Cyber Security Awareness Month: 5 InfoSec-Quick-Wins für KMU

In diesem Jahr steht der Nutzer im Mittelpunkt des alljährlichen Cyber Security Awareness Months. Das Motto: „See yourself in Cyber“.

Im Sinne des Mottos stellt Kyle Tackley aus dem DataGuard Privacy Team UK fünf praktische Sofortmaßnahmen vor. Eins haben sie alle gemeinsam. Sie stärken das schwächste Glied in der Cyber-Sicherheitskette: den Menschen. Und Kyle erklärt, wie DataGuard kleinen und mittelgroßen Unternehmen dabei helfen kann, ein unternehmensweites Sicherheitsbewusstsein aufzubauen und die Cyber Security Awareness zu steigern.

 

*Video nur auf Englisch verfügbar

Worum geht es beim Cyber Security Awareness Month? 

Seit 2004 schließen sich die National Cybersecurity Alliance (NCA) und die Cybersecurity and Infrastructure Security Agency (CISA) zusammen, um auf Cybersicherheit und ihre Auswirkungen aufmerksam zu machen. 

Seit dem ersten Cyber Security Awareness Month vor 18 Jahren haben sich unser privates und berufliches Leben durch den massiven technologischen Fortschritt stark verändert. Ziel der Kampagne ist es, diese Veränderungen jedes Jahr aufzugreifen. Weiterhin sollen Menschen in ihrer Rolle als Konsumenten und Arbeitnehmer für die Gefahren im Netz sensibilisiert werden.

Die CISA ruft auf, sie in diesem Ziel zu unterstützen. Das muss man uns hier bei DataGuard nicht zweimal sagen: Der Schutz der Menschen hinter den Daten ist schließlich unsere erklärte Mission als Unternehmen. 

Was bedeutet Cybersicherheit für KMU im Speziellen? 

Am besten zeigt sich das anhand von Zahlen:

  • Laut Gartner stieg das Volumen der Cyberangriffe in Europa, Ostasien und Lateinamerika im Oktober und November 2020 um über 100 %. Kanada und Deutschland verzeichneten jeweils einen Anstieg um 250 %. Diese Zahlen schockieren und zeigen, dass Cyberangriffe immer raffinierter und häufiger werden.  
  • Eine Studie des Digitalverbandes Bitkom zeigt einen deutlichen Anstieg der Schäden, die kriminelle Cyber-Attacken auf Unternehmen verursachen. Im Jahr 2020/2021 entstanden Schäden von 223 Milliarden Euro durch  Diebstahl, Spionage oder Sabotage. 2018/2019 waren es noch 103 Milliarden Euro. 
  • Neun  von zehn Unternehmen waren nach Angaben der Bitkom direkt von Cyber-Angriffen betroffen.

Solche Angriffe können für Unternehmen aller Größen teuer werden. Aber Regierungen und große Konzerne sind in der Regel besser aufgestellt, wenn es um den Schutz ihres geistigen Eigentums und ihrer Daten geht. Rein historisch sind es Regierungen, die als erste Programme und Strategien zum Schutz vor Cyberangriffen entwickelt haben. 

KMU hingehen sind verletzlicher. Hier fehlen häufig die Ressourcen, aber auch das Bewusstsein für Themen der Informationssicherheit. Das wollen wir ändern. 

 

 

 

Welche Cyber-Security Maßnahmen können KMU direkt heute ergreifen?

Diese Maßnahmen verfolgen alle das Ziel, die Nutzer von IT-Systemen in ihrem Cyber-Security-Verständnis zu stärken. Hier lauert nämlich die größte Gefahr.

#1 Führen Sie interaktiven Cybersicherheit-Trainings ein

Damit Schulungen in Erinnerung bleiben, müssen sie mehr liefern als nur die nackten Fakten. Bei interaktiven Trainings lässt sich das Bewusstsein für Cybersicherheit besser vermitteln. Idealerweise könne Mitarbeitende die Trainings als Online-Schulungen in ihrem eigenen Tempo absolvieren. 

Außerdem sollten Schulungen die Mitarbeitenden bei ihrem aktuellen Wissensstand abholen. Das funktioniert umso besser, wenn die Schulungen auf den Aufgabenbereich eines jeden Nutzers zugeschnitten sind. Nur so können Mitarbeiter sich selbst im Trainings wiederfinden. Entsprechend des Mottos: „See yourself in Cyber“.

#2 Testen Sie den Trainings-Erfolg mit Phishing-Simulatoren 

Phishing-Attacken sind weiterhin weit verbreitet und erschreckend erfolgreich. 2020 waren rund ¾ aller Unternehmen von Phishing-Angriffen betroffen. Wir empfehlen daher in Kombination mit interaktiven Trainings auch Phishing-Simulationsübungen einzuführen. 

Beim Phishing werden Nutzer über ihre Endgeräte angegriffen und zum Beispiel per E-Mail aufgefordert, gewisse Informationen herauszugeben, Zahlungen auszuführen oder auf schadhafte Links zu klicken. 

Die Angriffe werden immer raffinierter und somit schwieriger zu erkennen. Besonders erfolgreich sind Phishing-Mails, wenn der Empfänger gerade unter Zeitdruck steht oder abgelenkt ist – zum Beispiel, weil er die Mail beim Autofahren öffnet oder in der Warteschlange im Café.

Wer seine Mitarbeitenden regelmäßig durch Simulationen herausfordert, sorgt dafür, dass das Thema präsent bleibt.

Phishing-Simulationen sehen in etwa so aus… 

  • Eine kontrollierte Phishing-E-Mail landet, getarnt als legitime Geschäfts-Mail, in den Postfächern aller Mitarbeiter.  
  • Diejenigen Benutzer, die auf die E-Mail reagieren, indem sie z. B. auf einen Link klicken, werden von Ihrer Phishing-Simulationslösung darüber benachrichtigt, dass sie auf einen verdächtig aussehenden Link geklickt haben.
  • Betroffene Benutzer können dann ein zusätzliches Cyber-Sensibilisierungstraining absolvieren. In diesem Training geht es dann darum, wie man Phishing-Versuche erkennt und meldet.  

#3 Verwenden Sie sichere Passwörter

Kein besonders heißer Tipp, oder? Ja, sichere Passwörter sollten eine Selbstverständlichkeit sein. Leider sind sie das nicht. Im Jahr 2022 stand „123456“ ganz oben auf der Liste der am häufigsten verwendeten Passwörter. Dicht gefolgt von „passwort“… 

Auch „Labrador123“, „Beate“ oder „Sylt“ sind typische Beispiele für beliebte, aber schwache Passwörter. Denn Hacker probieren beim sogenannten Password-Spraying mit Hilfe einer Software gängige Buchstabenkonstellationen aus. Ist ein Passwort persönlich mit einem Nutzer verbunden, können Cyberkriminelle mit Wissen über die Person noch leichter an dieses Passwort kommen. Typisch sind unter anderem der Name des Partners, Haustiers oder Lieblings-Urlaubsorts.

Passwort-Manager sind die Lösung für dieses Problem. Sie sind nichts anderes als verschlüsselte Datenbanken, die komplexe Passwörter generieren und abspeichern. So können Sie und Ihre Teams sichere Passwörter nutzen, die Sie sich nicht einmal selbst merken müssen.

#4 Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)

Starke Passwörter allein reichen nicht und sollten immer um eine weitere Sicherungsmethode ergänzt werden.

Bei der Multi-Faktor-Authentifizierung werden Zugangsberechtigung durch mindestens zwei unabhängige Merkmale (Faktoren) geprüft. Neben einem Passwort muss ein Nutzer seine Anmeldung zum Beispiel zusätzlich über sein Mobiltelefon bestätigen. Weitere mögliche Faktoren sind: 

  • Smart Cards
  • Kryptografische Schlüssel 
  • Biometrische Daten wie Fingerabdruck oder Gesichtserkennung 

Eine MFA ist viel schwerer zu knacken als ein einfaches Passwort. 

#5 Bauen Sie ein unternehmensweites Informationssicherheits-Managementsystem (ISMS) auf 

Die Zertifizierung nach ISO 27001 – dem internationalen Standard zur Regelung Informationssicherheit in einer Organisation – hat viele Vorteile.

Vor allem zeigt sie, dass Ihr Unternehmen bewährte Methoden in seinen Informationssicherheitsprozessen anwendet. Das verschafft Ihnen eine bessere Stellung auf dem Markt und senkt die Wahrscheinlichkeit von Informationssicherheitsvorfällen. 

Der Standard stellt den Rahmen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines 

Informationssicherheits-Managementsystems (ISMS) bereit, um Organisationen bei der Absicherung ihrer Informationswerte (Assets) zu unterstützen. Dazu gehören folgende Maßnahmen: 

  • Verpflichtende Berichterstattung und KPIs zur Effektivität von Schulungen zum Sicherheitsbewusstsein der Mitarbeiter. Dies trägt dazu bei, eine Sicherheitskultur in Ihrer Organisation zu verankern – und zwar greifbar, entsprechend von definierten Messgrößen.
  • Durchsetzung unternehmensweiter Sicherheitsrichtlinien, einschließlich der Verwendung starker und sicherer Passwörter. 
  • Ein ausgewogener, risikobasierter Ansatz zur Sicherung geschäftskritischer Informationsbestände, wie z. B. Ihrer IT-Hardware und Ihrer IT-Infrastruktur in der Cloud und lokal.

