Tipps vom Experten: So schützen sich kleine Unternehmen vor Cyberangriffen

 

Wie können sich Selbstständige und Kleinunternehmer ohne großen finanziellen Aufwand vor Cyberangriffen schützen? Sebastian Barchnicki, Experte für IT-Sicherheit, hat eine beruhigende Botschaft: „Die wichtigsten Maßnahmen sind weder teuer noch kompliziert.“ Als Sprecher der Geschäftsführung des Kompetenzzentrums DIGITAL.SICHER.NRW hilft er insbesondere kleinen und mittleren Unternehmen beim Thema Cybersicherheit und digitale Selbstverteidigung – und erklärt, worauf es jetzt besonders ankommt.

Viele Kleinunternehmer und Selbstständige glauben, sie seien kein attraktives Ziel für Hacker. Wie real ist diese Annahme?

Sebastian Barchnicki: Das ist tatsächlich ein Trugschluss, den wir sehr häufig erleben und der sehr gefährlich ist. Viele Kleinunternehmen und Selbstständige gehen davon aus, dass ihre Daten für Cyberkriminelle gar nicht interessant genug wären. Genau da liegt der Denkfehler: Es geht in den meisten Fällen nicht darum, die Daten selbst zu verwerten. Es reicht völlig aus, ein Unternehmen von seinen eigenen Daten auszusperren und schon sitzt der Betrieb in der Falle. Denn Kundendaten, Rechnungen oder Projektunterlagen sind für den laufenden Betrieb unverzichtbar und werden so schnell zum Druckmittel. Kein Unternehmen ist zu jung, zu klein oder zu unbedeutend, um angegriffen zu werden.

Was sind aktuell die häufigsten Cyberangriffsformen auf kleinere Unternehmen?

Sebastian Barchnicki: Ransomware-Angriffe sind nach wie vor die häufigste und zugleich verheerendste Angriffsform auf Unternehmen jeglicher Größe oder Branche. Nach einem erfolgreichen Angriff fließen nicht nur Daten ab, sondern der betroffene Betrieb ist über längere Zeit nicht arbeitsfähig, unter anderem, weil Notfallpläne fehlen oder die Budgets für digitale Sicherheit schlicht zu gering waren.

Auch gefälschte Rechnungen oder der sogenannte CEO-Fraud, bei dem gezielt Gelder erbeutet werden, nehmen immer weiter zu. Gleiches gilt für Deep-Fake-Anrufe, bei denen Künstliche Intelligenz die Stimme von Vorgesetzten oder Geschäftskontakten so überzeugend imitiert, dass selbst erfahrene Mitarbeitende darauf hereinfallen. Im Kern geht es also immer um drei Dinge: Erpressung, Datendiebstahl und Betrug.

Was sollte man im Hinblick auf die wachsende Zahl KI-gestützter Angriffe wissen bzw. beachten?

Sebastian Barchnicki: So wie heute aus reiner Vorsicht gilt, jeder E-Mail erst einmal zu misstrauen, wird das in Zukunft auch für Telefonanrufe und Video-Calls gelten müssen. Mit Künstlicher Intelligenz lassen sich Stimmen und Gesichter schon heute so gut fälschen, dass Cyberkriminelle damit bereits erfolgreich sind.

Das verändert die Spielregeln grundlegend. Viele der bisherigen Warnsignale fallen weg. Umso wichtiger ist es, interne Abläufe und Freigabeprozesse kritisch zu hinterfragen. Werden größere Zahlungen per Anruf freigegeben, ohne dass sie eine zweite Person bestätigt? Gibt es klare Regeln, wie sensible Anweisungen verifiziert werden? Vereinbarte Codewörter oder gezielte Rückfragen über einen zweiten Kanal können hier bereits einen großen Unterschied machen. Entscheidend ist, dass solche Absprachen existieren, bevor es zum Ernstfall kommt.

Wenn das Budget knapp ist: Welche drei Sicherheitsmaßnahmen bringen den größten Effekt?

