Sobald Mitarbeitende mit Laptop oder Smartphone ausserhalb des Firmennetzes arbeiten, fällt ein Teil des gewohnten Schutzwalls weg. Angriffe laufen heute meist über E-Mail, gefälschte Log-ins oder manipulierte Websites, nicht mehr nur über klassische Viren. Gleichzeitig verlangt das revidierte Datenschutzgesetz, dass Personendaten wirksam geschützt und Datenschutzvorfälle rasch gemeldet werden. Für KMU heisst das: Sie brauchen einfache, aber durchdachte Regeln und Tools, die unterwegs genauso greifen wie im Büro.
Vertrauen genügt nicht
Moderne Sicherheitskonzepte gehen davon aus, dass kein Gerät und kein Zugriff automatisch vertrauenswürdig ist – auch nicht im Homeoffice. Bei einem Zero-Trust-Ansatz wird bei jedem Zugriff geprüft, ob Benutzer, Gerät, Standort und Risiko-Situation zueinander passen. Versucht jemand, sich mit einem unbekannten Gerät oder aus einem ungewöhnlichen Land anzumelden, kann der Zugang blockiert oder zusätzlich abgesichert werden.
Gerade für KMU mit vielen Laptops und mobilen Mitarbeitenden ist dieser Ansatz ein wirksamer Schutz gegen unerwünschte Kontoübernahmen.
Geräte zentral verwalten
Statt jedes Notebook und Smartphone einzeln zu pflegen, setzen viele Unternehmen auf zentrale Verwaltungslösungen (Mobile Device Management, MDM). Darüber lassen sich etwa Updates erzwingen, verlorene Geräte aus der Ferne ausser Betrieb nehmen oder private und geschäftliche Daten sauber trennen. Für Windows-Laptops bieten sich cloudbasierte Lösungen wie Microsoft Intune an, für iPhone, iPad oder Android-Geräte ergänzende MDM-Systeme. Wichtiger als die Marke ist die Fähigkeit, alle beruflich genutzten Geräte konsequent in den Griff zu bekommen.
Mobilgeräte besser schützen
Smartphones und Tablets sind heute vollwertige Arbeitsgeräte, werden aber im Alltag oft unvorsichtiger genutzt. Zusätzliche Schutzlösungen (Mobile Threat Defense) überwachen Apps, Netzwerke und das Betriebssystem und schlagen Alarm, wenn eine schädliche App oder eine manipulierte WLAN-Verbindung erkannt wird. So können Angriffe frühzeitig blockiert werden, bevor Daten abfliessen oder Ransomware zuschlägt. Für KMU lohnt sich dies besonders dort, wo sensible Kundendaten oder Zugangsdaten auf mobilen Geräten genutzt werden.
Mehr als nur ein Passwort: MFA
Ein einziges Passwort reicht heute nicht mehr – schon gar nicht, wenn Mitarbeitende sich von überallher anmelden. Mit Multi-Faktor-Authentifizierung (MFA) braucht es zusätzlich etwa einen Code per App, einen Hardware-Sicherheitsschlüssel oder einen Fingerabdruck. Selbst wenn Kriminelle ein Passwort durch Phishing stehlen, können sie sich damit alleine nicht einloggen. MFA lässt sich inzwischen komfortabel umsetzen und ist einer der effektivsten und günstigsten Schutzhebel für KMU.
Mobiler Zugriff aufs Firmennetz
Wer im Zug, im Café oder im Hotel arbeitet, verbindet sich oft mit fremden oder schlecht gesicherten WLANs. Ohne Schutz können Dritte aber den Datenverkehr mitlesen oder manipulieren – etwa bei der Anmeldung in Firmensystemen. Abhilfe schaffen verschlüsselte Verbindungen, etwa über virtuelle private Netze (VPN) oder Zero-Trust-Lösungen, die alle Zugriffe absichern. Grundregel für Mitarbeitende: Nie ungeschützt über öffentliche oder private WLANs arbeiten, sondern stets die vom Unternehmen bereitgestellte sichere Verbindung nutzen.
Kleine Fehler, grosse Wirkung
Technik allein genügt allerdings nicht, wenn Mitarbeitende unvorsichtig handeln. Dazu gehören typische Fehler wie das Öffnen verdächtiger Links, das Speichern sensibler Daten auf privaten Geräten oder das Anschliessen unbekannter USB-Sticks. Auch öffentliche USB-Ladestationen an Flughäfen oder in Zügen können manipuliert sein und potenzielle Schadsoftware einschleusen («Juice Jacking»). KMU sollten deshalb einfache, verständliche Richtlinien formulieren und diese den Mitarbeitern regelmässig in kurzen Bewusstseinstrainings vermitteln und in Erinnerung rufen.
Wirksamer Datenschutz
Das revidierte Datenschutzgesetz verlangt, dass Unternehmen genau wissen, welche Personendaten sie wozu verarbeiten – auch in als Services bereitgestellten Arbeitsplatz- und Cloud-Umgebungen. Dazu gehören transparente Informationen gegenüber Mitarbeitenden und Kunden, datensparsame Grundeinstellungen («Privacy by Default») und technische Massnahmen wie Verschlüsselung. Je nach Grösse und Risiko ist ein Verzeichnis der Bearbeitungstätigkeiten sinnvoll oder Pflicht, ebenso klare Abläufe für den Umgang mit Datenpannen. Betreiber kritischer Infrastrukturen müssen Cyberangriffe zudem innert 24 Stunden dem Bundesamt für Cybersicherheit melden.
