Was KMUs bei der Netzwerksicherheit beachten müssen

KMUs: Beliebtes Angriffsziel für Cyberkriminelle

Während der ersten Welle der Pandemie waren große Unternehmen – etwa die Hotelkette Marriott und die Weltgesundheitsorganisation, die im April 2020 angegriffen wurden – das Hauptziel von Hackern und Bedrohungsakteuren. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mussten acht Prozent der deutschen Unternehmen aktiv auf Cyber-Angriffe reagieren.

Hier bewerteten vor allem KMU den Schaden als schwerwiegend. Für Unternehmen mit weniger als 50 Beschäftigten hatte eine von vier Cyberattacken sogar schwere oder existenzbedrohende Folgen. Das lässt sich größtenteils auf die Tatsache zurückführen, dass kleinere Unternehmen denken, sie seien zu klein beziehungsweise zu uninteressant für Cyberkriminelle. Dabei dienen sie diesen oft als Einstiegstor für große Unternehmen, da KMUs oft Zulieferer sind – Stichwort Supply-Chain-Attack.

Kleinere Unternehmen haben also in der Regel am meisten zu verlieren, wenn sie Opfer eines Angriffs werden. Darüber hinaus macht die Tatsache, dass kleine Firmen oft nicht über die ausgefeilten Sicherheitsvorkehrungen, Expertise und Ressourcen verfügen, die größeren Unternehmen zur Verfügung stehen, KMUs zum einfachen Ziel für Cyberkriminelle.

KMUs benötigen Lösungen, die sie umfassend schützen, auch wenn intern nicht die entsprechende Expertise im Bereich IT-Sicherheit vorhanden ist. Sie sollte daher nach Anbietern und MSPs Ausschau halten, die einfach zu verwaltende und kosteneffektive Sicherheitslösungen anbieten.

Da Remote Working inzwischen zum festen Bestandteil des Arbeitsalltags geworden ist und langfristig bestehen bleiben wird, werden einfache Plug-and-Play-Lösungen beliebter, mit denen Unternehmen einen sicheren Netzwerkzugang einrichten und aufrechterhalten können. So werden beispielsweise Access Points, die sich so konfigurieren lassen, dass sie die SSID eines Büros replizieren und sichere Tunnel sowie einen nahtlosen Zugang zum Unternehmensnetzwerk schaffen, zu einer unverzichtbaren Lösung für KMUs werden.

Zero-Trust: Vertrauen ist gut, Kontrolle ist besser

Die IT-Gehaltsumfrage 2022 von ComputerWeekly.de ergab, dass in der DACH-Region nur noch 14 Prozent der IT-Beschäftigten primär in den Büroräumen des Arbeitgebers arbeiten. Der Trend geht zu einer stärker verteilten Belegschaft. Statt sich zentral im Büro in die Systeme einzuloggen, wählen sich die Mitarbeiter von verschiedenen Standorten und Umgebungen aus ein, wobei unterschiedliche Sicherheitsmaßnahmen zum Einsatz kommen müssen.

Diese verteilte Belegschaft – mit mehr Geräten und Tools – hat dazu geführt, dass sich in Unternehmen die Angriffsfläche für Cyberkriminelle vergrößert hat. Früher mussten kleinere Firmen nur einen einzigen Netzwerkpunkt vor Sicherheitsrisiken schützen. Mittlerweile zählen auch Heimbüros zum Unternehmensnetzwerkperimeter. Das bringt mehr Einfallstore und Sicherheitsrisiken mit sich.

Eine Sicherheitsmaßnahme, um diese Herausforderung zu meistern, ist die Multifaktor-Authentifizierung (MFA). Damit können Unternehmen überprüfen, ob die Personen, die auf ihr Netzwerk zugreifen, vertrauenswürdig sind und es sich nicht um böswillige Akteure handelt. Auf diese Weise lassen sich sensible Unternehmens- und Kundendaten umfassend schützen.

Um die Bedrohung von Cyberangriffen zu minimieren, müssen KMUs einen Zero-Trust-Ansatz verfolgen, bei dem jeder, der versucht, auf das Netzwerk zuzugreifen, mehrfach verifizieren muss, ob er derjenige ist, der er vorgibt zu sein.

Der Grundsatz von Zero-Trust ist die definitive Annahme, keinem Nutzer, Gerät oder Dienst vertrauen zu können. Das Prinzip verfolgt als rein datenzentriertes Sicherheitskonzept einen granularen Ansatz, um jeden einzelnen Datenfluss auf Vertrauenswürdigkeit zu überprüfen.

„KMUs müssen in ihren Geschäftsmodellen Sicherheitsmaßnahmen oberste Priorität einräumen, um den Geschäftsbetrieb aufrechterhalten zu können.“

Thorsten Kurpjuhn, Zyxel

Bei Zero-Trust handelt es sich nicht um ein einzelnes Produkt, sondern um ein Modell für den Zugriff der Nutzer auf Unternehmensressourcen, das Informationssicherheit gewährleistet. Voraussetzung dafür sind stets aktuelle, explizite Richtlinien. Diese definieren, welche authentifizierten Nutzer, Dienste, Geräte und Anwendungen miteinander interagieren dürfen.

Starker Datenschutz benötigt

In den vergangenen Jahren ist der Datenschutz mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) und den nachfolgenden Gesetzesreformen zu einem wichtigen Thema für Unternehmen geworden.

Denn Nicht-Beachten der Richtlinien, beispielsweise weil Daten geleakt werden, kann erhebliche Strafen und Bußgelder nach sich ziehen. Diese können vor allem für KMUs ein Aus des Geschäfts bedeuten. Die von deutschen Behörden verhängten Bußgeldverfahren für Datenschutzverstöße sind in den Jahren 2019, 2020 und 2021 von 187 auf 284 und 373 gestiegen. 2021 wurden insgesamt 13.890 Datenpannen gemäß Art. 33 DSGVO gemeldet. Diese Zahlen unterstreichen, dass Unternehmen immer noch zu wenig für den Schutz der Daten tun und alles daran setzen müssen, deren Sicherheit zu gewährleisten.

KMUs müssen in ihren Geschäftsmodellen Sicherheitsmaßnahmen oberste Priorität einräumen, um den Geschäftsbetrieb aufrechterhalten zu können. Da sie nicht über die interne Infrastruktur verfügen, um fortschrittlichere Sicherheitsmaßnahmen zu implementieren, werden sie sich verstärkt an Anbieter und Managed-Service-Provider wenden, um Wissen, Ausrüstung und Infrastruktur zur Abwehr von Angreifern zu erwerben.

Über den Autor:
Thorsten Kurpjuhn ist European Market Development Manager bei Zyxel. Der Hersteller hat eine Reihe von Produkten im Angebot, die verschiedene Fernzugriffsoptionen ermöglichen. Darunter Firewalls für den Hauptsitz und Zweigstellen, Remote-APs und VPN-Client-Management für nicht am Standort eingesetzte Mitarbeiter.