Hilfe zur Cybersicherheit für kleine und mittelständische Unternehmen

Das Jahr 2014 ist gerade einmal zwei Monate alt, und wir haben eine enorme Anzahl von Problemen im Zusammenhang mit dem Datenschutz und dem Management von Datenschutzverletzungen gesehen. Bei einem Treffen der Online Trust Alliance (OTA), an dem ich kürzlich teilnahm, wurde kommentiert: „Es geht nicht darum,obSie von einer Verletzung betroffen sind, sondernwann.“

Dies ist ein ernüchternder Kommentar für jedes Unternehmen, das ein elektronisches Geschäftsmodell hat, das heutzutage im Grunde jeder von uns ist. Relativ klein oder anonym zu sein, garantiert nicht, dass Cyberkriminelle Sie nicht bemerken. Wohin wenden Sie sich also für Hilfe und Anleitung, wenn Sie eine kleine Organisation ohne große Taschen oder Ressourcen sind?

Ein Leitfaden für kleine Unternehmen zu Fragen der Cybersicherheit

Der Staat Kalifornien hat eine großartige Ressource für Unternehmen veröffentlicht: „Cybersecurity in the Golden State: How California Businesses Can Protect Against and Respond to Malware, Data Breaches and Other Cyberincidents.“ Die Informationen in diesem Dokument gelten für alle Unternehmen überall, nicht nur in Kalifornien, und bieten KMUs Hilfe zur Cybersicherheit. Ich empfehle Ihnen dringend, es zu lesen, um sich mit den Konzepten vertraut zu machen – und mit allen möglichen Bedrohungsproblemen, die sich nachteilig auf Ihre Marke, Ihren Ruf und Ihre Fähigkeit zum rechtmäßigen Online-Handel auswirken könnten. Es kann schwierig und teuer sein, sich von einer Datenschutzverletzung zu erholen; Prävention ist der beste Kurs. Wie die Studie feststellt:

„Laut der 2014 Cost of Cybercrime Study, die vom Ponemon Institute durchgeführt wurde, … sind die Kosten für Unternehmen, die Opfer internetbasierter Angriffe werden, in den letzten vier Jahren um durchschnittlich 78 Prozent pro Jahr gestiegen.“

10 Wahrheiten zur Cybersicherheit

Hier ist eine bearbeitete Version der Zusammenfassung des Berichts:

Relativ kleine Investitionen in die Vorbereitung auf Cybersicherheit können zu erheblichen Risikominderungen führen. Der Leitfaden enthält weitere Empfehlungen zur Vorbereitung eines effektiven Plans zur Reaktion auf Cybersicherheitsvorfälle, aber hier sind die wichtigsten Punkte:

1. Angenommen, Sie sind ein Ziel

Jedes Unternehmen, ob groß oder klein, kann Opfer von Cyberkriminalität werden. So wie es für die meisten von uns zur zweiten Natur geworden ist, unsere Haustüren abzuschließen, wenn wir das Haus verlassen, gehen Sie davon aus, dass Sie ein potenzielles Ziel sind, und treffen Sie grundlegende Vorsichtsmaßnahmen, um sich und Ihr Unternehmen zu schützen.

2. Gehen Sie mit gutem Beispiel voran

Cybersicherheit ist nicht die ausschließliche Domäne der IT; Die Geschäftsleitung muss sich einbringen. Kleinunternehmer sind am besten in der Lage, das Netzwerk ihres Unternehmens und alle damit verbundenen Geräte zu verstehen. Dies erfordert die Bereitstellung der Zeit und der Ressourcen, die erforderlich sind, um die Sicherheit ihrer Informationsbestände zu gewährleisten.

