Wie KMU sich trotz geringer Ressourcen IT-Sicherheit effizient leisten können.
IT-Berater, Datenschutzexperte
Viele KMU haben noch ein trügerisches Sicherheitsgefühl. Sie halten sich für zu klein, unbedeutend oder unbekannt, um ein würdiges Ziel von Cyberkriminellen zu sein.
Marktforscher und Analysten halten dies jedoch für einen Irrtum. Laut dem Versicherungsunternehmen Beazly betrafen 2018 mehr als 70 Prozent aller erfolgreichen Ransomware-Angriffe kleine Unternehmen. 46 Prozent der von der Initiative Deutschland sicher im Netz (DsiN) für ihren Praxisreport befragten kleinen und mittleren Unternehmen in Deutschland waren bereits einmal oder mehrmals Opfer einer Cyberattacke.
Eine so hohe Rate an Sicherheitsvorfällen ist nicht überraschend. Gerade kleinen und mittelständischen Unternehmen fehlt es oft an Budget und qualifiziertem Personal, um sich gegen immer raffiniertere Cyberangriffe zu schützen. Es gibt jedoch einige einfache Maßnahmen, mit denen kleine und mittelständische Unternehmen trotz begrenzter Ressourcen die IT-Sicherheit verbessern können.
Es ist weder wirtschaftlich noch technisch sinnvoll, alle Gefährdungen gleichermaßen zu bewerten und zu versuchen, alle Risiken auszuschalten. Deshalb sollten KMU zunächst ein persönliches Risikoprofil erstellen, um die wirklich wichtigen Verteidigungslinien zu identifizieren.
Das sind die wichtigsten Fragen, die sich Unternehmen in diesem Prozess stellen sollten. Tools wie das Secureworks Risk Assessment Quiz oder die Quicktests des VdS-Prüfinstituts bieten eine erste Orientierung.
Ein Beispiel kann das Vorgehen verdeutlichen: Wenn ein Handwerksbetrieb seine Website nur als Internet-Visitenkarte nutzt und fast alle Bestellungen telefonisch oder persönlich abwickelt, ist der Verlust eines fehlerhaften Internetauftritts minimal. Wenn ein Händler jedoch mehr als 50 % seines Umsatzes über einen Online-Shop generiert, kann bereits ein kleiner Fehler das Ergebnis erheblich negativ beeinflussen. Die Webpräsenz ist hier viel größer als im ersten Fall.
Der bereits erwähnte „DsiN-Praxisbericht 2020 Mittelstand@IT-Sicherheit“ zeigt, wie das Risiko je nach Größe und Branche variiert. Mehr als 30 Prozent der befragten kleinen Unternehmen mit weniger als 10 Mitarbeitern gaben an, dass ihr Geschäft direkt von der IT-Sicherheit abhängt, verglichen mit nur 14 Prozent der Unternehmen mit mehr als 50 Mitarbeitern. Bei den Auswirkungen von Sicherheitsvorfällen zeigen sich erhebliche Branchenunterschiede. Während zwei Drittel der Befragten im Dienstleistungssektor keinen ernsthaften Schaden erlitten haben, mussten 63 % der Industrie und sogar 89 % des Einzelhandels mit den Folgen eines Cyberangriffs fertig werden.
Praxisberichte zeigen leider auch, dass noch zu viele KMU den Wert der Risikoidentifikation und -bewertung unterschätzen. Mehr als ein Drittel der Befragten lehnen ein Screening auf Risikofaktoren überhaupt ab, 30 Prozent führen eine einmalige Untersuchung durch und mehr als 18 Prozent ermitteln ihr Risiko jedes Jahr. Angesichts der kontinuierlichen Bedrohungsänderung ist eine kontinuierliche Bewertung der Risikobewertung empfehlenswert.
Kleinen und mittelständischen Unternehmen fehlt es oft an Budget und Expertise, um sich gegen immer ausgefeiltere Cyberattacken zu wehren. Trotz begrenzter Ressourcen gibt es jedoch einige einfache Schritte, mit denen KMU ihre IT-Sicherheit verbessern können.
Nach einer gründlichen Risikoanalyse sollten die branchenspezifischen und individuellen Sicherheitsprioritäten eines Unternehmens deutlich werden. Im nächsten Schritt werden technische und organisatorische Maßnahmen (TOM) zur Erkennung, zum Schutz und zur Schadensminderung definiert. Dabei hilft das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene IT-Basis-Schutzprofil.
Sie bieten branchenspezifische Hilfestellungen für einen umfassenden, aber grundlegenden Erstschutz. Das Modell „ISIS 12“ wurde speziell für KMU und Kommunen entwickelt. Es implementiert ein Information Security Management System (ISMS) in zwölf Schritten. Mit dem Sec-O-Mat können Unternehmen ihren IT-Sicherheitsbedarf ermitteln und einen maßgeschneiderten Maßnahmenplan erstellen.
Laut DsiN-Praxisbericht hat der deutsche Mittelstand bei der Definition und Umsetzung von Sicherheitsmaßnahmen noch einen langen Weg vor sich. Nur jeder Fünfte ergriff Maßnahmen nach den genannten Standards, und 15 % trafen keine Vorkehrungen zur Risikominderung
Für immer mehr kleine und mittelständische Unternehmen ist die IT zum Überlebensfaktor geworden. Umso wichtiger ist der effektive Schutz von Geschäftsprozessen, Daten, Anwendungen und Endgeräten.
Angesichts der Ressourcenknappheit kann dies jedoch nur zufriedenstellend erreicht werden, wenn KMU sich auf die größten Risiken und wirksamsten Maßnahmen konzentrieren. Staatliche und gemeinnützige Organisationen sowie Branchenverbände und Sicherheitsdienstleister stellen hierzu umfangreiches Informationsmaterial zur Verfügung.
© All rights reserved 2023 – 2Consulting® UG (haftungsbeschränkt)
Informationssicherheit | ISO27001 | Cybersecurity | Ethical Hacking | Dokumentation | IT-Grundschutz | IT-Dienstleistungen | Monitoring | Antivirus