IT-Sicherheit wird für kleine und mittlere Unternehmen (KMU) immer wichtiger. Laut dem Praxisreport 2020 Mittelstand@IT-Sicherheit der Initiative Deutschland sicher im Netz (DsiN) sind Integrität, Vertraulichkeit und Verfügbarkeit von Informationen für fast die Hälfte der befragten KMU relevante Faktoren für ihren Geschäftserfolg, für 38 Prozent ist IT-Sicherheit sogar existentiell. Nur 13 Prozent messen ihr keine oder lediglich eine geringe Bedeutung zu.
Obwohl den meisten kleinen und mittleren Unternehmen demnach die Bedeutung von IT-Sicherheit durchaus bewusst ist, hapert es noch bei der Umsetzung. Vor allem, wenn es um eine umfassende und nachhaltige IT-Sicherheitskultur geht, besteht Nachholbedarf. Das beginnt schon bei der Frage der Zuständigkeit. In den meisten Unternehmen kümmert sich die Geschäftsleitung um die IT-Sicherheit, nur in rund einem Drittel der teilnehmenden Betriebe gibt es einen Informationssicherheits-Beauftragten. Oft müssen sich die Beschäftigten sogar selbst um den Schutz ihrer Endgeräte und Daten kümmern – und werden dabei weitgehend allein gelassen. Nur in 16 Prozent der befragten Unternehmen gibt es verpflichtende IT-Security-Schulungen für alle Mitarbeiter und Mitarbeiterinnen, 47 Prozent gehen einfach davon aus, dass die Beschäftigten ausreichend informiert sind.
Wie KMU eine Sicherheitskultur entwickeln und umsetzen können
Angesichts zunehmender Bedrohungen wird es auch für KMU immer wichtiger, IT-Sicherheit strategisch anzugehen, statt sie dem Einzelnen und dem Zufall zu überlassen. Mit diesen fünf Punkten können kleine und mittlere Unternehmen ihr IT-Sicherheitsniveau nachhaltig verbessern:
- Verantwortliche entlasten. Geschäftsführer und Unternehmer sind in vielen Fällen mit der Verantwortung für die IT-Sicherheit überfordert. Sie haben weder das Know-how noch die Zeit, um sich in ausreichendem Maße um Cybersecurity kümmern zu können. KMU sollten daher die IT-Abteilung stärker einbinden oder IT-affine Mitarbeiter zu Sicherheitsexperten weiterbilden. Wo dies nicht möglich ist, können externe Managed Security Service Provider die Geschäftsführung unterstützen. Auf keinen Fall sollte man aber die Verantwortung für die IT-Sicherheit allein den Mitarbeitern überlassen.
- Nachhaltiges Schulungskonzept entwickeln. Das Verhalten der Mitarbeiter hat einen entscheidenden Einfluss auf das IT-Sicherheitsniveau eines Unternehmens. Mehr als 90 Prozent aller Sicherheitsvorfälle gehen auf menschliche Fehler, Unwissenheit oder Unachtsamkeit zurück. Laut einer Studie des IT-Herstellers Dell Technologies sind nahezu drei Viertel aller Beschäftigten bereit, vertrauliche Unternehmensdaten mit Externen zu teilen, 50 Prozent geben sensible Informationen über private Cloud-Anwendungen oder per E-Mail weiter und 41 Prozent umgehen Sicherheitsvorkehrungen, um Aufgaben schneller erledigen zu können. Security-Schulungen sind daher ein wichtiger Bestandteil jeder Sicherheitskultur. Dell Technologies bietet beispielsweise mit dem Cybersecurity On-Demand Training Package ein 20 Stunden umfassendes Schulungsangebot, das Mitarbeiter in die Grundlagen der IT-Sicherheit einführt.
- Führungsstil und Fehlerkultur überdenken. Die Art und Weise, wie Unternehmen geführt und wie mit Fehlern umgegangen wird, kann einen erheblichen Einfluss auf die IT-Sicherheit haben. Streng hierarchisch strukturierte Organisationen sind beispielsweise für CEO-Fraud deutlich anfälliger als solche mit einem eher kollegialen Führungsstil. Bei dieser auch als Geschäftsführerbetrug bekannten Masche geben sich Angreifer als Mitglied der Geschäftsleitung aus und verlangen von Mitarbeitern, größere Geldbeträge auf Auslandskonten zu überweisen. Wenn sich Betroffene bei solchen Befehlen „von oben“ nicht trauen, kritisch nachzufragen, haben Angreifer leichtes Spiel.
Auch eine geringe Fehlertoleranz kann das Cyberrisiko vergrößern. Angestellte, die auf einen Phishing-Link geklickt oder ein mit Malware verseuchtes Dokument geöffnet haben, sind dann geneigt das Missgeschick zu vertuschen, statt sofort den Vorgesetzten oder die IT-Abteilung zu informieren. Das macht das Problem allerdings nur noch schlimmer und verhindert eine schnelle Reaktion. Flache Hierarchien und eine gute Feedbackkultur tragen daher nicht nur zu einem besseren Betriebsklima, sondern auch zu einer höheren IT-Sicherheit bei.
- IT-Notfallplan erstellen. KMU sind in der Regel für Risiken wie Feuer oder Unfälle gut vorbereitet. Sie haben Notausgänge, bilden Ersthelfer aus und proben regelmäßig das Verhalten bei Notfällen. Dieselbe Sorgfalt ist auch bei der Vorbereitung von Cyberangriffen angeraten. Jeder Mitarbeiter sollte, etwa über einen entsprechenden Aushang, darüber informiert sein, was er im Falle einer Cyberattacke tun soll und wen er kontaktieren kann. Wie bei Feueralarm auch, sollte das Verhalten bei einem Cyberalarm mindestens einmal im Jahr geprobt werden.
- Endgeräte schützen. Die Endgeräte der Anwender sind meist das Einfallstor für Viren und Trojaner. Ein umfassender Schutz, wie ihn beispielsweise die Dell Endpunktsicherheit bietet, ist daher ein wesentlicher Bestandteil einer IT-Sicherheitsstrategie. Lösungen wie Dell SafeGuard and Response nutzen künstliche Intelligenz und maschinelles Lernen, um Angriffe erkennen und abwehren zu können. Zusätzlichen Schutz vor Malware-Angriffen bieten in die Hardware integrierte Sicherheitsmechanismen wie „SafeID“. Hierbei werden die Zugangsdaten für ein Endgerät auf einem separaten Sicherheitschip gespeichert. Selbst wenn Malware auf einen PC gelangt, kann sie auf diese Informationen nicht zugreifen. So lässt sich eine Übernahme des Nutzer-Accounts wirkungsvoll verhindern.
- Daten sichern. Auch für kleine und mittlere Unternehmen werden Daten immer wichtiger. Ein Backup-Konzept ist daher Pflicht. Zunächst einmal gilt es, sich einen Überblick über alle zu sichernden Systeme zu verschaffen und diese zu priorisieren. Zumindest für die wichtigsten Daten sollten die Kennzahlen RPO (Recovery Point Objective) und RTO (Recovery Time Objective) definiert werden. Sie legen fest, in welchen Zeitabständen Daten gesichert werden müssen (RPO) und wie schnell eine Wiederherstellung erfolgen soll (RTO). Mit diesen Kennwerten können KMU das richtige Backup-Intervall und die Anforderungen an die Backup-Systeme für ein Recovery ermitteln. Sicherungen sind darüber hinaus regelmäßig auf Datenintegrität, Vollständigkeit und Wiederherstellbarkeit zu überprüfen.
Mit den Cloud-fähigen Appliances der Dell EMC PowerProtect-Serie können KMU eine solche umfassende und langfristige Datensicherung mit geringem Aufwand erreichen. Die Systeme wurden speziell für den Mittelstand entwickelt und zeichnen sich durch einfache Verwaltung, geringe Kosten und hohe Skalierbarkeit aus. Da sie Cloud-fähig sind, ermöglichen sie kleinen und mittleren Unternehmen darüber hinaus eine nahtlose Transformation ihrer IT in eine hybride Cloud-Umgebung.
Fazit: IT-Sicherheit braucht Unterstützung
Die Entwicklung und Umsetzung einer ganzheitlichen IT-Sicherheitskultur ist für kleine und mittlere Unternehmen keine leichte Aufgabe. Sie umfasst alle Bereiche – vom IT-Know-how über die technische Ausstattung bis hin zu Führungsstil, Fehlerkultur und Awareness. KMU tun gut daran, sich für diese Aufgabe externe Hilfe zu holen. Behörden und Wirtschaftsverbände wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Transferstelle IT-Sicherheit im Mittelstand bieten hier ihre Hilfe an, aber auch Hersteller wie Dell Technologies unterstützen kleinere und mittlere Unternehmen bei der Abwehr von Cybergefahren. Das speziell für KMU konzipierte Servicekonzept SupportAssist ermöglicht es beispielsweise, Probleme im IT-Betrieb frühzeitig zu erkennen und Malware automatisch abzuwehren. So können KMU ihr Cyberrisiko deutlich senken.
Wollen auch Sie in eine nachhaltige IT-Sicherheitskultur investieren? Dann informieren Sie sich noch heute!