Oftmals unterschätzen kleine und mittelständische Unternehmen (KMU) die Bedrohung, die Cyberangriffe für sie darstellen, dabei könnte diese laut dem Allianz Risk Barometer 2022 kaum größer sein. Denn dieses zeigt: Cybervorfälle sind das Top-Geschäftsrisiko für Unternehmen weltweit.
Isabel Weyerts
Verbandsreferentin Presse- und Öffentlichkeitsarbeit des BITMi
Experte: Stephan Schwichtenberg
Sprecher der Fachgruppe IT-Sicherheit des Bundesverbands IT-Mittelstand e. V. (BITMi) und Geschäftsführer der pi-lar GmbH
„KMU ohne IT-Expertise sind durch einen Mangel an IT-Sicherheitsfachkräften oft besonders gefährdet“, weiß Stephan Schwichtenberg, Sprecher der Fachgruppe IT-Sicherheit des Bundesverbands IT-Mittelstand e. V. (BITMi) und Geschäftsführer der pi-lar GmbH. „Unternehmer sehen in der Absicherung der IT-Systeme oft Aufwand und Kosten ohne unmittelbaren Gewinn. Daher erhält sie nicht die nötige Priorität.“ Auf technischer Ebene sind KMU durch den Einsatz von Altsystemen sowie die fehlende Verschlüsselung und Sicherung von Daten besonders verwundbar. Das ergab eine Erhebung des Cyber-Versicherers IDVS. Da viele KMU nicht die Kapazitäten haben, ihre Daten inhouse zu sichern und ihre IT-Infrastruktur auf einem eigenen abgesicherten Server zu hosten, empfiehlt Schwichtenberg Cloud-Lösungen. „Das Unternehmen muss sich seiner Anforderungen an die Sicherheit von System und Daten bewusst sein und den Cloud-Anbieter entsprechend wählen. Hier lohnt es sich, einen verantwortlichen Mitarbeiter zu bestimmen und entsprechend fortzubilden.“ Oft sind aber nicht technische Schwachstellen, sondern stellen, sondern die Mitarbeitenden selbst Hauptangriffspunkt von Cyberangriffen.
Unternehmer sehen in der Absicherung der IT-Systeme oft Aufwand und Kosten ohne unmittelbaren Gewinn. Daher erhält sie nicht die nötige Priorität.
Phishing-Attacken haben sich laut der Anti Phishing Working Group im Laufe des Jahres 2021 fast verdoppelt und sind leider allzu oft erfolgreich. „Der Schwachstelle Mensch versuchen Unternehmen oft durch Schulungen entgegenzuwirken. Genauso effektiv wäre allerdings ein organisatorisches Umdenken“, sagt Schwichtenberg. „In vielen Unternehmen gibt es nur eine begrenzte Anzahl an Mitarbeitenden, die z. B. tatsächlich E-Mail-Kontakt zu Externen wie etwa Zulieferern haben. Hier kann die Angriffsfläche um ein Vielfaches verkleinert werden“, erklärt er. „Denn wenn nur einige wenige für die Außenkommunikation verantwortlich sind, kann die restliche Belegschaft ausschließlich über einen internen Chat kommunizieren und als Phishing-Ziel ausgeschlossen werden.“ Mit dem richtigen Ansatz und einem Auge für den Mehrwert, den IT-Sicherheit bringt, ist diese also auch für KMU keine unüberwindbare Hürde.