Viele kleine und mittelständische Unternehmen gehen davon aus, dass sie für Cyberkriminelle kein lohnendes Ziel darstellen. Dieser Irrtum kann existenzgefährdend sein.
IT-Security und Datensicherheit stellen gerade für kleine und mittelständische Unternehmen (KMU) eine große Herausforderung dar. Oft fehlen Fachpersonal, Zeit und technische Ressourcen, um einen bestmöglichen Schutz zu gewährleisten. Manchmal mangelt es aber auch einfach am Problembewusstsein: KMU glauben gerne, dass es so etwas wie „Security by Obscurity“ gibt und nur große Unternehmen Opfer gezielter Angriffe werden. Ein fataler Irrtum, wie Statistiken zeigen: Laut dem „2019 Data Breach Investigations Report“ von Verizon betrafen im vergangenen Jahr 43 Prozent der Sicherheitsvorfälle kleine und mittelständische Unternehmen. Im Jahr 2018 hatten fast drei Viertel aller Ransomware-Attacken kleine Unternehmen zum Ziel. Dem Branchenverband Bitkom zufolge entsteht der deutschen Wirtschaft durch Cybercrime ein jährlicher Schaden von über 100 Milliarden Euro. Betroffen sind dabei nicht nur Konzerne, sondern drei Viertel aller deutschen Unternehmen.
Es muss aber gar kein Angriff von außen sein, der zu Datenverlust führt. Auch wenn Festplatten ausfallen oder Mitarbeiter Daten löschen – sei es aus Versehen oder mit Absicht, kann der Schaden erheblich sein. Laut dem jährlich erscheinenden „Data Health Check“ gehen rund 60 Prozent aller Fälle von Datenverlust auf Hardwarefehler und menschliches Versagen zurück. Viele kleine und mittelständische Unternehmen schützen sich jedoch nur unzureichend vor solchen Vorfällen. Der SMB Group zufolge gibt es in 40 Prozent der kleinen Unternehmen keine strukturierte Datensicherung, 58 Prozent erstellen keine Backups von Endgeräten.
Datenschutz wird vernachlässigt
Besonders problematisch wird ein Datenverlust, wenn dabei personenbezogene Informationen in falsche Hände gelangen. Die 2018 wirksam gewordene Europäische Datenschutzgrundverordnung (DSGVO) sieht in diesem Fall strenge Berichtsvorschriften und hohe Strafen vor. Sie unterscheidet dabei nicht zwischen Zehn-Mann-Unternehmen und Großkonzernen.
Wie schlecht es um den Datenschutz in KMU bestellt ist, zeigt die Nutzerstudie 2019 des Beratungsunternehmens Capterra: Mehr als die Hälfte der befragten Unternehmen hatte nicht genügend Zeit und Ressourcen, um die Datenschutzbestimmungen einhalten zu können, 56 Prozent bezeichneten sich als nicht gut mit der DSGVO vertraut und 40 Prozent prüften ihre Datenschutzbestimmungen nur einmal im Jahr.