So vermeiden Sie 8 Fehler, die fast alle KMUs begehen

Wenn es um IT-Sicherheit geht, sehen wir immer wieder dieselben Fehler.

Selbst wenn es sich bei Ihrem Unternehmen um eine kleine Bäckerei handelt, ist ein Computer mittlerweile ein absolutes Muss. Zumindest sind der Kauf und Verkauf von Waren heutzutage ohne einen Rechner nur schwer vorstellbar! Daher sind Computer und mobile Geräte nicht nur allgegenwärtig, sondern auch unverzichtbar. Jeder, der ein Unternehmen gründet, sollte sicher deshalb besser mit der modernen Technologie vertraut machen. In diesem Beitrag möchten wir Ihnen die geläufigsten Cyberfehler vorstellen, die wir bei angehenden Unternehmensinhabern beobachten konnten.

1. Passwörter auf Post-Its

Ironischerweise lustig, aber leider immer noch wahr: Passwörter für alle Arten von Ressourcen, die von Unternehmen gemeinsam genutzt werden, werden häufig auf Post-Its gekritzelt und an den Computerbildschirm geklebt, wo jeder gelegentliche Besucher diese sehen kann. Die Konsequenzen hängen stark davon ab, für welche Ressourcen das Passwort gilt – Ihren Website-Host, das Buchhaltungssystem oder die Kundendatenbank. Letztendlich führt diese typische Nachlässigkeit dazu, dass Geld und sensible Daten gestohlen werden.

Lösung: Stellen Sie sicher, dass jeder Bürocomputer und jedes mobile Gerät Ihrer Mitarbeiter mit einem einzigartigen Kennwort geschützt sind. Verwenden Sie einen Passwort-Manager, um schwache, wiederverwendete und vergessene Passwörter zu vermeiden. Benutzer unserer Lösung für kleine Unternehmen können mit demselben Lizenzcode auch unseren Passwort-Manager aktivieren.

2. Geteilte Passwörter

Noch etwas über Passwörter: Behalten Sie sie für sich. Mitarbeiter neigen aus Bequemlichkeitsgründen oder aus Gründen der Notwendigkeit manchmal dazu, ihre Passwörter zu teilen. „Hey, Chris, ich liege erkältet im Bett. Könntest du eine Datei von meinem Computer an den Chef senden? Hier ist mein Passwort.“ Eine Woche später kündigt Chris wütend und selbst wenn sein Passwort sofort widerrufen wird, kennt Chris die Anmeldeinformationen seines Kollegen und kann auf diese Weise (mehr oder weniger) Chaos anrichten.

Lösung: Betonen Sie die Notwendigkeit eines sicheren Passworts gegenüber Ihren Mitarbeitern und verwenden Sie, sofern dies möglich ist, die Zwei-Faktor-Authentifizierung.

3. Einfache Passwörter

Wenn das Passwort für das E-Mail-Konto Ihres Buchhalters Passwort123 oder dergleichen lautet, dauert das Knacken mit einem normalen Heimrechner ungefähr sechs Sekunden. Das Knacken von Kennwörtern wie MyPaSsWoRd123 dauert ca. zwei Tage. Für Passwörter wie „P’@’s’s’w’0’r’d“ benötigt man allerdings fast 3.000 Jahre (zumindest ohne Zugriff auf Rechenleistung auf Rechenzentrumsebene). Ein Cyberkrimineller, der versucht, dieses Passwort mit Brute-Force zu erzwingen, hat nicht so viel Zeit.

Lösung: Passwörter müssen sich immer voneinander unterscheiden, was es nahezu unmöglich macht, sich alle Kennwörter zu merken. Mit irgendeiner Art von Gedächtnisregel oder noch besser, der Installation unseres Passwort-Managers, können Sie Ihre Passwörter mit gutem Gewissen vergessen. Um ehrlich zu sein, können sogar komplexe Passwörter geleakt werden, also sollten Sie wenn möglich die Zwei-Faktor-Authentifizierung nutzen, die auch vor Leaks schützt.

4. Keine Backups

Ihre Datenbanken, Buchhaltungsunterlagen, wichtigen Excel-Tabellen und alle anderen unverzichtbaren Dokumente werden immer irgendwo gespeichert. Sei es auf einem PC, auf einem Server oder an einem anderen Ort. Aus Sicherheitsgründen sollten Sie deshalb regelmäßig Backups erstellen. Wenn dann eine Festplatte ausfällt oder ein Server kompromittiert wird, sollten Ihre Dateien immer noch sicher sein.

Das Erstellen von Backups ist jedoch mühsam und wird schnell mal verschoben; dabei ist das häufige und regelmäßige Erstellen von Sicherheitskopien extrem wichtig. Niemand denkt im Alltag an einen Notfall, aber derartige Situationen treten ja meist völlig unerwartet auf. Vielleicht fällt Ihre Festplatte ganz unerwartet aus (und die dort gespeicherte Kontosystemdatenbank geht verloren), oder Sie werden von Malware angegriffen, die Ihre kritischen Dateien verschlüsselt.