Sebastian Barchnicki: Die gute Nachricht ist, dass die wichtigsten Maßnahmen weder teuer noch kompliziert sind. Spielen Sie Updates zeitnah ein und ersetzen Sie Geräte, die keine mehr erhalten. Das allein schließt bereits viele Einfallstore. Erstellen Sie regelmäßig Datensicherungen, bewahren Sie diese sicher auf und prüfen Sie, ob sich die Daten tatsächlich wiederherstellen lassen. Vergeben Sie nur die Zugriffsrechte, die wirklich nötig sind – egal, ob in Postfächern, Ordnern oder Dateien. Zusammen mit einer Zwei-Faktor-Authentifizierung und einem Passwortmanager lässt sich so mit wenig Aufwand viel erreichen.

Außerdem: Verschlüsseln Sie die Festplatten Ihrer Laptops und PCs, damit bei einem Verlust nicht gleich alle Firmendaten in fremde Hände geraten. Perspektivisch lohnt es sich, ein IT-Dienstleistungsunternehmen hinzuzuziehen. Das sollte genauso selbstverständlich sein, wie wenn Sie zum Zahnarzt oder in die Kfz-Werkstatt gehen.

Wo sehen Sie die größten Schwachstellen für Sicherheitslücken – in den Bereichen Technik, Prozesse oder menschliches Verhalten?

Sebastian Barchnicki: Es ist eine Kombination aus allem, aber der Faktor Mensch wird meiner Ansicht nach dabei oft falsch eingeordnet. Mitarbeitende sind nicht die erste Verteidigungslinie, wie viele propagieren, sondern die letzte Chance. Sie greifen erst dann, wenn alle technischen und organisatorischen Maßnahmen vorher versagt haben. Voraussetzung dafür ist natürlich, dass es diese Maßnahmen im Unternehmen überhaupt gibt. Wenn E-Mails ungefiltert im Postfach landen oder der Browser seit Wochen kein Update erhalten hat, dann wird jeder Klick zum Risiko. Nicht, weil die Mitarbeitenden unvorsichtig sind, sondern weil die Technik sie im Stich lässt. Investieren Sie zuerst in die technischen Grundlagen, damit Ihr Team gar nicht erst in die Situation kommt, die letzte Verteidigungslinie sein zu müssen.

Welche Rolle spielen einfache Maßnahmen wie Passwortmanager oder Zwei-Faktor-Authentifizierung?

Sebastian Barchnicki: Gerade mit einfachen Maßnahmen lässt sich eine große Wirkung erzielen. Ein Passwortmanager erzeugt für jede Webseite ein eigenes, komplexes Passwort. Dieses kann 50 oder 60 Zeichen lang sein, was niemand sich merken könnte. Zudem lassen sich Zugänge gruppieren und gezielt nur durch bestimmte Personen freigeben. Gleichzeitig sehen Sie auf einen Blick, wo Passwörter zu schwach sind, welche durch Datenlecks gefährdet sind und wo Sie überhaupt überall angemeldet sind. Bei Hunderten von Zugängen, die heute schnell zusammenkommen, ist das ein enormer Vorteil.

Die Zwei-Faktor-Authentifizierung geht noch einen Schritt weiter. Selbst wenn ein Passwort in falsche Hände gerät, bleibt der Zugang geschützt. Es geht immer darum, die Hürde für Cyberkriminelle so hoch wie möglich zu setzen. Genau das leisten diese beiden Maßnahmen.

Welche Sicherheitsvorteile bietet die Cloud gegenüber lokalen Servern – und wo liegen mögliche Risiken?

Sebastian Barchnicki: Gerade für kleinere Unternehmen kann sich eine Cloud lohnen. Beim Cloud-Anbieter kümmern sich Profis um die Überwachung und den Schutz vor Angriffen. Das bedeutet, dass z.B. Updates automatisch eingespielt oder Daten verschlüsselt übertragen, gesichert und an mehreren Standorten gespeichert werden. Wenn das Unternehmen wächst, wachsen die Schutzmechanismen mit. Dieses Sicherheitsniveau auf eigenen Rechnern vor Ort zu erreichen, ist für ein kleines Unternehmen kaum realistisch.

Bei den Risiken ist es zuerst einmal wichtig zu verstehen, dass sich hinter dem Begriff „Cloud“ eigentlich ein fremder Rechner verbirgt. Das heißt, ich muss dem Betreiber vertrauen und bereit sein, ihn dafür zu bezahlen. Wer also Daten in die Cloud gibt, gibt ein Stück Kontrolle über die eigenen Unternehmensdaten ab. Außerdem gilt, dass je mehr Dienste und Optionen eine Cloud-Umgebung mitbringt, desto mehr kann falsch eingestellt werden.

Worauf sollten Kleinunternehmer und Selbstständige achten, wenn sie sich für einen Cloud-Anbieter entscheiden?

Sebastian Barchnicki: Prüfen Sie, was der Cloud-Dienst für seine Cybersicherheit tut. Zertifizierungen wie die ISO27001 oder das BSI C5 für Cloud-Betreiber sind hier ein guter Vertrauensanker. Achten Sie außerdem darauf, ob Sie Ihre Daten mitnehmen können, falls Sie den Dienst wechseln möchten. Der sogenannte Lock-in-Effekt kann das Verlassen eines Cloud-Dienstes sehr schwer bis unmöglich machen. Schauen Sie sich auch an, wie es um Verfügbarkeit und Support steht. Wer hilft Ihnen im Notfall und wie schnell?

Ein Punkt, der oft unterschätzt wird, ist die Bedienbarkeit. Wenn ein Dienst oder System im Arbeitsalltag umständlich ist, suchen sich Mitarbeitende eigene Wege, um z. B. Dateien zu teilen oder zusammenzuarbeiten. Das wird schnell zum Sicherheitsrisiko. Sorgen Sie dafür, dass alle im Team ausreichend geschult sind und sich mit der Lösung wohlfühlen.

Wenn ein Angriff tatsächlich passiert ist: Was sind die ersten drei Schritte, die Betroffene sofort einleiten sollten?

Sebastian Barchnicki: Erstens: Ruhe bewahren. Zweitens: Alle Netzwerk- und Internetverbindungen sofort trennen. Wichtig dabei ist, die Geräte keinesfalls einfach abschalten. Drittens: Den Notfallplan aktivieren.

Dieser Plan enthält alles, was jetzt zählt: Dokumentation der Vorgehensweise, Notfallrufnummern, Meldepflichten, Kontaktdaten der Belegschaft, die Hotline Ihres IT-Dienstleistungsunternehmens, Informationen zur Cyberversicherung samt Meldefristen und Leistungsumfang. Falls Sie noch keinen Notfallplan haben, ist genau jetzt der richtige Zeitpunkt, einen zu erarbeiten. Wenn Sie dabei Unterstützung brauchen oder generell Fragen zur digitalen Sicherheit haben, helfen wir Ihnen gerne in unserer kostenlosen Erstberatung.

Zu DIGITAL.SICHER.NRW:

Das Kompetenzzentrum für Cybersicherheit in der Wirtschaft in NRW bietet Informationen zu den wichtigsten Maßnahmen zur Prävention vor Cyberangriffen. Mit dem sogenannten IT-Sicherheitskompass auf www.digital-sicher.nrw, regelmäßigen Webinaren zu verschiedensten Themen der IT-Sicherheit und einer digitalen Erstberatung unterstützt das Kompetenzzentrum Unternehmen bei allen Fragen rund um die digitale Sicherheit. Die genannten Angebote richten sich sowohl an Anfänger als auch an Fortgeschrittene und sind für nordrhein-westfälische Unternehmen kostenfrei.

Bei Fragen oder Anliegen: info@digital-sicher.nrw