CISO im Dienst: 6 Cybersecurity Maßnahmen für KMU und Mittelstand

Diese sechs Cyber-Security Maßnahmen sollen KMU und Mittelstandsunternehmen unbedingt umsetzen, um sich präventiv gegen Cyberangriffe zu schützen:

Multi-Faktor-Authentifizierung (MFA) aktivieren und verwenden
verpflichtende Updates von Betriebssystemen und Anwendungen
Verringerung der Angriffsfläche für Cyberangriffe
Durchführung eines Schwachstellen-Scans für eigene IT-Dienste
regelmäßige Security Awareness Schulungen für alle MitarbeiterInnen
eine klare Backup-Strategie und die Durchführung eines Restore Tests

Unsere Liste der Maßnahmen hat eine Priorität, die wir gemeinsam mit ausgewählten SEC4YOU Kunden erarbeitet haben. Jedoch ist es wichtiger alle Punkte umzusetzen, als die Reihenfolge bei der Umsetzung einzuhalten. Im Folgenden geben wir wichtige Erläuterungen zu unseren Empfehlungen.

Multi-Faktor-Authentifizierung (MFA) aktivieren und verwenden

Der Schutz der Endgeräte und von IT-Diensten über ein statisches Passwort bieten Angreifern viele Optionen diesen einfachen Schutz zu umgehen. Zu einfache Passwörter können erraten, komplexe Passwörter über Phishing oder Social Engineering ausgespäht, oder vermeintlich gute Passwörter über den Einsatz von Wörterbuch-Attacken und Hash-Vergleich kompromittiert werden. Es kommt auch vor, dass Server gehackt und die Passwörter der BenutzerInnen am Server abgegriffen werden. Zu empfehlen ist der Schutz durch einen zweiten Faktor im Rahmen einer Multi-Faktor-Authentifizierung (MFA):

Primär sollen alle externen IT-Dienste (natürlich auch VPN) durch MFA geschützt sein
MFA-Schutz ist schnell, einfach und günstig durch OTP als App am Handy (Microsoft Authenticator, Google Authenticator, etc.) oder für Web-Dienste mit FIDO-Token umsetzbar

Umsetzungs-Tipp: Microsoft Business Premium 365 Kunden bzw. Kunden mit einer Azure AD Premium P1/P2 Lizenz haben für den MFA-Schutz keinen zusätzlichen Aufwand. Navigieren Sie im Microsoft 365 Admin Center > Alle anzeigen > Azure Active Directory Admin Center > Eigenschaften Sicherheitsstandards verwalten > Sicherheitsstandards aktivieren. Wählen Sie dann „Ja“ und „Speichern“.

Umsetzungs-Tipp 2: Wenn eine Anwendung kein MFA unterstützt, dann legen Sie klare Vorgaben für die Passwortlänge, Änderungshäufigkeit und ggfls. auch die Nutzung einer Passwort-Safe-Lösung wie KeePass fest.

Umsetzungs-Tipp 3: Externen IT-Dienste sollten an den zentralen Authentifizierungsdienst angebunden werden. Dies vereinfacht die Benutzerverwaltung und macht die Verwendung von externen IT-Diensten durch eine einheitliche Authentifizierung Anwenderfreundlich.

Verpflichtende Updates von Betriebssystemen und Anwendungen

Cyberkriminelle nutzen ständig und automatisiert Schwachstellen in externen Systemen, Betriebssystemen, Client-Anwendungen und IT-Diensten aus, um Zugang zu sensiblen Daten und Informationen zu erlangen oder Malware einzuschleusen.

Die Installation von Software-Updates kann eine der einfachsten und effektivsten Methoden zur Erhöhung der Sicherheit von Computern und Netzwerken sein, daher ist die digitale Hygiene der eingesetzten Software besonders wichtig.

Aktivieren Sie automatische Software-Updates bei allen Endgeräten und Anwendungen, die das unterstützen.
Kontrollieren Sie permanent über eine automatische Software-Inventurlösung oder ein Mobile-Device-Management wie Microsoft Intune ob alle Endgeräte auf einem sicheren Softwarestand sind
Sperren Sie veraltete Geräte so lange aus ihrem Netzwerk aus, bis diese aktualisiert sind. Diese temporäre Sperre können Sie beispielsweise mit der Device-Management Lösung Microsoft Intune umsetzen.
Verfolgen Sie CVE Security Ankündigungen der von ihnen eingesetzter Software und aktualisieren Sie verwundbare Software sofort. Neben der CVE Veröffentlichungen durch Mitre empfehlen wir auch die Mailinglisten von CERT.at. Besser gelingt diese Aufgabe jedoch über Softwareverwaltungs-Tools.
Planen sie regelmäßig — z.B. quartalsweise — Zeit für die Aktualisierung von zentralen IT-Diensten ein, damit diese nicht überaltern.

