Viele Kleinbetriebe und Mittelständler wiegen sich auch heute noch in falscher Sicherheit. Sie glauben, zu klein, zu unbedeutend oder zu unbekannt zu sein, um für Cyberkriminelle ein lohnendes Ziel abzugeben. Marktforscher und Analysten zeigen jedoch, dass dies ein Irrtum ist. Laut dem Versicherungsunternehmen Beazely betrafen 2018 mehr als 70 Prozent aller erfolgreichen Ransomware-Attacken kleinere Unternehmen, bei 50 Prozent der KMU wurde laut dem Sicherheitsunternehmen Sectigo bereits einmal die Webseite gehackt und 46 Prozent der von der Initiative Deutschland sicher im Netz (DsiN) für ihren Praxisreport befragten kleinen und mittleren Unternehmen in Deutschland waren bereits einmal oder mehrmals Opfer einer Cyberattacke.
Diese hohe Rate an Sicherheitsvorfällen ist nicht verwunderlich. Gerade kleinen und mittleren Unternehmen mangelt es oft an Budget und Fachpersonal, um sich selbst ausreichend gegen immer raffinierte Cyberangriffe zur Wehr setzen zu können. Es gibt jedoch einige einfache Maßnahmen, wie KMU trotz knapper Ressourcen ihre IT-Sicherheit verbessern können.
Risiken kennen …
Es ist weder wirtschaftlich noch technisch sinnvoll, alle Gefahrenherde gleich zu bewerten und zu versuchen, sämtliche Risiken auszuschließen. Kleine und mittlere Unternehmen sollten deshalb zunächst einmal ein individuelles Risikoprofil erstellen, um die wirklich wichtigen Verteidigungslinien zu identifizieren. Welche Prozesse sind geschäftskritisch? Wie sehr hängen diese Prozesse von der IT ab? Wo bestehen die größten Sicherheitslücken und Gefahren? Welche finanziellen Folgen könnten aus einem erfolgreichen Angriff resultieren? Mit welchen Maßnahmen lassen sich die größten Effekte erzielen? Das sind die wichtigsten Fragen, die sich ein Unternehmen in diesem Prozess stellen sollte. Eine erste Orientierung bieten Tools wie das Risk Assessment Quiz von Secureworks oder auch die Quick Checks des Prüfinstituts VdS.
Ein Beispiel mag das Vorgehen verdeutlichen: Wenn ein Handwerksbetrieb seine Webseite nur als Internet-Visitenkarte nutzt und nahezu alle Aufträge über das Telefon oder persönliche Kontakte abwickelt, ist der Schaden bei einem Ausfall der Internetpräsenz gering. Erwirtschaftet ein Händler aber mehr als 50 Prozent seines Umsatzes über den Online-Shop, können schon kurze Ausfälle erhebliche negative Auswirkungen auf das Ergebnis haben. Hier ist die Webpräsenz also wesentlich höher zu bewerten als im ersten Fall.
Wie unterschiedlich die Risiken je nach Größe und Branche sein können, zeigt der bereits erwähnte „DsiN Praxisreport 2020 Mittelstand@IT-Sicherheit“. Mehr als 30 Prozent der befragten Kleinbetriebe mit weniger als zehn Mitarbeiter gaben an, wirtschaftlich direkt von der IT-Sicherheit abzuhängen, bei Unternehmen mit mehr als 50 Beschäftigten waren es nur 14 Prozent. Deutliche Branchenunterschiede zeigten sich bei der Auswirkung von Sicherheitsvorfällen. Während im Dienstleistungssektor zwei Drittel der Befragten keine gravierenden Schäden davontrugen, hatten im Handwerk 63 Prozent, im Handel sogar 89 Prozent stark mit den Folgen von Cyberangriffen zu kämpfen.
Leider unterschätzen noch viel zu viele KMU den Wert einer Risikoermittlung und -bewertung, wie der Praxisreport ebenfalls zeigt. Mehr als ein Drittel der Befragten verzichtet komplett auf die Erhebung von Risikofaktoren, 30 Prozent haben eine einmalige Bestandsaufnahme durchgeführt und knapp über 18 Prozent ermitteln ihr Risiko im Jahresturnus. Angesichts einer sich ständig verändernden Bedrohungslage raten die Autoren jedoch zu einer kontinuierlichen Evaluierung der Risikoeinschätzung. Das ist nur bei 15 Prozent der Umfrageteilnehmer aktuell üblich.
… Maßnahmen definieren
Nach einer gründlichen Risikoanalyse dürften die branchenspezifischen und individuellen Security-Prioritäten eines Unternehmens klar geworden sein. Als nächstes sind technische und organisatorische Maßnahmen (TOM) für die Erkennung, Abwehr und Schadensminimierung zu definieren. Dabei können unter anderem die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten IT-Grundschutz-Profile helfen. Sie bieten branchenspezifische Hilfestellung für eine breite und grundlegende Erst-Absicherung. Speziell für KMU und Kommunen wurde das Modell „ISIS 12“ entwickelt. Es führt in zwölf Schritten zur Einführung eines Informationssicherheit-Managementsystems (ISMS).
Die Transferstelle IT-Sicherheit im Mittelstand ist ein guter Anlaufpunkt, wenn es um die Erstellung einer individuellen Sicherheitsstrategie geht. Mit dem „Sec-O-Mat“, der sich aktuell noch in der Beta-Phase befindet, können Unternehmen ihren IT-Sicherheitsbedarf ermitteln und einen passgenauen Aktionsplan erstellen. DsiN bietet auf seinem Blog regelmäßig Informationen über die Lage der IT-Sicherheit und gibt Tipps zu Strategien. Mit der SiBa-App informiert die Initiative über sicherheitskritische Vorfälle und gibt erste Handlungsempfehlungen. Wichtige Orientierungshilfen bieten auch Standards und Zertifizierungen wie ISO 27001 oder VdS 10000.
Bei der Definition und Umsetzung von Schutzmaßnahmen gibt es in deutschen KMU laut dem DsiN-Praxisreport ebenfalls noch Nachholbedarf. Nur ein Fünftel verwendet Maßnahmen nach den genannten Standards, 15 Prozent treffen keinerlei Vorkehrungen zur Risikominimierung.
Fazit
Die IT ist für immer mehr kleine und mittlere Unternehmen zum existenziellen Faktor geworden. Umso wichtiger ist es, Geschäftsprozesse, Daten, Applikationen und Endpunkte effizient zu schützen. Angesichts knapper Ressourcen gelingt dies jedoch nur zufriedenstellend, wenn sich die KMU auf die größten Risiken und die effizientesten Maßnahmen konzentrieren. Staatliche und gemeinnützige Organisationen, aber auch Branchenverbände und Security-Dienstleister stellen hierfür umfangreiches Informationsmaterial zur Verfügung. Bei der Umsetzung der definierten Maßnahmen sollten sich kleine und mittlere Unternehmen auf Hersteller und Dienstleister wie Dell Technologies verlassen, die ein umfangreiches und gezieltes Portfolio für KMU haben.
Wollen auch Sie besseren IT-Schutz und mehr Sicherheit? Dann informieren Sie sich noch heute!