Small Business Cybersecurity: Ein Leitfaden für Geschäftsinhaber zur Online-Sicherheit und zum Schutz Ihrer Online-Interessen

Der grundlegende Leitfaden zur Cybersicherheit für kleine Unternehmen

Cybersicherheit für kleine Unternehmen sollte von keinem Unternehmen ignoriert werden. Dies ist unabhängig davon, wie „klein“ oder „unwichtig“ ein einzelnes Unternehmen sein mag.

Die großen Cybersecurity-Nachrichten konzentrieren sich auf Dinge wie die große Datenverletzung bei Yahoo oder den im Jahr 2017 bekannt gewordenen Ransomware-Hack des britischen National Health Service. Weitaus kleinere Organisationen sind jedoch täglich Opfer von Cyberkriminellen.

Die Statistiken sind erschreckend: 43% der Cyberangriffe richten sich speziell an kleine Unternehmen. Darüber hinaus sind 60% der kleinen Unternehmen von Cyberangriffen betroffen innerhalb der nächsten sechs Monate aus dem Geschäft gehen.

Wenn Sie ein Kleinunternehmer sind und Cybersicherheit nicht ernst nehmen, gehen Sie auf unglaublich dünnem Eis.

Diese ausführliche Anleitung hilft Ihnen dabei, genau herauszufinden, welchen Gefahren Sie ausgesetzt sind. Es wird Ihnen auch gezeigt, wie Sie die Risiken so weit wie möglich reduzieren können.

Wie hat sich Business Cybersecurity entwickelt??

Unternehmen müssen sich seit der Verbreitung der Internet-Konnektivität um die Online-Sicherheit kümmern. Die Geschwindigkeit, mit der sich die Internetkriminalität entwickelt hat, ist jedoch atemberaubend.

Prognosen von Jupiter Research zufolge werden allein Datenverletzungen Unternehmen bis 2020 über 2 Billionen US-Dollar pro Jahr kosten. Während diese Zahl die Augen tränen lässt, ist es noch schockierender, dass sich die Zahl in nur vier Jahren vervierfacht hat. Die Internetkriminalität hat epische Ausmaße erreicht. Die Zeiten, in denen Firmeninhaber nur sicherstellen mussten, dass ihre lokale IT-Firma aktuelle Antivirensoftware installiert hat, sind längst vorbei!

Betrachten wir als Beispiel Ransomware. Ransomware sperrt und verschlüsselt Dateien, bis Benutzer Hacker bezahlen, um sie zu entschlüsseln. Dies war das Zentrum des oben erwähnten riesigen NHS-Hacks. Ransomware wurde 1996 "erfunden" und ab etwa 2005 "in the wild" entdeckt. Es wurde 2012/13 zur Gewohnheit. Dies zeigt, wie sich Bedrohungen im Laufe der Zeit entwickeln. Es zeigt auch, dass immer etwas Neues in den Startlöchern sein wird, das die Unternehmen und die Schlagzeilen trifft.

Hacken kann unglaublich lukrativ sein. Daher werden Hacker nicht verschwinden oder aufhören, was sie tun. Dies bedeutet, dass Unternehmen jeder Größe arbeiten müssen, um einen Schritt voraus zu sein.

Wie unterscheidet sich Business Cybersecurity von Personal Cybersecurity??

Die Cybersicherheit für kleine Unternehmen unterscheidet sich stark von der Sicherheit auf einem einfachen Heimcomputer. Wenn ein Heimcomputer zum Beispiel von einer Ransomware-Attacke heimgesucht wird, ist der mögliche Schaden begrenzt. Wenn keine wiederherzustellenden Backups vorhanden sind, kann dies immer noch eine Katastrophe sein, auch wenn es nur darum geht, ein Lösegeld zu zahlen oder Familienfotos und andere Erinnerungen zu verlieren.

Für ein kleines Unternehmen können die Auswirkungen weitaus größer sein. Möglicherweise müssen Sie Ihren Kunden mitteilen, dass ihre Daten und Finanzinformationen "in the wild" sind und möglicherweise im dunklen Internet verkauft werden. Möglicherweise verlieren Sie die Fähigkeit, Transaktionen zu verarbeiten und Geld für einen Tag oder länger in Anspruch zu nehmen.

