Das BSI führt weiter aus: „Anders als typische Großunternehmen beschäftigen KMU in der Regel keine dedizierten IT-Sicherheitsteams.“ Eine Tatsache, die Michael Thumann, IT-Security-Specialist beim Bechtle IT-Systemhaus Bodensee aus jahrelanger Erfahrung in der Mittelstandsberatung bestätigt: „Die IT-Abteilung des typischen Mittelstandunternehmens ist oft nicht gut genug aufgestellt. Es gibt kein oder nur wenig Personal und es mangelt an Budget."
Die Frage nach dem richtigen Security-Budget ist dabei nicht pauschal zu beantworten. Viele Faktoren müssen berücksichtigt werden. „Es ist von der Betriebsgröße oder auch von der Art des Gewerbes abhängig“, erklärt Michael Thumann und ergänzt: „Beispielsweise müssen Maschinen im produzierenden Gewerbe mitgedacht werden. Das Thema IoT-Sicherheit spielt eine immer größere Rolle.“ Sicher scheint eines: kleine und mittelständische Unternehmen investieren nicht ausreichend in ihre IT-Sicherheit.
Das Security-Budget fällt zu klein aus.
Laut einer Umfrage des BSI unter 1.000 mittelständischen Unternehmen geben KMUs lediglich ein bis zehn Prozent ihres IT-Budgets für Cybersicherheit aus. Empfehlenswert wären allerdings rund 20 Prozent. „Nicht selten geht es bei einem erfolgreichen Cyberangriff um die Existenz der mittelständischen Firmen“, sagt Michael Thumann. Er ergänzt damit die Zahlen des BSI: Für Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitenden hat eine von vier Cyberattacken existenzbedrohende Folgen.
Nicht selten geht es bei einem erfolgreichen Cyberangriff um die Existenz der mittelständischen Firmen.
Michael Thumann, IT-Security-Specialist, Bechtle IT-Systemhaus Bodensee
Michael Thumann
Selbst vergleichsweise kostengünstige Maßnahmen wie Mobil Device Management, Notfallübungen oder der Grundsatz “IT-Sicherheit ist Chefsache“ werden gewöhnlich nicht umgesetzt. Entscheidend für die Angreifbarkeit von KMU ist vielfach der letzte Punkt. Geschäftsführer:innen im Mittelstand fehlt meist das Bewusstsein für die Risiken durch Cyberangriffe. Dadurch sind KMU gegenüber Bedrohungen besonders anfällig. Dazu kommt: Durch die rasch voranschreitende Digitalisierung verschärft sich die Gefährdungslage kontinuierlich.
Cyberangriffe: Mittelstand ist nicht gut vorbereitet.
Wie dringend der Handlungsbedarf ist, zeigt das Ergebnis einer Forsa-Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft e. V. (GDV) aus dem Jahr 2020: Rund die Hälfte der befragten mittelständischen Unternehmen (48 Prozent) hat weder einen Notfallplan noch eine entsprechende Vereinbarung mit einem IT-Dienstleister. Sie sind schlecht auf Cyberangriffe vorbereitet. An diesem Zustand hat sich seither wenig geändert. Das LBBW Mittelstandsradar 2021 zeigt: 51 Prozent der Befragten halten Cyberkriminalität für eine der größten Geschäftsbedrohungen. Aber: Eine aktuelle Studie von Cisco hält fest, dass die technologischen Rahmenbedingungen nicht optimal sind. Knapp die Hälfte, der in Deutschland eingesetzten Sicherheitstechnologien, ist veraltet. Auch dieser Fakt führt dazu, dass sich lediglich ein Fünftel der Expert:innen für Sicherheit und Datenschutz imstande sieht, die wichtigsten Risiken zu bewältigen und größere Vorfälle zu vermeiden. Der Cyber Risk Index von Trend Micro zeigt immerhin, dass sich die Verantwortlichen des Risikos bewusst sind: 84 Prozent der befragten deutschen Unternehmen gehen davon aus, in den nächsten zwölf Monaten von einer erfolgreichen Cyberattacke betroffen zu sein.
Für Christian Grusemann, Business Manager Security bei Bechtle, steht deshalb fest: „Der Mittelstand steht angesichts der zunehmenden Zahl von Bedrohungen vor großen Herausforderungen. Ein stabiler Geschäftsbetrieb, der Schutz von Know-how und Reputation sowie die Nutzung neuester Technologien sind unabdingbar, um im Wettbewerb zu bestehen.“
So läuft eine Cyberattacke ab.
Michael Thumann beschreibt, wie ein typischer Angriff auf ein mittelständisches Unternehmen mit 100 bis 300 Mitarbeitenden derzeit aussieht: „Zuerst versuchen die Kriminellen einen Fuß in die Tür zu bekommen. Sie verschicken E-Mails mit einem infizierten Anhang oder nutzen Sicherheitslücken in der Software. Im zweiten Schritt geht es darum, die Kontrolle über das Netzwerk zu gewinnen und Administrator zu werden. So können Hacker sensible Daten nicht nur abgreifen, sondern auch verschlüsseln. Anschließend verlangen sie Lösegeld und geben die Daten wieder frei.“
Um Schritte auf dem Weg zu mehr IT-Sicherheit zu gehen, empfiehlt er Mittelständlern einfache, aber wirkungsvolle Maßnahmen: „Eine Gap-Analyse überprüft das Sicherheitssystem des Unternehmens auf mögliche Schwachstellen und Einfallstore. Dabei werden der Ist-Zustand mit einem Soll-Zustand abgeglichen und individuelle Faktoren berücksichtigt." Zudem setzt er auf das Thema Verhältnismäßigkeit: „Mittelständler brauchen kein Security Operations Center (SOC), um für alle Eventualitäten gerüstet zu sein. Das können sie in der Regel nicht leisten. Ebenso wenig brauchen sie einen Dienstleister, der 24/7 Alarm schlägt. Sie brauchen eine sinnvolle, bezahlbare Strategie, Beratung und Betriebsunterstützung, die sie gegen die gängigen Vorgehensweisen der Cyberkriminellen absichert."
Kontakt.
Bechtle update Redaktion
Zum Thema.
- Cyber Defense Center: Im Wettlauf mit Hackern und der Zeit
- Tobias Schrödel: IT-Security ist zurecht im Fokus von Geschäftsführer:innen
- Erste Hilfe: IT-Sicherheit für den Mittelstand
Newsletter.
Erhalten Sie die besten Artikel aus dem Bechtle update alle sechs Wochen direkt in Ihr Postfach. Hier geht's zur Anmeldung:
