Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Was Ihr Cyber-Sicherheitsplan für kleine Unternehmen abdecken muss

Was Ihr Cyber-Sicherheitsplan für kleine Unternehmen abdecken muss

Mar 25, 2020

Kleine und mittelständische Unternehmen sind zunehmenden Cyberangriffen und Data Breaches ausgesetzt, die Millionen kosten und sogar zur Schließung führen können. Ein starker Sicherheitsplan muss klare Richtlinien für den Datenschutz, Passwörter und Klassifizierung umfassen, neben Mitarbeiterschulungen, um Fahrlässigkeit zu reduzieren. Kontinuierliches Monitoring, Zugriff nach dem Prinzip der geringsten Berechtigung und Zero Trust-Praktiken stärken die Verteidigung. Sichere Backups, Firewalls, Anti-Malware, Verschlüsselung und Auditing-Tools helfen KMUs weiterhin, Vermögenswerte zu schützen, Widerstandsfähigkeit zu gewährleisten und den Betrieb aufrechtzuerhalten.

Laut einer Studie des the Ponemon Institute, haben 66% der kleinen und mittelständischen Unternehmen (SMBs) in den USA, Großbritannien und Europa in den letzten 12 Monaten einen bösartigen Cyberangriff erlebt. Diese Zahl steigt auf 76%, wenn man nur Unternehmen in den USA betrachtet.

Darüber hinaus scheint es einen stetigen Anstieg an ausgefeilteren Angriffen zu geben, die zu Verletzungen kritischer Unternehmensdaten führen. 63 % der in dieser Ponemon-Studie befragten KMUs gaben an, 2019 einen Datenverstoß erlebt zu haben, was einen Anstieg solcher Vorfälle um fast 10 Punkte seit 2017 markiert.

Ausgewählte verwandte Inhalte:

Cyberangriffe und Datenpannen sind nicht nur störend für kleine Unternehmen, sondern auch kostspielig. Ponemon berichtet ebenfalls, dass im Jahr 2019 KMUs durchschnittlich 1,2 Millionen Dollar für die Reparatur und Wiederherstellung ihrer IT-Assets und Infrastruktur nach einem Angriff ausgegeben haben, während sie zusätzlich durchschnittlich 1,9 Millionen Dollar durch Unterbrechungen ihres regulären Betriebs verloren haben. Schätzungen zufolge schließen rund 60% der KMUs innerhalb von sechs Monaten nach einem Cyberangriff das Geschäft.

Phishing, Social Engineering und webbasierte Angriffe stehen an der Spitze der Liste von Cybersecurity-Bedrohungen, die speziell auf KMUs abzielen. Diese Bedrohungen werden größtenteils ermöglicht durch:

  • Unüberwachte und ungesicherte Endgeräte, insbesondere Laptops, mobile Geräte und IoT-Technologie in einer „Bring Your Own Device“-Arbeitsumgebung
  • Schwache Passwörter für Benutzerkonten
  • Informationen mit Dritten teilen, ohne ein umfassendes Dateninventar
  • Nachlässiges Verhalten von Mitarbeitern und Auftragnehmern

Glücklicherweise können Sie die Risiken und Schwachstellen für Ihr Unternehmen mindern, indem Sie einen starken Sicherheitsplan für die Infrastruktur kleiner Unternehmen implementieren.

Um Ihren eigenen Plan durchzuführen, identifizieren Sie zuerst die wichtigsten Cybersicherheitsbedrohungen, denen Ihr Unternehmen derzeit ausgesetzt ist. Verwenden Sie dann diesen Artikel, um die besten Maßnahmen zu ermitteln, die Sie ergreifen können, um die Netzwerk-, Daten- und Endpunktsicherheit Ihres Unternehmens zu erhöhen.

1. Sicherheitsrichtlinien festlegen

Sicherheitsrichtlinien stellen sicher, dass alle Mitarbeiter Ihres Unternehmens auf dem gleichen Stand sind, wenn es um den Umgang, die Nutzung und Speicherung von geschäftskritischen Daten geht. Sie gewährleisten auch, dass Ihre IT-Spezialisten angemessene und vereinbarte Protokolle befolgen, um Daten zu schützen und infrastrukturelle Schäden im Falle eines Cyberangriffs zu mindern.

Ihre security policies sollten auf der höchsten Ebene Ihrer IT-Organisation entstehen und klar an alle Mitarbeiter und Auftragnehmer kommuniziert werden. Sobald sie verbreitet und erfolgreich umgesetzt wurden, sollten die Sicherheitsrichtlinien effektiv in die Prozesse Ihrer Organisation eingebettet werden.

