Cyber-Kriminalität

Sichern Sie Ihre Daten regelmässig ausserhalb Ihres Betriebes?

Daten sind nur dann wirklich sicher, wenn sie regelmässig ausserhalb des eigenen Netzwerkes und auch ausserhalb des Betriebes gesichert werden. Zu einem sicheren Backup gehört auch, dass regelmässig geprüft wird, ob die Daten problemlos wieder  herstellbar sind.

Dieser Prozess sollte automatisiert sein. Geänderte Dateien sind z.B. jede Nacht extern zu speichern (Ihr IT-Spezialist kann helfen) oder eine Cloud-Lösung (z.B. Swisscom-Cloud) einzusetzen.

Werden Software-Updates immer sofort ausgeführt?

Dies ist ein wichtiger Punkt, der vielfach unterschätzt wird. Wenn ein Software-Update veröffentlicht wird, werden auch Schwachstellen und Fehler korrigiert. Das heisst, Cyber-Kriminelle erhalten quasi gratis eine Übersicht über Angriffsstellen in Ihrer Software. Nur mit einem sofortigen Update werden diese «Türen» in Ihren Computern auch umgehend wieder geschlossen!

Sind die Mitarbeitende für die Nutzung sicherer Passwörter sensibilisiert?

Viele IT-Angriffe sind deshalb erfolgreich, weil die Passwörter der Beschäftigten zu einfach sind. Laut Studien hat nur jedes zweite KMU entsprechende Richtlinien definiert.

Das Bundesamt für Cybersicherheit empfiehlt, dass ein starkes Passwort aus mindestens zwölf Zeichen (fünfzehn für kritische Zugänge) bestehen und Sonderzeichen (wie "&", oder "£"), Zahlen sowie Gross- und Kleinbuchstaben enthalten muss. Es darf kein personenbezogenes Element (Geburtsdatum, Vorname usw.) verwendet werden. Ausserdem ist es wichtig, nicht dasselbe Passwort für den Zugang zu verschiedenen Programmen oder Websites zu verwenden. Dank dieser Vorsichtsmassnahme können die Zugangsdaten im Fall eines erfolgreichen Angriffs isoliert werden. Im beruflichen Rahmen dürfen zudem nicht dieselben Passwörter verwendet werden wie im Privatleben.

Eine Alternative ist eine 2-Faktor-Authentifizierung (2FA): Wenn diese eingerichtet ist, reicht das Passwort allein nicht mehr und der Nutzer muss eine weitere Information liefern, um Zugriff auf seinen Account zu haben (bspw. ein SMS).

Wissen Sie, wie gut Ihre ICT-Fachperson tatsächlich ist?

Diese Frage mag überraschen. Gerade weil sich viele KMU im IT-Bereich nicht auskennen, vertrauen sie ja einer Fachperson. Bei einem Cyber-Problem ist es aber der Betrieb, der den Schaden trägt. Entsprechend ist es für den Verantwortlichen im Betrieb sinnvoll, wenn er dem IT-Experten die richtigen Fragen stellen kann.
Sitzen Sie deshalb mit Ihrer IT-Fachperson zusammen und lassen Sie sich die folgenden Punkte mit einfachen Worten erklären. Und das so lange, bis Sie es nachvollziehen können, es geht schliesslich um Ihr Geld!

• Ist mein Backup tatsächlich «wasserdicht» gemäss Punkt 1?
• Haben wir eine Firewall, wie funktioniert sie, wann wurde sie das letzte Mal justiert?
• Haben bzw. brauchen wir eine Trennung von Benutzer- und Administrator-Rechten?
• Ist der Schutz aller Server und Endgeräte durch ein Antivirus-Programm sichergestellt und werden diese regelmässig aktualisiert?
• Wie ist die Verantwortung für einen Schaden bei einem Angriff geregelt?

Existiert in Ihrem Betrieb ein Inventar für Hard- und Software?

Ein IT-Inventar umfasst alle Hardware (PC, Laptop, Handy, Drucker), alle Software (z.B. Word, Excel, Buchhaltungssoftware, Firewalls usw.), die Schnittstellen zwischen diesen Komponenten sowie die Daten-Speicherorte. Dieses Papier ist wie eine Landkarte, dank der man sich im digitalen Dschungel zurecht finden kann. Und dank einer solchen Landkarte können Schwachstellen aufgedeckt und behoben werden.

Ein Bespiel dazu: Sie haben in Ihrem Büro einen Netzwerkdrucker per WLAN (mit einer IP-Adresse) angeschlossen, dieser ist aber selbst nicht verschlüsselt. Dann kann auf diesem Weg jeder Passant in Ihr Firmennetzwerk eindringen: Im Inventar wird also beispielsweise stehen: Drucker XY, WLAN, gesichert.