Umsetzungs-Tipp: Viele Endpoint-Protection-Lösungen (früher Virenschutz oder Malware-Protection genannt) bieten auch eine Kontrolle der Softwareversionen und alarmieren, wenn verwundbare Software gefunden wird.

Bei einer manuellen Aktualisierung ohne zentrales Tool sollte dies jedoch nicht durch die MitarbeiterInnen des Unternehmens erfolgen, da diese keine Administrationsrechte für die Endgeräte haben sollen. Admin-Rechte sind IT-MitarbeiterInnen vorbehalten!

Verringerung der Angriffsfläche für Cyberangriffe

Machen Sie es Angreifern möglichst schwer sicherheitsrelevante Informationen über Ihr Unternehmen zu sammeln und vermeiden Sie Einfallstore für Cyberkriminelle mit diesen einfach umzusetzende Sicherheitsmaßnahmen:

Deaktivieren Sie nicht benötigte IT-Dienste.
Bieten sie “interne” IT-Dienste nur im Firmennetzwerk oder über VPN an.
Sofern Sie eine IT-Abteilung haben, entziehen Sie ihren Mitarbeitern nicht erforderliche Administrator-Rechte.
Setzen Sie das Need-to-Know Prinzip für alle Unternehmensdaten um.
Sofern Ihre Businessprozesse das nicht erfordern, verzichten Sie auf USB-Speichermedien.
Verschlüsseln Sie alle mobilen Endgeräte.
Blockieren Sie nicht notwendige Kategorien z.B. Waffen, Drogen, Gambling, Adult, Intolerance&Hate, Criminal über Web-Filter.
Blockieren Sie alle potenziell gefährlichen Dateitypen für E‑Mail (Empfang sowie Senden) und Web-Download.

Empfehlung: Die ISO 27001 und ISO 27002 Norm bieten gute Empfehlungen und Maßnahmen zur Reduktion der Angreifbarkeit. Nutzen Sie auch die Prinzipien „Need-to-Know” und „Least Privilege”, um es Eindringlingen möglichst schwer zu machen an ihre wertvollen Informationen zu gelangen oder diese zu verändern.

Durchführung eines Schwachstellen-Scans für eigene IT-Dienste

Schwachstellen treten zumeist durch veraltete Software auf, oder durch Fehler in der Konfiguration. Je älter eine Software ist, desto mehr Schwachstellen sind bekannt und als CVE dokumentiert. Je älter eine Schwachstelle ist, desto wahrscheinlicher ist, dass Scripts für Jedermann zugänglich im Internet existieren, um diese auszunutzen. Identifizieren Sie selbst diese Schwachstellen, bevor es die Hacker tun!

Kunden, die keine eigenen Server betreiben und nur Cloud-Dienste nutzen, können bei dieser Maßnahme aufatmen. Große Cloud-Dienste wie Microsoft 365, Google Workspace, Dropbox, Atlassian, etc. müssen Sie nicht nach Schwachstellen überprüfen, denn das übernimmt der Cloud-Anbieter im Rahmen seiner eigenen Sicherheitsüberprüfungen.
Wenn Sie selbst Webserver, VPN-Zugänge, E‑Mail-Server, Datenaustauschplattformen wie Nextcloud oder eigene Kundenportale betreiben, sollten Sie diese regelmäßig auf bekannte Schwachstellen untersuchen. Obwohl es kostenfreie Schwachstellenscanner wie Nessus Essentials oder OpenVAS / Greenbone Community Edition gibt, empfehlen wir ein erfahrenes Security Unternehmen wie SEC4YOU zu beauftragen. Wir bieten gerne über unser Kontaktformular einen kostengünstigen Test für KMU-Kunden an.
Der Fokus bei der Cyberabwehr liegt leider oft auf extern erreichbaren IT-Diensten, jedoch können Cyberangreifer über infizierte und ferngesteuerte Firmenendgeräte alle internen Netzwerkdienste sehen und ausnutzen.

Umsetzungs-Tipp: Nur eine regelmäßige Prüfung, z.B. alle 3 Monate oder besser monatlich, hilft Schwachstellen rechtzeitig zu erkennen. Die Ergebnisse enthalten eine Priorisierung nach Schweregrad der Schwachstelle, oft Niedrig, Mittel, Hoch und Kritisch. Kümmern Sie sich um kritische und hohe Schwachstellen sofort, um mittlere und niedrige nach einem definieren Zeitplan.

