyberresilienz einsetzen.“ Michelle Walther ergänzt, an Führungskräfte gerichtet: „Etablieren Sie eine konstruktive Fehlerkultur, in der Mitarbeitende Verdächtiges ohne Angst vor Konsequenzen melden können, und schaffen Sie eine Atmosphäre, in der Mitarbeitende die Möglichkeit haben, verdächtige Mails zu hinterfragen.“
2. Passwort- und Authentifizierungsmanagement
Passwörter sind die Schlüssel und Schlösser der digitalen Welt. Sie verhindern unbefugte Zugriffe und ermöglichen es, dass wir uns im digitalen Raum mit einer Art persönlicher Signatur bewegen können. Umso erstaunlicher ist, dass noch immer viele Nutzerinnen und Nutzer auf leicht zu erratende Passwörter setzen. Das Hasso-Plattner-Institut erstellt seit Jahren die Liste der am häufigsten genutzten deutschen Passwörter. Regelmäßig rangieren dabei die Zahlenreihen „123456789“ und „12345678“ auf den ersten beiden Plätzen, gefolgt von „hallo“ auf Platz 3.
Derart schwache Passwörter stellen ein erhebliches Sicherheitsrisiko dar. Angreifer knacken mithilfe von Programmen solche Passwörter in Sekundenbruchteilen. Je länger oder komplexer ein Passwort ist, desto länger benötigen Kriminelle, um es zu herauszufinden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher entweder zu einem komplexen Passwort, das acht bis zwölf Zeichen lang ist und aus vier verschiedenen Zeichenarten (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie „?§:-+“) besteht, die willkürlich aneinandergereiht werden. Oder Sie verwenden ein weniger komplexes, dafür aber langes Passwort mit mindestens 25 Zeichen aus zwei Zeichenarten wie zum Beispiel „Tisch_himmel_kenia_blau_pfannkuchenteig_lachen“, an das Sie sich gut erinnern können, weil Sie es mit einem Ereignis verbinden.
Als Führungskraft sollten Sie eine Richtlinie für die Verwendung sicherer Passwörter im Unternehmen einführen. Dazu gehört auch, dass bei unterschiedlichen Diensten keine gleichen oder ähnlichen Passwörter zu verwenden sind. Empfehlenswert ist ferner, den Mitarbeitenden die Nutzung eines Passwortmanagers nahezulegen. Er hilft dabei, komplexe und einzigartige Passwörter für jede Anwendung zu generieren und sicher zu speichern. Damit verhindern Sie zudem, dass Passwörter am Arbeitsplatz hinter Bilderrahmen, unter Tastaturen oder Tassen „versteckt“ werden. Denn auch bei physischen Einbrüchen sollten Ihre Daten geschützt sein.
Zusätzlich zur Verwendung sicherer Passwörter ist die Implementierung von Multi-Faktor-Authentifizierung (MFA) ein Muss, um Ihr Unternehmen effektiv zu schützen. Die MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem sie die Identität der Nutzenden durch mehrere Prüfmethoden bestätigt. Dies kann beispielsweise durch die Kombination eines Passworts mit einem einmaligen Code erfolgen, der an das Mobiltelefon der Benutzerin oder des Benutzers gesendet wird. Vertiefende Informationen zum Passwort- und Authentifizierungsmanagement finden Sie unter Erweiterter Login-Schutz: Passwortmanager und mehrstufige Authentifizierungen der Transferstelle Cybersicherheit im Mittelstand.
3. Technische Schutzmaßnahmen
Neben Passwortmanagern und Multi-Faktor-Authentifizierung gibt es eine Reihe weiterer Technologien, mit denen Sie Ihr Unternehmen vor Ransomware und anderen Schadprogrammen schützen können. Spam-Filter sowie Virenschutzprogramme, Firewalls und verschlüsselte VPN-Verbindungen sind unerlässlich. Virenschutzprogramme erkennen und beseitigen schädliche Software, bevor sie Schaden anrichten kann. Firewalls kontrollieren den Datenverkehr zwischen dem internen Netzwerk und externen Quellen, um unbefugte Zugriffe zu verhindern.