3. Ordnen Sie Ihre Daten zu

Um Ihre Daten effektiv zu schützen, schlägt der Bericht vor, dass Sie zuerst die Arten von Daten, die Sie haben, und den Speicherort dieser Daten kennen müssen. Überprüfen Sie umfassend die Daten, die Sie auf Ihren IT-Systemen gespeichert haben, sowohl vor Ort als auch außerhalb und mit Dritten (beziehen Sie Backup-Speicher- und Cloud-Computing-Lösungen in Ihr Datenmapping-Projekt ein). Sobald Sie wissen, welche Daten Sie haben und wo sie sich befinden, schauen Sie genau hin und entfernen Sie, was Sie nicht wirklich brauchen.

4. Verschlüsseln Sie Ihre Daten

Verschlüsseln Sie die Daten, die Sie aufbewahren müssen. Grundsätzlich bedeutet das Verschlüsseln von Daten – seien es E-Mails, Fotos, Memos oder andere Arten von elektronisch gespeicherten Informationen –, dass sie so verschlüsselt werden, dass Personen ohne die Verschlüsselungsschlüssel sie nicht lesen können. Starke Verschlüsselungstechnologie ist jetzt allgemein kostenlos erhältlich und einfach zu bedienen. Der große Vorteil der Verschlüsselung Ihrer Daten besteht darin, dass sie weitaus weniger anfällig für Hackerangriffe sind. Beachten Sie, dass Computer, die vertrauliche Informationen wie Gehaltsabrechnungen oder Point-of-Sale (POS)-Funktionen verarbeiten, idealerweise in Netzwerken oder Systemen sein sollten, die von Computern getrennt sind, die mit Routinediensten wie dem Aktualisieren von Facebook und dem Abrufen von E-Mails befasst sind.

5. Bank sicher

Der kalifornische Bericht enthält spezifische, umsetzbare Ratschläge für das Online-Banking, darunter:

• Setzen Sie Sicherheit an erste Stelle. Führen Sie Online-Banking nur über eine sichere Browserverbindung durch (erkennbar an „https“ und/oder einem Schloss, das in der Adressleiste oder in der unteren rechten Ecke Ihres Webbrowserfensters sichtbar ist). Online-Banking-Sitzungen sollten im privaten Modus Ihres Webbrowsers durchgeführt werden, und Sie sollten den Cache Ihres Webbrowsers, temporäre Internetdateien, Cookies und den Verlauf danach löschen, damit Cyberkriminelle im Falle einer Kompromittierung Ihres Systems nicht auf diese Informationen zugreifen können.

• Nutzen Sie die Sicherheitsoptionen Ihres Finanzinstituts. Beispiele hierfür sind die Verwendung der Zwei-Faktor-Authentifizierung für den Zugriff auf Ihr Konto, die Anforderung, dass sich zwei autorisierte Personen bei jeder Überweisung abmelden, und die Einrichtung von Kontobenachrichtigungen per E-Mail oder SMS, wenn bestimmte Aktivitäten mit höherem Risiko auf Ihrem Konto stattfinden.

• Legen Sie Limits für Überweisungen fest. Ausgefeilte transnationale kriminelle Organisationen hacken nun routinemäßig die Computer von Unternehmen und überweisen große Summen ins Ausland, wo sie nicht wiederhergestellt werden können. Um dies zu verhindern, legen Sie Limits für den Betrag fest, der von Ihren Konten überwiesen werden kann, und erwägen Sie (je nach Ihren geschäftlichen Anforderungen), Ihre Bank zu bitten, zwei Unterschriften des Führungsteams zu verlangen, bevor Sie Überweisungen ins Ausland senden.

6. Verteidigen Sie sich

Schützen Sie sich bei der Auswahl von Sicherheitslösungen vor Single Points of Failure in einer bestimmten Technologie oder Schutzmethode. Dies sollte die Bereitstellung von regelmäßig aktualisierten Firewalls, Antivirus- und anderen Internet-Sicherheitslösungen umfassen, die alle digitalen Geräte umfassen, von Desktop-Computern über Smartphones bis hin zu Tablets.

