So schützen Sie Ihr kleines Unternehmen vor schädlichen Cyberangriffen
Veröffentlicht: 2021-10-26Schutz Ihres Kleinunternehmens
Der Oktober wurde vom Department of Homeland Security zum National Cybersecurity Awareness Month ernannt. Und während Sie vielleicht denken, dass Ihr Unternehmen zu klein ist, um sich Gedanken über die Cybersicherheit zu machen, liegen Sie falsch.
Ich habe kürzlich mit Stephanie Benoit-Kurtz, Lead Cybersecurity Faculty an der University of Phoenix und Principal Security Consultant bei Trace3, darüber gesprochen, wie Kleinunternehmer ihre Unternehmen am besten vor Cyberangriffen schützen können.
Viele Kleinunternehmer und Startups denken, dass ihre Unternehmen zu klein sind, als dass Cyberkriminelle sich die Mühe machen könnten, sie zu hacken. Ich weiß, dass das falsch ist. Welche Gefahr besteht für kleine Unternehmen?
Stephanie Benoit-Kurtz: Kleine Unternehmen sind aus mehreren Gründen ein Ziel. Kriminelle sind sich bewusst, dass sie möglicherweise nicht über große IT-Teams oder -Systeme verfügen, um auf einen Vorfall zu reagieren oder ihn zu verhindern. Laut FBI kostete Cyberkriminalität Unternehmen im Jahr 2020 mehr als 2,7 Milliarden US-Dollar. Mit über 791.000 Beschwerden gehen die schlechten Schauspieler dorthin, wo sie die Bemühungen monetarisieren können.
Auf welche Cybersicherheitsrisiken sollten kleine Unternehmen achten?
Benoit-Kurtz: Während große und kleine Organisationen angegriffen werden, nehmen SMB-Angriffe an Häufigkeit zu und schließen nun die Lücke zu größeren Organisationen. Laut Verizon haben im DBIR-Bericht kleinere Unternehmensverletzungen Jahr für Jahr an Häufigkeit zugenommen. Das Eindringen in das System ist nach wie vor einer der Hauptverursacher von Vorfällen. Dies ist der Zeitpunkt, an dem Angreifer Zugriff auf Daten und Systeme erhalten.
Was sind die häufigsten Cyber-Bedrohungen für kleine Unternehmen? Unterscheiden sich diese, wenn Sie ein virtuelles/Remote-Geschäft betreiben?
Benoit-Kurtz: E-Mail- und Social-Engineering-Betrug richten weiterhin verheerende Schäden in allen Unternehmen an. PWC führte eine Phishing-Simulation bei mehreren Finanzinstituten durch, und 70 % der E-Mails wurden mit einer Endnutzer-Klickrate von 7 % zugestellt. Es braucht nur einen Klick, um Ihr Unternehmen einem schlechten Schauspieler auszusetzen. Eine große Anzahl von Payloads kommt immer noch per E-Mail. Die CISA hat einige großartige Tipps, wie Sie vermeiden können, Opfer von Phishing und Social Engineering zu werden.
Diese Probleme unterscheiden sich nicht wesentlich zwischen virtuellen oder Remote-Unternehmen und Unternehmen vor Ort. Unternehmen müssen regelmäßige Phishing- und Social-Engineering-Schulungen anbieten, um Vorfälle zu reduzieren. Mehrere Experten teilen mit, dass schätzungsweise 70 % des Risikos durch Organisationen reduziert werden können, die ihre Mitarbeiter darin schulen, Phishing- und Social-Engineering-Situationen zu erkennen. Dieses Problem hat während der COVID-19-Pandemie nur exponentiell zugenommen. Im Phishing- und Betrugsbericht 2020 berichtet F5, dass Phishing-Angriffe während der Pandemie um 220 % gestiegen sind.
Die beste Verteidigung ist ein guter Angriff, und kleine Unternehmen sollten in Phishing- und Social-Engineering-Schulungen für Mitarbeiter investieren. Die Dienste sind relativ kostengünstig und können eine zusätzliche Schutzebene für ein kleines Unternehmen bieten.
Gibt es eine Passwortrichtlinie, die Sie empfehlen?
Benoit-Kurtz: Die andere führende Bedrohung ist der Diebstahl von Zugangsdaten. Logins und Passwörter werden durch eine unsichere Verbindung offengelegt oder weil sie in einer früheren Organisation verwendet wurden, die angegriffen wurde. Gehen Sie davon aus, dass alle Ihre sozialen Medien, persönlichen E-Mails und andere Logins und Passwörter irgendwo bei einem Verstoß offengelegt wurden. Verwenden Sie für Ihre Arbeitskonten keine Logins oder Passwörter erneut.
Wenn eine Organisation verletzt wird, werden die Logins und Passwörter oft im Darkweb zum Verkauf angeboten, wo Hacker die Listen kaufen und dann in einem Spearphishing-Ansatz nach Opfern suchen. Die zweite Empfehlung ist, Ihr Passwort etwas komplexer zu gestalten. Verwenden Sie beispielsweise nicht den Namen Ihres Kindes oder Haustiers, sondern eine Passphrase, die Sonderzeichen und Zahlen enthält. Manchmal leiden Mitarbeiter unter Passwortmüdigkeit. Ein Passwort-Tresor könnte eine bessere Lösung sein. Dadurch werden eindeutige Passwörter erstellt und den Mitarbeitern ein Tool zur Verwaltung ihrer Konten an die Hand gegeben. Das PC Magazine hat einen großartigen Artikel über die „Besten Passwort-Manager für 2021“ veröffentlicht, in dem sie die Vorteile verschiedener Lösungen aufschlüsseln.
Benoit-Kurtz: Wie schützen Sie Daten, wenn Mitarbeiter in Cafés, Flughäfen, Hotelzimmern usw. arbeiten?
Kostenlose Netzwerke in Cafés, Hotels, Restaurants und Flughäfen sind unsicher. Diese bequemen und einfach zu verbindenden Dienste werden nicht verwaltet und greifen Hacker an, die ahnungslose Benutzer ausnutzen. Selbst wenn Sie Ihre Hotelzimmernummer oder einen Passcode eingeben müssen, handelt es sich wahrscheinlich um ein ungeschütztes Netzwerk, in dem Ihre persönlichen und Unternehmensdaten gefährdet sein könnten. Erwägen Sie, Mitarbeitern Datenpläne auf ihren Mobiltelefonen oder Hotspots zur Verfügung zu stellen, die einen sicheren Netzwerkzugriff ermöglichen. Hier verbinden Sie Ihren Computer mit einer sicheren Netzwerkverbindung zu einem Mobiltelefon oder einem anderen LTE-Gerät. Diese Art der Konnektivität funktioniert auch für Teams, die zusammenarbeiten müssen. ComputerWorld bietet im Artikel „So verwenden Sie Ihr Smartphone als mobilen Hotspot“ Einzelheiten dazu, wie diese einfache Vorgehensweise die Sicherheitslage kleiner Unternehmen verbessern kann.
Was ist ein VPN und wie richtet ein kleines Unternehmen eines ein?
Benoit-Kurtz: Wenn Sie während der Telearbeit oder Remote-Arbeit öffentlich zugängliches Internet nutzen müssen, ist ein Virtual Private Network (VPN) eine hervorragende Lösung, um eine zusätzliche Sicherheitsebene zu schaffen. Stellen Sie sich ein VPN als Wrapper um ein Bonbon vor. Die Verpackung hält die Süßigkeiten drinnen und andere Verunreinigungen draußen. VPN-Software bietet Verschlüsselungsschutz rund um Ihre Verbindung zum Internet, wodurch es für Hacker viel schwieriger wird, die Kommunikation abzufangen. Darüber hinaus ist die Software/der Dienst relativ kostengünstig und kleine Unternehmen müssen kein eigenes VPN aufbauen. Stattdessen können sie ohne große Kosten ein Produkt auf dem Markt beziehen, das Sicherheit bietet.
Wie bringen Sie Ihre Mitarbeiter dazu, diese Richtlinien zu befolgen?
Benoit-Kurtz: Zu einem soliden Sicherheitsprogramm gehören Sensibilisierungsschulungen, Tools und Nutzungsmetriken. Kleine Unternehmen müssen wachsam sein. Das Konfigurationsmanagement kann implementiert werden, um den Endgeräteschutz der Mitarbeiter zu erzwingen. VPN-Clients müssen verwendet werden, wenn Sie remote sind und keine Verbindungen zu zufälligen Netzwerken zulassen. Sie können es auch lustig gestalten, indem Sie beispielsweise Mitarbeiter mit Geschenkkarten und Firmengeschenken belohnen, wenn sie die Vorschriften einhalten. Erkennen Sie die Benutzer, die sich Mühe geben.
Was kostet ein Verstoß?
Benoit-Kurtz: Vereinfacht gesagt sind Verstöße teuer. Als kleines Unternehmen könnten Ihr Ruf und das Vertrauen Ihrer Kunden gefährdet sein. Small Business Trends schätzt die durchschnittlichen Kosten einer Datenschutzverletzung bei kleinen Unternehmen auf 25.000 US-Dollar. Und IBM sagt in seinem jährlichen Cost of a Data Breach Report , dass diese Kosten in den letzten zwei Jahren um über 10 % gestiegen sind. Diese Kosten beinhalten jedoch nicht den Vertrauensverlust der Kunden und den damit verbundenen Geschäftsverlust, wenn Kunden zur Konkurrenz wechseln.
Ist es teuer, Ihr kleines Unternehmen cybersicher zu machen?
Benoit-Kurtz: Nein, ein starker Cybersicherheitsschutz muss nicht teuer sein. Stellen Sie es sich wie Decken auf einem Bett vor. Cybersicherheit bietet Schichten verschiedener Technologien und Prozesse, die Benutzer schützen. Schulungen, VPN-Software, Endgeräteschutz und Hotspots reduzieren alle Risiken erheblich und können ohne großen IT-Personalaufwand implementiert werden. Suchen Sie als kleines Unternehmen nach einem Sicherheitspartner, der Sie mit Lösungen unterstützt und skaliert, die innerhalb Ihres Budgets funktionieren.
Es gibt viele großartige Ressourcen, um kleine Unternehmen auf ihrem Weg zur Sicherheit zu unterstützen. Die SBA veröffentlicht zahlreiche großartige Materialien, und es gibt Sicherheitsorganisationen, die sich darauf spezialisiert haben, Unternehmen auf ihrem Weg zur Sicherheit zu unterstützen. Ein guter Einstieg ist es, einen Sicherheitspartner einzuladen, um eine Sicherheitsrisikobewertung bereitzustellen und Ihnen beim Einstieg zu helfen. Ein großartiger Sicherheitspartner hilft Ihnen nicht nur dabei, Ihre Schwachstellen zu finden, sondern erweitert auch Ihr Sicherheitsprogramm, wenn sich die Bedrohungslandschaft ändert. Wenn Sie keinen Sicherheitspartner haben, machen Sie Ihre Hausaufgaben und befragen Sie mehrere Organisationen, um einen passenden Partner zu finden.
Natürlich kann Ihnen Ihr SCORE-Mentor dabei helfen, die richtige Wahl zu treffen. Finden Sie noch heute einen.