Cybersecurity leicht gemacht

Kleine und mittelständische Unternehmen (KMU) sind aus verschiedenen Gründen ein beliebtes Ziel für (Cyber-)Kriminelle. Ein Team aus Experten hat sich jetzt zur Aufgabe gemacht, sie zu schützen.

Geringe Ressourcen, große Gefahr

Firewall, Ransomware-Attacken, Cyberkriminalität: Frau P. ist alarmiert. Sie führt eine Buchhandlung mit zehn Mitarbeitern und hat davon gehört, wie angreifbar insbesondere kleine und mittelständische Unternehmen (KMU) sind. Grund dafür sind ihre geringeren Ressourcen: Wie Frau P. steht den meisten KMUs kein IT-Wissen durch einen internen Experten oder gar durch eine ganze Abteilung zur Verfügung, auch Konzepte für Digitalisierung und IT-Sicherheit gibt es nur selten.

IT-Sicherheit: Wie hoch ist das Unternehmensrisiko?

Wer dann Rat sucht, ist schnell von dem breiten Angebot und den uneinheitlichen Zertifizierungen überfordert. Auch Frau P. hat irgendwann festgestellt: In ihrem Unternehmen fehlt zwar das IT-Know-how, doch das Beratungsangebot der Branche ist für Laien absolut undurchschaubar. Dabei ist die Buchhandlung von Frau P. kein Einzelfall: Wie ihr geht es Tausenden Klein- und Kleinstunternehmen in Deutschland. Denn bisher gibt es für kleinere Firmen bis 50 Mitarbeitern keinen einheitlichen IT-Sicherheitsstandard, mit dem sie selbst oder beispielsweise Versicherer ihr Unternehmensrisiko besser einschätzen könnten.

Leitfaden „miT Standard sicher“ bundesweit gültig

„Zwar hat das Bundesamt für Sicherheit und Informationstechnik die IT-Sicherheit aus allen Perspektiven beleuchtet. Doch das Ergebnis ist für KMU zum einem viel zu komplex, zum anderen treffen viele Aspekte daraus für kleinere Unternehmen oft nicht zu“, sagt Ansgar Licher. Um dies zu ändern, ist der Geschäftsführer von LWsystems gerne der Bitte gefolgt, der Arbeitsgruppe „mIT Standard sicher“ beizutreten. Das vom Bundeswirtschaftsministerium (BMWK) geförderte Projekt entwickelt in Kooperation mit DIN e.V. einen Standard für die IT-Sicherheitsberatung von Klein- und Kleinstunternehmen – die sogenannte „DIN SPEC 27067“. Dies ist ein neutraler Leitfaden für die IT-Sicherheitsberatung, an dem sich KMUs ab Dezember 2022 orientieren können.

Datenschutzlücken & Zensur

Schnell ein Video-Meeting mit dem neuen Kunden aus einer anderen Stadt oder dem Mitarbeiter im Homeoffice: Videokonferenzen sind mittlerweile ein fester Bestandteil vieler Firmen. Dabei konnte insbesondere ein Unternehmen von dem Trend profitieren: Zoom. Deutschland war für das US-Unternehmen während der Pandemie im Jahr 2020 einer der stärksten Wachstumsmärkte.

Zoom: Simpel zu nutzen, aber auch sicher?

Experten wundert das nicht, die Vorteile von Zoom liegen auf der Hand: Das Videokonferenz-Tool ist einfach in der Anwendung. User brauchen keinen eigenen Account anlegen, man muss keinen passwortgeschützten Anmeldeprozess vornehmen, viele Funktionen lassen sich auch über die kostenlose Version nutzen und mit nur einem Klick auf einen Link nimmt man am virtuellen Meeting teil. „Ich kann nachvollziehen, dass das simple Handling viele Anwender und Unternehmen anspricht. Doch der Preis, den man dafür zahlt, ist hoch und steht in keinem Verhältnis“, warnt Ansgar Licher, Geschäftsführer bei LWsystems in Bad Iburg.

Datenschutz spielt bei dem Videokonferenz-System keine Rolle

Die Nachteile von Zoom sind immens und lassen immer wieder Datenschutzbedenken laut werden. „Zum einen ist Zoom als US-amerikanisches Unternehmen grundsätzlich nicht den Bestimmungen der DSVGO unterworfen“, erklärt Ansgar Licher. Selbst bei Verwendung der Ende-zu-Ende-Verschlüsselung besteht immer ein Restrisiko. „Noch schlimmer: Das CLOUD Act-Gesetz verpflichtet US-amerikanische Internet-Firmen und IT-Dienstleister dazu, den US-Behörden den Zugriff auf gespeicherte Daten zu gewährleisten, selbst wenn sie nicht in den USA gespeichert wurden. Zum anderen sammelt die Software bei jedem Video-Meeting Telemetriedaten über den Client und das Betriebssystem, User ID und Meeting ID und Co.“. Und Zoom pflegt offenbar seit jeher eine enge Verbindung zur chinesischen Regierung. So wurde bekannt, dass das Unternehmen ohne ersichtlichen Grund einige Gespräche über ein Rechenzentrum in China leitete und Zoom-Meetings von chinesischen Menschenrechtlern, die sich zu einem regimekritischen Thema austauschen wollten, unterband.

Auch öffentliche Einrichtungen setzen auf diese Zoom-Alternative

„Insbesondere kleine und mittelständische Unternehmen unterschätzen immer wieder, wie wertvoll ihre Daten sind. Frei nach dem Motto: Für die Großen sind wir nicht interessant genug“, berichtet Ansgar Licher. „Dabei zeigen einschlägige Erfahrungen: Sie sind beliebte Ziele, um sensible Informationen abzugreifen.“ Laut Sicherheitsexperten u.a. der Wirtschaftsschutzabteilung des Niedersächsischen Landesamts für Verfassungsschutz gibt es aktuell keine ausreichenden Einstellungen bei Zoom, um ein datenschutzkonformes Arbeiten zu gewähren. Die einzige Lösung ist es, auf Zoom-Alternativen zu setzen. Neben Jitsi ist eine von ihnen Big Blue Button – die Open Source Meeting-Plattform für Self-Hosting oder DSVGO-konforme Cloud-Services (SaaS). Auch einige Bundesländer haben das Potenzial von Big Blue Button längst erkannt und wenden das Videokonferenzsystem z.B. für ihren Fernunterricht in Schulen an. Vor allem, nachdem sich herausgestellt hat, dass auch Microsoft 365 wie Zoom ein Datenschutz-Desaster ist.

Unternehmen vor dem Ruin schützen

Sie sind für Cyberkriminelle die letzten Barrieren vor dem Zugriff auf Informationen: Passwörter. Wer diese Hürde überwindet, hat damit einen Schlüssel in der Hand, der häufig viel wertvoller ist als die Daten selbst. Dank dieses Schlüssels kann ein Hacker jederzeit und immer wieder auf Informationen wie Warenwirtschaft, Kalkulationen, Angebote, Kundensätze, etc. zugreifen und sie oft sogar manipulieren. Stiehlt er dagegen nur einmalig einen Datensatz, ist dieser nach einiger Zeit womöglich schon nicht mehr auf dem neuesten Stand. Mit dem Passwort dagegen kann er sich jederzeit Zugang verschaffen. „Obwohl Passwörter so wichtig sind, sind die wenigsten wirklich stark“, weiß Ansgar Licher, Geschäftsführer bei LWsystem, aus der Praxis.

Selbst IT-Experten haben oft ein schwaches Passwort

Die drei der am häufigsten verwendeten Passwörter der Welt im Jahr 2021 sind 123456789, password und 111111, belegt eine Untersuchung. Was unfassbar klingt, erleben die Experten von LWsystems häufig: Die meisten Menschen verwenden Passwörter, die extrem simpel und damit leicht zu knacken sind. Das trifft selbst auf Personen zu, die in Unternehmen Zugriff auf sensible Daten haben oder aus der IT-Branche kommen. So nutzte ein Vorstandsmitglied einer Firma, der sehr auf Sicherheit bedacht war, für den Bereich der Gehaltsverwaltung als Passwort den Namen seiner Tochter und ein anderer, ranghoher EDV-Anwender den Markennamen seines Firmenautos. Für Hacker ein Kinderspiel. Zum Glück sind beide Unternehmen von einer Cyber-Attacke verschont geblieben.

Wie sicher ist mein Passwort?

Aber auch augenscheinlich starke Passwörter bieten oft keinen ausreichenden Schutz für Daten, Konten oder Firmengeheimnisse. Ein klassisches Beispiel: Jemand entscheidet sich für ein vermeintlich sicheres Passwort, das länger als acht Zeichen ist, Sonderzeichen enthält sowie Zahlen – wie JgShm€bIM<)v1. Anstatt sich aber für jeden Account ein anderes Passwort zu überlegen, modifiziert der User es nur. Für Facebook nimmt er JgShm€bIM<)v1_Facebook, für Amazon JgShm€bIM<)v1_Amazon, für Gmx JgShm€bIM<)v1_gmx und so weiter. „Durch die Mehrfachverwendung sinkt die Passwortsicherheit drastisch“, erklärt Licher.

Kaum zu glauben: So leicht knacken Hacker IhrPasswort 

Doch wie einfach ist es eigentlich, ein Passwort zu knacken und damit einen Account zu hacken? „Cyberkriminelle schaffen das teilweise in extrem kurzer Zeit“, sagt Licher. Eine der beliebtesten Methoden ist die sogenannte „Brute-Force“-Attacke. Dabei lässt der Hacker ein automatisiertes und effektives Tool die beliebtesten Passwörter, alle möglichen Zeichenkombinationen, aber auch persönliche Informationen von Personen wie Namen, etc. testen. Je länger und kryptischer ein Passwort ist, umso schwerer wird es. Dabei gilt ein Passwort, das acht Zeichen oder weniger hat, heutzutage unter Experten nicht mehr als sicher. Licher: „Ich empfehle für die Länge mindestens zwölf Zeichen, besser noch mehr. Alles andere ist für Hacker und ihre Tools viel zu leicht zu knacken.“ Allerdings ist das nicht das einzige, worauf Sie achten sollten.

Folgende 4 Elemente zeichnen ein sicheres Passwort aus:

1. Komplexität

Wie schon erwähnt, ist die Länge wichtig. Allerdings bringt es nichts, wenn das Passwort nicht gleichzeitig auch komplex ist. Das heißt: ababababababababababab ist kein sicheres Passwort. Auch ganze Zahlen- oder Buchstabenreihen auf der Computertastatur machen ein Passwort noch nicht sicher. Stattdessen sollte es möglichst viele Sonderzeichen, Zahlen sowie Groß- und Kleinschreibung enthalten.

2. Lieblingssätze

Komplexe Passwörter lassen sich natürlich schlechter merken. Einfacher wird es, wenn Sie beispielsweise den Lieblingssatz aus einem Buch, eine Songzeile oder einen Merksatz verwenden und immer nur die ersten Buchstaben und Satzzeichen verwenden. Dann wird aus „Die Profis von LWsystems wollen, dass ich ein sicheres Passwort mit mindestens 20 Zeichen kreiere. Gerne Jungs! Hier ist es. Gefällt‘s euch?“ das Passwort: DPvLw,diesPmm20Zk.GJ!Hie.Ge?

3. Passphrase

Eine Alternative für ein sicheres Passwort ist die sogenannte Passphrase. Hierbei werden zusammenhangslose Wörter und Zahlen mittels eines Trennzeichens (z.B. Bindestrich) zusammengefügt. Ein Beispiel: Blume-Ohr-Flugzeug-öffentlich157-Planke-Überschall720-sowieso-63917-4Charakter-nahbar. Hierbei sollten unbedingt keine Songzeilen verwendet werden, das wäre für den Hacker wieder zu einfach.

4. Open Source Passwort Manager

Die Experten von LWsystems setzen einiger Zeit auf Bitwarden. Der Open Source Passwort Manager arbeitet mit Zwei-Faktor-Authentifizierung und speichert alle Passwörter sicher und unerreichbar für Dritte ab. Das Unternehmen hat seinen Sitz zwar in den USA, die bekanntlich oft etwas weniger sensibel mit Daten umgehen, doch Bitwarden steht für Transparenz und weist immer wieder durch Audits nach, dass die Passwörter hier sicher sind. „Wir halten Bitwarden für eine absolut sichere Option zur Passwortverwaltung und können den Open Source-Anbieter unumwunden empfehlen“, sagt Licher.

Gefahr für KMU steigt

Cyberrisiken nehmen in Deutschland weiter zu – auch und gerade für kleine und mittelständische Unternehmen. Doch wie verhält man sich im IT-Notfall richtig und wer kann dann schnell helfen? Mit diesen 10 Regeln für den IT-Ernstfall können Sie entspannter arbeiten – inklusive Notfallkarte zum Download.

Welches Risiko schätzen Sie am höchsten für Ihr Unternehmen ein: Betriebsunterbrechungen, Pandemie, Cyberangriffe, Naturkatastrophen oder den Klimawandel? Der Industrieversicherer AGCS hat für sein „Risikobarometer“ kürzlich insgesamt 2650 Fachleute wie Manager, Führungskräfte und Sicherheitsspezialisten aus 89 Ländern nach ihrer Bewertung befragt. Das Urteil: Die Experten schätzen Cyberangriffe und deren Folgen als die größte Gefahr 2022 für Unternehmen ein. Lediglich die Deutschen halten Betriebsunterbrechungen für noch gefährlicher als Hackerangriffe. „Eine Fehleinschätzung“, sagt Ansgar Licher, Geschäftsführer bei LWsystems in Bad Iburg im Osnabrücker Land. Er weiß, wovon er spricht. Seit mehr als 25 Jahren begleitet und berät er Firmen und Organisationen in IT-Fragen.

Die Zahl der Hackerangriffe hat sich verdoppelt

Seine beruflichen Erfahrungen decken sich mit einer aktuellen Analyse des Spezialversicherers Hiscox: Demnach sind die durch Hacker verursachten Kosten bei deutschen Unternehmen höher als bei internationalen Konkurrenten. Dazu kommt, dass sich die gemeldeten Cyber-Schäden im Jahr 2021 im Vergleich zum Vorjahr fast verdoppelt haben. Zu diesem Ergebnis kommt auch das Bundeskriminalamt. Ein Grund dafür sei laut BKA die zunehmende Digitalisierung: Es gebe immer mehr Tatgelegenheiten. „Obwohl Cyberangriffe hierzulande eine ernstzunehmende Bedrohung sind, haben viele Unternehmen sie noch nicht ausreichend auf dem Radar“, sagt Ansgar Licher. Ein Mantra, das er immer wieder hört: „Das passiert doch nur großen Unternehmen. Wer interessiert sich schon für uns?“ Doch auch kleine Unternehmen sind für Cyberkriminelle gefundenes Fressen. „Da werden sämtliche Zugänge von Erpressern lahmgelegt, hohe Summen gefordert und schlimmstenfalls, sofern nicht gezahlt wird, das Unternehmen ruiniert. Das haben wir leider alles schon erlebt.“

Wie Cyberkriminelle Unternehmen bedrohen

Dabei hat insbesondere die Zahl der Ransomware- und Phishing-Attacken in den vergangenen Jahren stark zugenommen. Mit Hilfe von Verschlüsselungssoftware, die meist per E-Mail ins Unternehmen geschleust wird, legen Cyberkriminelle die IT-Infrastruktur lahm oder klauen sensible Daten. Die Folge: IT-Ausfälle, Datenverlust und Produktionsunterbrechungen bis das Unternehmen für die Entsperrung beziehungsweise das Herausgeben der Daten hohe Summen bezahlt – im Durchschnitt sind es laut Erhebungen rund 44 000 Euro. Aber auch wenig bekannte Methoden wie Spionagekameras in Kugelschreibern und Keylogger zur Erkennung und Protokollierung von Tastatureingaben stellen eine reale Bedrohung dar

Was tun im IT-Notfall?

Von den Cyberangriffen sind nicht nur Konzerne betroffen, sondern auch kleine und mittelständische Unternehmen rücken immer mehr in den Fokus von Cyberkriminellen – mit Erfolg. „Das eine Problem ist, dass Unternehmen ihre IT-Infrastruktur nicht ausreichend schützen und Mitarbeiter zu selten für den Ernstfall schulen“, sagt Ansgar Licher. Aus Letzterem entsteht ein zweites, unterschätztes Problem: IT-Verantwortliche wissen im Ernstfall nicht, was zu tun ist und vergessen im Stress, sich direkt Hilfe von Experten zu holen. Dabei sollten IT-Spezialisten im IT-Notfall immer die ersten Ansprechpartner sein, denn schnelles Handeln kann den Schaden reduzieren oder sogar ganz abwenden. Weil man bei Alarmstufe Rot aber schnell den Überblick verliert und die Nummer des IT-Dienstleisters nicht findet oder über das Internet nicht auf den Kontakt zugreifen kann, hat LWsystems zum Beispiel eine Notfallkarte zum Download erstellt. Diese zeigt Ihnen, wie Sie einen IT-Notfall richtig melden – damit Ihnen so schnell wie möglich geholfen werden kann.

Die 10 wichtigsten Regeln im IT-Notfall

1. Das IT-System nicht weiter nutzen
2. Alle weiteren Auffälligkeiten bzw. Veränderungen sorgsam dokumentieren
3. Keine weiteren Handlungen vornehmen oder einleiten, bis die IT-Experten von LWsystems Sie dazu auffordern
4. LWsystems Hotlinen-Nummer wählen: 05403-88017-80
5. Nennen Sie Ihren vollständigen Namen, den Ihres Unternehmens sowie Ihre Funktion.
6. Schildern Sie kurz, welches IT-System betroffen und was konkret passiert ist.
7. Beschreiben Sie mögliche Auffälligkeiten und wie das IT-System normalerweise arbeitet.
8. Teilen Sie mit, wann die Störung aufgefallen ist und wer sie bemerkt hat.
9. Schildern Sie kurz, wo das betroffene IT-System eingesetzt wird (Gebäude, Raum, Arbeitsplatz, Homeoffice).
10. Bleiben Sie ruhig, denn ab der Meldung wird Ihnen umgehend geholfen.

Praxistest deckt Defizite auf

Es ist ein Klassiker in Büros, öffentlichen Einrichtungen und auch in privaten Haushalten: Microsoft 365 – mit den bekannten Produkten wie Outlook, Word, PowerPoint, Excel oder OneDrive. Doch was viele nicht wissen: Wer Microsoft 365 nutzt, hat nicht nur eine große Anwendung an Funktionen, sondern holt sich auch ein massives Datenschutzproblem ins Haus …

In Baden-Württemberg wurde für ein Pilotprojekt Microsoft 365 an Schulen eingesetzt. Das mehrmonatige und intensive Praxistest hat gezeigt, dass trotz einer möglichst datenschutzkonformen Konfiguration von MS 365, ein DSVGO-konformer Einsatz an den Schulen nicht möglich war. Und das, obwohl für den Testlauf nicht die Standard-Installation gewählt wurde, sondern besonders bedenkliche Funktionen von Microsoft 365 abgeschaltet beziehungsweise soweit möglich deaktiviert wurden – wie beispielsweise die Erfassung von Telemetrie- und Diagnosedaten sowie diverse problematische Verarbeitungen personenbezogener Daten.

