Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

Kleine und mittlere Unternehmen (KMU) stehen bei der Absicherung ihrer Daten vor schwierigen Zeiten. Sie sind denselben Bedrohungen ausgesetzt wie Großunternehmen, verfügen aber nur über einen Bruchteil der Ressourcen, um sie abzuwenden. Da sind zum einen die Bedrohungen von außen, die immer schwieriger zu beherrschen sind. Zum anderen werden die Unternehmen von Veränderungen im Benutzerverhalten der Angestellten unter Druck gesetzt – jüngere Mitarbeiter halten es für selbstverständlich, private Geräte am Arbeitsplatz zu benutzen und Informationen über cloud-basierte Tools auszutauschen. Die Unternehmen sollten sich deshalb folgendes klarmachen:

Cyber-Angriffe richten sich nicht nach der Unternehmensgröße

Kein Unternehmen ist zu klein, um durch das Raster der Angreifer zu fallen. Es sind immer die Unternehmensgeheimnisse, für die sich die Angreifer interessieren, die Unternehmensgröße ist irrelevant. Viele Hacker attackieren KMU gezielt, weil sie wissen, dass ein kleineres Unternehmen weniger gut geschützt ist als ein Konzern und sie somit leichteres Spiel haben. Und durch einen erfolgreichen Angriff auf ein KMU, das als Zulieferer eines Konzerns arbeitet, gelingt vielleicht auch der Sprung nach oben. Außerdem wächst die Zahl von Ransomware und Malware-Attacken. Auch bei ihnen ist die Unternehmensgröße unerheblich, denn sie werden gewissermaßen mit der Gießkanne verteilt.

Mitarbeiter-Aktivitäten sind potenziell gefährlich

Auch Innentäter richten sich nicht nach der Unternehmensgröße. Mitarbeiter, die aus Versehen zum Risiko für sensible Daten werden können, gibt es nun mal in jedem Unternehmen. Dafür reicht es, wenn ein Angestellter einen Cloud-Dienst nutzt, den die IT nicht freigegeben hat, eine E-Mail mit Schadcode öffnet oder unbeabsichtigt Informationen mit jemandem teilt, den sie nichts angehen. Und wenn es um gezielten Datendiebstahl geht, ist für einen verärgerten oder frustrierten Mitarbeiter alles interessant, was ihn woanders weiterbringen oder dem Arbeitgeber schaden kann.

Ohne Sicherheitsrichtlinien geht es heute nicht mehr

Unter diesen Voraussetzungen müssen KMU IT- und Datensicherheit ebenso ernst nehmen wie Großunternehmen. Jedes Unternehmen, und sei es noch so klein, sollte deshalb Sicherheitsrichtlinien entwickeln, die zumindest die folgenden Punkte abdecken:

  • Schulungen. Sie stellen sicher, dass die Mitarbeiter die Bedrohungen kennen und mit den Maßnahmen zum Schutz der Unternehmensdaten vertraut sind. Zudem sollten alle Mitarbeiter wissen, wie die Security-Software, die im Unternehmen eingesetzt wird, funktioniert und wie sie benutzt wird.
  • Anwendungen überwachen. Nicht nur die Zahl der mobilen Geräte in den Unternehmen nimmt zu, sondern auch die der cloud-basierten Anwendungen und Tools. KMU sollten Regeln aufstellen, welche Anwendungen erlaubt sind und welche nicht, damit sensible Daten nicht außer Haus gelangen.
  • Beschränkungen beim Datenzugriff. Der Datenfluss im Unternehmen kann leichter überwacht werden, wenn nur die Mitarbeiter auf sensible Daten zugreifen können, die tatsächlich mit ihnen arbeiten müssen. Dadurch verringert sich das Risiko versehentlicher Datenweitergabe und versehentlichen Datenverlustes.
  • Systeme einsetzen, die Datenverluste durch Innentäter verhindern. Weil Mitarbeiter nun einmal eine Gefahr darstellen, sollten Systeme eingesetzt werden, die riskante Aktionen mit sensiblen Daten blockieren.

Nutzung mobiler Geräte regeln

Unabhängig von der Größe sollte zudem jedes Unternehmen die Benutzung privater Geräte regeln. Statt BYOD zuzulassen, was den Unternehmen eine nicht kontrollierbare Gemengelage an Smartphones, Tablets, Wearables und anderen beschert, sollten sich KMU an „Choose Your Own Device“ halten und für die Mitarbeiter, die mobil arbeiten müssen, die Geräte aus einer Liste genehmigter Devices nach Wunsch beschaffen. Damit behalten die Unternehmen die Kontrolle über Geräte und sensible Daten.

Es gibt kein Patentrezept für den Schutz der Endgeräte in KMU. Als Basis-Schutz haben sich Antivirus und Firewall etabliert, in Teilen ergänzt durch Verschlüsselung. Für alles, was darüber hinausgeht, existieren keine festen Vorgaben. Verfügbar sind Empfehlungen wie die Handreichung zum Stand der Technik des IT-Sicherheits-Verbandes TeleTrust, in der Gerätekontrolle als Bestandteil des Basisschutzes gefordert wird. Auch wir empfehlen KMU, eine Lösung für Device Control einzusetzen; diese sind schon für kleines Geld erhältlich. Beim Ziel, ihre Daten vor externen wie internen Bedrohungen zu schützen, sollten smarte KMU keine Abstriche machen.

In diesem Artikel:

    guest
    0 Comments
    Inline Feedbacks
    View all comments