Cybersicherheit ist ein Thema, das Organisationen nicht länger ignorieren können. Sicherheitsverletzungen führen zu geschäftsgefährdenden Ausfallzeiten Ihres digitalen Auftritts, einem geschädigten Markenimage, Kundenabwanderung, Bußgeldern und finanziellen Verlusten. Und angesichts der Tatsache, dass es in der ersten Hälfte 2020 mehr Cyberangriffe gab als im gesamten Jahr 2019, war es nie zuvor wichtiger, für die Sicherheit Ihrer Website zu sorgen.

Trotz des zunehmenden Risikos hinken viele Organisationen hinterher, wenn es darum geht, sich selbst, ihre Websites und ihre Kunden zu schützen. Im Folgenden finden Sie einige der häufigsten Fehler, die Unternehmen in Bezug auf die Sicherheit ihrer Website machen – und wie Sie diese vermeiden können.

1. Geringes Cyber-Sicherheitsbewusstsein bei Mitarbeitern

Menschliches Versagen ist die häufigste Ursache für Cyber-Sicherheitsverletzungen. In den meisten Fällen sind es Ihre Mitarbeiter, die Cyberangriffe versehentlich möglich machen, indem sie zum Beispiel auf einen unerwünschten Link klicken oder vergessen, Passwörter angemessen zu schützen. Das muss aber nicht so sein.

Daten des Cyber-Versicherungsanbieters CFC Underwriting zeigen, dass 38 % der eingehenden Versicherungsansprüche hätten vermieden werden können, wenn Mitarbeiter angemessene Schulungen zum Thema Cybersicherheit erhalten hätten.

Es ist beruhigend zu erfahren, dass Unternehmen Verstöße verhindern können, indem sie das Web-Sicherheitsbewusstsein der Mitarbeiter stärken und eine solide Kultur der digitalen Sicherheit innerhalb ihrer Organisation schaffen. Doch trotz des klaren Zusammenhangs zwischen mangelndem Bewusstsein für Cybersicherheit und erfolgreichen Angriffen handeln viele Arbeitgeber nicht. Eine Studie aus dem Jahr 2019 ergab, dass nur 20 % der Unternehmen in Großbritannien ihre Mitarbeiter innerhalb der letzten 12 Monate zum Thema Cybersicherheit geschult hatten.

So lösen Sie das Problem: Die Sicherheit Ihrer Organisation ist nur so stark wie das schwächste Glied. Eine Schulung Ihrer Mitarbeiter in grundlegenden Verhaltensregeln für Cybersicherheit ist der Schlüssel, um Schwierigkeiten in diesem Bereich zu mindern – und eine der kostengünstigsten und effektivsten Möglichkeiten, Ihr Unternehmen zu schützen.

Einer der häufigsten genannten Gründe, warum Unternehmen ihre Mitarbeiter nicht in Cybersicherheit schulen, ist, dass sie schlicht nicht wissen, wo sie anfangen sollen. Was also wäre ein guter erster Schritt? Fangen Sie mit dem Offensichtlichen an.

