Cyber Security – so schützen sich Bau-KMUs

Insgesamt 836 Cybercrime-Vorfälle wurden dem Nationalen Zentrum für Cybersicherheit (NCSC) in der 2. Kalenderwoche 2023 (9. bis 15. Januar) gemeldet. Neben der Fertigungs- und Finanzbranche ist vor allem auch die Baubranche von den Vorfällen betroffen.

 

Da die Möglichkeiten für Cyberkriminelle auch im Bau immer vielfältiger und lukrativer werden, steigt das Risiko für virtuelle Angriffe entsprechend. Insbesondere KMUs verfügen meist nicht über die gleichen Ressourcen bezüglich Cybersicherheit wie Grosskonzerne. Umso leichter geraten sie deshalb ins Fadenkreuz der Hacker. Malware-Schutz, Antivirus, Ransomware Schutz, Verhaltensüberwachung, Anwendungskontrolle: Das sind alles wichtige Schutzmassnahmen, wie die Verantwortlichen von Bau-KMUs wissen. Welche dieser Massnahmen sind für Baufirmen nun relevant und wie sollen diese umgesetzt werden? Und wo sollte man als KMU im Bau beginnen? Manuela Haugwitz, Business Development Manager von ITIVITY AG gibt folgende Empfehlungen, welche Schritte man im Bauunternehmen vornehmen kann.

 

1. Schritt – Penetrations-Test

Damit Bedrohungen gestoppt werden, bevor sie die Organisation erreichen können, ist es wichtig, eine IST-Analyse der bestehenden Infrastruktur durchzuführen, einen sogenannten Penetrations-Test. Dabei können professionelle Hacker im Auftrag des Unternehmens gezielt nach Schwachstellen in der Infrastruktur suchen und anschliessend einen detaillierten Bericht vorlegen. Es ist also wichtig, potenzielle Schwachstellen in der Infrastruktur frühzeitig zu erkennen.

 

2. Schritt - Schwachstellenmanagement

Die im Penetrations-Test identifizierten Lücken können nun behoben werden und Vorsichtsmassnahmen sollten eingeleitet werden. Der nächste empfehlenswerte Schritt ist die Einführung eines regelmässigen Schwachstellenmanagements (Vulnerability Management). Eigene Tools für das Schwachstellen-Management können z.B. eingeschleuste Viren direkt erkennen und automatisch melden oder sogar gleich isolieren. Das System wird also täglich kontrolliert und das Risiko eines Angriffs wird damit minimiert. Hoher Schutz mit wenig Ressourcenaufwand!

 

3. Schritt - Risikomanagement

Für ein effektives Risikomanagement im Bauunternehmen ist es entscheidend, dass sich alle Schutzmechanismen austauschen und ihre Informationen an einen zentralen Ort schicken können. Auch dies ist heutzutage mit automatisierten Services möglich.

Ein mehrstufiger Ansatz, bestehend aus klassischem Endpunktschutz, Email-Sicherheit sowie Netzwerkschutz, bietet einen durchgehenden Firmenschutz und ist somit ein besserer Ansatz als die Kombination von Einzellösungen. Ein weiterer Vorteil, wenn alle diese Elemente verbunden sind und zentral kontrolliert werden, ist der Austausch von Bedrohungsinformationen.

 

4. Schritt - Automatisiertes Patch-Management

Unter dem Patch-Management versteht man die Kontrolle des Firmenadmins über die Updates von Betriebssystemen oder Anwendungen. Da der Patch-Prozess für viele Unternehmen zu langsam und vor allem kostenintensiv ist, werden wichtige Updates oft aufgeschoben, um unangenehme Ausfallzeiten zu vermeiden. Da meist viele Patches bzw. Updates notwendig sind, um alle Systeme jeweils auf dem neusten Stand zu halten (und oft ein Neustart des Servers voraussetzen), kann dies weitere Verzögerungen mit sich bringen.

Hierfür können Tools eingesetzt werden, welche Schutzmöglichkeiten für bekannte und unbekannte Schwachstellen ermöglichen. Diese Schutzmöglichkeiten stehen auch zur Verfügung, wenn noch kein Patch des betroffenen Herstellers zur Verfügung steht (sogenanntes Virtual Patching). Dies ermöglicht den Schutz von nicht mehr unterstützen Betriebssystemen, die Reduktion von Patch-Zyklen und erhöht die Entspanntheit bei kritischen Schwachstellen.

 

5. Schritt - Der Backup

Jeder macht ihn – aber auch richtig? Bevor Daten gesichert werden, muss geklärt werden, welche Daten wo und wie oft gesichert werden sollen.

Für ein sicheres Backup gilt das 3-2-1-Prinzip: Mindestens drei Kopien auf zwei unterschiedlichen Medien sowie einem externen Speicherort. Das ist schon die halbe Miete. Ebenso muss auch der Wiederherstellungsprozess funktionieren, sollte es tatsächlich zu einem Datenverlust kommen. Es wird demnach empfohlen, den Notfallplan regelmässig durchzuspielen.

 

6. Schritt - Mitarbeitersensibilisierung

Sowohl technisches Personal als auch das Management wissen heute, dass der Mensch die grösste Herausforderung für die Gefährdung der Informationssicherheit ist. Phishing ist ohne Zweifel die beliebteste Angriffstaktik von Cyberkriminellen. Jeden Tag erreichen rund 3,4 Milliarden betrügerische Emails Postfächer weltweit – und nicht alle landen im Spam-Ordner. Zudem werden meist viel zu simple Passwörter verwendet, welche relativ einfach von Cyberkriminiellen identifiziert werden können.

Eine adäquate Mitarbeitersensibilisierung schärft das Sicherheitsbewusstsein und erhöht die Sicherheit. Insbesondere der sensible Umgang mit verdächtigen Emails und sicheren Passwörtern können das Risiko eines Angriffs erheblich reduzieren.