Genauso wie viele Wege nach Rom führen, führen auch viele Wege zu einer guten Cyber Security. Cyber Security ist ein gigantisches Thema mit vielen Optionen und Variationen, aber welche Lösungen oder welcher Mix aus Lösungen ist der passende? Reichen Standardmaßnahmen, oder sollte man Themen auf die Bedürfnisse des Unternehmens genau zuschneiden? Wenn es ein Mix ist, was sollte man maßschneidern und was können Standardlösungen bieten? Wie macht man maßgeschneiderte Lösungen für den Mittelstand leistbar? Was ist überhaupt ein guter, holistischer und sinnvoller Mix?
Es betrifft uns alle in großem Maße und fordert immer wieder erneutes recherchieren und lernen. Sich in diesem Dschungel aus Informationen zurechtzufinden, ist eine komplexe Aufgabe und ohne Expertenwissen und geschultes Fachpersonal nur begrenzt möglich. Damit stehen gerade KMUs oft vor unbekannten und damit nur schwer umsetzbaren Aufgaben, die unnötige Kosten mit sich bringen. Dies ist besonders dann ein Thema, wenn Sie plötzlich aufgrund von neuen Gesetzen wie NIS2 und DORA oder Anforderungen von Kunden in die Verantwortung genommen werden, das Thema strukturiert anzugehen. Wo soll man anfangen und was sind die erklärten Ziele?
In diesem Beitrag schauen wir uns genauer an, welche Sicherheitsthemen für KMUs besonders wichtig sind und wie sich diese in ein Sicherheitsgesamtkonzept einbetten lassen.
Das Fundament: Risiken verstehen und einordnen
Um ein vollständiges Sicherheitskonzept sinnvoll aufzubauen, sollte man als Erstes herausarbeiten, was überhaupt geschützt werden muss. Danach kommt dann die Frage, wogegen es geschützt werden muss und erst am Ende sollte man entsprechend der Bedrohung die Mittel auswählen, mit denen man es besagte Thema im erarbeiteten Kontext auch sinnvoll schützen kann. Bei der Auswahl der Mittel und Maßnahmen ist es dann wichtig zu erkennen, dass es zwar sehr viele Parallelen zwischen Unternehmen gibt, von denen man viel lernen kann, aber in wichtigen Aspekten auch viele Unterschiede. Für kleinere IT-Sicherheitskonzepte kann man schon viel erreichen, indem man sich an übliche Praktiken hält, aber ein individualisierter Ansatz ist unumgänglich für ein holistisches Konzept. Welche Stufen man im Bereich IT-Sicherheit mit welchen Mitteln erreichen kann, wird in unserem Whitepaper erklärt, das kostenlos auf cyriso.io heruntergeladen werden kann.
Um einen vollständigen Überblick über die eigene Informationssicherheit zu bekommen und möglichst pragmatisch Ziele festzulegen, macht es Sinn, sich einmal mit dem Thema Risikoanalyse zu befassen.
Vorweg ist noch zu ergänzen, dass es zu dem Thema sehr viele Informationen und anerkannte Methoden gibt, die sich teilweise ergänzen und teilweise aber auch durchaus widersprechen. Es ist daher nicht unbedingt notwendig, streng einem Standard zu folgen. Vielmehr sollte eine Methode oder ein Mix von Methoden genutzt werden, der gangbar und sinnvoll für das Unternehmen ist. Es gibt auch Programme und Tools, die ein Risikomanagement zugänglicher und übersichtlicher machen, da solche Konzepte sehr leicht exzessiv werden können. CyRiSo bietet hierzu ein Management-Tool an, das Ihnen ISO 27001-konform durch ein prozess- und assetbasiertes Risikomanagement durchführt. Es gibt auch gute Hilfen, um pragmatisch an Gefahren heranzugehen, zum Beispiel vom deutschen BSI.
Ganz gleich, für was Sie sich entscheiden, es sollte sichergestellt werden, dass das Ergebnis der Übung klare Schutzziele für klare Aspekte der Firma sind, mit denen man dann eine vollständige Planung mit Priorisierung aufstellen kann. CyRiSo unterstützt Sie sehr gerne bei allen Schritten dieses Prozesses.
Security Essentials – Themen, die alle etwas angehen
Auch ohne Risikoanalyse kann mit hohe Wahrscheinlichkeit davon ausgegangen werden, dass eine Firma bestimmte Themen haben wird und vermutlich auch schon in irgendeiner Form adressiert hat. Hier kann häufig aber immer noch nachgebessert werden, sei es vom Funktionsumfang her oder kostentechnisch. Viele dieser Themen sind in stark umworbenen Märkten und nicht selten hoch innovativ. Besonders wenn man über Reseller gegangen ist, werden häufig Pakete angeboten, die insgesamt teurer sind und vom Funktionsumfang der Konkurrenz unterliegen. Um den besten Kosten/Nutzen-Effekt aus dieser Kategorie zu erzielen, ist es auch notwendig, die eigenen Bedürfnisse gut einzuschätzen. So kommt zum Beispiel ein Architekturbüro mit einem guten Virenscanner aus, wohingegen ein Softwarehersteller sich darum bemühen muss, einen Virenscanner zu finden, der unterschiedliche Betriebssysteme gleichwertig unterstützt und Whitelisting von eigenen unsignierten Programmen zentralisiert gesteuert zulässt. Man sieht also, dass es sogar bei diesen grundlegenden Themen auch um viel Fingerspitzengefühl, Wissen und Testen geht. Da dies alles sehr teuer und zeitaufwendig werden kann, leben gerade KMUs sehr häufig mit suboptimalen, wenn nicht sogar dysfunktionalen Sicherheitskonzepten, die mehr kosten, als sie müssten. CyRiSo unterstützt Sie gerne bei der Optimierung Ihrer Sicherheitskonzepte.
Welche Themen sind das jedoch? In der folgenden Tabelle werden einige der wichtigsten Themen aufgeführt:
| Typ | Beispiele für Variationen | Schutzumfang | CyRiSo empfiehlt |
| Endpunktschutz | Antivirus, EDR
Zentralisiert/ Dezentralisiert |
Nutzergeräte (Laptop, Desktop, Smartphone…), Server, Cloud-Infrastruktur… | Der Cyber Alarm hilft dabei, Ihre Infrastruktur im Griff zu behalten. Für Sie gemanagt und verifiziert. |
| Firewall | UTM, Stateless, Stateful | Netzwerk und Zugriffe | Beratung (Abhängigkeit von der Komplexität des Netzwerks) |
| Zugriffssteuerung | Technisch, prozessorientiert | Büros, Daten, Netzwerke, Systeme und Geräte | Eine gruppenbasierte Zugriffsteuerung macht in fast allen Fällen am meisten Sinn. Es lohnt sich auch, eine Risikoanalyse durchzuführen. |
| Passwort Management | Zentralisierte, dezentralisierte Speicherung mit einem Tool. | Systeme, Nutzerkonten, Daten | Zentralisiert überwachte Passwortmanager. |
| Patch Management | Automatisiert, dezentralisiert, zentralisiert | Systeme, Netzwerke und in Folge Daten und Nutzerkonten | Zentralisiert mit Tool (es gibt kostenlose Lösungen)
Für Schwachstellenerkennung bietet CyRiSo den Cyber Pass an. |
Relevanz von Richtlinien und Prozessen
Richtlinien und Prozesse sind oft ein Thema, das vernachlässigt wird. Virenscanner und Firewall hat man schnell installiert, aber eine Definition von Verhaltensmaßnahmen kostet viel Zeit und wird oft als Behinderung oder unnötige Hürde angesehen. Allerdings gibt es sehr viele wichtige Themen im Bereich Security, die sich teilweise oder ausschließlich nur mit Prozessen und Richtlinien sinnvoll adressieren lassen.
Aber wo fängt man am besten an, Richtlinien und Prozesse zu erstellen? Wichtig ist es, als Erstes zu verstehen, was hinter einer Richtlinie und einem guten Prozess steckt.
Eine Richtlinie muss als Dokumentation eines gewollten Zustandes angesehen werden. Hierbei geht es darum, Bestehendes einmal so zu Papier zu bringen, dass auch ein Neuankömmling sich schnell zurechtfindet und versteht, wie die Dinge funktionieren, und darum gewünschte zukünftige Themen aufzugreifen und zu überlegen, wie mit diesen umgegangen werden kann. Man stellt dabei sehr schnell fest, dass es dabei fast immer nur um Variationen von vielbeschrittenen Pfaden geht. Man kann sich also recht verlässlich an Standards entlanghangeln und selektiv auswählen, was auf einen zutrifft und was nicht. Die Variation ist dann die exakte Ausprägung. Als Beispiel schauen wir uns einmal eine Passwortrichtlinie an. Wie ein sicheres Passwort aussieht, ist schnell recherchiert. Ob man sich dann einen Passwortmanager anlegt, Systeme auf Passkey umstellt, vereinfachte Eingaben wie Windows Hello zulässt, wie man mit Systemen umgeht, die den Anforderungen nicht gewachsen sind, … all das ist dann in der Richtlinie zu verankern. Um bei dem Beispiel zu bleiben, sehen wir, dass allein schon dieser kleine Auszug aus den Fragen eine Vielzahl an guten und weniger guten Umsetzungsmöglichkeiten bietet, die jedoch miteinander großteils inkompatibel sind und damit schnell zu Schwierigkeiten führen können, wenn sie parallel auftreten. Die Richtlinie macht daher nichts anderes, als zu klären, welche der Methoden aus Sicht der Firmenleitung diejenige ist, auf die man sich einigt, die finanziell unterstützt wird und die Mitarbeiter nutzen sollten. Man reduziert hier also potenzielle technische Probleme, gibt Mitarbeitern die richtigen Tools in die Hände und schafft Effizienz.
Prozesse hingegen sind dokumentierte Abläufe. Es lohnt sich, einmal firmenintern zu überlegen, wie man bestimmte Dinge tut, welches Material und Personal man dafür braucht und was jeder zu tun hat. Was wird gemacht, wenn ein neuer Mitarbeiter eingestellt wird? Was wird gemacht, wenn ein Angebot erstellt wird? Etc… . Basierend auf diesen Prozessen kann nun eine Bedrohungsanalyse durchgeführt werden. Anschließend weiß man, welche IT-Sicherheitskomponenten man in den Prozess einführen muss, um die erkannten Bedrohungen zu mitigieren. Dieses Verfahren ist dann eine Risikoanalyse und der Output sind maßgeschneiderte Prozesse, die um Sicherheitsmaßnahmen erweitert wurden und sich so viel natürlicher in ein Unternehmen integrieren lassen. Also anstelle etwas komplett Neues nach „Best Practices“ aufzunehmen, müssen Mitarbeiter nur lernen, ein Dokument in einen bestimmten Ordner zu legen oder eine bestimmte Person zu informieren. Auf diese Weise erschafft man Prozesse im Unternehmen, die auch langfristig einhaltbar sind.
Man sieht also, dass Richtlinien und Prozesse anders als Virenscanner und Firewalls viel Anpassung und Pflege benötigen, um die jeweiligen Möglichkeiten und Bedürfnisse des Unternehmens sinnvoll, natürlich und möglichst nahtlos zu unterstützen.
CyRiSo bietet Ihnen in verschiedenen Paketen Unterstützung an, von Ideenfindung bis hin zur Umsetzung. Entweder basierend auf ihrem direkten Nutzen, etwa im Zuge des Cyber Fitness Checks, oder als Vorbereitung für ein Audit oder eine Zertifizierung im Zuge unserer Implementierungspakete für Cyber Trust und ISO 27001.
Um einen ersten Schritt zu gehen, listen wir in Folge nun einige der elementarsten Richtlinien und Prozesse auf, die Sie unbedingt in Ihrem Unternehmen anbringen sollten:
| Richtlinie | Inhalt | Erklärung | Hebelwirkung |
| Access Management | Definition, wie der Zugriff auf wichtige Dokumente und Systeme gesteuert wird; Darstellung von Gruppenzuordnungen, Berechtigungen, Nutzerkosten usw. | Bietet die Grundlage für den sicheren Umgang mit den Werten der Firma und mit rechtlichen Anforderungen wie der DSGVO. | Hoch |
| Passwort Richtlinie | Definition, wie mit Passwörtern umgegangen wird, wie komplex sie sein müssen, wie sie verwaltet werden sollen, usw. | Ist ein notwendiger Zusatz zum Access-Management. | Kritisch |
| Asset Management | Klärung, wie ein Überblick über sämtliche Geräte, Lizenzen und Software dokumentiert werden soll. | Bietet die Grundlage für Investitionsentscheidungen und rechtliche Anforderungen. | Hoch |
| Software Richtlinie | Klärung, welche Software verwendet wird und als sicher angesehen wird. | Software ist eines der wesentlichen Einfallstore in ein Unternehmen. Von schlechtem Code, der ausgenutzt werden kann, über absichtliche Informationsweitergabe bis hin zu Schadcode, der in legitim aussehender Software versteckt ist. Man sollte einen guten Plan dafür haben, was man auf Firmenrechnern erlaubt und warum. | Mittel bis Hoch |
| Notfallpläne | Klärung von Verhalten, Kontakten usw. in Notfallsituationen | Notfälle sind Stresssituationen. Unter Stress macht man Fehler und vergisst Details. Solche Prozesse und Pläne helfen dabei, Themen vollständig und sauber anzugehen. | Kritisch |
| Onboarding- and Offboarding- Prozesse | Klärung, was getan wird, wenn ein neuer Mitarbeiter in die Firma kommt und wenn einer die Firma verlässt. | Eine Dokumentation aller Zugänge, die einem Mitarbeiter gegeben werden kann, hilft dabei, zu vermeiden, dass Zugriffe illegitim erhalten oder behalten werden. | Hoch |
Technische Kontrollen
Das Erste, an das viele denken, sind technische Kontrollen. Von Virenscannern bis zu Firewalls sind diese Begriffe bekannt und weit verbreitet. Einige Systeme sind kostengünstig oder sogar Open Source, und oft sind diese auch bereits von Herstellern essenzieller Systeme vorgesehen. Die herkömmlichen Produkte – sogenannte „Quick Wins“ – haben wir bereits besprochen. Es gibt jedoch noch weitere technische Mittel, die vielleicht weniger bekannt sind. Hierzu muss man zunächst anführen, dass eine der häufigsten Ursachen für Sicherheitsprobleme Ungenauigkeiten und Unachtsamkeiten von Menschen sind. Automatisierungen und Überwachungen von Prozessen helfen dabei, einen großen Sektor der potenziellen Risiken abzusichern. Viele Hersteller bieten gerade hierfür mächtige Werkzeuge an, die mit ein wenig Aufwand und Kreativität viele bestehende Themen und Probleme effektiv unterstützen können. Ein paar Beispiele hierfür sind in der folgenden Liste zu finden:
| Applikation | Themen | Wo zu finden? |
| Schwachstellenscanner und -überwachungstools | Frühzeitige Erkennung von potenziellen Sicherheitsproblemen, Priorisierung von Updates und Förderung alternativer Mitigierungen wenn Updates nicht vorhanden sind. | Für Schwachstellenerkennung bietet CyRiSo den Cyber Pass an. |
| E-Mail Filter (Inbound, Outbound) | Überprüfung von Anhängen auf schädliche Inhalte oder Verstöße gegen die Richtlinien. | Inbound-Filter werden von fast jedem E-Mail-Anbieter bereitgestellt und sind oft auch konfigurierbar. Outbound-Filter sind oft mit DLP-Programmen verbunden und meist extra. |
| Security Awareness Simulation Tools | Nicht nur Schulungen, sondern auch Tools für simulierte Phishing-, Smishing- oder Malware-Kampagnen. | CyRiSo bietet auch unterstützende Tools im Compliance Manager an und kann beratend unterstützen. |
| Festplattenverschlüsselung | Schützt sensible Daten auf portablen Geräten vor direktem Zugriff, sollte das Gerät abhanden kommen. | Es gibt auf vielen Systemen bereits vorkonfigurierte Lösungen. Aber man kann mitunter noch mehr erreichen, wenn es nötig ist. |
| Ransomwareschutz | Spezialisierte Lösungen, die Verschlüsselungsmuster oder Dateiänderungen erkennen. | Ransomwareschutz ist eine Paketlösung, die aus gezielt angewendeten Maßnahmen besteht. Gerne unterstützen wir Sie dabei, eine starke Verteidigung gegen Ransomware aufzubauen. |
| Cloud‑SaaS‑Security Posture Management (SSPM) | Überwacht und härtet SaaS-Systeme wie Microsoft 365, Google Workspace, HubSpot und Salesforce. | Viele Hersteller bieten bereits selbst gute Tools und Dokumentationen an, um ihre Systeme in der Cloud zu schützen. |
| Zuletzt noch der Alleskönner: Power Automate | Prozessüberwachung, Genehmigungen, Logging… | In der Businesslizenz von MS ist sie enthalten. |
Wichtige Schulungen
Die Mitarbeiter können entweder die besten Sensoren oder die unkontrollierbarste Sicherheitslücke sein. Deswegen sind Schulungen essenziell für die Sicherheit eines Unternehmens. Im Prinzip sollten alle erkannten Themen, die nicht durch technische Kontrollen abgedeckt werden können, in Schulungen besprochen werden.
Schulungen helfen dabei, Wissen aufzufrischen, Änderungen und Neuigkeiten zu vermitteln und Security wiederkehrend zum Thema im Unternehmen zu machen.
Schulungen können entweder allgemeine Informationen vermitteln oder auf das Unternehmen zugeschnitten sein. Was Sinn macht, entscheiden Inhalt und Ziele der Schulung. Wenn es um allgemeingültiges Wissen geht, wie gesetzlich festgelegte Prozesse im Sinne der DSGVO oder um die Vermittlung von Fachwissen, wie man Phishing-E-Mails erkennt, dann macht es Sinn, standardisierte Schulungen einzusetzen. Wenn es jedoch um die Vermittlung von firmeneigenen Richtlinien und Prozessen geht, sollten Schulungen entsprechend individualisiert werden. Der CyRiSo Compliance Manager bietet beide Möglichkeiten an und erlaubt sowohl die Nutzung einer vorhandenen Schulungsbibliothek als auch die Bereitstellung individualisierter Schulungen.
Der Hintergrund von Konsequenzen
Konsequenzen sind ein Thema, das für viele sehr unbequem ist. Es klingt von sich aus bereits sehr negativ, und man will natürlich seine Mitarbeiter nicht einem solchen Druck aussetzen. Das sind absolut legitime Bedenken, und diese sollten in jedem Fall auch in die Betrachtung dieser Thematik einfließen. Jedoch ist es so, dass Konsequenzen in der Regel sehr sanft ausfallen können und trotzdem den gewünschten Effekt erzielen.
Erfahrungsgemäß gibt es zwei Kategorien von Verfehlungen: unabsichtlich oder aus Unachtsamkeit und absichtlich. Im Normalfall sind absichtliche Taten fast niemals vorhanden und in der Regel ohnehin ein Fall für Anwälte und nicht mehr für die IT-Sicherheit. Alle anderen Fälle lassen sich fast immer durch zusätzliche Schulungen oder persönliche Gespräche beseitigen. Allein die Klärung, wie mit Nicht-Konformitäten umgegangen wird, kann schon sehr viele solcher Probleme beseitigen, da Klarheit zu Verständnis führt. Wichtig ist natürlich, dass der Prozess auch sauber eingehalten wird.
Was man auch bedenken sollte, ist, dass eine Konsequenz einer Nicht-Konformität auch durchaus die Anpassung einer Richtlinie oder eines Prozesses sein kann; Konsequenzen sind daher auch als beidseitiges Feedback zu betrachten, um die Informationssicherheit des Unternehmens nachhaltig zu schärfen und zu verbessern. Am Ende bringt ein nicht umsetzbarer Prozess eher Sicherheitsprobleme mit sich, als dass er Sicherheitsprobleme löst. Wenn Mitarbeiter Prozesse umgehen, kann es durchaus sein, dass die Prozesse nicht natürlich in ihren Arbeitsfluss passen und damit eher eine Arbeitsbehinderung darstellen.