  • Sperren Sie umgehend die Zugriffsrechte von austretenden Mitarbeitern, um ihnen den Zugriff auf Ihre Systeme zu verwehren – und löschen Sie alle Unternehmensdaten von den persönlichen Geräten ehemaliger Mitarbeiter.
  • Veraltete Software verschafft Cyberkriminellen Zugang – installieren Sie daher rechtzeitig Software-Patches und Upgrades.
  • 94 % aller Malware gelangt durch E-Mail in Netzwerke. Schädliche Links und E-Mail-Anhänge sind also ein großes Problem für Organisationen. Und E-Mail-Spamfilterung reicht nicht aus, um es zu lösen. Gehen Sie proaktiv gegen mangelnde E-Mail-Sicherheit vor, indem Sie Mitarbeiter darin schulen, fragwürdige E-Mails zu erkennen, zu ignorieren und zu kennzeichnen. Ein Report zum Thema Phishing von KnowBe4 ergab, dass allein durch ein Jahr mit Phishing-Tests und -Schulungen eine Verbesserung um 87 % erzielt werden kann.
  • Mangelhaft geschützte Benutzernamen und Passwörter sind ein weiteres Sicherheitsrisiko: 61 % aller Unternehmen haben über 500 Konten ohne automatisch ablaufende Passwörter. Informieren Sie Mitarbeiter über die Erstellung und den effektiven Schutz sicherer Anmeldedaten oder nutzen Sie einen Passwortmanager, der sichere Passwörter automatisch erzeugt und speichert.
  • Indem Sie Mitarbeitern ermöglichen, ihre eigenen Geräte bei der Arbeit zu nutzen, setzen Sie Ihr Unternehmen weiteren Bedrohungen aus. Rollenbasierter Zugriff, Zwei-Faktor-Authentifizierung und sichere Passwörter für Mitarbeiter können dazu beitragen, das Risiko zu mindern.
  • Daten auf verlorenen oder gestohlenen Geräten stellen eine weitere Gelegenheit für Cyberkriminelle dar. Schulen Sie Mitarbeiter in der Nutzung von Unternehmensausrüstung außerhalb des Büros und entwickeln Sie ein Verfahren zur Meldung verlegter oder gestohlener Geräte.
  • Stellen Sie klare Richtlinien zur Nutzung von sozialen Medien am Arbeitsplatz auf. Eine von fünf Organisationen wurde bereits von Malware infiziert, die über soziale Medien verbreitet worden war.
  • Sorgen Sie dafür, dass Mitarbeiter immer Patches und Software-Upgrades auf ihren Geräten installieren – diese werden aus gutem Grund veröffentlicht.
  • Informieren Sie Ihre Mitarbeiter über die Bedeutung von Cybersicherheit im Umgang mit externen Software- und IT-Anbietern.

Die Einhaltung dieser einfachen Maßnahmen kann viele gängige Cyberbedrohungen im Keim ersticken.

2. Mangelnde unternehmensinternen Richtlinien für Cybersicherheit

Eine Studie des britischen Department for Digital, Culture, Media, and Sport ergaben, dass zwar drei Viertel aller Organisationen Cybersicherheit als hohe Priorität bezeichnen, aber diesen Worten keine Taten folgen lassen. Nur 27 % haben formale Richtlinien und Verfahren für Cybersicherheit. Ohne sie sind Sie jedoch deutlich anfälliger für potenzielle Angriffe.

Effektive Richtlinien für Cybersicherheit legt Regeln und Zuständigkeiten für den Schutz von IT-Systemen und Daten des Unternehmens fest. Damit diese Richtlinien Wirkung zeigen können, muss jedoch auch das Sicherheitsbewusstsein Ihrer Mitarbeiter gesteigert werden.

McAfee beschreibt eine Cyber-Sicherheitsrichtlinie als Dokument, das „erklärt, wie Mitarbeiter, Berater, Partner, Vorstandsmitglieder und andere Endnutzer auf Online-Anwendungen und Internet-Ressourcen zugreifen, Daten über Netzwerke senden und sonstige sichere Verhaltensweisen entwickeln können“.

Richtlinien für Cybersicherheit können außerdem das öffentliche Image und die Glaubwürdigkeit eines Unternehmens verbessern. Kunden, Partner, Aktionäre, Berater und Mitarbeiter sollten wissen, dass Ihr Unternehmen ihre Daten schützen kann. Eine unternehmensinterne Richtlinie für Cybersicherheit ist eine gute Methode, um ihnen zu zeigen, das Sie Sicherheit ernst nehmen.

So lösen Sie das Problem: Verfassen Sie ein formelles Dokument, das die Sicherheitsrichtlinien Ihres Unternehmens klar zum Ausdruck bringt und Mitarbeitern erklärt, was sie mit den IT-Systemen, Netzwerken und Geräten des Unternehmens tun dürfen und was nicht.

