sdecoret - stock.adobe.com
IT-Sicherheit im Mittelstand: Ignoranz vermeiden
Kleinere Unternehmen tun sich oft schwer, eine umfassende Sicherheitsstrategie umzusetzen. Dies ist aber unerlässlich, um Bedrohungen zu verhindern oder Schäden zu verringern.
Zwar sollten Unternehmen die Auswirkungen der COVID-19-Pandemie, Naturkatastrophen oder den Fachkräftemangel nicht unterschätzen, das größte Geschäftsrisiko stellt allerdings Cyberkriminalität dar. So sehen es zumindest die Befragten des aktuellen Risikobarometers der Allianz.
Diese Einschätzung kommt nicht von ungefähr, allein in Deutschland hat das Bundeskriminalamt im vergangenen Jahr mit 146.363 Cyberangriffen einen Höchstwert registriert. Unternehmen sollte daher bewusst sein, dass sie jederzeit ins Visier von Kriminellen geraten können. Doch gerade kleinen und mittleren Unternehmen (KMUs) fällt es schwer, eine umfassende IT-Sicherheitsstrategie zu entwickeln und umzusetzen.
Keine Frage, Deutschland wird digitaler. Ämter und Behörden, Bildungs- und Gesundheitseinrichtungen, ganze Städte und natürlich Unternehmen aller Branchen haben in den letzten zwei Jahren ihre digitale Transformation erheblich beschleunigt. Die Vorteile liegen dabei auf der Hand: Mehr Flexibilität und Freiheiten, effizientere Prozesse, schnellerer Wissenstransfer, neue Produkte und Dienstleistungen und mehr.
Doch auch Kriminelle nutzen diese Entwicklung zu ihrem Vorteil aus und passen ihre Methoden immer wieder an. Entsprechend ist die Anzahl der erfassten Cyberstraftaten laut dem BKA im Jahr 2021 im Vergleich zum Vorjahr um mehr als zwölf Prozent gestiegen. Für Unternehmen und Organisationen ergibt sich daraus die Notwendigkeit, ihre IT-Sicherheit umfassend zu modernisieren.
Probleme bei KMUs
Insbesondere für KMUs ist dieser Prozess jedoch eine große Herausforderung. Das liegt auch am Fehlen der notwendigen Fähigkeiten, denn noch immer verfügen sie oft nicht über eine eigene IT-Abteilung – von ausgewiesenen IT-Security-Experten ganz zu schweigen.
So beschäftigen lediglich 17 Prozent der KMUs in Deutschland Mitarbeiter mit ausgeprägten IT-Kompetenzen. Zwar wird der Fachkräftemangel im bereits erwähnten Allianz Risikobarometer insgesamt nicht als großes Geschäftsrisiko eingestuft, doch gerade Mittelständler können bei der Suche nach qualifizierten, stark nachgefragten Kräften wie Sicherheitsexperten Nachteile gegenüber größeren Unternehmen haben, die womöglich mit einem höheren Gehalt oder einem attraktiveren Standort locken.
Aber nicht nur für neues Personal – oder Weiterbildungen für die existierenden Mitarbeiter – wird Geld benötigt, sondern auch für neue Sicherheitslösungen und -Tools. Gerade KMUs können es sich hierbei aber nicht leisten, Investitionen in den Sand zu setzen, indem sie Lösungen implementieren, die im Nachhinein ausgetauscht werden müssen, weil sie für ihre individuellen Bedürfnisse doch nicht geeignet sind.
Dies ist zum Beispiel der Fall, wenn diesen Lösungen notwendige Funktionen fehlen oder sie bestimmte Angriffsvektoren nicht ausreichend abdecken. Dieser Aufwand kann die finanziellen, personellen und zeitlichen Ressourcen bei KMUs schnell übersteigen, während die Unternehmensdaten weiterhin nicht ausreichend geschützt sind.
Was können KMUs tun, um ihre Daten zu schützen?
Datensicherheit muss auch bei KMUs oberste Priorität haben, doch was können KMUs konkret unternehmen, um ihre Daten sicher und im Einklang mit gesetzlichen Vorgaben wie der EU-DSGVO zu verwalten?
- Erweiterung der Sicherheitskompetenzen im Unternehmen: Das erfordert möglicherweise kreative Ansätze und Flexibilität beim Recruiting – kann die Rolle beispielsweise remote ausgefüllt werden, könnten branchenfremde Experten in Frage kommen? Was sind die USPs, mit denen das Unternehmen gegenüber größeren Wettbewerbern im Wettbewerb um Talente bestehen kann? Und gibt es möglicherweise Mitarbeiter, die Interesse an der Thematik haben? Denn die Weiterqualifizierung der bestehenden Mitarbeiter kann ein alternativer Weg sein, benötigte Kompetenzen zu erlangen.
- Zusammenarbeit mit einem Managed (Security) Service Provider: Ein solcher Anbieter, der Cyber-Security as a Service bietet, kann für KMUs eine alternative Lösung sein. Das gilt insbesondere, wenn sie trotz aller Bemühungen keine geeigneten Fachkräfte finden. Ein Managed (Security) Service Provider unterstützt nicht nur bei allen Fragen rund um Cyber-Security und Datensicherheit, sondern übernimmt auch die Bereitstellung sowie die Verwaltung von Sicherheitslösungen, dies üblicherweise mittels monatlich wiederkehrenden und damit planbaren Kosten. Dabei werden in enger Abstimmung Anwendungen gewählt, die auf die geschäftlichen Anforderungen, Bedürfnisse und Ziele des jeweiligen Unternehmens zugeschnitten sind.
- Alle Daten ausfindig machen: Ob allein oder in Zusammenarbeit mit einem Managed (Security) Service Provider, KMUs müssen herausfinden, welche Arten von Daten sie speichern, verarbeiten und verwalten, und ob sich diese Daten auf lokalen Servern oder in der Cloud befinden. Denn: Wer nicht weiß, welche Daten er überhaupt sammelt und wo diese liegen, kann sie auch nicht ausreichend schützen – was zudem Schwierigkeiten mit den Aufsichtsbehörden wegen möglicher EU-DSGVO-Verstöße nach sich ziehen kann, die mit hohen Strafzahlungen verbunden sein können.
Sicherheitsstrategien festlegen
Mit den notwendigen Sicherheitskompetenzen sowie dem Wissen, wo sich ihre Daten befinden, müssen KMUs passende Sicherheitslösungen identifizieren und implementieren. Am einfachsten und kostensparendsten ist es dabei oft, mehrere Lösungen aus dem Portfolio eines einzigen Anbieters zu wählen.
Bei diesen ist sichergestellt, dass sie ineinandergreifen und sich in ihrer Funktionalität ergänzen statt überschneiden. Wichtig ist dabei die Automatisierung des Monitorings, um die manuelle Kontrolle zu ersetzen. Dadurch können KMUs personelle Ressourcen sparen, die an anderer Stelle wirksamer eingesetzt werden könnten. Zudem kann ein automatisches Monitoring-System Störungen und Anomalien oft schneller erkennen und – vorausgesetzt das Einleiten von Gegenmaßnahmen ist ebenfalls automatisiert – sofort mit der Problemlösung beginnen.
Oft können Störungen so schon im Keim erstickt werden, ohne dass sie sich auf das Unternehmen, seine Mitarbeiter oder Kunden auswirken.
Wenn es dann doch zum „Unfall“ kommt
Keine Cybersicherheitslösung kann zu 100 Prozent jegliche Attacke abwenden. Daher sollten zwingend auch Backup- und Recovery-Prozesse eingeplant werden. Diese sind essenziell und entsprechende zuverlässige Lösungen sollten daher unbedingt Teil der IT-Sicherheitsstrategie sein.
Denn wenn kritische Daten durch einen Ausfall oder einen Angriff verloren gehen oder bei einer Ransomware-Attacke verschlüsselt werden, droht KMUs häufig der Stillstand ihres kompletten Betriebs. Das wiederum kann neben großen finanziellen Schäden auch einen erheblichen Reputationsverlust sowie den Weggang von Geschäftspartnern, Investoren und Kunden zur Folge haben.
Im schlimmsten Fall kann das Unternehmen den Betrieb nicht schnell genug wieder aufnehmen und muss Insolvenz anmelden. Daher ist es wichtig, Backups regelmäßig, idealerweise täglich, durchzuführen und sie so zu speichern, dass Kriminelle keinen Zugriff auf diese Daten erhalten.
Dabei sollte das 3-2-1-Prinzip zur Anwendung kommen: 3 Kopien, 2 verschiedene Speichermedien, 1 externe Sicherung. Gerade letzteres kann im Falle eines Cyberangriffs das Unternehmen schützen, denn auf offline gespeicherte Daten erlangen Kriminelle dabei keinen Zugriff. KMUs sollten auch darauf achten, dass die Backup-Informationen und die Kommunikation der entsprechenden Systeme state-of-the-art verschlüsselt sind, der Zugriff eingeschränkt und mit strengen Authentifizierungsmethoden abgesichert ist.
Das Sicherheitsbewusstsein der Mitarbeiter schulen
Zudem sollten KMUs eine der effektivsten Maßnahmen zum Schutz interner Daten und Ressourcen nicht vergessen: ein Bewusstsein für die Gefahren unter ihren Mitarbeitern schaffen. Security-Awareness-Trainings können dazu beitragen, dass Angestellte beispielsweise Phishing-Mails oder Social-Engineering-Angriffe besser erkennen oder verdächtige Nachrichten bei der IT-Abteilung melden.
Entsprechende Security-Awareness-Schulungen sollten nicht einmalig, sondern regelmäßig stattfinden, um Mitarbeiter auf aktuelle und neue Risiken aufmerksam zu machen. Auch sollten sie reale oder realistische Beispiele für Täuschungs- und Manipulationsversuche enthalten sowie Übungen, die sich an der Arbeitsrealität der Belegschaft orientieren, damit die Gefahren für die Mitarbeiter greifbarer werden. Andernfalls wird das Training kaum langfristige Wirkung entfalten.
„Cyberkriminalität ist ein wachsendes Problem für Unternehmen aller Größe, aber gerade KMUs sind besonders gefährdet, da IT-Sicherheit bei ihnen nicht immer den notwendigen Stellenwert einnimmt.“
Dr. Dieter Kehl, OpenText Security
Darüber hinaus sollte auch trainiert werden, wie sich die Mitarbeiter im Falle eines Cyber-Security-Angriffs konkret zu verhalten haben: dem Verantwortlichen für die IT-Security Bescheid geben, Geräte vom Netzwerk trennen, Beobachtungen dokumentieren und auf weitere Anweisungen warten. Unwissenheit oder Unsicherheit kann den Schaden für das Unternehmen womöglich noch vergrößern.
Fazit
Cyberkriminalität ist ein wachsendes Problem für Unternehmen aller Größe, aber gerade KMUs sind besonders gefährdet, da IT-Sicherheit bei ihnen nicht immer den notwendigen Stellenwert einnimmt oder von ihrer finanziellen Perspektive aus nicht tragbar sind. Aber einfach zu hoffen, von Angriffen verschont zu bleiben, kann nicht die Lösung sein. Stattdessen müssen KMUs dazu übergehen, die Verantwortung für ihre Daten und deren Schutz zu übernehmen und eine vielschichtige IT-Sicherheitsstrategie entwickeln.
Diese sollte Lösungen umfassen, die vom automatischen Monitoring bis zu Backup und Recovery reichen, um die Unternehmensressourcen bestmöglich zu schützen, gleichzeitig aber auch auf den Ernstfall vorbereiten. KMUs müssen zudem ihre Mitarbeiter stärker in die Pflicht nehmen und entsprechend schulen, Sicherheitsrisiken zu erkennen und zu melden. Vor allem aber sollten KMUs mit der Umsetzung dieser Maßnahmen nicht mehr warten, denn auch die Cyberkriminellen verlieren keine Zeit.
Sichern Unternehmen ihre Daten (Backup), schulen ihre Mitarbeiter und schützen ihre IT-Systeme vor Cyberattacken, sind sie entsprechend gewappnet und stärken ihre Cyberresilienz.
Über den Autor:
Dr. Dieter Kehl ist Director Sales DACH/CEE/MEA bei OpenText Security Solutions.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