Da mittlerweile viele Mitarbeitende remote von zu Hause oder unterwegs arbeiten, sollten Sie verschlüsselte VPN-Verbindungen anbieten. Sie ermöglichen es den Mitarbeitenden, auch von außerhalb sicher auf das Unternehmensnetzwerk zuzugreifen. Marc Dönges rät zudem dazu, „Daten regelmäßig zu sichern, getrennt vom Server zu lagern und auch die Back-ups regelmäßig zu prüfen, um ihre Wiederherstellbarkeit im Ernstfall sicherzustellen und schnell wieder handlungsfähig zu sein.“
4. Management und organisatorische Maßnahmen
„Als Geschäftsführung sollten Sie sich darüber bewusst sein, dass Sie die Gesamtverantwortung für die Cybersicherheit tragen“, fasst Marc Dönges die Rolle der Führung zum Thema Cybersicherheit zusammen. „Nur wenn die Führungsebene die Bedeutung von Cybersicherheit erkennt und aktiv unterstützt, werden sich im Unternehmen effektive Sicherheitsmaßnahmen umsetzen lassen.“
Eine Delegierung dieser Verantwortung an IT-Sicherheitsberaterinnen und -berater hält Dönges für nicht ausreichend. „Durch den regelmäßigen Austausch mit den IT-Sicherheitsverantwortlichen sollte die Geschäftsführung die Agenda für alle Cybersicherheitsmaßnahmen setzen. Zumal deren erfolgreiche Umsetzung immer auch daran hängt, dass die dafür erforderlichen Kapazitäten freigeräumt werden müssen.“ Die in Deutschland voraussichtlich ab Frühjahr 2025 gültige NIS-2-Richtlinie verschärft ohnehin die Anforderungen, die an Unternehmen hinsichtlich der Cybersicherheit gestellt werden. NIS-2 betrifft zwar nicht alle Unternehmen direkt, doch müssen gerade auch kleine und mittlere Zulieferer damit rechnen, dass sie von ihren Auftraggebern zur Einhaltung von NIS-2 verpflichtet werden. Zum Regelwerk gehört unter anderem, dass die Geschäftsführung für mangelnde IT-Sicherheit haftbar gemacht werden kann.
Gerade aus Sicherheitsgründen sollten Unternehmen stets einen umfassenden Überblick über ihre gesamte Lieferkette und Dienstleisterverhältnisse haben. Durch Angriffe auf die Software-Lieferkette öffnen sich oft erhebliche Sicherheitslücken, die von Kriminellen ausgenutzt werden können. Minimieren lässt sich dieses Risiko, indem Sie solche Lieferketten und die Zusammenarbeit mit Partnern regelmäßig überprüfen. Als Geschäftsführung sollten Sie hierbei eine aktive Rolle einnehmen und sicherstellen, dass alle Beteiligten an einem Strang ziehen.
5. Notfallplanung und -reaktion
Einen vollständigen Schutz vor Cyberangriffen wird es vermutlich nie geben. Daher sollte Ihr Unternehmen jederzeit mit derartigen Attacken rechnen und entsprechend auf sie vorbereitet sein. „Ziehen Sie Expertinnen und Experten hinzu“, rät Michelle Walther. „Bewahren Sie in jedem Fall die Ruhe und dokumentieren Sie Ihre Maßnahmen gut, damit Sie später gegenüber Behörden und von dem Angriff betroffenen Dritten nachweisen können, verantwortungsvoll gehandelt zu haben.“
Um sicherzustellen, dass Sie richtig reagieren, sollten Sie schon vorab einen Plan für ein solches Worst-Case-Szenario in der Schublade haben. „Mit einem Business Continuity Plan (BCP) halten Sie alle Schritte fest, die im Fall eines erfolgreichen Angriffs befolgt werden müssen“, erläutert Michelle Walther das Vorgehen. „Dabei legen Sie beispielsweise fest, wie intern und extern kommuniziert werden muss, wenn alle Computer und Handys lahmliegen, oder auch, wer was und wann an Mitarbeitende, Kundschaft und Partner kommuniziert.“ Damit solche Pläne im Ernstfall greifen, sollten Sie regelmäßige Notfallübungen durchführen, um die Reaktionsfähigkeit des Teams zu testen und zu verbessern.
Checklisten und Anlaufstellen für den Notfall finden Sie unter CYBERsicher: Akute Hilfe der Transferstelle Cybersicherheit im Mittelstand. Weitere Informationen finden Sie in diesem Themenhub unter „13 To-dos bei einem Cyberangriff“.