Was auch immer das genaue Ergebnis sein mag, es wird niemals ein gutes werden. Die Cybersicherheit in Unternehmen ist unglaublich wichtig und beinhaltet viel mehr als die Verwendung von Antivirensoftware.

Warum ist Cybersicherheit wichtig??

Ich habe kurz auf einige mögliche Auswirkungen einer Datenschutzverletzung oder eines Cyberangriffs eingegangen. Schauen wir uns genauer an, was passieren kann.

  • Finanzieller Verlust

Geld ist normalerweise das Motiv für Cyberangriffe. Zum Zeitpunkt des Schreibens ist niemand sicher, wer hinter dem WannaCry-Ransomware-Angriff steckt, der den britischen NHS und zahlreiche andere Organisationen weltweit getroffen hat. Der finanzielle Gewinn war jedoch das klare Motiv. Die Hacker forderten Geld, das in Form von anonymen Bitcoins überwiesen wurde, als Gegenleistung für die Entschlüsselung infizierter Computer.

Einige Organisationen bezahlten die Hacker, vermutlich weil sie keine brauchbaren Backups hatten. Diese Summe war jedoch ein Tropfen auf den heißen Stein im Vergleich zu dem tatsächlichen finanziellen Verlust, der durch den Hack verursacht wurde.

Es wird angenommen, dass die Hacker rund 100.000 US-Dollar aus „Lösegeld“ aufgebracht haben. Trotzdem werden die Gesamtkosten des Angriffs auf 1,5 Milliarden US-Dollar geschätzt. Dies ist auf die enorme Menge an Arbeit zurückzuführen, die Unternehmen unternehmen müssen, um sich von solchen Ereignissen zu erholen. Diese Arbeit umfasst in der Regel das Wiederherstellen von Sicherungen, das Wiederherstellen von Netzwerken und das Sichern von Systemen gegen zukünftige Angriffe, während gleichzeitig die Einnahmen sinken. Einkommen geht verloren, während Unternehmen in der Folge nicht richtig funktionieren können. Hinzu kommt, dass Kunden das Vertrauen verlieren und zurückkehren.

Kleinere Unternehmen haben oft nur ein geringes Budget. Aus diesem Grund sind keine schlagzeilengreifenden Zahlen erforderlich, um ernsthafte finanzielle Probleme zu verursachen. Eine "Sanierungsrechnung" von mehreren tausend Dollar in Verbindung mit einem mehrtägigen Handelsverlust kann ausreichen, um ein Unternehmen an den Rand des Bankrotts zu bringen.

  • Reputationsschaden

Reputationsschäden und finanzielle Verluste bilden für Unternehmen nach einem Cyberangriff häufig einen Teufelskreis. Kunden verlieren das Vertrauen in Unternehmen, wenn sie einen Verstoß erleiden, insbesondere wenn persönliche oder finanzielle Details kompromittiert wurden.

Eine PWC-Umfrage aus dem Jahr 2016 ergab, dass Reputationsschäden „als die schädlichsten Auswirkungen eines Cyber-Verstoßes angesehen wurden“.

  • Betriebsunterbrechung

Wenn Ihr Unternehmen einen Cyberangriff in Angriff nimmt oder den folgenden Schaden beseitigt, verfügen Sie und Ihr Team nicht über die Ressourcen, um das Unternehmen wie gewohnt zu betreiben.

Der Schweregrad kann variieren. Wenn Sie beispielsweise Transaktionen über eine Website verarbeiten und diese offline schalten müssen, wird der Umsatzfluss gestoppt, bis Sie die Angelegenheit lösen. Alternativ können Sie feststellen, dass Mitarbeiter erst dann arbeiten können, wenn Sie ihre Computer reparieren oder wiederherstellen.

Letztendlich gibt es keine guten Auswirkungen, daher muss alles getan werden, um die Bedrohung durch Cyberangriffe zu verringern.

Was sind die wichtigsten Bedrohungen für die Cybersicherheit kleiner Unternehmen??