 

 

 

Können Unternehmen überhaupt noch ohne Informationssicherheits-Managementsystem bestehen?

Kurz gesagt: Nein, jedes Unternehmen braucht ein ISMS.

Ein zertifiziertes ISMS zeigt nicht nur Kunden und Partnern gegenüber, dass Ihr Unternehmen über die entsprechenden Kontrollen zum Schutz sensibler Daten verfügt. 

Die ISO 27001 liefert auch einen operativen und standardisierten Ansatz für die Informationssicherheit. Dieser wird dann von einer akkreditierten Zertifizierungsstelle extern validiert wird. Was will man also mehr?

Mehrere der ISMS-Maßnahmen konzentrieren sich auf die Ermittlung und Inventarisierung von Informationswerten (z. B. Endgeräte, Software und alle Arten von IT-Hardware). Für eine erfolgreiche Zertifizierung nach ISO 27001 sind diese Maßnahmen erforderlich. 

So hilft Ihnen ein ISMS zunächst einmal dabei, Ihre Angriffsfläche zu verstehen – und im nächsten Schritt systematisch zu verkleinern. 

Die nächste Version der Norm, die ISO/IEC 27001: 2022 steht vor der Tür. Was bedeutet das? 

Während ich diesen Artikel schreibe, steht die Veröffentlichung der neuen ISO 27001-Version wenige Wochen bevor. Mit der Ausgabe 2022 der ISO/IEC 27001, wird die Norm an die moderne Arbeitsweise angepasst. Sie enthält einige völlig neue Sicherheitskontrollen und konzentriert sich verstärkt auf „Cloud-first“-Organisationen mit dezentralen Mitarbeitern.

Darunter auch solche zur Nutzung von Cloud-Diensten und zur Erstellung von Bedrohungsanalysen. Angesichts der Tatsache, dass mehr als 80 % der Organisationen in den letzten 12 Monaten einen Sicherheitsvorfall im Zusammenhang mit der Cloud erlebt haben, ist die Einführung dieser zusätzlichen Kontrollen sehr zu begrüßen (Quelle).

Mit der Veröffentlichung der Ausgabe 2022 beginnt eine dreijährige Übergangsfrist, um den bereits zertifizierten Organisationen Zeit zu geben, diese neuen Themen und Kontrollbereiche zu integrieren.

Wie kann DataGuard KMU mit ihrer Informationssicherheit und einer ISO 27001-Zertifzieurng helfen?

Wir bei DataGuard unterstützen KMU beim Aufbau eines ISMS mit unserem erprobten und bewährten hybriden Ansatz. Hybrid bedeutet, dass wir das Fachwissen unserer Informationssicherheitsexperten mit einer web-basierten Sicherheitsplattform kombinieren.

Wir bieten branchenspezifische Beratung, unterstützen Sie bei der Einrichtung Ihres ISMS und bereiten Sie auf ein externes Audit vor. Damit Sie auch langfristig ISO 27001-zertifiziert bleiben, arbeiten wir kontinuierlich mit Ihnen zusammen.

Gehen wir Ihre Cybersicherheit gemeinsam an – weit über den Cyber Security Awareness Month hinaus!

 
InfoSec Beginners Guide 212x234 DE InfoSec Beginners Guide 800x600 MOBILE DE

E-Book: Informationssicherheit 1x1

Sie sind neu beim Thema Informationssicherheit und wünschen sich einen Überblick, der auch Anfänger abholt? 

Hier geht es zu unserem E-Book
whitepaper-download whitepaper-download

ISO 27001 Checkliste

Leitfaden für die schrittweise Implementierung

Jetzt herunterladen

Über den Autor

Kyle Tackley Kyle Tackley
Kyle Tackley

Senior Principal - Global Corporate - InfoSec

Kyle is the Team Lead for DataGuard’s UK Tech and Privacy Practice with over 10 years’ experience in Technical and Data Protection & Privacy roles. Ensuring world class service delivery of DataGuard’s Hybrid InfoSec and Privacy as a service solutions to customers, and building a dynamic and successful team are some of Kyle’s top priorities.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren