„Internet-Schutzbrief“ für kleinere Unternehmen?

Täglich fallen weltweit mehr als 90.000 Webseiten einem Hackerangriff zum Opfer. Das ist viel, sogar viel zu viel. Auch in Deutschland sind immer mehr Unternehmen inzwischen von diesem Problem betroffen. Dabei handelt es sich jedoch schon lange nicht mehr nur um große Unternehmen oder Konzerne, die Cyberkriminelle gerne angehen. Und das, obwohl man eigentlich denken und erwarten könnte, dass sich ein Angriff aus den Untiefen des Internets gerade (oder ausschließlich) hier lohnen dürfte. 

Das Gegenteil ist der Fall. Denn seit Jahren geraten auch immer mehr kleinere, eher „uninteressante“ Unternehmenswebseiten ins Visier der digitalen Verbrecherbanden, was auch die Statistiken bestätigen. Eigentlich auch logisch, denn wenn rechnerisch jede Sekunde eine Website infiltriert wird, müssen logischerweise auch kleine- und mittelständische Unternehmen (KMU), Handwerksbetriebe, Agenturen, Kanzleien, Arztpraxen und private Webmaster betroffen sein.

Für uns ein guter Grund, um allen potenziell Betroffenen heute einmal zu zeigen, wie sie sich rechtssicher und finanziell geschützt im Internet aufstellen können. Und zwar bevor etwas passiert. In unserem Ratgeber beantworten wir darum die folgenden, brennendsten Fragen:

• Was sind die größten Gefahrenquellen für mich und meinen Internetauftritt?
• Was kann ich tun, wenn ein Hackerangriff stattfindet?
• Für wen ist eine Cyber-Versicherung überhaupt sinnvoll?

Natürlich muss nicht nur der private, sondern auch der gewerbliche PC mit einem guten Anti-Virensystem geschützt sein. Das ist klar. Ansonsten können bei einem gezielten Hacker-Angriff vertrauliche Daten abgefischt oder gar das ganze Betriebssystem des Unternehmens lahmgelegt werden. Das gelingt den Hackern bei kleinen und mittelständischen Unternehmen vor allem durch den Einsatz von so genannter Malware, die zuvor heimlich auf dem Computer installiert wurde. 

Den Angreifern aus dem Internet gelingt die Verbreitung vor allem durch folgende Tricks und Hintertürchen:

• Durch das Platzieren von Malware in Spam-E-Mails, deren Anhänge wie Bilder oder PDFs von Nutzern unbedacht geöffnet werden.
• Durch das Platzieren infizierter Websites im Internet, die von ahnungslosen Nutzern besucht werden.
• Dem Platzieren schadhafter Links auf unseriösen Webseiten, die von Usern angeklickt werden und dann einfach (meist kostenlose) Programme installieren.
• Gefälschte Fehlermeldungen, die beispielsweise durch Pop-up-Fenster eingeblendet werden, und zu einer (unerwünschten) Installation schadhafter Anwendungen führen.

Doch nicht nur diese vier Punkte können Hacker dazu einladen, in Ihrem Betrieb durch die eingeschleuste Malware Unfrieden zu stiften. Ein weiteres Problem ist, dass viele nicht wissen, dass nicht nur der private oder gewerbliche PC mit einem Anti-Virensystem geschützt werden sollte – sondern auch die eigene Homepage! Denn einer der größten Risikofaktoren für einen Angriff Cyberkrimineller auf KMU sind – und das klingt für viele zurecht überraschend – die üblichen Content Management Systeme (CMS) wie WordPress, Joomla, Drupal & Co.

Da Unternehmen nicht nur auf ihren Servern sensible Kundendaten speichern, sondern vertrauliche Informationen wie Adressen oder Kontoverbindungen häufig auch über die Homepage übermittelt werden, müssen selbst diese speziell vor unbefugtem Zugriff geschützt werden. Ansonsten kann es nicht nur zu Schäden an der digitalen Infrastruktur kommen, sondern auch zu kostspieligen Regressforderungen. Nicht erst seit der Datenschutzgrund-Grundverordnung (DSGVO) aus dem Jahr 2018 kann der Verlust von Daten durch Hacker nämlich sehr unangenehme und teure Folgen für Besitzer von Webseiten, Handwerksbetriebe oder Agenturen und Arztpraxen haben.

Nicht nur der physische Computer an sich muss daher stets gut geschützt sein vor Schadsoftware. Auch die CMS sollten unbedingt nicht nur redaktionell, sondern auch sicherheitstechnisch auf dem Laufenden gehalten werden. Am besten gelingt das durch regelmäßige Updates, die bestehende Sicherheitslücken schnell und effektiv schließen. Unser Tipp: Prüfen Sie doch einfach gleich jetzt, ob ihr CM-System auf dem aktuellen Stand ist. 

Kleiner Spoiler: Wahrscheinlich ist es das nämlich nicht. Statistisch sind nämlich weniger als die Hälfte aller befallenen Webseiten auf dem aktuellsten technischen Stand. Naja, und wenn Sie jetzt erst nachschauen müssen… 😉. 

Der erste (aber wohl wichtigste) Tipp klingt ganz banal – und ist es im Grunde auch: Nutzen Sie vor allem die regelmäßigen Sicherheit-Updates, die Ihnen Ihr Betriebssystem oder das Anti-Virenprogramm bietet oder lassen Sie diese gleich automatisch auf Ihrem Computer (oder besser: gleich auf allen Arbeitsplätzen in ihrer Firma) installieren. Durch die ständigen Aktualisierungen ist gewährleistet, dass zumindest Ihre Desktop-Hardware im Büro in Sachen Sicherheit laufend korrigiert wird. Nicht nur Windows 10 bietet hierfür einen eingebauten Service an, auch bei Mac können Sie das Update-Programm zur Stabilität, Leistung und Sicherheit regelmäßig ausführen (lassen).

1. Ein Administrator, viele Benutzer

Eine gute Idee ist es auch, wenn auf dem Betriebscomputern nur für einzelne, ausgewählte Administratoren entsprechende Konten mit umfangreichen Zugriffsrechten angelegt sind. Legen Sie also mehrere Benutzerkonten für Ihre Mitarbeiter an und erteilen Sie unterschiedliche Zugriffsrechte. Das erhöht die Sicherheit. Wenn nur ein Mitarbeiter als Administrator umfassende Rechte genießt und legitimiert ist, neue Software zu installieren, sinkt das Risiko für einen Einfall von Schadsoftware beträchtlich. Das liegt nicht nur an einer klareren Verantwortung. Der mögliche Transfer von unerwünschter oder virenbelasteter Schadsoftware kann auch deshalb deutlich sinken, da autorisierte Anwendungen besser erkannt werden. Auch das ist nämlich wichtig: Niemals Dateien unbekannter Herkunft installieren!

2. USB-Sticks nur in der Firma verwenden

Ein Einfallstor für Datenfishing oder Viren & Co. sind auch vermeintlich harmlose USB-Sticks. Fremde Geräte können ratzfatz im IT-System Schäden anrichten, wenn sie infiziert sind. Ein USB-Stick fürs Büro sollte auch einer fürs Büro bleiben – und nicht etwa an Fotoautomaten (Umschlagsplatz für Viren!) benutzt oder um die halbe Welt gereicht werden.

3. E-Mail-Anhänge nur öffnen, wenn der Absender (wirklich) bekannt ist

Wie bereits eingangs erwähnt, sollten zudem nie E-Mail-Anhänge aus Spam-Mails oder aus elektronischen Nachrichten unbekannter Herkunft geöffnet werden. Wenn es dumm läuft, kann selbst eine herkömmliche Bewerbung einen Trojaner in das System einschmuggeln. Pop-up-Fenster, die zu unbekannten Installationen einladen oder einen großen Gewinn versprechen, sollten zudem nie unbedacht angeklickt werden. Besonders die Gewinne sind meist Fake-News. Also eigentlich immer.

4. Sichere Passwörter, nicht ein Einfaches für alles!

Die Wahl des richtigen Passworts kann ebenfalls entscheidend sein, um Hacker-Angriffen vorzubeugen. Legen Sie darum Wert auf ein gutes Passwort. Das bedeutet, mindestens zwölf Zeichen, mischen Sie auch Ziffern, Buchstaben und Sonderzeichen kräftig miteinander. Für jeden Zugang sollte das Spiel wiederholt werden, also stets einen neuen, schwierigen und geheimen Zugangscode. 

Wenn Sie jetzt denken, „Verdammt, wie merke ich mir das bloß?“, haben wir einen kleinen Passwort-Trick für Sie.

5. Backups sind wichtig!

Falls es zu einem Angriff aus dem Internet gekommen ist, sind Backups eine Art Lebensversicherung für den Betrieb. Daten müssen also auf einer externen Speichermöglichkeit jederzeit gesichert sein. Falls ein Worst-Case-Szenario eintritt, sind somit zumindest im eigenen Betrieb alle Kunden- oder Arbeitsdaten weiterhin vorhanden und können auf ein neues oder bereinigtes Betriebssystem im Zuge einer Wiederherstellung aufgespielt werden.

Wer über das Mindestmaß hinaus geschützt sein will, dem kann nach all der Prophylaxe eine Cyber-Versicherung weiterhelfen. Klingt nach Werbung, macht aber trotzdem Sinn! 

Da nicht nur Großkonzerne, sondern auch kleine und mittelständische Unternehmen von Cyber-Risiken betroffen sind, kommen entsprechende Absicherungen nicht nur für weltweit agierende Unternehmen in Frage. Egal wie groß das Handwerk oder der Betrieb ist, wird eine finanzielle Absicherung gegen Hacker-Angriffe vor allem dann relevant, wenn

• Das KMU mit sensiblen, vertraulichen Daten von Kunden arbeitet,
• hochspezialisierte Betriebsinformation besitzt und
• der Geschäftsbetrieb von einer zuverlässigen digitalen Verfügbarkeit abhängt oder
• man im Zweifel gerne einen externen, kompetenten Ansprechpartner für IT-Sicherheit haben will.

Eine gewerbliche Cyberversicherung übernimmt die Folgen und Kosten der Schadensfälle, wenn es zu einem unmittelbaren, versicherungsrelevanten Vorfall kommt. Die Versicherung fängt damit die finanziellen Schäden auf, die zum Beispiel in folgendem Rahmen entstehen:

• gezielte und ungezielte Angriffe von Cyber-Kriminellen
• alle Arten von Cyber-Einbrüchen
• Schäden durch Hacker-Software wie Viren, Trojaner, Würmer
• Eigenschäden wie Betriebsunterbrechungen durch Cyber-Angriffe
• Daneben sind außerdem Vermögensschäden bei Kreditkarten mitversichert und der Diebstahl aller Daten von Kunden, wie etwa für Internetbanking oder für Bezahlsysteme und E-Mail-Accounts

Bei guten Policen kann zudem ein modularer Versicherungsschutz gewählt werden, um individuell genau passend abgesichert zu sein. Dazu sollte im Tarif immer eine Cyber-Haftpflichtversicherung inbegriffen sein.

Wichtig ist auch zu wissen, dass eine Cyber-Versicherung die eigene IT-Sicherheit natürlich nicht ersetzt. Denn die Versicherung schützt nicht vor einem Cyberangriff, sondern vor den teuren Folgen der Internetkriminalität und etwa Datenschutzverletzungen, die häufig Schadenersatzansprüche mit sich bringen. Das bedeutet: Firewall und Virenschutz müssen auch mit der nützlichen Versicherung auf dem aktuellen Stand gehalten werden. 

Besonders lohnt sich eine Cyber-Versicherung dann, wenn der eigene Betrieb nicht groß genug ist, dass ein ausgewiesener IT-Fachmann angestellt ist – denn durch Hotlines steht bei einem guten Versicherer ein 24 Stunden-Service bereit.