Eine gute unternehmensinterne Richtlinie für Cybersicherheit legt unternehmensweite Standards für folgende Aspekte fest:

  • Nutzung von sozialen Medien
  • Internet-Zugriffsbeschränkungen
  • Passwortanforderungen (Speicherung, Aktualisierung und Erstellung)
  • Fernzugriff
  • Digitale Signaturen
  • Umgang mit sensiblen Daten
  • Drahtlose Kommunikation
  • Maßnahmen für E-Mail-Sicherheit
  • Nutzung von Anwendungen anderer Anbieter
  • Umgang mit Risiken und Vorfällen im Bereich der Cybersicherheit

Da sich die Beschaffenheit der Bedrohungen schnell ändert, müssen Sie Ihre Richtlinie für Cybersicherheit immer auf dem neuesten Stand halten. Planen Sie regelmäßige Prüfungen und Überarbeitungen der Richtlinie ein.

3. Mangel an Mitarbeitern mit Expertise im Bereich Cybersicherheit

Menschliches Versagen ist für viele Cyberangriffe verantwortlich, aber das ist nur eine Seite der Medaille. Auch technische Schwachstellen sind ein enormes Cyberrisiko, und daher sind Mitarbeiter mit Erfahrung im Bereich Cybersicherheit von größter Wichtigkeit. Laut einer Befragung von Marlin Hawk erklären jedoch zwei Drittel aller Unternehmen, dass sie Probleme haben, erfahrene Sicherheitsexperten einzustellen. 62 % von ihnen sind besorgt, dass dies in den nächsten fünf Jahren sogar noch schwieriger werden könnte.

Wenn Unternehmen das Glück haben, einen Cybersicherheits-Experten für sich zu gewinnen, wird diese Person wahrscheinlich hauptsächlich damit beschäftigt sein, ein akutes Problem nach dem anderen zu lösen. Ohne ausreichend Zeit und Ressourcen kann es für sie ausgesprochen schwierig sein, Maßnahmen zu entwickeln und umzusetzen, von denen die Website-Sicherheit eines Unternehmens langfristig wirklich profitieren könnte.

Da die weltweite Nachfrage nach Kompetenzen im Bereich der Cybersicherheit nach wie vor das Angebot übersteigt und ohnehin schon überlastete IT-Abteilungen mit einer größeren Anzahl an komplexen Cyber-Bedrohungen zu tun haben als je zuvor, haben viele Unternehmen schlicht nicht genügend Ressourcen, um sich wirksam vor Angriffen zu schützen.

So lösen Sie das Problem: Die Antwort auf dieses Problem ist Automation. Die Einführung von Automatisierung in Prozesse der Cybersicherheit kann die Kompetenzlücke schließen, indem sie Unternehmen dabei hilft, auch mit begrenztem Personal und begrenzten Ressourcen kontinuierlich auf Bedrohungen zu achten und ihren Cyber-Schutz an ihrem Wachstum auszurichten.

Einige Tools für die Wahrung der Web-Sicherheit, zum Beispiel Siteimprove Web Security, können nicht nur Schwachstellen von Websites ermitteln, sondern auch proaktive Maßnahmen und Lösungen empfehlen. Einige von diesen Aufgaben, etwa die Verfolgung von Zertifikats-Ablaufdaten, können einfach von Website-Managern übernommen werden, sodass Cybersicherheits-Fachkräfte sich auf komplexere Sicherheitsrisiken konzentrieren können.

Laut Ron Green, CSO bei Mastercard, sind Automationstechnologien eine hervorragende Hilfe für Cybersicherheits-Experten. „Maschinelles Lernen und Automatisierung werden für heutige und zukünftige Chief Information Security Officers (CISOs) große Hilfen sein“, erklärt er. „Unternehmen werden auch weiterhin kompetente Mitarbeiter im Sicherheitsbereich benötigen. Aber schon heute sind die menschlichen Arbeitskräfte in unseren Sicherheitszentren von den enormen Datenmengen überfordert, die sie im Auge behalten müssen. Und man kann auch nicht einfach mehr Fachkräfte einstellen, weil es schon jetzt nicht genügend von ihnen gibt.“

4. Einstufung der Website-Sicherheit als Angelegenheit der IT, nicht des gesamten Unternehmens

Daten aus einer von EY durchgeführten Befragung zeigen, dass fast die Hälfte aller Unternehmensvorstände (48 %) der Ansicht ist, dass Cyberangriffe innerhalb der nächsten 12 Monate mehr als mäßige Auswirkungen auf ihr Geschäft haben werden. Dennoch nehmen die meisten von ihnen die Website-Sicherheit als reine Compliance-Angelegenheit wahr – und nur ein sehr kleiner Anteil sieht in ihr eine Gelegenheit für Innovation.

