© Claudia Rosch – WIK

Immer wieder verursachen teils spektakuläre Cyberangriffe auf Unternehmen nicht nur große Schlagzeilen, sondern auch Schäden in Millionen- oder gar Milliardenhöhe. Oft entsteht dabei der Eindruck, dass vor allem Großunternehmen von diesen Attacken betroffen sind. Warum jedoch auch kleine und mittlere Unternehmen immer mehr ins Visier von Cyberkriminellen geraten, welche gravierenden Folgen ein Cyberangriff nach sich ziehen kann und wie sich KMU dagegen absichern können, verrät uns Pirmin Puhl, IT-Sicherheitsexperte bei der Begleitforschung Mittelstand-Digital.

Herr Puhl, wie steht es um die IT-Sicherheit der kleinen und mittleren Unternehmen in Deutschland?

Laut aktuellen Statistiken geben vier von fünf deutschen Unternehmen an, dass sie im vergangenen Jahr von Angriffen betroffen waren oder dies vermuten. Dadurch entstehen ihnen laut einer Bitkom-Studie jährlich Schäden in Höhe von über 200 Milliarden Euro in Form von Diebstahl, Wirtschaftsspionage, Sabotage oder auch Reputationsverlusten. Die Bedrohungslage ist vermutlich so hoch wie nie zuvor – auch für den Mittelstand.

Gleichzeitig ist es gerade für viele kleine und mittlere Unternehmen eine Herausforderung, mit den steigenden Anforderungen in Sachen IT-Sicherheit Schritt zu halten. Fehlende Ressourcen sowie begrenztes Know-how gehen einher mit einem zum Teil immer noch fehlenden Bewusstsein für die zwingende Notwendigkeit zur Umsetzung von Schutzmaßnahmen. Die Folge ist, dass notwendige Maßnahmen allzu oft gar nicht oder nur unzureichend umgesetzt werden.

Warum sollten kleine und mittlere Unternehmen trotz begrenzter Ressourcen und gerade jetzt einen Blick auf die eigene IT-Sicherheit werfen?

Die Bedrohungslage ist nicht nur so hoch wie nie zuvor, sie wird aller Voraussicht nach noch weiter ansteigen. Die Gewährleistung der IT-Sicherheit sollte für jedes Unternehmen daher von höchster Bedeutung sein. Angreifenden ist es in der Regel egal, ob es sich um ein KMU oder einen Großkonzern handelt. Teilweise werden sogar gezielt kleine Unternehmen angegriffen, da dort unzureichende Schutzmaßnahmen vermutet werden und Angriffe somit noch eher erfolgreich sein können. Die Frage ist also auch für KMU nicht, ob man Cyber-Angriffe abwehren muss, sondern wann. Daher gilt es sich möglichst jetzt mit dem Thema auseinanderzusetzen.

Tritt so ein Angriffsfall ein, riskieren Unternehmen ohne passende Schutzmaßnahmen beispielsweise den Verlust oder die Verschlüsselung sensibler Daten sowie Systemausfälle. Sie können somit mehr oder weniger arbeitsunfähig sein, solange der Angriff und dessen Folgen andauern. Eine Situation, die für Unternehmen existenzbedrohend sein kann. Es geht aber auch darum, das Vertrauen von Kunden und Auftraggebern nicht zu verspielen. Die negativen Folgen eines Angriffs können Unternehmen auch langfristig verfolgen und wettbewerbsschädigend sein.

IT-Sicherheit ist also für jedes Unternehmen, auch im KMU-Bereich, existenziell wichtig. Welche einfachen Maßnahmen können kleine und mittlere Unternehmen ergreifen, um die eigene IT-Sicherheit zu erhöhen und welche weiteren Angebote gibt es dazu im Netzwerk Mittelstand-Digital?

Es ist zweifellos eine Herausforderung einzuschätzen, was angemessene Sicherheitsmaßnahmen sind und wo man beginnen soll – gerade für kleine Unternehmen. Letztendlich sollten diese Maßnahmen aber als notwendige Investition gesehen werden, die sich langfristig auszahlt. Für einen ersten Überblick über das eigene Risiko und mögliche Angriffspunkte können Unternehmen Online-Tests wie das kostenfreie Sicherheitstool Mittelstand (www.sitom.de) oder dessen Kurzversion, den Quick-Check IT-Sicherheit (www.check-it-sicherheit.de) des Mittelstand-Digital Zentrums Chemnitz nutzen.

Darüber hinaus lohnt es sich, ein Gespräch mit Beraterinnen und Beratern zu führen, die nach dem neu geschaffenen Standard DIN SPEC 27076 zur IT-Sicherheitsberatung für kleine Unternehmen arbeiten. Der Standard wurde in einem Projekt von Mittelstand-Digital gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und weiteren Expertinnen und Experten speziell für KMU entwickelt. Im Beratungsgespräch werden nicht nur mögliche Schwachstellen im Unternehmen aufgedeckt, sondern auch konkrete Handlungsempfehlungen mitgegeben.

Die Gewährleistung der IT-Sicherheit ist ein fortlaufender Prozess, der aufgrund ständig weiterentwickelnder Bedrohungen eine kontinuierliche Überprüfung und Anpassung erfordert. Darum haben wir einen „Werkzeugkasten Cybersicherheit“ mit zahlreichen weiteren Angeboten aus dem Netzwerk Mittelstand-Digital zusammengestellt, der KMU dabei unterstützen soll, ihre IT-Sicherheit schrittweise und nachhaltig zu verbessern. Dieser ist vor kurzem auf unserer Website www.mittelstand-digital.de erscheinen. Außerdem gibt es ab Juli die neue Transferstelle Cybersicherheit im Netzwerk Mittelstand-Digital, die kleine und mittlere Unternehmen in Sachen IT-Sicherheit unterstützt und Antworten auf viele häufig gestellte Fragen liefert.