Nachhaltigkeit To Go: Cybersicherheit – 8 essentielle Faktoren

Allgemein, Nachhaltigkeit to go / Von

Blog für praxisorientiertes Wissen und Erfahrungen zur Förderung von mehr Nachhaltigkeit in kleinen und mittelständischen Unternehmen (KMU).

In der Blogserie „Nachhaltigkeit To Go“ erhältst Du praxisorientierte Tipps und Strategien, um nachhaltige Maßnahmen erfolgreich in Deinem Unternehmen umzusetzen. Jeder Beitrag bietet leicht verständliche Anleitungen, konkrete Beispiele und hilfreiche Vorlagen, die nicht nur helfen, Nachhaltigkeitsziele zu erreichen, sondern auch die gesetzlichen Berichtspflichten effizient zu erfüllen und gleichzeitig Eure Unternehmenskultur zu stärken.

Einführung

In der heutigen, digitalen Ära ist Cybersicherheit nicht nur eine technische Notwendigkeit, sondern auch ein Aspekt der nachhaltigen Unternehmensführung. Ein erfolgreicher Cyberangriff kann nicht nur finanzielle und Daten-Verluste verursachen, sondern auch das Vertrauen von Kunden und Partnern erschüttern. Daher ist es essenziell, Cybersicherheit aktiv anzugehen und als festen Bestandteil der Nachhaltigkeitsstrategie zu integrieren. Warum das inzwischen uns alle – ganz speziell in Deutschland – betrifft, zeigt eine neue Studie von PwC hierzu: https://www.pwc.de/de/pressemitteilungen/2024/studie-deutsche-unternehmen-deutlich-haeufiger-von-datendiebstahl-und-missbrauch-betroffen-als-weltweiter-durchschnitt.html

Cyberangriffe sind nicht nur ein Problem für große Unternehmen. Kleine und mittelständische Unternehmen sind besonders betroffen, da sie zunehmend digitale Plattformen zur Kommunikation und Kooperationen mit Stakeholdern nutzen, aber gleichzeitig häufig weniger Ressourcen für IT-Sicherheitsmaßnahmen zur Verfügung haben. Weiterführende Analysen hierzu auch bei PwC in diesem Beitrag zu finden: https://www.pwc.de/de/cyber-security/cyberangriffe-gegen-unternehmen.html

Oft fehlt es an Bewusstsein hinsichtlich der potentiellen Gefahren und damit dann an ausreichenden Sicherheitsmaßnahmen. Viele Angriffe können zudem lange unentdeckt bleiben, so z.B. das beliebte Versenden von Spam über Emailadressen des Unternehmens oder die Infizierung von Webseitendaten mit Malware. Mehr dazu unten.

Einige Zahlen zum Thema Cybersicherheit in Unternehmen

Laut einer aktuellen Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurden allein 2023 in Deutschland täglich über 300.000 neue Schadprogramm-Varianten registriert: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html?
Besonders besorgniserregend:

Rund 60 % aller deutschen Unternehmen waren in den letzten zwei Jahren mindestens einmal von einem Cyberangriff betroffen. Besonders verbreitet sind Angriffe durch Phishing, bei denen Mitarbeitende dazu verleitet werden, schädliche Links zu öffnen oder vertrauliche Daten preiszugeben. Eine andere häufige Methode ist Ransomware, bei der Systeme gesperrt und Lösegeld verlangt wird. Zudem gibt es Distributed-Denial-of-Service-Angriffe (DDoS), die Server mit Anfragen überfluten und so zum Absturz bringen. Laut einer aktuellen Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist auch gezielte Industriespionage ein wachsendes Problem. (Quelle: BSI-Lagebericht 2023).

Warum ist Cybersicherheit für KMU wichtig?