Datensicherheitsrichtlinie

Eine Data Security Posture Management schützt sowohl Unternehmens- als auch Kundendaten, indem sichergestellt wird, dass:

  • Es werden nur die erforderlichen Daten gesammelt
  • Sensible Informationen werden sicher gespeichert und sind nur für autorisierte Personen zugänglich
  • Daten werden sicher vernichtet, wenn sie nicht mehr benötigt werden

Es besteht eine enge Verbindung zwischen Ihrer Daten-Sicherheitsrichtlinie und der Einhaltung einer Datenschutz-Richtlinie wie der DSGVO ebenfalls. Im Wesentlichen bietet die erstere die Mittel, um die letztere zu garantieren.

Ihre Datenschutzrichtlinie sollte auch alle Details und Richtlinien, die mit Netzwerksicherheit, Zugriffskontrolle und Vorfallreaktion, unter anderem Datensicherheitsbedenken, klar und deutlich darlegen.

Password Policy

Eine password policy legt die Regeln fest, die die Sicherheitsstärke, Verwendung und Durchsetzung von Passwörtern für Benutzerkonten bestimmen. Diese Richtlinie kann Anforderungen wie folgt umfassen:

  • Passwörter müssen eine bestimmte Mindestlänge haben und eine Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten
  • Passwörter dürfen nicht wiederverwendet werden und müssen in regelmäßigen Abständen geändert werden
  • Die Nichteinhaltung der Passwortrichtlinie führt zu einer Verweigerung des Kontozugriffs und anderen Strafen, die von Ihrer IT-Abteilung verhängt werden

Ausgewählte verwandte Inhalte:

Richtlinie zur Netwrix Data Classification

Eine Netwrix Data Classification Richtlinie bildet das Fundament des Information Lifecycle Managements Ihres Unternehmens, das die angemessene Aufbewahrung, Nutzung und Vernichtung Ihrer Daten regelt.

Alle Datenbestände sollten gemäß ihrer Sensibilitätsstufe, Zugriffsebene, Verschlüsselungsanforderungen oder einer anderen sicherheitsorientierten Kategorie inventarisiert werden. Auf diese Weise kann Ihre Netwrix Data Classification Richtlinie Hand in Hand mit Ihrer Datensicherheitsrichtlinie arbeiten, um die entsprechenden Zugriffsprotokolle zu initiieren und Untersuchungen bei Verstößen basierend auf der Art der betroffenen Daten durchzuführen.

2. Schulen und trainieren Sie Ihre Mitarbeiter

Die Schulung der Mitarbeiter ist entscheidend für den Schutz Ihrer Daten. Zum Beispiel, selbst wenn Ihr Unternehmen eine offizielle password policy hat, wird es Ihre Informationen nicht schützen, wenn Ihre Mitarbeiter und Auftragnehmer nicht vollständig konform sind.

Angesichts der Schlussfolgerung, dass Fahrlässigkeit von Mitarbeitern an der Wurzel der meisten von KMUs erlebten Datenverletzungen liegt, sollte Ihre Vorlage für einen Cyber-Sicherheitsplan für kleine Unternehmen ein solides Programm für interne Schulungen und Sicherheitsbewusstsein beinhalten. Machen Sie diese Schulung für Ihre Mitarbeiter und Auftragnehmer verpflichtend und stellen Sie sicher, dass Sie Ihr Schulungsmaterial jährlich überprüfen und aktualisieren, um mit den neuesten Risiken und potenziellen Bedrohungen Schritt zu halten.

3. Überwachen Sie Benutzeraktivitäten in Ihrer Umgebung genau

Um security best practices ain Ihrem Unternehmen zu bewerten und durchzusetzen, ist es ebenfalls wichtig, die Aktivitäten der Mitarbeiter zu überwachen. Dies kann Maßnahmen wie die folgenden umfassen:

  • Das Verfolgen von Ereignissen wie Kontoerstellungen und Kontologins ermöglicht es Ihnen, verdächtige Aktivitäten zu identifizieren und sich in proaktive Eindringlingserkennung einzubringen
  • Erweitern Sie Ihre Prüfverfahren, um alle Repositories sensibler Daten in Ihrem privaten Netzwerk abzudecken, einschließlich Dateiserver, SharePoint, SQL-Datenbankserver und ähnliches. Behalten Sie sowohl Zugriffsversuche als auch Aktivitäten, die sich um sensible Daten drehen, im Auge
  • Wenn Sie Cloud-Dienste wie Office 365 nutzen, überwachen Sie die Anmeldungen zu diesen Diensten sowie die Benutzeraktivitäten auf ihnen

4. Streben Sie nach Zero Trust

Zero Trust ist ein Cybersicherheits-Framework, das auf dem Prinzip basiert, dass nichts und niemand, weder außerhalb noch innerhalb eines privaten Unternehmensnetzwerks, vertrauenswürdig ist.

