KMU: In sechs Schrit­ten zu mehr Cy­ber­si­cher­heit

Für kleine, mittlere, aber auch grössere Unternehmen kann es schwer sein, ein angemessenes Niveau an Cybersicherheit zu erreichen, da das Thema oft abstrakt oder überwältigend wirkt. Die dafür notwendigen Ressourcen sind in den Unternehmen oft sehr begrenzt und die benötigten Ausgaben generieren zunächst keinen spürbaren Mehrwert. Dennoch können grundlegende Massnahmen zur Cybersicherheit über den Fortbestand eines ansonsten erfolgreichen Unternehmens entscheiden. Es ist deshalb für jedes Unternehmen wichtig, ein gewisses Niveau an Cybermaturität zu erlangen. Einige dieser Sicherheitsmassnahmen sind in der Regel Voraussetzung für einen Abschluss einer Cyberversicherung.

Der folgende Leitfaden mit den entsprechenden Handlungsempfehlungen ist eine Art Best Practice für das Erlangen eines robusten Cybersicherheitsniveaus für KMU. Dabei handelt es sich nicht um Mindestanforderungen für die Cyberversicherung, sondern vielmehr um eine Checkliste, die mit Fachleuten – sei es mit dem Versicherer, einem Agenten oder Makler oder dem IT-Dienstleister – besprochen und in einem sinnvollen Umfang umgesetzt werden kann.

Der folgende Massnahmenkatalog, der vom Verein Swiss Cyber Defense DNA entwickelt wurde, berücksichtigt die Verantwortungsbereiche Organisation und Technologie von Ihrem KMU gleichermassen.

Organisatorische Massnahmen:

• Verantwortliche Person für die Umsetzung definieren
• Verantwortliche Person für die Überprüfung definieren
• Festlegen, wer auf die Daten zugreifen darf
• Externe Speicherung des Backups sicherstellen
• Aufbewahrungsdauer der Backup-Daten definieren (gesetzliche Vorschriften beachten)
• Sicherstellen, dass keine Drittpersonen Einblick in Ihre Daten haben
• Regelmässige Datenwiederherstellung (2× pro Jahr testen)

Technische Massnahmen:

• Automatisierter und schreibgeschützter Backup-Prozess
• Backup muss verschlüsselt sein
• Backup-Medium vom Netzwerk trennen und offline lagern
• Auf spezialisierte Firmen mit langjähriger Erfahrung setzen
• Überprüfen, mit welchen Software-Programmen Ihre Daten wiederhergestellt werden können

Organisatorische Massnahmen:

• Verantwortliche Person bestimmen, die sicherstellt, dass der Virenschutz aktuell ist
• Im E-Mail-Programm definieren, welche potenziell gefährlichen Daten gesperrt werden
• Sensibilisierung und Schulung von Mitarbeitenden
• Schulung im Umgang mit E-Mails, Websites, Passwörtern

Technische Massnahmen:

• Umfassender, flächendeckender und aktueller Malwareschutz von Endgeräten, Wechseldatenträgern (USB-Sticks, externe Festplatten), Servern, NAS, Cloud-Services, E-Mail-Services
• Makroausführung einschränken
• Internetfilter installieren
• Spamfilter installieren
• Regelmässig einen vollständigen System-Scan durchführen

Organisatorische Massnahmen:

• Verantwortliche Person definieren, die regelmässig alle Netzwerkgeräte aktualisiert
• Mitarbeiterschulung für Fernzugriff
• Lieferantenschulung für Fernzugriff
• Definieren, wie der Fernzugriff gelöst und abgesichert ist
• Aufzeichnungen der Firewall regelmässig überprüfen

Technische Massnahmen:

• Netzwerk-Firewall installieren
• Software-Firewall auf PC installieren
• Netzwerkgeräte regelmässig aktualisieren
• Netzwerke in Zonen aufteilen, damit wichtige Geschäftsbereiche voneinander abgeschottet sind
• Fernzugriff mittels 2-Faktoren-Authentifizierung zusätzlich absichern (z. B. SMS-Code)
• Fernzugriff mittels VPN
• Gäste-WLAN vom Firmennetzwerk trennen

Organisatorische Massnahmen:
Software (Betriebssysteme und Programme)

• Verantwortliche Person für folgende Punkte definieren:
• Verwaltung von Lizenzen
• Periodische Überprüfung von Lizenzen
• Periodische Überprüfung von Updates
• Veraltete Programme ablösen/aktualisieren, gemäss Risikobeurteilung
• Entscheiden, ob private Programme erlaubt sind
• Sicherstellen, dass auch private Programme aktualisiert werden

Hardware (Geräte)

• Bestandsaufnahme aller Geräte (z. B. PC, Server, Netzwerkgeräte)
• Veraltete Systeme ablösen, gemäss Risikobeurteilung
• Bestehende Systeme physisch schützen (z. B. Zutritt)
• Entscheiden, ob private Geräte erlaubt sind
• Private Geräte vor Einsatz auf Sicherheit überprüfen

Technische Massnahmen:

• Nur aktuelle Betriebssysteme und Applikationen einsetzen
• Alte Systeme vom Netzwerk isolieren
• Inventarverwaltung für Hard- und Software und diese aktuell halten

Organisatorische Massnahmen:

• Zugriffsrechte pro Mitarbeitenden definieren: Welcher Mitarbeitende darf auf welche Ordner zugreifen?
• Zugriffsrechte der Geschäftsleitung ebenfalls überprüfen und einschränken
• (Lokale) Administratoren-Zugriffe überprüfen
• Standardkennwörter ändern
• Ein- und Austrittsprozess definieren

Technische Massnahmen:

• Passwortregeln für Mitarbeitende erstellen
• Definierte Rollen mit den Zugriffsrechten koppeln und einschränken

Organisatorische Massnahmen:

• Notfall-Organisation bestimmen
• Notfall-Prozesse definieren
• Alle Mitarbeitenden informieren
• Rollen und Abläufe regelmässig überprüfen
• Datenrückführung testen

Technische Massnahmen:

• Unabhängige Technologie nutzen, um auch im Notfall auf die Dokumente zugreifen zu können (z. B. Notfall-Zettel, Ordner, Cloud oder Mobile-Lösung)

Jede dieser Massnahmen reduziert die Verletzlichkeit des Unternehmens im Falle eines Angriffs. Sie können dafür sorgen, dass Cyberangriffe abgewehrt oder zumindest schnell behoben werden können. Das Restrisiko kann dann noch durch eine Cyberversicherung gedeckt werden, die u. a auch bei diesen präventiven Massnahmen und im Falle eines Vorfalls rasch und kompetent unterstützen kann. Sie deckt auch allfällige Schäden an der Infrastruktur und Kosten durch Betriebsunterbrechungen sowie Haftungsansprüche von Dritten ab. Die Versicherung berät versicherte Firmen bezüglich deren Sicherheitsstandards und unterstützt sie bei der Bewältigung eines Cyberangriffs.

Weitere Erläuterungen zu den Massnahmen: Home – SWISS CYBER DEFENCE DNA