Die Risiken eines Cyberangriffs reichen von massiven finanziellen Verlusten über den Diebstahl sensibler Kundendaten, dem Verlust der eigenen Webseite, bis hin zu erheblichen Betriebsstörungen. Auch rechtliche Konsequenzen drohen, wenn Unternehmen Datenschutzrichtlinien verletzen durch z.B. nicht ausreichende Sicherheit. Eine geschädigte Reputation kann dazu führen, dass Kunden, Investoren und Partner das Vertrauen verlieren, was die langfristige Zukunftsfähigkeit des Unternehmens gefährdet. Eine besondere Rolle spielt Cybersicherheit darüber hinaus vor allem in den Bereichen Finanzwesen, Gesundheitswesen, E-Commerce und kritische Infrastrukturen wie Energieversorgung und Verkehr. Schauen wir uns also an, welche Vorteile Maßnahmen für eine verbesserte Cybersicherheit und ein aktives Handeln Unternehmen bringen.

Vorteile für Unternehmen

  • Schutz sensibler Daten: Robuste Cybersicherheitsmaßnahmen schützen vertrauliche Unternehmens- und Kundendaten, was das Vertrauen der Kunden stärkt und das Risiko von Datenlecks reduziert.
  • Rechtliche Compliance: Die Einhaltung gesetzlicher Vorgaben im Bereich Datenschutz und IT-Sicherheit verhindert rechtliche Konsequenzen und mögliche Strafen.
  • Wettbewerbsvorteil: Ein hohes Sicherheitsniveau kann als Alleinstellungsmerkmal dienen und die Position des Unternehmens im Markt stärken.
  • Vermeidung von Ausfallzeiten und Kosten: eine starke Cybersicherheitssystem oder Konzept im Unternehmen reduziert das Risiko von Schäden und Ausfallzeiten und den damit verbundenen Kosten erheblich.

Vorteile für Mitarbeitende

  • Mitarbeiterschutz: Schulungen und Sensibilisierungsmaßnahmen im Umgang mit digitalen Bedrohungen stärken das Bewusstsein der Mitarbeitenden und fördern ein sicheres Arbeitsumfeld, in dem Risiken minimiert werden. Zudem kann Erlerntes auch in das Privatleben übertragen werden.
  • Sicherheit im Arbeitsalltag: Mitarbeitende profitieren von einem stabilen IT-System, das Ausfallzeiten reduziert und ihre Arbeit reibungslos ermöglicht.

Praxisbeispiele für erste Cybersicherheitsmaßnahmen

1. Regelmäßige Software- & Sicherheitsupdates

  • Maßnahme: Stelle sicher, dass Systeme und Software regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen und die Performance aufrecht zu halten. Beispiel: Das betrifft besonders das Thema Webseiten und deren Content Management Systeme wie WordPress und co. Gerade hier kommt es regelmäßig im Jahr zu erheblichen Sicherheitslücken aufgrund von nicht aktualisierten Plugins und Systemversionen.
  • Vorteil für das Unternehmen: Reduzierung des Risikos von erfolgreichen Cyberangriffen durch bekannte Schwachstellen oder Performance-Einbußen aufgrund von Kompatibilitätsproblemen bei Software-Schnittstellen.
  • Vorteil für Mitarbeitende: Sicherstellung einer stabilen und sicheren Arbeitsumgebung dank vermiedener Ausfallzeiten (z.B. Ausfall der Webseite aufgrund eines erfolgreichen Angriffs oder Performance-Problemen).

2. Implementierung einer starken Passwortpolitik

  • Maßnahme: Nutzung komplexer Passwörter, sowie regelmäßige Passwortänderungen; Einsatz von Passwort-Managern. Tipp: Hier kann ich persönlich Nordpass wärmstens empfehlen: https://go.nordpass.io/SH9JX (Affiliate-Link). Ich nutze den Passwort-Manager seit vielen Jahren und bin sehr zufrieden. Der Passwort-Manager kann dank Browser-Plugin komplexe Passwörter automatisch generieren, Zugangsdaten ausfüllen (Login-Daten) und auch updaten (wenn ein Passwort geändert wird). Das spart sehr viel Zeit und reduziert Fehlerquellen beim manuellen Notieren von komplexen Passwörtern.
  • Vorteil für das Unternehmen: Erhöhung der Sicherheit von Unternehmensdaten und -accounts (Software, Banking, Email, Social Media etc.) aller Art.
  • Vorteil für Mitarbeitende: Schutz persönlicher und beruflicher Informationen vor unbefugtem Zugriff.

3. Schulung der Mitarbeitenden in Cybersicherheit

  • Maßnahme: Regelmäßige Trainings zur Erkennung von Phishing-E-Mails und anderen Cyberbedrohungen. Bis heute und mit geschultem Blick erkenne ich manche Phishing-Mails erst auf den zweiten Blick bei sehr genauem Hinsehen. Wichtigster Tipp hier: besonders auf die Absende-Emailadresse achten, in 99% der Fälle erkennt Mensch Spam hier sofort!
  • Vorteil für das Unternehmen: Verringerung der Wahrscheinlichkeit erfolgreicher Angriffe durch menschliches Versagen (wie z.B. Nutzung viel zu einfacher Passwörter, Klick auf Links in unseriösen Emails).
  • Vorteil für Mitarbeitende: Erhöhung des Bewusstseins und der Kompetenz im Umgang mit digitalen Gefahren. Nutzung der gewonnenen Kompetenz auch im private Leben.

4. Einsatz von Zwei-Faktor-Authentifizierung (2FA)

  • Maßnahme: Einführung von 2FA für alle wichtigen Unternehmensanwendungen. Das bedeutet, es müssen zwei Geräte bzw. Faktoren für den Login Prozess genutzt werden und eine korrekte Passworteingabe reicht NICHT mehr aus um sich erfolgreich einzuloggen. Ich habe in den letzten Jahren tatsächlich schon die ein oder andere Email bekommen, als versucht wurde ein Passwort zu einem meiner Accounts zurück zu setzen. Dank 2FA kann ein unberechtigter Loginversuch bzw. Passwort-Rücksetzprozess SOFORT erkannt und auch verhindert werden.
  • Vorteil für das Unternehmen: Zusätzliche Sicherheitsebene gegen unbefugten Zugriff.
  • Vorteil für Mitarbeitende: Sicherstellung, dass nur autorisierte Personen Zugang zu sensiblen Daten haben.

5. Erstellung eines Notfallplans für Cybervorfälle

  • Maßnahme: Entwicklung und regelmäßige Aktualisierung eines Reaktionsplans für den Fall eines Cyberangriffs. TIPP: Was viele nicht wissen: ein Cyberangriff, bei dem ggf. Personendaten betroffen sind MÜSSEN innerhalb von 72 Stunden bei der zuständigen Behörde gemeldet werden! Wann dies tatsächlich der Fall ist und was gemeldet werden muss, erfährst du hier in diesem Artikel: https://www.dr-datenschutz.de/wann-liegt-eine-meldepflichtige-datenpanne-vor/.
  • Vorteil für das Unternehmen: Schnelle Reaktionsfähigkeit minimiert Schäden und Ausfallzeiten und sichert ein rechtskonformes Handeln.
  • Vorteil für Mitarbeitende: Klarheit über Rollen und Verantwortlichkeiten im Krisenfall.

Schritt-für-Schritt Anleitung zur Erhöhung der Cybersicherheit

1. Bestandsaufnahme Cybersicherheit (Risikoanalyse) durchführen

Im ersten Schritt gilt es das eigene Unternehmen hinsichtlich Datennutzung einzuordnen. Dabei stehen Fragen im Vordergrund wie beispielsweise: wo nutzen wir aktuell online Dienste, wo werden sensible Daten gespeichert (Cloudserver etc.) oder auch übertragen (z.B. Schnittstellen in Online-Shops mit Zahlungsdienstleistenden, Newsletter-Abonnenten etc.). Das BSI liefert hier speziell für KMU eine gute Broschüre und Vorlage zur Bestandsaufnahme: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cybersicherheit_KMU.pdf

2. Sensibilisierung der Mitarbeitenden

Beginne mit der Schulung deiner Mitarbeitenden zu den Grundlagen der Cybersicherheit. Zeige deinem Team auf, wo in eurem Unternehmen für euch die größten Gefahren lauern. Bewusstsein ist der erste Schritt, um Phishing-Angriffe und andere Cyberbedrohungen zu erkennen und abzuwehren. Regelmäßige Trainings und klare Richtlinien stärken das Sicherheitsbewusstsein.