Organisationen, die der Ansicht sind, Cybersicherheit liege allein in der Verantwortung der IT-Abteilung, ignorieren die strategischen Vorteile der Priorisierung von Website-Sicherheit. Zu diesen Vorteilen zählen ein höheren Kundenvertrauen, die Sicherung geistigen Eigentums und der Markenschutz. Indem Unternehmen das Ausmaß und die Tragweite des Cyber-Sicherheitsrisikos unterschätzen, gefährden sie sich selbst.

Aus folgenden Gründen ist eine proaktive Herangehensweise an Cyberkriminalität geschäftskritisch:

  • Die durchschnittlichen Kosten eines Datenlecks liegen heute bei 3,86 Mio. USD. Neben dem konkreten finanziellen Verlust sind die Unternehmen von erhöhter Kundenfluktuation, Einbußen bei der Rentabilität, einem verminderten Geschäftswert und einem angeschlagenen Ruf betroffen.
  • Für die meisten Unternehmen ist ihr geistiges Eigentum (IP) der höchste Vermögenswert. Dazu zählen Patente, Entwürfe, Betriebsgeheimnisse, vertrauliche Daten und das Wissen der Mitarbeiter. Stellen Sie sich nur vor, dies geriet in unbefugte Hände. Allein in den USA kostet IP-Diebstahl Unternehmen jährlich bis zu 600 Mrd. USD.
  • Die meisten Verbraucher (87 %) erklären, sie würden Unternehmen meiden, wenn sie nicht das Gefühl hätten, dass sie verantwortungsvoll mit ihren Daten umgehen.
  • Hohe Anwalts- und Gerichtskosten. Im Rahmen der Datenschutz-Grundverordnung (DSGVO) können Unternehmen zum Beispiel mit einem Bußgeld von bis zu 4 % ihres Jahresumsatzes belegt werden. Allein im ersten Jahr nach Inkrafttreten des Gesetzes wurden DSGVO-Strafgebühren über insgesamt 63 Mio. USD verhängt.
  • Minderung Ihrer betrieblichen Effizienz, wenn sich Mitarbeiter um die Schadensbegrenzung bei Sicherheitsverletzungen kümmern, statt ihre eigentlichen Aufgaben zu verfolgen, Die Umleitung von Unternehmensressourcen zum Umgang mit Sicherheitsverletzungen kann die betriebliche Effizienz mindern.
  • Für die Bildung spezieller Gremien und Ausschüsse zur Untersuchung von Verstößen sind Zeit und Ressourcen erforderlich.
  • Nicht zu vergessen sind auch die Kosten für die Öffentlichkeitsarbeit im Zusammenhang mit der Wiederherstellung des Vertrauens von Verbrauchern, Aktionären und der Öffentlichkeit nach einem publik gemachten Verstoß.

Klingt all das nach einem rein technischen Problem? Nein. Es ist ein Geschäftsproblem – und zwar ein dringendes.

Und was steht einer Priorisierung der Website-Sicherheit als Geschäftsproblem am meisten im Weg? Ein Mangel an Unterstützung durch die Unternehmensleitung. Trotz der Flut von Schlagzeilen über katastrophale Datenlecks sehen nur 5 % der hochrangigen Führungskräfte Website-Sicherheit als wichtigstes Thema innerhalb ihrer Unternehmen an. Gestützt wird dies von Daten aus Großbritannien, die zeigen, dass weniger als eins von drei Unternehmen ein Vorstandsmitglied mit Verantwortung im Bereich der Cybersicherheit hat.

Eine umfassend sichere Website bringt Ihrem Unternehmen Vorteile

Glücklicherweise gibt es Anzeichen dafür, dass sich die Lücke langsam schließt: 29 % aller Unternehmen haben erkannt, dass Web-Sicherheit ein Thema für Vorstandssitzungen ist. Für Organisationen, die sich angemessen mit Cybersicherheit auseinandersetzen, kann sie sich als wichtige Wettbewerbsvorteil erweisen. Tatsächlich gaben 73 % der führenden Organisationen in einer Befragung von AT&T Cybersecurity an, dass lückenlose Cybersicherheit zu ihrem allgemeinen Geschäftserfolg beiträgt.

So lösen Sie das Problem: Räumen Sie der Website-Sicherheit die Priorität ein, die sie braucht. Wirksame Web-Sicherheit erfordert ein starkes Engagement der obersten Führungsebene. Um dies zu erreichen, sollten Sie einen Chief Information Security Officer (CISO) einstellen. Da nur 4 von 10 Organisationen Führungskräfte mit Zuständigkeit für Cybersicherheit haben, können Sie ihrem Unternehmen so einen echten Wettbewerbsvorteil sichern. Beauftragen Sie diese Führungskraft damit, die Unternehmensleitung über die Risiken und den ROI im Bereich der Cybersicherheit aufzuklären und ihre Unterstützung für eine sicherheitsorientierte Unternehmenskultur zu gewinnen.

Immer mehr Vorstände und Führungskräfte werden für Sicherheitsverstöße, die unter ihrer Aufsicht geschehen, unmittelbar zur Verantwortung gezogen. Richard Smith, Chairman und Chief Executive von Equifax, trat nach einem Hacking-Vorfall im Jahr 2017 zurück, nachdem sensible Daten von 145 Millionen Kunden gestohlen worden waren. Angesichts solcher Fälle war es nie wichtiger, sich die Ressourcen zu sichern, die Sie zum Schutz Ihrer Website benötigen.

5. Behandlung von Website-Sicherheitsprüfungen als Nebensächlichkeit

Die beste Art und Weise, sich zu schützen, besteht für Organisationen darin, proaktiv und nicht reaktiv zu sein. Regelmäßige Sicherheitsprüfungen sind für Unternehmen unerlässlich, um Sicherheitslücken zu erkennen, das Risikoniveau zu bestimmen und vorbeugende Maßnahmen zu ergreifen. Da Audits jedoch ressourcen- und zeitaufwendig erscheinen, werden sie oft nur dann durchgeführt, wenn es absolut notwendig ist.

Für Organisationen ohne Sicherheitsexperten können Sicherheitsaudits eine besonders große Herausforderung darstellen. Manuelle Prüfungen erfordern technisches Fachwissen, das viele Web-Manager nicht besitzen.

Das Ergebnis? Im besten Fall „nur“ ungerechtfertigte Kosten, da Organisationen eine Sicherheitsstrategie auf Basis von Vermutungen verfolgen, anstatt Schwachstellen aufgrund von Daten und Risiko-Priorisierung anzugehen. Im schlimmsten Fall: Eine Website voller Sicherheitslücken und Schwachstellen, die zu viel größeren Problemen führen kann.

So lösen Sie das Problem: Investieren Sie in ein Tool, das Websites automatisch auf grundlegende Schwachstellen prüft. Einmalige Prüfungen reichen nicht aus. Sicherheit ist von Natur aus dynamisch, und darum sind kontinuierliche Prüfungen Ihrer Website auf potenzielle Sicherheitsrisiken ein absolutes Muss.

Es gibt verschiedene Möglichkeiten, um Website-Sicherheitsprüfungen leichter zu machen.

  • Überlassen Sie die schwere Arbeit der Technologie, indem sie regelmäßige automatisierte Audits durchführen.
  • Die effektivste Art, den Sicherheitsstatus einer Website zu ermitteln, ist die Kombination von automatisierten Sicherheitsaudits mit manuellen Tests. Tools wie Siteimprove Web Security fungieren als Plattform für die Zusammenarbeit, mit deren Hilfe Web- und IT-Teams Sicherheitsrisiken zentral verwalten können.

6. Der Glaube, dass es nur die Großen trifft

Nintendo, Yahoo! oder Zoom. Was haben sie alle gemeinsam? Sie sind große Unternehmen, die peinliche Erfahrungen mit publik gewordenen Sicherheitslücken gemacht haben. Weil sich die Medien fast ausschließlich auf große Namen konzentrieren, verfallen viele kleine und mittelständische Unternehmen dem gefährlichen Trugschluss, dass ihnen Cyberangriffe nicht passieren könnten. Da jedoch viele kleine Unternehmen nicht in der Lage sind, Vollzeit-Sicherheitsexperten zu beschäftigen, sind sie häufig leichte Beute für Cyberkriminelle. Tatsächlich zielen fast die Hälfte aller Cyberangriffe auf Kleinunternehmen ab.

Noch alarmierender ist, dass laut einer Studie aus dem Jahr 2020 43 % aller Kleinunternehmen in den USA und Großbritannien keinerlei Plan für den Umgang mit Cybersicherheits-Risiken haben.

Paul Lipman, CEO von BullGuard: „Kleinunternehmen sind nicht gegen Cyberangriffe und Datenschutzverletzungen immun und werden häufig gezielt angegriffen, weil sie der Sicherheit keine Priorität einräumen. Da sie nur die Wahl zwischen unzureichenden Consumer-Lösungen und übermäßig komplexer Unternehmenssoftware haben, könnten viele Inhaber von Kleinunternehmen geneigt sein, auf Cybersicherheit zu verzichten. Dabei reicht ein einziger Angriff aus, um ein Unternehmen in die Knie zu zwingen.“

So lösen Sie das Problem: Auch ein Cyberangriff auf ein kleineres Unternehmen kann verheerend sein. Der erste Schritt zur Entwicklung einer Verteidigungsstrategie besteht darin, einzusehen, dass es Angreifer geben könnte, die es auf Sie abgesehen haben.

Um auf die Herausforderungen durch begrenzte Ressourcen und mangelnde Sicherheitsmitarbeiter einzugehen, wurden spezielle Web-Sicherheitslösungen wie Siteimprove Web Security entwickelt, die sich ideal für die Anforderungen kleinerer Unternehmen eignen. Sie sollen kleine Teams in die Lage versetzen, sich ein Bild ihrer Web-Sicherheit zu machen und sie zu verbessern, ohne sich mit dem Fachjargon und der Komplexität von Sicherheitssoftware für große Unternehmen auseinandersetzen zu müssen.

Stärken Sie Ihre Cyber-Resilienz mit Siteimprove Web Security

Eines haben all diese Fehler und Risiken gemeinsam: Sie lassen sich durch eine proaktive, automatisierte und ganzheitliche Methode für Website-Sicherheit mindern. Die beste Art, Ihr Unternehmen vor Cyberangriffen zu schützen, ist die Integration der Website-Sicherheit in jeden Aspekt Ihrer digitalen Strategie.

Indem Sie Best Practices für Web-Sicherheit befolgen, Ihre Mitarbeiter im Bereich Cybersicherheit schulen und in Schutztechnologien investieren, können Sie Ihr Unternehmen vor der zunehmenden Bedrohung durch Cyberkriminalität schützen.

Wir möchten Ihnen dabei helfen, Ihr Unternehmen, Ihre Website und Ihre Kunden vor Cyberkriminellen zu schützen. Darum haben wir Siteimprove Web Security entwickelt. Web Security hilft Ihnen, die Kluft zwischen der IT und dem Rest Ihres Unternehmens zu überbrücken, indem alle Mitarbeiter auf denselben Stand gebracht werden. Zu diesem Zweck gibt es Ihnen eine klare Übersicht über die Sicherheitslücken Ihrer Website (Webanwendung, Netzwerk und Server) sowie priorisierte, einfach umsetzbare Empfehlungen für ihre Behebung.

Erfahren Sie in unserem Blog, wie die Features von Siteimprove Web Security Ihre Website schützen.