Cyber-Angriffe im Mittelstand: Wie Unternehmen ihre Resilienz stärken
Die Zahl der Cyber-Angriffe steigt. Immer öfter sind Mittelständler das Ziel: Bei unzureichendem Schutz haben Hacker oft leichtes Spiel. Was kann der Mittelstand tun, um hier eine sichere und zugleich pragmatische Lösung zu finden? Risikobewusstsein, IT-Infrastruktur und Datenkompetenz sind drei Stellschrauben, an denen Unternehmen ansetzen können.
Mal- und Ransomware, DDoS-Angriffe, Phishing-Mails: 2021 wurden so viele Cyber-Angriffe gemeldet wie nie zuvor. Das Bundeskriminalamt (BKA) verzeichnete 146.363 Delikte – zwölf Prozent mehr als im Vorjahr. Es ist davon auszugehen, dass diese Zahl in diesem Jahr weiter steigt. Zu den finanziellen Schäden, die in Deutschland laut Wirtschaftsschutzbericht mittlerweile 223,5 Mrd. Euro pro Jahr betragen, kommen weitere Risiken: Infrastrukturen und Lieferketten werden lahmgelegt, schlimmstenfalls der gesamte Geschäftsbetrieb. Das Ziel der Hacker sind dabei längst nicht nur große Konzerne. Gerade im Mittelstand ist das Risiko besonders hoch. Wo Konzerne schon einen schmerzlichen Schaden erleiden, bedrohen Cyber-Angriffe schnell die gesamte Existenz eines Mittelständlers.
80 % unzureichende Cyber-Security im Mittelstand
Gerade im Mittelstand haben Angreifer es oft leicht, wie der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in seiner aktuellen Umfrage herausfand: 80 % der Mittelständler erfüllen die Basis-Anforderungen an IT-Sicherheit nicht vollständig. Sie sehen laut GDV keine Bedrohung, weil sie ihr Unternehmen und seine Daten als nicht interessant genug ansehen oder weil bisher keine Schäden entstanden sind. Zudem scheinen auf den ersten Blick Aufwand und Kosten für Security-Projekte nicht zur gesamtwirtschaftlichen Entwicklung des Unternehmens beizutragen. Das Thema wird zurückgestellt. Die Konsequenzen sind häufig erst klar, wenn der Schaden bereits entstanden ist.
Statt zu warten, bis der Ernstfall eintritt, ist es für Unternehmen jeder Größe ratsam, rechtzeitig Cyber-Security-Vorkehrungen zu treffen. Durch bereits bewährte Maßnahmen lässt sich zügig ein erster Basisschutz aufbauen, der in weiteren Schritten ausbaubar ist. Neben technischen Vorkehrungen ist aber auch ein umsichtiger Umgang mit Daten eine Voraussetzung für deren Schutz. Doch wie kann der Mittelstand diese technischen und organisatorischen Voraussetzungen pragmatisch angehen? Die folgenden drei Ansatzpunkte geben Orientierung:
Wo der Mittelstand ansetzen kann
1. Risikobewusstsein schaffen
Auch wenn ein Unternehmen keine 1.000 Mitarbeiter:innen und Terabytes von Daten hat, besteht das Risiko eines Cyber-Angriffs. Zum einen können qualitativ hochwertige Daten auch in geringerer Menge für Angreifer attraktiv sein. Zum anderen wissen viele Unternehmen oft gar nicht, wie viele wertvolle Daten sie haben, weil hier die Transparenz fehlt. Und selbst wenn die Daten selbst nicht interessant sein sollten, wollen manche Angreifer schlichtweg Prozesse blockieren und dafür „Lösegeld“ fordern. Bei einem Mittelständler, dessen Kerngeschäft die Produktion ist, kann das zu existenzbedrohenden Ausfällen führen. Sowohl Daten als auch Prozesse sind aber essenziell für die Digitalisierung. Viele Entscheider wissen auch, dass sie mit ihren Daten z. B. Automatisierung und KI-Lösungen umsetzen wollen, um ihre Prozesse zu optimieren und neue Geschäftsfelder zu erschließen. Cyber-Security-Lösungen gehören bei der Umsetzung dazu. Denn wenn neue Lösungen und Prozesse samt der dazugehörigen Daten angegriffen werden, können sie keinen Mehrwert schaffen.
2. IT-Landschaft modernisieren
Besonders kritisch wird es, wenn die Unternehmenssoftware in die Jahre gekommen ist und ihre Schwachstellen in Datenbanken dokumentiert sind – hier finden Hacker im Handumdrehen alles, was sie zum Angriff brauchen. Wenn im Rahmen der digitalen Transformation Prozesse optimiert und Systeme vernetzt werden, steht die Modernisierung der IT-Landschaft bei den meisten Mittelständlern ohnehin auf der Agenda. In diesem Zug lassen sich Security-Lösungen direkt mit umsetzen, z. B. eine sichere Migration in die Cloud, das Neuaufsetzen von Berechtigungen und Authentifizierungsverfahren mit Single-Sign-on und Multi-Faktor-Authentisierung (MFA) sowie die Gestaltung der IT-Architektur nach dem Zero Trust-Prinzip. Das Wissen über solche Lösungen müssen Unternehmen nicht erst mühsam aufbauen. Sie können sich Verstärkung durch Externe holen, die idealerweise Digitalisierungs- und Security-Expertise in einem abdecken und aufeinander abgestimmt umsetzen. Ein hilfreiches Kriterium für die Auswahl von IT- und Security-Consultants ist die Projekthistorie: Wenn die Externen Projekte im Mittelstand sowie in Konzernen verschiedener Branchen umgesetzt haben, ist die Wahrscheinlichkeit hoch, dass sie die dort gesammelte Expertise übertragen und Best Practices in andere Projekte einbringen können.
3. Digitale Kompetenz stärken
Der sichere Umgang mit Daten ist nicht nur Sache von Admins und Datenschutzbeauftragten. Alle Mitarbeiter:innen, die mit Daten arbeiten, können zu ihrem Schutz beitragen, wenn sie wissen, wie sie Daten am besten aufbewahren, welche sie weitergeben oder vervielfältigen dürfen und woran sie Auffälligkeiten, die auf Sicherheitslücken oder gar Angriffe hinweisen, erkennen. Dafür ist es hilfreich, wenn Datenkompetenz und Cyber-Security-Awareness durch das Management aktiv gefördert werden, z. B. durch Data Literacy-Schulungen für alle Mitarbeiter:innen. Das hilft gleich an zwei Fronten: bei der Abwehr von Cyber-Attacken und bei der Datenqualität. Letztere lässt sich durch sensibilisierte Mitarbeiter:innen verbessern, da z. B. redundante Datenhaltung vermieden und die Fehlerquote bei der Dateneingabe reduziert wird. Diese hochwertige Datenbasis zahlt sich dann wiederum aus, wenn Unternehmen mithilfe von KI Entscheidungen treffen und Prozesse verbessern wollen.
Wie weit sind Sie in Sachen IT- & Cyber-Security? An welchen Stellen wünschen Sie sich Unterstützung? Tauschen Sie sich dazu gerne mit Dr. Jan Ciupka und seinen Kolleg:innen aus: Hier können Sie mit ihnen Kontakt aufnehmen.