Kann Microsoft 365 DSVGO-konform eingesetzt werden?

Es stellt sich die Frage: Wenn selbst eine konfigurierte Version nicht annähernd den Leitlinien einer öffentlichen Einrichtung entspricht, wie schlecht sind die Daten bei der Standard-Konfiguration von Microsoft 365 geschützt? Die meisten User werden die Standard-Einstellungen nicht hinterfragen, sondern vertrauen ihnen – und gewähren aus Unwissenheit den Zugriff auf ihre Daten. „Microsoft hat in der Vergangenheit immer wieder beteuert, dass Datenschutz bei ihnen oberste Priorität habe. Das Praxisbeispiel und die Ergebnisse des Landesbeauftragten für den Datenschutz in Baden-Württemberg belegen das genaue Gegenteil“, sagt Ansgar Licher, Geschäftsführer LWsystems. Natürlich haben Schulen als hoheitlich geführte Einrichtungen besondere Anforderungen an den Datenschutz. „Aber Unternehmen, die ihre Daten der Microsoft Cloud anvertrauen, sollten mögliche Datenschutzproblematiken ebenso auf dem Schirm haben. Es dürfte weiterhin umstritten sein, inwieweit ein Einsatz von Microsoft 365 im Unternehmensumfeld überhaupt datenschutz- beziehungsweise DSGVO-konform erfolgen kann.“

Sind Open Source-Lösungen datenschutzkonform?

Bei Open Source-Lösungen dagegen treten solche Datenschutzprobleme nicht auf, die Einrichtung oder das Unternehmen bleiben digital souverän. Denn bei Open Source-Programmen liegen die Quellcodes immer offen, sie sind für jedermann einsehbar, prüf- und nachvollziehbar. Durch diese Transparenz und Offenheit können IT-Fachleute unabhängig prüfen und sicherstellen, dass die Open Source Software keine Daten- oder Sicherheitsrisiken birgt. „Für LWsystems sind diese Faktoren ein entscheidender Grund, wann immer es möglich ist, konsequent auf Open Source IT-Lösungen setzen“, erklärt Ansgar Licher.

Wie kann ich Microsoft 365 ersetzen?

Ein Wechsel von dem Monopolisten Microsoft in die Open Source-Welt ist umso einfacher, je weniger man seine Daten, Prozesse und Abläufe mit Microsoft-Produkten und -Lösungen verschachtelt hat. Die typische Sorge, dass Open Source-Lösungen einen Verlust von Produktivität oder Komfort bedeutet, ist übrigens unbegründet. Dazu kommt: Digital souveräne Software sichert nachhaltig die Unabhängigkeit vom Anbieter. Ansgar Licher empfiehlt: „Prüfen Sie frühzeitig, welche IT-Produkte Sie in Ihr Unternehmen einbinden. Sonst kann ein Wechsel kompliziert werde, er ist aber mit den richtigen Experten an der Seite nie unmöglich.“ Eine Option ist beispielsweise Zimbra als Groupware  – und damit Alternative zu Exchange Server bzw. Exchange Online. Das Collaboration Tool bietet in Kombination mit Nextcloud (Cloud-Lösung) sowie ONLYOFFICE (Office-Lösung) genauso umfangreiche und intuitive Funktionen wie Microsoft 365 – allerdings sind Ihre Daten geschützt und Sie bleiben digital unabhängig. Um Microsoft vollständig aus der IT-Infrastruktur zu entfernen, bietet LWsystems auch eine Alternative zu dem Chat Tool Microsoft Teams an:BigBlueButton (Videokonferenzen) und Zulip (Enterprise Chat) lassen sich problemlos mit den genannten Open Source-Lösungen integrieren und stehen wahlweiseals Software as a Service (SaaS) in der LWsystems Cloud oder für den Self Hosting Betrieb zur Verfügung.