Geräte, die mit Ihrem Netzwerk verbunden sind, sollten durch mehrere Ebenen von Verteidigungstechnologien geschützt werden, zu denen unter anderem Antivirus-Technologie gehört. Suchen Sie nach umfassenden Sicherheitslösungen, die Sicherheit aus mehreren Perspektiven angehen, damit Sie Risiken aus dem gesamten Spektrum der Bedrohungen, denen Sie begegnen können, managen können. Zu den nützlichen Funktionen gehören die Möglichkeit, ein verloren gegangenes Gerät aus der Ferne zu lokalisieren oder zu löschen, und die Fähigkeit, noch nie dagewesene Angriffe mithilfe von Technologien zu identifizieren und zu blockieren, die das Verhalten analysieren und/oder Virtualisierungstools einsetzen.

7. Mitarbeiter schulen

Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Cyberbedrohungen, Mechanismen zur Minderung des Risikos und den Wert des geistigen Eigentums und der Daten Ihres Unternehmens. Ihre Mitarbeiter sind die erste Verteidigungslinie, und gute Sicherheitsschulungen und -verfahren können das Risiko eines versehentlichen Datenverlusts und anderer Insider-Risiken verringern.

8. Seien Sie passwortbewusst

Ändern Sie alle Standardbenutzernamen oder Kennwörter für Computer, Drucker, Router, Smartphones oder andere Geräte. ALLES ist besser als der Standard. Insbesondere sollten Sie starke Passwörter verwenden und Ihren Internetbrowser nicht an Ihre Passwörter erinnern lassen.

9. Arbeiten Sie sicher

Schützen Sie Ihre Systeme, indem Sie mehrstufige Sicherheitsmaßnahmen verwenden und alle Betriebssysteme und Software auf dem neuesten Stand halten. Installieren Sie keine Software, nach der Sie nicht ausdrücklich gesucht haben, und laden Sie keine Software von nicht vertrauenswürdigen oder unbekannten Quellen herunter. Denken Sie daran, Software, die Sie nicht mehr verwenden, zu entfernen oder zu deinstallieren.

10. Planen Sie das Schlimmste ein

Der Bericht stellt fest, dass jedes kleine Unternehmen einen Disaster-Recovery-Plan erstellen sollte, damit Ihre Ressourcen bei einem Cyber-Vorfall sinnvoll und effizient eingesetzt werden. Wählen Sie ein Incident-Response-Team und weisen Sie einen Leiter zu. Stellen Sie sicher, dass dem Team ein Mitglied der Geschäftsleitung angehört. Definieren Sie Rollen und Verantwortlichkeiten, damit allen klar ist, wer für was zuständig ist, falls ein Vorfall eintritt. Teilen Sie jedem in Ihrem Unternehmen mit, wen sie kontaktieren können, wenn sie den Verdacht haben, dass ein Cyber-Vorfall stattgefunden hat (oder stattfindet). Sammeln und verteilen Sie Kontaktinformationen außerhalb der Geschäftszeiten für Ihr Incident-Response-Team. Skizzieren Sie als Nächstes die grundlegenden Schritte Ihres Incident-Response-Plans, indem Sie Checklisten und klare Aktionspunkte erstellen.

Der Bericht des US-Bundesstaates Kalifornien geht auf Social-Engineering-Betrug, Netzwerkverletzungen, physische Verletzungen und mobile Verletzungen ein und enthält weitere Einzelheiten zu sicheren Vorgängen und zur Reaktion auf Vorfälle. Es ist Ihre Zeit wert; Wir werden nur noch mehr Probleme sehen, die legitime Unternehmen auf unserem digitalen Marktplatz betreffen. Schnappen Sie sich also einen bequemen Stuhl und einen heißen Kaffee und studieren Sie diesen nützlichen, wertvollen und lesbaren Leitfaden zur Cybersicherheit für kleine und mittlere Unternehmen.

Act-On ist Ihrer Privatsphäre und Ihrem Datenschutz verpflichtet. Werfen Sie hier einen Blick auf unsere proaktiven Bemühungen und Branchenzertifizierungen .

Bild oben: „Datenschutz“ von g4114is. Mit Genehmigung verwendet, unter einer Creative Commons 2.0-Lizenz.