3. Passwörter optimieren

Stelle sicher, dass alle Mitarbeitenden starke, einzigartige Passwörter nutzen, die regelmäßig aktualisiert werden. Nutze einen Passwortmanager, um den Überblick zu behalten und Schwachstellen zu minimieren. Passwort-Manager ermöglichen auch das sichere Teilen von Passwörtern im Team. TIPP: wer keinen Passwort-Manager nutzt, sollte Passwörter und andere sensible Login-Daten etc. nur verschlüsselt verschicken, z.B. über einen Dienst wie diesen: https://passflow.de/

4. Software aktuell halten

Veraltete Software stellt ein großes Risiko dar. Implementiere automatisierte Updates, um sicherzustellen, dass alle Systeme mit den neuesten Sicherheits-Patches ausgestattet sind. Wo das nicht geht, sollte eine verantwortliche Person benannt werden, die in festen Intervallen manuelle Updates durchführt und nach neuen Updates Ausschau hält.

5. Zugriffsrechte überprüfen

Überprüfe regelmäßig, wer auf welche Daten zugreifen kann. Minimiere den Zugriff auf sensible Informationen und implementieren ein „Need-to-Know“-Prinzip. Das „Need-to-Know“-Prinzip in der Cybersicherheit beschränkt den Zugang zu sensiblen Informationen strikt auf Personen, die diese unbedingt für ihre Aufgaben benötigen, um Datenverlust, Missbrauch und Sicherheitsrisiken zu minimieren.

6. Notfallplan entwickeln

Erstelle einen Plan für den Ernstfall, der alle notwendigen Schritte bei einer Sicherheitsverletzung abdeckt. Teste diesen Plan regelmäßig, um sicherzustellen, dass dein Team darauf vorbereitet ist. Finde zudem heraus, welcher Behörde in Deinem Falle (kann von Bundesland zu Bundesland anders sein) eine Meldung gemacht werden muss.

7. Externe Beratung einholen

Falls erforderlich, ziehe externe Expert:innen hinzu, um deine IT-Infrastruktur zu prüfen und maßgeschneiderte Sicherheitslösungen zu entwickeln.

8. Daten Sichern!

Zu guter Letzt: sichere unbedingt regelmäßig alle deine Daten an einem zweiten (physischen) Ort. Das betrifft sowohl klassische Firmendaten (Laufwerke, Cloud-Ordner etc.) als auch Webseiten-Daten (Backups zusätzlich selbst manuell anfertigen) und Emailkonten. Tipp: ich erstelle wöchentliche Backups unserer Webseiten und ca. 2-3 x im Jahr auch Sicherungen aller Email-Postfächer. Dazu sichere ich alle digitalen Firmenordner in der Cloud nochmal extern in einer zweiten Cloud bei einem anderen Anbieter.

Tipp für Berichtspflicht

Maßnahmen zur Cybersicherheit werden in Nachhaltigkeitsberichten typischerweise in diesen Bereichen (inklusive konkretes Beispiel) dokumentiert und nachgewiesen:

  1. Governance und Risikomanagement
    • Ort: Kapitel „Governance“ oder „Risikomanagement“.
    • Inhalt: Sicherheitsstandards (z. B. ISO 27001), IT-Audits, Schutz vor Cyberangriffen.
    • Beispiel: „Ein neues IT-Sicherheitsmanagement reduziert Risiken und stärkt die Resilienz.“
  2. Stakeholder-Verantwortung
    • Ort: Kapitel „Soziales“ oder „Stakeholder-Verantwortung“.
    • Inhalt: Schutz sensibler Daten, Schulungen zur Cybersicherheit.
    • Beispiel: „100 % der Mitarbeitenden nahmen an IT-Sicherheitsschulungen teil.“
  3. Technologische Effizienz
    • Ort: Kapitel „Innovation“ oder „Ökologische Nachhaltigkeit“.
    • Inhalt: Effiziente IT-Systeme zur Senkung des Energieverbrauchs.
    • Beispiel: „Cloud-Lösungen senkten den CO₂-Ausstoß um 15 %.“
  4. Ziele und Kennzahlen
    • Ort: Kapitel „Ziele und KPIs“.
    • Inhalt: Konkrete KPIs wie Schulungshäufigkeit oder Datenschutzvorfälle.
    • Beispiel: „Reduktion von Sicherheitsvorfällen um 50 % bis 2025.“

Webseiten-Hack: Meine persönliche Erfahrung

In 2023 musste ich selbst erfahren, wie unvorbereitet und planlos wir als Team waren, als unsere Webseite gehackt wurde und für insgesamt knapp zwei Monate vom Netz genommen werden musste.
Was war passiert?
Hier in Kürze: unsere WordPress-Webseite hatte eine Sicherheitslücke im Frühjahr 2023. Eine Schadsoftware, auch Malware genannt, konnte sich in unsere WordPress-Installation einnisten. ca. 3 Monate später wurde diese Schadsoftware dann aktiviert und hat sowohl Webseitendaten im Code verändert, als auch Spam-Mails von unserer URL aus versandt. Es hat uns knapp 2 Monate Zeit, viel Stress und Schweiß und diverse erfolglose Wiederherstellungsversuche gekostet, bis wir einen Experten gefunden haben, der unser Problem an einem Tag lösen konnte!

In den knapp zwei Monaten war unsere Webseite und damit auch unser Event- und Kulturprogramm und Buchungstool, sowie alle wichtigen Infos und Formulare für unser tägliches Geschäft zur Hauptsaison im Sommer nicht erreichbar. Zudem wurde unsere Emailadresse vorrübergehend als Spam bei Empfängern eingestuft.

Was wir im Umgang mit der Situation alles falsch gemacht hatten und warum selbst unsere eigenen Webseiten-Backups am Ende nichts genutzt haben, habe ich in einem ausführlichen Beitrag zusammen gefasst – inklusive meiner wichtigsten Learings und Tipps!
Wie ein Hackangriff auf unsere Unternehmenswebseite uns die Augen öffnete – Meine 5 Learnings und Tipps für mehr Schutz vor Cyberangriffen

Fazit

Ein Bewusstsein für die aktuelle Risikolage im Bereich Cybersicherheit für das eigene Unternehmen zu entwickeln, ist ein essentieller Faktor, um Schäden und Kosten maximal verringern zu können. Die Integration von Cybersicherheitskonzepten und -maßnahmen im Unternehmen ist unerlässlich, um langfristig effizient und vertrauenswürdig zu bleiben. Durch proaktive Maßnahmen schützt du nicht nur dein Unternehmen, sondern förderst auch eine Kultur der Sicherheit und des Verantwortungsbewusstseins unter deinen Mitarbeitenden und Kollegen.

Rückfragen & Unterstützung

Du hast Rückfragen zu diesem Thema oder zu bestimmten Informationen in diesem Beitrag?

Du suchst konkrete Unterstützung dabei Nachhaltigkeit zu berichten?

Dann lass es mich wissen und schreibe mir eine Email mit deinem Anliegen unter:
hallo (ät) sarahnock (punkt) de
Ich melde mich mit konkreten Informationen bei dir persönlich zurück.

*Beitrag enthält Affiliate-Links
Dieser Beitrag enthält sogenannte Affiliate-Links. Das bedeutet, ich erhalte eine Provision, wenn Du über einen solchen Link ein Produkt kaufst. Für Dich entstehen dadurch keine zusätzlichen Kosten. Ich empfehle nur Produkte, von denen ich überzeugt bin.

Related Posts

de_DEGerman
de_DEGerman
Nach oben scrollen