6. Kontinuierliche Verbesserung und Überwachung
In IT-Infrastrukturen spiegelt sich die Komplexität moderner Unternehmen wider. Es ist angesichts der Vielzahl von Anwendungen und Systemen meist sehr schwierig, alle Schwachstellen zu identifizieren und zu beheben. Hinzu kommt, dass Cyberkriminelle ihre Methoden ständig weiterentwickeln, um Sicherheitsmaßnahmen zu überwinden. Mitunter treten bei Software-Anwendungen auch Schwachstellen auf, die den Entwicklern entgangen sind und für die es erst mit Verzögerung Sicherheits-Updates gibt. Cybersicherheit ist ein äußerst dynamisches Feld, das kontinuierliche Aufmerksamkeit, Anpassung und Verbesserung erfordert. Sie sollten daher alle Cybersicherheitsmaßnahmen immer wieder auf ihre Wirksamkeit hin überprüfen und dies als fortlaufenden Prozess in Ihrem Unternehmen etablieren.
Unterstützung bei diesem Prozess bieten Ihnen drei zentrale Angebote der Transferstelle Cybersicherheit im Mittelstand:
Der CYBERsicher Check bietet Ihnen in nur 30 Minuten eine erste Einschätzung der Sicherheitslage. Über einen Fragebogen ermitteln Sie dabei den Ist-Zustand Ihrer IT-Sicherheit, erhalten erste Handlungsempfehlungen und passende Materialien. „Mit dem Ergebnisbericht des CYBERsicher Checks können Sie dann beispielsweise auch gezielt Dienstleister ansprechen und wissen, was konkret getan werden muss“, erläutert Transferstellenleiter Dönges.
Der CyberRisiko-Check ist ein Standard für die IT-Sicherheitsberatung, der spezifisch für die Bedürfnisse von kleinen und mittleren Unternehmen entwickelt wurde. Er umfasst 27 wesentliche Anforderungen, die erfüllt werden müssen, um die größten Sicherheitslücken zu schließen. Der Check wurde zusammen mit dem BSI und anderen IT-Dienstleistern erstellt und identifiziert die wichtigsten Maßnahmen, die KMU umsetzen sollten. Über die Website des BSI finden Unternehmen gezielt Dienstleister, die IT-Sicherheitsberatung nach dem Standard des CyberRisiko-Checks anbieten.
Sollten Sie noch nicht wissen, wo Sie beim Thema Cybersicherheit ansetzen sollten, bieten Ihnen die CYBERDialoge die Möglichkeit für ein kostenfreies Orientierungsgespräch. Das Angebot richtet sich an KMU, Handwerksbetriebe und Start-ups, die herausfinden möchten, wie sie am besten in das Thema Cybersicherheit einsteigen können.
Ausblick: KMU werden in Zukunft noch mehr in Cybersicherheit investieren müssen
Angesichts der fortschreitenden Digitalisierung sind KMU bereits heute vermehrt Ziel von Cyberangriffen wie Phishing, Ransomware und Datenlecks. Besonders besorgniserregend sind die immer ausgeklügelter werdenden Methoden der Angreifer, die etwa Künstliche Intelligenz und Machine Learning einsetzen, um Sicherheitslücken schneller zu finden und auszunutzen. Um mit diesen Entwicklungen Schritt zu halten, müssen auch KMU ihre Cybersicherheitsstrategien anpassen und verstärken.
Wichtige Maßnahmen umfassen regelmäßige Sicherheits-Updates, Schulungen für Mitarbeitende zur Erkennung von Phishing-Versuchen und die Implementierung von Multi-Faktor-Authentifizierung. Zudem sollten Sie in fortschrittliche Sicherheitslösungen wie automatisierte Bedrohungserkennung und -abwehr investieren.
Die Kooperation mit spezialisierten IT-Sicherheitsfirmen ist essenziell, um stets auf dem neuesten Stand der Technik und der Bedrohungsabwehr zu bleiben. Kleine und mittlere Unternehmen sollten zudem bereits heute eine Sicherheitskultur entwickeln, die proaktiven Schutz und kontinuierliche Überwachung umfasst, um auch mittel- und langfristig den Cyberbedrohungen gewachsen zu sein.