Die Cybersicherheits-Bedrohungslandschaft verändert sich ständig. Neue Angriffsmethoden werden populär, während andere in Ungnade fallen. Die wichtigsten Bedrohungen bleiben jedoch gleich. Hier sind einige der wichtigsten, die Sie beachten sollten.

Ransomware

Wir haben Ransomware schon oft erwähnt. Das liegt daran, dass es in der Cybersicherheitswelt sehr aktuell ist, ohne dass die Popularität nachlässt. Es ist für Hacker einfach, viele Unternehmen und Einzelpersonen mit Ransomware auf einmal anzugreifen. Dies gilt insbesondere für Infektionen wie WannaCry, die sich über Netzwerke weiterverbreiten können. Es ist für die Behörden auch relativ schwierig, die Quelle zu ermitteln.

Diese Faktoren, gepaart mit dem klaren finanziellen Potenzial, machen Ransomware für Cyberkriminelle sehr attraktiv. Gegen Ende 2016 erlebte Kaspersky einen Ransomware-Erfolg ein Geschäft alle 40 Sekunden und alle 10 Sekunden eine neue Person.

Diese Wolke hat einen kleinen Silberstreifen: Ransomware ist eigentlich recht einfach zu schützen. Der Schlüssel besteht darin, vollständige, aktuelle Sicherungen und eine schnelle, bewährte Methode zum Wiederherstellen derselben zu haben. Sie müssen noch Maßnahmen ergreifen, um sich von einem Angriff zu erholen. Hacker können sich jedoch nicht auszahlen lassen, wenn Sie keine Daten von ihnen benötigen.

HINWEIS: Ransomware beinhaltet nicht immer das Verschlüsseln von Daten. Bei einigen Bedrohungen wird ein Computer oder Gerät gesperrt, sodass es unbrauchbar wird, bis ein Lösegeld gezahlt wird. Vorausgesetzt, Sie können einen Computer neu installieren, ist es möglich, die Infektion zu entfernen. Das Worst-Case-Szenario mit Ransomware endet mit verschlüsselten Daten und ohne Backup, von dem wiederhergestellt werden kann.

Phishing

Die meisten Technologie-Nutzer haben zumindest einige Phishing-Versuche gesehen, auch wenn sie ihnen nicht zum Opfer gefallen sind.

Grundsätzlich beinhaltet Phishing das Versenden von gefälschten E-Mails, die angeblich von echten Websites und Unternehmen stammen. Diese sind oft mit Bankgeschäften oder Online-Einkäufen verbunden. Personen, die von diesen E-Mails getäuscht werden, landen normalerweise auf (manchmal sehr realistischen) gefälschten Anmeldeseiten. Dort geben sie ihre Benutzernamen, Passwörter und andere persönliche Daten ein. Dadurch werden die Informationen direkt an Hacker weitergegeben.

Viele Phishing-E-Mails sind für das geschulte Auge leicht zu identifizieren. Sie stammen in der Regel aus nicht echten Domains wie paypalcustomersupport.com und nicht paypal.com. Cyberkriminelle können jedoch Zehntausende von ihnen gleichzeitig aussenden. Daher benötigen Hacker keine hohe Trefferquote, um von den Menschen zu profitieren, die sich in sie verlieben.

Antivirenprogramme und Spamfilter werden immer ausgefeilter. Sie werden immer besser darin, Phishing-E-Mails zu stoppen oder zumindest in Junk-Mail-Ordner zu filtern. Einige kommen jedoch unweigerlich durch und dienen ihrem kriminellen Zweck.

Speerfischen

Grundlegendes Phishing ist nicht die einzige Bedrohung für die Cybersicherheit, über die sich kleine Unternehmen Sorgen machen müssen. Phishing kann weitaus ausgefeilter sein und beinhaltet manchmal ein menschliches Element.

