Ransomware ist auf dem Vormarsch und verursacht enorme finanzielle und reputative Schäden, wie aktuelle Statistiken zeigen. Der Anstieg der Cyberkriminalität wird durch verschiedene Faktoren wie die Einführung von «Bring Your Own Device» (BYOD) und den Boom von Produktivitäts-Apps verstärkt. Die Nutzung der Cloud erweitert die Angriffsfläche zusätzlich. Zudem haben viele Unternehmen seit der Covid-19-Pandemie auf Remote-Arbeit umgestellt, was die Komplexität durch Schatten-IT, unsichere Heimnetzwerke und eingeschränkte Transparenz weiter erhöht hat.
Viele Unternehmen vernachlässigen den Schutz ihrer Remote-Mitarbeitenden, indem sie wichtige Sicherheitsmassnahmen, wie Zwei-Faktor-Authentifizierung und Verschlüsselung, ausser Acht lassen. Im Allgemeinen sind zahlreiche Unternehmen unzureichend auf fortschrittliche Angriffe vorbereitet.
Sicherheitsstrategie notwendig
Dabei stehen nicht Grossunternehmen im Visier von Cyberkriminellen. Aktuellen Studien zufolge waren weltweit 61 Prozent der kleinen und mittleren Unternehmen von Cyberangriffen betroffen. Die Gründe dafür sind klar: KMU verfügen oft nicht über dieselben umfassenden Sicherheitsmechanismen wie grosse Unternehmen, hauptsächlich aufgrund begrenzter IT-Budgets und fehlender Fachkräfte. Die Auswirkungen von Cyberangriffen auf KMU sind aber verheerend: Studien zeigen, dass über 50 Prozent der KMU innerhalb von sechs Monaten nach einem Datenleck ihr Geschäft aufgeben. Cyberangriffe stellen somit eine existenzielle Bedrohung dar. Doch was tun?
Traditionelle Sicherheitsmassnahmen wie Antivirus-Programme und Firewalls werden künftig nicht ausreichend sein, um Ransomware-Angriffe umfassend abzuwehren. KMU müssen aber genauso wie Grossunternehmen sensible Daten und Netzwerke schützen – angemessene Massnahmen, um interne und externe Schwachstellen zu minimieren, sind hier hilfreich. In Anbetracht der raschen Entwicklung von Bedrohungen wird es auch für KMU künftig darauf ankommen, eine ganzheitliche Cyber-Sicherheitsstrategie zu entwickeln, die verschiedene Aspekte berücksichtigt und Wiederherstellungswerkzeuge nach einem Angriff einschliesst.
Das Zero-Trust-Modell
Grossunternehmen setzen vermehrt auf das Zero-Trust-Cybersicherheitsmodell. Es bietet die Möglichkeit, Risiken zu minimieren, indem es das Prinzip «niemals vertrauen, immer verifizieren» und den minimalen Zugriff betont. Jedes Vertrauen wird somit als potenzielle Gefahr betrachtet und hundertprozentige Sicherheit als utopisch gesehen. Das Sicherheitskonzept wird von null ausgehend gestaltet. Damit wird die Unsicherheit anerkannt und von Anfang an damit gearbeitet.
Der Weg zu Zero Trust ist für jedes Unternehmen, unabhängig von seiner Grösse, kein schneller Prozess. Es ist ein Sicherheitsrahmen, der eine fortlaufende Reise und Strategie erfordert. Ein kontinuierlicher Prozess zur Verbesserung der Sicherheit. Das Zero-Trust-Konzept erfordert eine schrittweise Herangehensweise und eine umfassende Verteidigung, die verschiedene Bereiche und Dimensionen abdeckt, um den Risiken zu begegnen. Dies kann in zeitlicher und logischer Hinsicht (Prävention, Erkennung, Reaktion), technisch-funktionaler Hinsicht (Zugriffskontrolle, Back-up, Protokollierung) oder konzeptioneller Hinsicht (Pentesting, Red Teaming, Security Chaos Engineering) erfolgen.
Es gibt spezifische Massnahmen, die KMU ergreifen können, um dem Zero-Trust-Konzept näherzukommen, abgesehen von der Notwendigkeit, Sicherheit als vorrangige kulturelle Unternehmenspriorität anzuerkennen.
Zunächst braucht es die Erkenntnis, dass das Zero-Trust-Sicherheitsmodell nicht so komplex ist, wie es zu sein scheint. In vielen KMU gehören bereits einzelne Bestandteile des Zero-Trust-Modells zum Alltag. Die Einführung ist sowohl operativ als auch wirtschaftlich machbar, wenn man sich zunächst auf die wichtigsten Anwendungen und Datensätze konzentriert und darüber nachdenkt, welche Massnahmen einfach umzusetzen sind und den grössten Sicherheitsgewinn bringen.
Schwachstellen erkennen
Ein wichtiger erster Schritt Richtung Zero Trust besteht darin, Schwachstellen zu identifizieren, über die Ransomware eindringen kann. Die Suche sollte nicht nur auf technische Probleme beschränkt sein, sondern das gesamte Unternehmen einbeziehen, da Schwachstellen verschiedene Formen annehmen können, einschliesslich menschlicher Fehler.
Eine entscheidende Rolle spielen dabei Zugangskontrollen und die Begrenzung der Zugriffsprivilegien der Mitarbeiter, um die unkontrollierte Verbreitung von Schadcode zu verhindern.
Der grösste Stolperstein
Ein möglicher Stolperstein bei der Umsetzung von Zero Trust für KMU liegt aber in der emotionalen Bedeutung des Begriffs «Vertrauen». Wenn Mitarbeitende eines Unternehmens den Ausdruck Zero Trust missverstehen und auf sich beziehen, könnten sie ihn als Affront empfinden. Ohne die aktive Unterstützung der Mitarbeitenden ist das Zero-Trust-Modell aber nicht umsetzbar.
Daher ist es wichtig, von Anfang an allen Mitarbeitenden im Unternehmen klarzumachen, dass Zero Trust nicht als Misstrauen zu verstehen ist. Es geht darum, sicherzustellen, dass nur autorisierte Personen Zugriff auf Systeme, Anwendungen, Geräte etc. erhalten und Hackern dieser verwehrt bleibt.
Um Awareness zu schaffen, müssen KMU Mitarbeitende einbeziehen und ein Gefühl gemeinsamer Verantwortung für die Sicherheit im gesamten Unternehmen vermitteln. Dies beginnt mit dem Verständnis der Rollen und Identitäten der Mitarbeitenden. Die Identität steht im Mittelpunkt jeder effektiven Cybersicherheitsstrategie, daher ist es wichtig, die Mitarbeitenden zu gruppieren und auf granularer Ebene zu verstehen, welche Arten von Informationen vorhanden sind und wer darauf zugreifen muss.
Data Governance
Eine gute Basis dafür ist die Implementierung einer klaren Data Governance. Sie gibt den Mitarbeitern Orientierung und Leitlinien für den Umgang mit sensiblen Daten. Durch Data Governance wissen sie, welche Daten als sensibel gelten und welche Massnahmen ergriffen werden müssen, um ihre Vertraulichkeit und Integrität zu gewährleisten. Damit schafft man ein Bewusstsein für den Wert und die Bedeutung von Daten sowie für die Verantwortung jedes Mitarbeiters im Umgang damit.
Durch Schulungen und Schulungsprogramme können KMU sicherstellen, dass ihre Belegschaft über das nötige Wissen und die Fähigkeiten verfügt, um datenschutzkonform zu handeln und potenzielle Sicherheitsrisiken zu erkennen. Diese Orientierung stärkt das Sicherheitsbewusstsein der Mitarbeiter und trägt dazu bei, dass sie aktiv zur Cybersicherheit des Unternehmens beitragen.
Indem KMU ihren Mitarbeitenden klare Richtlinien und Schulungen anbieten, können sie ein gemeinsames Verständnis und eine gemeinsame Verantwortung für den sicheren Umgang mit Daten schaffen.
Notfallstrategien aufsetzen
Die ergänzende Massnahme dazu stellt ein Disaster Recovery Back-up dar. Viele Unternehmen haben Backup- und Recovery-Pläne in ihre Cyber-Sicherheitsstrategie integriert – eine wichtige Massnahme. Allerdings wird oft übersehen, dass diese Pläne, während eines Ransomware-Angriffs, ebenfalls verschlüsselt oder entfernt werden können. Um eine solche Katastrophe zu vermeiden, sollten Unternehmen mehrere Kopien der Pläne an verschiedenen Orten aufbewahren. Auch für KMU empfiehlt sich, dem bewährten 3-2-1-Datenschutz-und-Wiederherstellungsplan zu folgen: drei Datenkopien, zwei verschiedene Medienarten und eine Air-Gap-Kopie.
Für KMU mit begrenzten Ressourcen erweist sich hierbei die Auslagerung der IT-Verwaltung an externe Dienstleister als Wettbewerbsvorteil, da sie sich auf ihr Kerngeschäft und, im Sinne des Zero Trust, zunächst auf die Sensibilisierung und laufende Schulung der Belegschaft konzentrieren können. Ein erfahrener Partner berät und unterstützt bei der Implementierung neuer IT-Prozesse. Aspekte wie Markteinbindung, Expertise und Flexibilität sollten bei der Partnerwahl im Vordergrund stehen.
Effektive IT-Investitionen
Aktuelle Studien zeigen, dass die IT-Investitionen in der Schweiz dynamisch wachsen, insbesondere im Bereich IT-Sicherheit. Für KMU gilt bei IT-Investitionen, nicht zuletzt aufgrund des Budgets, die Anzahl der IT-Sicherheitslösungen gering zu halten und diese dafür lieber auf einer Plattform zu konsolidieren. Die Konsolidierung von Sicherheitslösungen auf einer Plattform ermöglicht es nicht nur, Kosten einzusparen, sondern auch Angriffsflächen zu reduzieren und ungewöhnliche Aktivitäten leichter zu erkennen.
Auch hier empfiehlt sich für KMU ein Outsourcing, da externe Dienstleister im Sinne des Zero-Trust-Sicherheitsmodells nicht nur Lösungen für eine effektive Früherkennung, sondern auch für Cyber-Deception (Täuschung) anbieten können. Beim Outsourcing ist es für KMU besonders wichtig, Ziele mit dem Partner klar zu definieren, Erwartungen zu kommunizieren, den Umfang, Zeitplan, das Budget, Qualität und Lieferziele zu vereinbaren.
Ob mit oder ohne externen Partner, der Weg Richtung Zero Trust bedeutet Aufwand. Aber: Dieser Weg lässt sich Schritt für Schritt gehen – auch für KMU. Schliesslich bedeutet die Einführung von Zero Trust ins eigene Unternehmen nicht, dass vorhandene Sicherheitstools und -technologien wegzuwerfen sind. In vielen KMU gehören einzelne Bestandteile des Zero-Trust-Modells bereits zum Alltag. Darauf lässt sich schrittweise Richtung Zero Trust aufbauen.