Lösung: Sichern Sie wichtige Daten und aktualisieren Sie regelmäßig die gesamte Firmware und Software. Dadurch wird zumindest die Anzahl der Lücken im System und in der Software minimiert, durch die ungebetene Gäste in Ihr Netzwerk gelangen können. Verwenden Sie eine dedizierte Sicherungslösung. Wenn Sie bereits Kaspersky Small Office Security verwenden, verfügen Sie bereits über ein integriertes Backup-System.

5. Vergessene Zugriffsrechte

Mitarbeiter und Unternehmen trennen sich nicht allzuoft respektvoll voneinander. Wenn ein Website-Entwickler beispielsweise verärgert kündigt, kann er möglicherweise Teile der Website löschen. Die Sperrung des Zugriffs ist ein kritischer Bestandteil jeder Kündigung. Den Mitarbeiterzugriff auf wichtige Ressourcen können Sie auch schon vorher eingrenzen.

Lösung: Unabhängig davon, ob ein Mitarbeiter kündigt, innerhalb des Unternehmens seine Stelle ändert oder gekündigt wird aufgefordert wird, prüfen Sie sofort die Rechte und widerrufen oder übertragen Sie sie nach Bedarf.

6. Standardeinstellungen

Auch eine Bäckerei braucht einen Router. Hat jemand Ihren Router richtig eingerichtet? In vielen Fällen besteht die Priorität eines ISP-Mitarbeiters nur darin, Sie mit dem Internet zu verbinden. Seine Arbeit ist deshalb nach der Eingabe der Einstellungen des ISP meist beendet. Aber standardmäßige Router-Anmeldedaten machen Ihr Netzwerk im Wesentlichen anfällig für Kriminelle. Gehackt und einem Botnetz hinzugefügt zu werden, ist nicht das schlimmste Übel. So kann z. B. ein Sniffer – ein Tool, das den gesamten Datenverkehr scannt, von jemanden installiert werden. An diesem Punkt werden Sie sich nicht einmal durch komplexe Kennwörter schützen können. Kurz gesagt, es ist wichtig, die Standardeinstellungen auf Routern und anderen Netzwerkgeräten zu ändern.

Lösung: Richten Sie Ihren Router und Ihr Netzwerk entsprechend ein. Es ist keine lustige Aufgabe, aber es geht schnell. Ändern Sie mindestens den Administratornamen und das Kennwort, nehmen Sie sich aber auch einen Moment Zeit, um sicherzustellen, dass Ihr Netzwerk die WPA2-Verschlüsselung verwendet, deaktivieren Sie die Remoteverwaltung des Routers und suchen Sie nach verfügbaren Firmware-Updates (und installieren Sie diese).

7. Fehlender Virenschutz

Der Glaube daran, dass man aufgrund der kleinen Unternehmensgröße keine Zielscheibe werden kann, ist verlockend und beliebt. Andere fantasievolle Ausreden sind z. B. „Ich bin klug und sicher, deshalb passiert mir nichts Schlimmes“ oder „Ich habe einen Mac, ich kann gar nicht infiziert werden!“ Es ist gut, intelligent zu sein und ein sichereres System zu verwenden, auf das weniger Malware-Programme abzielen. Malware ist jedoch nur eine von vielen Gefahren. Zumindest sollten Sie auch Phishing als echte Bedrohung wahrnehmen, die für Mac-Nutzer genauso riskant ist wie für Windows-Nutzer.

Lösung: Installieren und konfigurieren Sie eine starke und zuverlässige Sicherheitslösung wie Kaspersky Small Office Security. Richten Sie die Lösung so ein, dass sie Updates automatisch sucht und installiert. Diese speziell für kleine Unternehmen entwickelte Lösung verfügt über ein Antiphishing-Modul, mit dem Sie Webseiten vermeiden können, die darauf abzielen, Ihre Anmeldeinformationen und andere Daten zu stehlen.

8. Ungeschulte Mitarbeiter

Der erste Schritt besteht darin, zu verstehen, dass Sie ein Problem haben. Mitarbeiter, die sich mit modernen Sicherheitsprotokollen nicht auskennen, werden das Problem wahrscheinlich nicht verstehen – wenn sie sich dessen überhaupt bewusst sind. Wenn Sie Ihr Wissen also nicht auf verständliche und umsetzbare Weise an alle, die an Ihrer Seite arbeiten, weitergeben, wird sich einer Ihrer Mitarbeiter wohl oder übel in das schwache Glied verwandeln.

Lösung: Schulen Sie bestehende und neue Mitarbeiter. Zu den Grundlagen der sicheren digitalen Kompetenz gehört das Nicht-Öffnen von E-Mail-Anhängen unbekannter Absender, das Nicht-Öffnen von Links ohne Überprüfung und die Verwendung zuverlässiger Cloud-Dienste mit Zwei-Faktor-Authentifizierung für sensible Daten, das Vermeiden von Downloads aus unzuverlässigen oder illegalen Quellen und so weiter. Keine Zeit für eine Schulung? Verwenden Sie eine automatisierte Lernplattform.

Tipps