Telefonbasierte Betrugsversuche sind besonders beliebt. Kleine Unternehmen (und Einzelpersonen) sind häufig betroffen. Hacker rufen ein Unternehmen an und geben vor, von Microsoft oder einem anderen großen Technologieunternehmen zu stammen. Es gebe ein technisches Problem, das behoben werden müsse, und ahnungslose Benutzer sollten davon überzeugt werden, Remotezugriff auf einen Computer zu gewähren. Sobald sie Zugriff haben, können sie ganz einfach Schlüsselprotokollierungssoftware oder andere gefährliche Programme installieren. Sie können diese dann verwenden, um persönliche Daten zu erheben oder künftigen Systemzugriff zu erhalten.

Es wird noch viel schlimmer. Spear Phishing ist ein gezielter Versuch, auf bestimmte Computer zuzugreifen, um eine finanzielle Auszahlung zu erzielen.

Das funktioniert so. Ein Hacker ruft eine Firma an, wie oben beschrieben, und erhält Zugriff auf einen Bürocomputer. Von dort aus ermitteln sie, welcher Firmenrechner für die Personalabrechnung verwendet wird. Am Zahltag greifen sie auf diesen Computer zu und leiten alle Lohnzahlungen auf ihr eigenes Konto um.

Das hört sich vielleicht wie Science-Fiction an, ist es aber wirklich nicht. Darüber hinaus zielen Cyberkriminelle häufig speziell auf kleine Unternehmen mit dieser Art von Angriff ab. Hierfür gibt es verschiedene Online-Beispiele.

Website-Angriffe

Kleine Unternehmen mit einer beträchtlichen Online-Präsenz, insbesondere solche, deren Geschäftstätigkeit auf Websites beruht, müssen Bedrohungen für ihre Websites in Betracht ziehen. Dazu gehören SQL-Injections und DoS-Angriffe (Denial of Service).

Einige dieser Angriffe haben ein bestimmtes Motiv, z. B. das Aufdecken persönlicher Daten, die in Online-Datenbanken gespeichert sind. Andere sind von Natur aus weitaus „sinnloser“. Ihr Ziel ist es, Websites zum Absturz zu bringen, manchmal für nur ein großes Lob in der Hacking-Community.

Wie bei den anderen Bedrohungen ist es falsch anzunehmen, dass sich Cyberkriminelle nur gegen große Unternehmen richten. Täglich werden über 30.000 Websites gehackt. Sie sind eindeutig nicht alle Yahoos und Ashley Madisons!

Traditionelle Viren und Trojaner

"Old-School" -Viren und -Trojaner machen heutzutage möglicherweise weniger Schlagzeilen, sind aber immer noch im Umlauf. Sie betreffen jeden Tag schlecht geschützte Kleinunternehmen.

Von Key-Loggern, die Logins und persönliche Daten sammeln, bis hin zu Malware-Programmen, die Spammern beim Versenden von Phishing-E-Mails helfen, gehören Viren nach wie vor zum Arsenal von Cyberkriminellen.

Der größte Cybersicherheitsfehler für kleine Unternehmen

Der größte Fehler bei der Cybersicherheit kleiner Unternehmen ist die Annahme, dass "mir nichts passiert".

Wenn Sie der Meinung sind, dass wir dies überbewerten, lesen Sie einige der Cybersicherheitsstatistiken weiter unten in diesem Artikel.

Welche Vorsichtsmaßnahmen sollten Unternehmen treffen??Cybersicherheit 06

  1. Alle Systembenutzer aufklären

Es ist oft ein menschliches Versagen, das zu einem erfolgreichen Cyberangriff oder einer Sicherheitsverletzung führt. Erfolgreiches Phishing und Spear Phishing hängt davon ab, dass jemand dazu verleitet wird, auf eine überzeugende E-Mail zu antworten oder persönliche Daten in eine gefälschte Website einzugeben. In ähnlicher Weise werden viele Viren ausgelöst, wenn ahnungslose Benutzer auf einen E-Mail-Anhang doppelklicken und etwas installieren, das sie nicht sollten.

Daher ist es wichtig, dass jeder, der für Ihr kleines Unternehmen arbeitet, in Bezug auf Cybersicherheit gut geschult ist. Sie müssen sie auch über neue Bedrohungen auf dem Laufenden halten. Die technischen Kenntnisse und Kompetenzen sind sehr unterschiedlich. Gehen Sie daher niemals davon aus, dass Ihre Mitarbeiter in Bezug auf die Realität des Online-Lebens ebenso versiert sind.

  1. Verwenden Sie aktuelle Sicherheitssoftware, Patches und Hardware

Aktuelle Antivirensoftware von guter Qualität ist ein Muss auf allen Unternehmenscomputern. Dies bedeutet kommerzielle Software, da kostenlosen Versionen oft wichtige Funktionen fehlen. Darüber hinaus verdienen Softwareunternehmen manchmal Geld mit personenbezogenen Daten und Browserverläufen, wenn sie nicht für den tatsächlichen Verkauf ihrer Produkte bezahlt werden.

Zum Schutz vor Cyberangriffen gehört auch der Einsatz robuster Firewalls auf Websites und Unternehmenssystemen. Sie müssen auch alles regelmäßig patchen. Mit „alles“ ist wirklich alles gemeint - von Plug-Ins auf WordPress-Websites bis hin zu Betriebssystemupdates auf Unternehmenscomputern.

Ein Grund für die schnelle Verbreitung des riesigen WannaCry-Angriffs ist, dass er sich zwischen Tausenden von nicht gepatchten Windows-Computern bewegen konnte. Ein besseres Update-Management hätte viel dazu beitragen können, die Verbreitung zu verlangsamen.

  1. Denken Sie an mobile Geräte

Smartphones und Tablets sind weit verbreitet. Daher ist es wichtig, sie in Ihre Cybersicherheitsstrategie einzubeziehen. Es gibt keinen Mangel an "mobiler Malware" und Millionen von Geräten werden infiziert.

Es mag bizarr erscheinen, anzunehmen, dass Mobiltelefone Antiviren-Programme benötigen, aber Geräte von Unternehmen, auf denen Unternehmensinformationen gespeichert sind, sollten nicht anders behandelt werden als Computer.

  1. Ausweichmanöver Leicht vermeidbare Gefahren

Menschen, die einfache Fehler beim Umgang mit Technologie machen, machen es Cyberkriminellen leicht. Obwohl Cybersicherheit regelmäßig in die Schlagzeilen gerät, verwenden die Benutzer immer noch Kennwörter wie "123456" und "QWERTY". In Ihrem kleinen Unternehmen werden solche Praktiken sofort geächtet!

In ähnlicher Weise stellen viele Menschen ohne Bedenken eine Verbindung zu unsicheren öffentlichen Wi-Fi-Netzwerken her und verwenden diese, um an Unternehmensdaten zu arbeiten. Die Mitarbeiter sollten in diesem Fall immer ein geeignetes virtuelles privates Netzwerk (VPN) verwenden.

  1. Denken Sie an physische Sicherheit

Bei Cybersecurity geht es nicht nur um die Installation von Antivirensoftware und die Verwendung von Firewalls. Wenn Sie es einem Hacker leicht machen möchten, auf Geschäftsdaten zuzugreifen, lassen Sie einfach ein Bürofenster offen oder einen ungeschützten Firmenlaptop in einer belebten Bar.

  1. Verschlüsseln Sie Firmengeräte

Es lohnt sich, die Verwendung der vollständigen Festplattenverschlüsselung auf allen Geräten des Unternehmens zu erzwingen. Wenn eine Festplatte oder SSD verschlüsselt ist, kann jeder, der eine Maschine stiehlt, nur dann Müll sehen, wenn er keine Passwörter oder Verschlüsselungsschlüssel hat.

Es ist einfach, Ihre Geräte zu verschlüsseln. Moderne Apple Macs können standardmäßig verschlüsselt werden. Microsoft bietet die Möglichkeit, dies mit "Professional" -Versionen von Windows zu tun. Es gibt auch Tools von Drittanbietern, die dies ermöglichen. Sogar Android-Handys können vollständig verschlüsselt werden.

Möchten Sie den Internetverkehr mit mehreren Geräten verschlüsseln? Ein VPN-Router ist eine ideale Lösung. Klicken Sie auf den Link, um weitere Informationen zu erhalten.