Es empfiehlt sich in jedem Fall, feste Prozesse für das Thema vorzubereiten, auch damit solche Zwischenfälle möglichst fair und pragmatisch behandelt werden. Daher sollte ein solcher Prozess auch auf vorgefertigtem Material basieren. Es gibt hier auch tatsächlich Applikationen, die dafür verwendet werden können. Eine Empfehlung ist, dass eine Nachschulung automatisiert stattfindet, aber eben Hand in Hand mit einem persönlichen Feedback-Gespräch, damit eine grundlegende Pragmatik eingehalten wird, während man auch Gründe, die außerhalb der erwarteten Grenzen liegen, sinnvoll verarbeiten kann. CyRiSo kann sie darin unterstützen, entsprechende Prozesse aufzustellen und das geeignete Material zu erarbeiten.
Zertifizierungen und Labels
Standards helfen dabei, an vieles zu denken, das ggf. ansonsten untergehen könnte. Es sind gute Checklisten, die man nutzen kann, um ganzheitliche Konzepte aufzubauen und auf sich selbst zuzuschneiden. Ob man dann auch den zusätzlichen finanziellen und personellen Aufwand hin zu einer Zertifizierung auf sich nehmen möchte, ist ein anderes Thema. Gerne beraten wir Sie zu passenden Standards und Zertifizierungen.
Es lohnt sich aber in jedem Fall, es zumindest aus Marketingsicht, ein Label oder Zertifikat in Betracht zu ziehen. Externe Audits helfen dabei, die Effektivität und Anwendung von erreichten Sicherheitszielen zu verifizieren. Ein Zertifikat oder ein Label kann dabei helfen, diese Bemühungen allgemeingültig und leicht verständlich nach außen zu tragen.
Aber allein schon eine externe Sicht auf die Lage zu haben – ganz gleich, ob es ein Zertifizierungsaudit ist oder nicht – hilft, die eigenen Ideen und Umsetzungen zu validieren. CyRiSo bietet hierzu mit dem Cyber Fitness Check einen schnellen Überblick über die wichtigsten Themen kosteneffizient an. Gerade wenn man lange und intensiv ein Konzept bearbeitet hat, sieht man leicht den Wald vor Bäumen nicht mehr und bei der Masse an Themen, die Security in einem Unternehmen betreffen, geht es um sehr viele Bäume, die mitunter sehr viele Wälder erzeugen können, über die man leicht den Überblick verlieren kann. Hier bieten technische Lösungen auch oft eine gute Möglichkeit, den Überblick zu bewahren. CyRiSo bietet hierzu den CyRiSo Compliance Manager an. Solche Applikationen sortieren bestehende Maßnahmen und Dokumente nach Standards ein und zeigen Erfolge und Lücken schnell und übersichtlich auf. Das hilft sowohl bei einem Selbstaudit als auch bei einem externen Audit. Der Sprung zu einem Label oder Zertifikat wird dann eher zu einer Formalität und kann jederzeit nachgezogen werden, denn die Grundfesten eines guten IT-Sicherheitskonzepts sind verankert und sortiert.
CyRiSo empfiehlt im Minimum, ein Label zu beantragen. Zum einen beweist es den Status quo und trägt diesen nach außen, und zum anderen motiviert es eine Firma dazu, konstante Arbeit in die Absicherung der Firma zu stecken. In heutigen Zeiten, in denen Gesetze wie NIS-2 schnell zu einer passiven Betroffenheit kleinerer Firmen führen können, unterstützt dies auch eine zertifizierte Bereitschaft und eine vorsortierte Belegsammlung, die im Falle eines Audits sehr zeiteffizient ausgehändigt werden kann. Gerne unterstützen wir Sie dabei, das richtige Label oder Zertifikat für Ihr Unternehmen zu finden. Von Cyber Trust bis ISO 27001 bieten wir Beratung für Neueinsteiger und fortgeschrittene Firmen an.
Call to Action
Wenn Sie mehr darüber erfahren wollen, wie Sie wichtige Sicherheitsthemen umsetzen können, dann zögern Sie nicht, uns für ein kostenloses Erstgespräch zu kontaktieren.
Schauen Sie auch bei unserer Cyber-Check-Plattform auf cyriso.io vorbei, um einen unserer kostenlosen Checks selbst durchzuführen oder sich von einem Experten begleiten zu lassen.