Während nur wenige kleine Unternehmen über das Budget oder die Ressourcen verfügen, um das gesamte Arsenal an Zero Trust-Techniken und -Strategien einzusetzen, haben kleine Unternehmensinhaber dennoch Zugang zu einer Reihe bewährter Best Practices, um ihre IT-Angriffsfläche zu minimieren.

Unabhängig von der Größe Ihres Unternehmens werden Sie diese wesentlichen technischen Kontrollen implementieren wollen

Zugriff mit minimalen Rechten

Adoptieren und durchsetzen Sie ein least-privilege model, bei dem jeder Benutzer nur so viel Zugriff auf Systeme und Ressourcen hat, wie er zur Erfüllung seiner Aufgaben benötigt.

Verbessern Sie Ihre Überwachung und Kontrolle, indem Sie Zugriffsrechte Gruppen von Benutzern zuweisen, die eine bestimmte Privilegienstufe teilen, anstatt einzelnen Konten. Durch die strikte Durchsetzung des Prinzips der geringsten Berechtigungen begrenzen Sie den Umfang eines Hacks in ein Benutzerkonto und erhöhen auch die Wirksamkeit Ihrer Gegenmaßnahmen.

Ausgewählte verwandte Inhalte:

Berechtigungsüberprüfungen

Achten Sie genau auf Anomalien oder Änderungen in Ihrer Berechtigungsstruktur. Verfolgen und deaktivieren Sie inaktive Benutzerkonten rechtzeitig, um schwache Punkte zu beseitigen, die sonst Angriffs-Bots anziehen könnten.

Es ist auch wichtig, regelmäßig Ihre Berechtigungsstruktur zu überprüfen und alle Schwachstellen oder Inkonsistenzen mit Ihrer aktuellen Belegschaftsstruktur zu beheben. Überwachen Sie alle Änderungen an Passwortrichtlinien, Passworteinstellungen und Kontoeinstellungen, da eine unbefugte Änderung auf die Anwesenheit eines Angreifers hinweisen könnte.

Starke Passwörter und Authentifizierung

Fast die Hälfte der von Ponemon befragten KMUs erlitt einen Sicherheitsbruch aufgrund schwacher Mitarbeiterpasswörter.

Schwache Passwörter können es böswilligen Akteuren ermöglichen, über einen Dominoeffekt mit einem einzigen Passwort Zugang zu mehreren Konten zu erhalten und diese zu kontrollieren. Wie jedoch zuvor besprochen, eliminiert eine starke Passwortrichtlinie diese wesentliche Schwachstelle.

Abhängig von den Sicherheitsanforderungen Ihres Büros und der Internetsicherheit möchten Sie möglicherweise Ihre Passwortrichtlinie durch Cybersicherheitsrichtlinien wie die Multifaktorauthentifizierung ergänzen, die Passwörter stärkt, indem sie eine oder mehrere zusätzliche Formen der Authentifizierung erfordert.

Denken Sie daran, dass eine Passwortrichtlinie nur so stark ist wie deren Durchsetzung. Hier sind einige bewährte Methoden, um sicherzustellen, dass Ihre Benutzer die vorgeschriebenen Standards einhalten:

  • Benutzerkonten nach mehreren erfolglosen Passwortversuchen automatisch sperren
  • Verwenden Sie Group Policy Objects zur Durchsetzung von Passwortrichtlinien für Active Directory-Domänen
  • Identifizieren Sie Konten ohne Passwortanforderungen (oder Passwörter, die nie ablaufen) und verschärfen Sie diese Authentifizierungsanforderungen gemäß Ihrer Richtlinie

E-Mail-Sicherheit

E-Mail-Kommunikation kann leicht zu einer anfälligen Angriffsfläche für Cyberkriminelle und Malware werden, da nachlässige oder abgelenkte Benutzer häufig dazu verleitet werden, gefährliche Links in Nachrichten zu öffnen.

Die Schulung von Mitarbeitern über Phishing und Malware kann dazu beitragen, die Sicherheit der E-Mail-Kanäle Ihres kleinen Unternehmens zu erhöhen. Weitere Schutzmaßnahmen umfassen Nachrichtenverschlüsselung sowie Spamfilter und Antivirensoftware, die potenzielle Bedrohungen aussortieren, bevor sie ahnungslose Benutzer erreichen können.

System- und Netzwerksicherheit

Stellen Sie sicher, dass Sie Ihre IT-Systeme mit den aktuellsten Sicherheitsfunktionen ausstatten, indem Sie regelmäßig Patches und Updates für die Software und Hardware Ihrer Organisation installieren.