  1. Bleiben Sie mit Cybersecurity News auf dem Laufenden

Wenn Sie stets über die neuesten Cybersicherheitsnachrichten informiert sind, können Sie sich davor schützen, Opfer der nächsten großen Sicherheitsverletzung oder des nächsten Hacks zu werden. Im Fall der WannaCry-Sicherheitslücke wurde die Sicherheitslücke, die so häufig ausgenutzt wurde, über einen Monat, bevor der Hack in die Schlagzeilen geriet, ausführlich veröffentlicht - und es war ein Patch verfügbar.

Unternehmen, die über solche Neuigkeiten auf dem Laufenden blieben, hatten die Zeit und das Wissen, sich zu schützen.

Cybersicherheitsstatistik für kleine Unternehmen

Nur für den Fall, dass Sie in diesem Artikel noch nicht in Aktion getreten sind, finden Sie im Folgenden einige Statistiken zur Cybersicherheit, um das Ausmaß dieser Bedrohungen zu ermitteln:

  • 55% der in einer kürzlich durchgeführten Studie befragten Unternehmen hatten in den letzten 12 Monaten einen Cyberangriff erlebt.
  • 65% der kleinen Unternehmen erzwingen keine Kennwortrichtlinie, obwohl dies eine einfache Möglichkeit ist, die IT-Sicherheit zu stärken.
  • Trotz der eindeutigen Bedeutung der Benutzererziehung ergab eine Studie der britischen Unternehmen, dass 81% ihren Mitarbeitern keine Cybersicherheitsschulungen anbieten.
  • Die Anforderungen an Ransomware sind um 10% gestiegen 266% im vergangenen Jahr.
  • 2016 wurden eine Milliarde Online-Kontorekorde gebrochen - drei für jeden US-Bürger.
  • Derzeit gibt es 37 Millionen Apps, die Malware enthalten.
  • 43% der Cybersicherheitsbedrohungen sind richtet sich an kleine Unternehmen.

Tipps zur Cybersicherheit für kleine Unternehmen

Wir beenden mit ein paar schnellen Tipps, um die wichtigsten Punkte dieses Artikels zu wiederholen und einige zusätzliche Ratschläge zu geben.

  1. Vergessen Sie nicht, Ihre Mitarbeiter und Stakeholder über Cybersicherheit zu informieren. Ein erfahrenes Team kann viel tun, um Ihr kleines Unternehmen zu schützen.
  2. Geben Sie Ihrer Cybersicherheit Zeit, Mühe und Ressourcen. Damit sind Sie den vielen kleinen Unternehmen, die dies nicht tun, sofort einen Schritt voraus.
  3. Machen Sie keine einfachen Fehler, die die Datensicherheit Ihres Unternehmens gefährden können. Erzwingen die Verwendung sicherer Kennwörter und VPNs für öffentliches Wi-Fi, indem es Unternehmensrichtlinien erstellt.
  4. Verlassen Sie sich nicht auf kostenlose Software, um die Geräte Ihres Unternehmens zu schützen. Der Preis für kommerzielle Optionen ist im Vergleich zu den Kosten für die Wiederherstellung nach einem Verstoß bedeutungslos.
  5. Gehen Sie immer sehr skeptisch vor, wenn Sie persönliche Informationen online preisgeben. Stellen Sie sicher, dass Ihre Mitarbeiter dasselbe tun.
  6. Sichern Sie Ihre Unternehmensdaten regelmäßig und konsequent. Die Möglichkeit, eine Wiederherstellung von einem Backup durchzuführen, kann Ihnen dabei helfen, eine Sicherheitsverletzung weitaus schneller zu beheben. Hier finden Sie eine Anleitung zur Sicherung von Kleinunternehmen.
  7. Nehmen Sie sich Zeit, um Ihre aktuellen Sicherheitsmängel im Bereich Cybersicherheit zu ermitteln und einen Plan zur Behebung dieser Mängel zu erstellen. Wenn Sie nicht über die erforderlichen Kenntnisse verfügen, zahlen Sie einen vertrauenswürdigen Berater, der dies für Sie erledigt.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me