Regelmäßige Security Awareness Schulungen für alle Mitarbeiter

Security-Schulungen sind ein wesentlicher Bestandteil eines effektiven Sicherheitsprogramms in Unternehmen. Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette und können leicht zur Zielscheibe von Cyberangriffen werden. Daher ist es wichtig, dass sie über die neuesten Bedrohungen und Technologien informiert sind und wissen, wie sie sich vor Cyberangriffen schützen können.

Gute Security Awareness Schulungen bieten folgende Mindestinhalte:

Überblick über die aktuellen Bedrohungen
Konkrete Beispiele über die Methoden von Hackern (Phishing, CxO Fraud, Social Engineering)
Kenntnis der InfoSec Richtlinien
Schulung des korrekten Umgangs von:
- Passwörtern
- Senden und Empfangen von E‑Mail
- Surfen im Internet
- USB-Speichermedien
- Dateiablage
Nutzung von Firmendaten in der Cloud, hier ist unsere Empfehlung eine Cloud-Allowlist + Cloud-Greylist + Cloud-Denylist für die MitarbeiterInnen zu erstellen
Schnelles Erkennen und Melden von Sicherheitsvorfällen

Umsetzungs-Tipp: Ergänzend sollten Sie eine E‑Mail Phishing Kampagne durchführen, um die Effektivität der Schulung zu überprüfen. In Abhängigkeit des Ergebnisses können Sie weitere Schulungen und Trainings planen.

Eine klare Backup-Strategie und die Durchführung eines Restore Tests

Selbst die besten Sicherheitsmaßnahmen bieten keinen 100% Schutz gegen einen Cyberangriff. Abgesehen von Cyberangriffen, können Daten jedoch auch versehentlich gelöscht oder korrumpiert werden. Daher ist es in der heutigen digitalen Welt von entscheidender Bedeutung eine Backup-Strategie zu haben, um sicherzustellen, dass Unternehmen im Falle eines Datenverlusts oder Datenkorruptionsereignisses schnell wiederhergestellt werden können. Backup-Strategien können helfen, Unterbrechungen zu minimieren und die Geschäftskontinuität aufrechtzuerhalten.

Achtung Informationssicherheit: Doppelte/redundante Datenhaltung z.B. in einem RAID ist kein Backup! Ein RAID schützt nicht bei Datenlöschung oder einem Ransomware-Angriff. Gerne erklären wir in einem Gespräch diesen Unterschied.

Definieren Sie die Häufigkeit, Aufbewahrungsort, Medium und die zu sichernden Files/Systeme für Ihre Backups und dokumentieren Sie dies
Legen Sie klare Verantwortlichkeiten für die Durchführung fest
Verwahren Sie ihr Backup-Medium sicher an einem entfernten Ort
Cloud-Backup Lösungen sind eine gute Alternative zu teurer Backup-Infrastruktur
Testen Sie ihren Restore-Prozess zumindest jährlich, stellen Sie bei dem Test alle Daten wieder her und prüfen Sie im Anschluss die Vollständigkeit ihrer Daten
Testen Sie wie lange ein vollständiger Restore ihrer Daten und Server dauert und vergleichen Sie diese Zeiten mit den Erwartungen Ihres Unternehmens und Ihrer Kunden

Tape Backup schützt
vor Ransomware!

Empfehlung: Neben einer klaren Backup-Strategie betrachten Sie auch das betriebliche Kontinuitätsmanagement (Business Continuity Management — BCM) und die IT-Notfallvorsorge für ihr Unternehmen. Bei dieser Betrachtung geht es darum wie ihr Geschäft weiterlaufen kann, wenn einzelne Server oder auch Cloud-Dienste ausfallen, oder Betriebsstätten beeinträchtigt sind.

Das CISO im Dienst Fazit

Einen vollständigen Schutz gegen einen möglichen Cyberangriff auf Ihr Unternehmen können wir mit diesen 6 Punkten leider nicht anbieten, aber die Berücksichtigung der Maßnahmen in Ihrer Informationssicherheit hilft Ihnen:

dass vermeidbare Angriffe passieren;
die Angriffe schneller erkannt werden können und sowohl der Schaden, als auch die Ausfallszeit reduziert werden kann;
Sie (wahrscheinlich) die Kosten für Ransomware Lösegeld einsparen;
bei einem Notfall Ihre Daten schnell und vollständig wiederherstellen können.

Die Autoren

Andreas Schuster
Senior Informationssicherheits-Experte bei SEC4YOU

Matthias Harrer
CISO

Patrick Hölbl
CISO

Ferat Aydin
IT-Security Architekt

CISO im Dienst: 6 Cyber­se­cu­ri­ty Maß­nah­men für KMU und Mittelstand