Überwachen Sie stets Änderungen und Zugriffsereignisse auf Ihren kritischen Systemen, einschließlich Dateifreigabesystemen und Datenbankservern. Verstärken Sie den Netzwerkperimeter Ihres Unternehmens mit geeigneten Firewalls und konfigurieren Sie Ihre interne WLAN-Verbindung, um mobile Sicherheit und Endpoint Protection zu maximieren. Richten Sie sichere VPN-Tunnel ein, um Fernzugriff auf IT-Ressourcen zu ermöglichen.

Ausgewählte verwandte Inhalte:

System- und Daten-Backup

Bewahren Sie redundante Sicherungskopien Ihrer kritischen Systeme und Datenbanken an einem sicheren Ort außerhalb Ihrer IT-Infrastruktur auf. Diese Praxis ermöglicht es Ihnen, Vermögenswerte nach einem Angriff schnell wiederherzustellen und zu verhindern, dass sich die Auswirkungen des Vorfalls auf alle Kopien Ihrer wertvollen Daten ausbreiten.

Beispielsweise können externe Backups Ihrer Organisation dabei helfen, den Schaden zu mindern, der durch einen Ransomware-Vorfall verursacht wird, der Ihr System unzugänglich macht, indem er dessen Inhalte verschlüsselt.

5. Sichern Sie Ihre Infrastruktur mit den richtigen Werkzeugen

Ihre Lösungen für kleine Unternehmen sollten ein Portfolio effektiver Technologie und Werkzeuge umfassen, die darauf ausgerichtet sind, Ihre IT-Infrastruktur vor Cyberkriminellen zu schützen. Die Implementierung und Unterstützung anspruchsvoller Sicherheitstools kann eine ressourcenintensive Aufgabe sein. Die Implementierung der folgenden Tools wird jedoch Ihre Grundlagen ausreichend abdecken:

  • Firewalls: Firewalls sind Ihre erste Verteidigungslinie und können eigenständige Systeme sein oder in andere Geräte wie Router oder Server integriert werden. Sie sind auch als Lösungen für Hardware und Software verfügbar.
  • Anti-Malware-Software mit Business-Antivirus- und Anti-Spyware-Funktionalität: Diese Software scannt, erkennt und entfernt Malware wie Viren, Computerwürmer, Ransomware, Rootkits, Spyware, Keylogger usw. von Ihren Systemen und Geräten. Sie kann auf PCs, einem Gateway-Server oder auf einem dedizierten Netzwerkgerät eingesetzt werden.
  • Verschlüsselungslösungen: Verschlüsselungslösungen ermöglichen es Benutzern, Geräte, E-Mails und Daten zu verschlüsseln. Sie können entweder software- oder hardwarebasiert sein. Die Verschlüsselung von Geräten stellt sicher, dass die auf diesen Geräten gespeicherten Daten geschützt sind, falls das Gerät gestohlen, verloren oder falsch verwendet wird. Die Verschlüsselung von E-Mails stellt sicher, dass Ihre Daten geschützt bleiben, selbst wenn Ihr E-Mail-Konto oder Ihre Anmeldeinformationen in die falschen Hände geraten. Dasselbe gilt für Daten: Die Verschlüsselung von Daten trägt dazu bei, dass sie sicher bleiben, falls sie in die Hände unbefugter Personen gelangen – es sei denn, diese verfügen über einen Entschlüsselungsschlüssel.
  • Backup- und Recovery-Software: Eine Lösung gegen alles, von versehentlichem Löschen wichtiger Dokumente bis hin zu Ransomware-Angriffen. Backup-Software, die ein Off-Site-Backup erstellt, hilft Ihnen, die Geschäftskontinuität zu gewährleisten und garantiert, dass Sie niemals exorbitante Gebühren an Angreifer zahlen müssen.
  • IT-Audit-Lösungen: Tracking changes und Zugriffsvorgänge manuell oder mit den nativen Funktionen Ihrer Systeme zu verfolgen, ist mühsam und zeitaufwendig – und Zeit ist eine wertvolle Ressource, von der kleine Unternehmen nicht genug haben. Daher ist es für Ihre Sicherheit entscheidend, eine spezialisierte Lösung zu verwenden, die schnell Einblick in Aktivitäten und Zugriffsvorgänge gewährt, Sie über Bedrohungsmuster informiert und Ihnen hilft, den aktuellen Zustand Ihrer Infrastruktur zu verstehen.

Netwrix Auditor bietet eine zentrale Plattform zur Überwachung Ihrer IT-Infrastruktur über eine Vielzahl von Systemen hinweg, einschließlich Active Directory, Office 365, SharePoint, Datenbankservern und network devices. Erfahren Sie, wie Netwrix Auditor kann dazu beitragen, die Belastung bei der Nachverfolgung der verschiedenen Teile Ihrer IT-Infrastruktur für kleine Unternehmen zu verringern.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen