Gerade in kleinen und mittelständischen Unternehmen sollte IT-Sicherheit Chefsache sein – ist sie es bei Ihnen?
Lesezeit: Ca. 10 Minuten
Inhalt
1. IT-Sicherheit: Unternehmen müssen dringend handeln
KMUs holen in Sachen Digitalisierung mittlerweile auf, auch wenn viele Wachstumspotenziale noch liegen bleiben. Im Fokus stehen zu Beginn meist Lösungen zur Effizienzsteigerung, zur Prozess-Automatisierung und zur Vernetzung der Wertschöpfungsketten.
Andere wichtige IT-Themen führen in vielen KMUs immer noch ein Schattendasein, ganz besonders die IT-Sicherheit. Angesichts der zunehmenden digitalen Transformation ist das ein extrem alarmierender Zustand – bei KMUs aber nach unserer Beobachtung eher die Regel als die Ausnahme.
IT-Sicherheit führt bei vielen KMUs ein alarmierendes Schattendasein.
Cyberangriffe: Es trifft kleine und mittlere Unternehmen
Denn den Cyber-Kriminellen ist heute kein Unternehmen mehr zu klein. Sie arbeiten organisiert und mit Hochdruck, sodass die schiere Menge erfolgreicher Angriffe ein lohnenswertes „Geschäftsmodell“ ist – auch wenn bei einem einzelnen KMU keine Millionen zu holen sind.
Ursache für Insolvenzen
Die individuellen Folgen für Unternehmen können existenziell sein, siehe etwa den medial viel beachteten Fall des Fahrradherstellers Prophete: Nach einem Cyberangriff musste der Geschäftsbetrieb für mehrere Wochen eingestellt werden – der Ausfall war nach Analyse des Insolvenzverwalters die Hauptursache für die Zahlungsunfähigkeit im Dezember 2022.
IT Security zur Chefsache machen
Höchste Zeit also, sich dem Thema IT-Sicherheit im Unternehmen zu stellen und es zur Chefsache zu machen. Im Artikel wollen wir Sie nicht mit Fachchinesisch zutexten, sondern Ihnen einen Überblick über die Herausforderungen geben und am Ende konkrete erste Schritte zu besserer Cyber Security aufzeigen, die schnelle Ergebnisse bei überschaubarem Aufwand bringen.
Über ifaktor
Machen Sie Ihre IT zum Wachstumsfaktor: ifaktor wurde 1999 im Herzen von Köln gegründet. Seither bieten wir aufstrebenden und mittelständischen Unternehmen in NRW maßgeschneiderte und investitionssichere IT-Lösungen, die das Wachstum gezielt unterstützen. Je nach Bedarf als externe IT-Abteilung, als Unterstützung für Ihr internes Team oder als Projektpartner.
2. Was bedeutet IT-Sicherheit?
Die Begrifflichkeiten werden teils nicht trennscharf eingesetzt, was in einem Dialog über Sicherheit nicht hilfreich ist. Daher eine kurze Abgrenzung:
Informationssicherheit
Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in technischen und nicht-technischen Systemen, also etwa auch auf Papier.Datensicherheit
Schutz aller personenbezogenen und aller anderen Daten in technischen und nicht-technischen Systemen. Ist der IT-Sicherheit übergeordnet.IT-Sicherheit
Schutz aller Daten in technischen Systemen. Bezieht sich etwa auf Dateien, Rechner, Netzwerke, Clouds und Rechenzentren. Ist ein wichtiger Teil der Informationssicherheit.Datenschutz
Schutz personenbezogener Daten nach gesetzlichen Vorgaben (DSGVO). Ist der Datensicherheit untergeordnet.3. Cyberkriminalität – was sind die konkreten Risiken für KMUs?
IT-Sicherheit im Unternehmen – viel mehr als ein Hygienefaktor
Ein solides IT-Sicherheitssystem ist kein nice-to-have, sondern im Falle des Falles existenziell wichtig. Datenverlust, fehlender Datenzugriff, Systemausfälle, gekaperte Systeme, Lösegeldforderungen, Vertrauensverlust bei Kunden, Partnern und Zulieferern – für kleine und mittlere deutsche Unternehmen bedeuten solche Ereignisse sehr oft das Aus.
Existenzielle Gefahren drohen zum Beispiel durch:
- Verluste durch System-/Geschäftsausfall
- Gerichts- und Anwaltskosten infolge von Datenschutz- und Compliance-Verstößen
- Ransomware-Angriffe mit hohen Lösegeldforderungen
- Kosten für die Analyse des Ereignisses und für die Datenrettung
- Zahlung von Vertragsstrafen an Kunden und Partner
- Ersatz von nicht mehr sicher nutzbarer Hardware
- Kundenabwanderung wegen Vertrauensverlust
- Imageverlust bei den eigenen Mitarbeitern
Das macht dann 95.000 Euro, bitte
Um die finanziellen Auswirkungen von Cyberattacken auf KMUs einmal zu beziffern, hier eine Zahl aus einer HDI Cyber-Studie aus dem Jahr 2022: 72 Prozent der erfolgreichen Angriffe auf KMUs verursachten erhebliche Schäden, die die betroffenen Unternehmen im Schnitt 95.000 Euro kosteten. Bitter – und das ist nur der Durchschnittswert.
Cyberangriffe auf KMUs verursachen erhebliche Schäden – im Schnitt liegen diese zwischen 95.000 € und 500.000 €.
Unsere tägliche Erfahrung bestätigt, was Christian Kussmann sagt, Bereichsvorstand Firmen und Freie Berufe bei der HDI Versicherung: „Die häufig geäußerte Ansicht, dass kleinere Unternehmen für Cyber-Angriffe nicht interessant seien, ist durch die Praxis klar widerlegt.“
Wir unterstützen Sie gerne, Ihr Unternehmen zu schützen – passend zu Ihrem Bedarf und Budget.
4. Was sind die häufigsten Arten von Cyberangriffen
Welche Gefahren drohen Unternehmen konkret? Auf Platz 1 steht in der EU Ransomware, also Verschlüsselungstrojaner, die eingesetzt werden, um Lösegelder zu erpressen. Nach Angaben des EU-Rats werden dadurch Monat für Monat mehr als 10 Terabyte Daten gestohlen. Der ohnehin rasante Anstieg der Cyberkriminalität hat sich nach Angaben des Rats seit dem Angriff auf die Ukraine nochmals beschleunigt, da seither vermehrt Hacktivisten, also politisch motivierte Hacker, sowie staatlich unterstützten Gruppen in die Systeme westlicher Unternehmen eindringen.
Die aktuell häufigsten Arten von Cyberkriminalität gegen Unternehmen in der EU:
#1 Ransomware-Angriffe
Kriminelle dringen mit Trojanern in Systeme ein, verschlüsseln Daten und verlangen Lösegeld für deren Freigabe – meist erfolgreich, denn 60 Prozent der Betroffenen zahlen laut EU das geforderte Lösegeld.
#2 Malware
Malware – ein Kunstwort aus "malicious" (böse) und "Software" – benennt verschiedene Formen von Schadsoftware, etwa Trojaner, Viren, Würmer und Spionageprogramme.
#3 Social Engineering
Manipulation von Menschen, um Zugang zu Systemen oder Diensten zu erhalten. Dazu gehört etwa das Phishing durch E-Mails, die Nutzer dazu verleiten, auf enthaltene Links zu klicken. Dadurch wird zum Beispiel Schadsoftware heruntergeladen oder User werden auf gefälschte Websites geleitet, wo sie aufgefordert werden, dienstliche Passwörter einzugeben.
#4 Angriffe auf Datenquellen
Unternehmen sammeln heute Unmengen an Daten. Da kommt es nicht selten zu unbeabsichtigten Datenlecks oder zu gezielten Datenschutzverletzungen durch Kriminelle – mit oft äußerst unangenehmen Folgen für Unternehmen, Kunden und Partner.
#5 DDoS-Attacken
Das Kürzel steht für Distributed Denial of Service, zu deutsch etwa: verteilte Überlastattacken. Dabei überschwemmen Angreifer Systeme mit so viel Traffic, dass die eigentlichen Nutzer – etwa Unternehmensangehörige oder Kunden – keinen Zugriff mehr auf Informationen oder Dienste haben.
#6 Supply-Chain-Angriffe
Supply Chains werden immer komplexer, die Verflechtung mit Lieferanten immer enger. Angriffe auf diese Versorgungsketten funktionieren häufig als kombinierte Attacken gegen Lieferanten und deren Kunden.
Cyberangriff Beispiel: Ransomware-Atacke auf Kölner Mittelständler
Neue, zeitgemäße Umgebung aufgesetzt
Wir bauten zunächst eine moderne IT-Umgebung auf. Das Benutzerrechte-System organisierten wir nach neusten Sicherheitsstandards um. Die Daten migrierten wir zu Microsoft 365 und richteten ein separiertes, externes Backup ein – für uns ein absolutes Muss, denn ein Backup auf dem selben System nutzt bei einem Angriff im Zweifelsfall gar nichts.Totalausfall durch Verschlüsselungs-Trojaner
Unser Kundenunternehmen arbeitete unterdessen noch mit der alten Umgebung weiter. Soweit, so normal – bis der Kunde uns informierte, dass seine Telefonie ausgefallen war. Das erwies sich leider nur als die Spitze des Eisbergs, denn wir fanden in der alten Umgebung einen Verschlüsselungs-Tojaner, der zu diesem Zeitpunkt bereits ganze Arbeit geleistet hatte: Backups, Userdaten, Produktivdaten waren weg, die alte IT-Umgebung ein Totalausfall.
Nur durch das extrem glückliche Timing kam der Kunde mit dem Schrecken davon, denn wir hatten die Daten ja bereits migriert und die neue Umgebung aufgesetzt. Das alte System schalteten wir komplett ab und zogen den Wechsel vor. Sogar die Telefonie über Microsoft Teams war sofort nutzbar. Unser Kunde entging so potenziell hohen Lösegeldforderungen und einem langwierigen System-Totalausfall – eine Situation, wie sie schon zu zahlreichen Insolvenzen geführt hat. Sie wollen Ihr Unternehmen bestmöglich schützen? Hier erfahren Sie mehr zu unseren modernen Lösungen für IT-Sicherheit aus Köln.
Ist Ihre IT ausreichend abgesichert?
Buchen Sie sich gerne eine unverbindliche Erstberatung mit uns, dann sind Sie garantiert auf der sicheren Seite.
5. Was tun, wenn ein Cyberangriff stattgefunden hat?
Erste Hilfe bei Cyberangriffen
Weil eine schnelle, überlegte Reaktion für eine erfolgreiche Schadensbegrenzung so wichtig ist, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) dafür eine Checkliste entwickelt. Unter anderem geht es darum, die zuständigen Personen und Stellen schnell zu informieren – IT-Sicherheitsverantwortliche, Admins, Datenschutzbeauftragte, Geschäftsleitung oder externe Dienstleister.
Zentrale Ansprechstellen Cybercrime (ZAC) der Polizeien für Wirtschaftsunternehmen
Für den Fall eines Cyber-Angriffs auf Ihr Unternehmen, haben die Landeskriminalämter ihre Spezialisten in die sogenannten Zentralen Ansprechstellen Cybercrime zusammengestellt. Die Polizeibehörden stehen Ihnen für Informationen zur Verbesserung der IT-Sicherheit im Unternehmen und auch bei Cyber-Straftaten gegen Ihre Firma als Ansprechpartner zur Verfügung. Jedes Bundesland hat eine eigene Rufnummer:
- Baden-Württemberg: 0711-5401-2444
- Bayern: 089-1212-3300
- Berlin: 030-4664-972972
- Brandenburg: 03334-388-8686
- Bremen: 0421-362-19820
- Hamburg: 040-4286-75455
- Hessen: 0611-83-8377
- Mecklenburg-Vorpommern: 03866-64-9494
- Niedersachen: 0511-9873-6203
- Nordrhein-Westfalen: 0211-939-4040
- Rheinland-Pfalz: 06131-65-64760
- Saarland: 0681-962-2448
- Sachsen: 0351-855-3226
- Sachsen-Anhalt: 0391-250-2244
- Schleswig-Holstein: 0431-160-42727
- Thüringen: 0361-57431-4545
6. Cybersicherheit – eine Sache der Unternehmensgröße?
Darum muss IT-Sicherheit GERADE bei KMUs ganz oben stehen
Entschuldigen Sie bitte die vielen Großbuchstaben, aber beim Komplex KMUs und IT-Sicherheit klemmt bei mir schon mal die Hochstelltaste. Denn es gibt in Deutschland rund 3,5 Millionen KMUs – und eine Tendenz ist klar und deutlich erkennbar: Die Zahl der Cyber-Angriffe auf sie steigt überproportional. Der Branchenverband Bitkom berichtet, dass 2020/21 etwa neun von zehn Unternehmen von Angriffen betroffen waren. Und rund die Hälfte von ihnen waren KMUs, Tendenz stetig zunehmend.KMUs als einfache Opfer? Leider oft die traurige Realität
7. Wo liegen die größten IT-Sicherheits-Schwachstellen bei KMUs?
Viermal mangelhaft – vier ganz alltägliche Sicherheitslücken
Und was sind nun die konkreten Sicherheitsversäumnisse, die dazu führen, dass KMUs zu bevorzugten Opfern werden? Das kann ich aus eigener Anschauung als Kölner IT-Dienstleister für kleinere und mittlere Unternehmen klar benennen:Schlechte Backups:
Viele KMUs machen keine, zu seltene oder zu schlechte Backups, die im Notfall wenig bis gar nichts nutzen
Kritische Zugriffsrechte
Viele KMUs reglementieren die Zugriffsrechte im Unternehmen gar nicht oder nicht streng genug – ein weit offenes Tor für Eindringlinge
Fehlende Mitarbeiter-Sensibilisierung:
Viele KMUs unterschätzen den Faktor Mensch – schon mit wenigen Stunden Security-Schulungen für Mitarbeiter ließen sich viele der häufigsten Einfallstore für Kriminelle wirksam schließen
Kein Notfall-Maßnahmenplan:
Viele KMUs verfügen nicht über eine sicher hinterlegte To-do-Liste für den Notfall. Der IT-Notfall-Maßnahmenplan des BSI für GF und IT-Verantwortliche in KMUs zeigt, wie ein Notfallmanagement aufgesetzt werden sollte
Kostenloser Download: Checkliste IT-Sicherheit
8. Hat Ihr IT-Team ausreichende Security-Expertise und Ressourcen?
Die Geschäftsführung muss das IT-Team unterstützen
Mein Mantra lautet: In KMUs muss IT-Sicherheit Chefsache sein. Warum? Weil die Zuständigkeiten, so wie ich sie in KMUs antreffe, teilweise einem Himmelfahrtskommando gleichen – es geht halt so lange gut, wie es gutgeht. Was die IT-Verantwortlichen bräuchten, ist eine engagierte Unterstützung durch die Geschäftsführung. Die Realität sieht oft anders aus – zwei typische Konstellationen habe ich kürzlich einmal so beschrieben:Konstellation 1: Die One-Man-Show
Konstellation 2: Supporter am Limit
Die Folge: Wichtige IT-Themen bleiben liegen
9. Wie können Sie Ihre IT-Verantwortlichen unterstützen?
Hinschauen – und das IT-Team nicht allein lassen
Recruiting im IT-Bereich ist eine riesige Herausforderung, insbesondere, wenn Unternehmen – wie vielleicht Ihres – nicht direkt in der IT-Branche tätig sind. Außerdem ist es für ein KMU kaum möglich, mit einem Inhouse-Team die gesamte Bandbreite erforderlicher Kompetenzen abzubilden. Ein Ausweg: Lassen Sie Ihr IT-Team durch externe Manpower und Kompetenzen unterstützen.
IT ganz oder teilweise outsourcen: Managed Services
Diese Unterstützung kann entweder projektweise erfolgen oder in Form von Managed Services, also mit klar definierten Serviceverträgen mit überschaubaren monatlichen Kosten. Managed Services können entweder ein oder mehrere Einzelthemen abdecken, etwa Support oder IT-Sicherheit. Oder Sie setzen einen Dienstleister ganzheitlich als externe IT-Abteilung ein, die sich ganzheitlich um Ihre IT und deren strategische Weiterentwicklung kümmert.
10. Was kostet IT-Sicherheit für KMUs?
Erst analysieren, dann investieren – der wirtschaftliche Weg zu IT-Security
Klar ist natürlich, dass die IT-Sicherheit für kleinere und mittlere Unternehmen auch ein Kostenfaktor ist. Es gibt die unverhandelbaren Basics, die jedes Unternehmen umsetzen sollte, etwa Firewalls, regelmäßige Sicherheitsupdates oder Mitarbeiterschulungen. Aber was ist darüber hinaus in Ihrem Unternehmen nötig?Kosteneffizient, weil maßgeschneidert
Um zu entscheiden, in welche Sicherheitsmaßnahmen investiert werden sollte, ist zunächst eine Analyse sinnvoll: Welche Arten von Angriffen sind bei Ihnen am wahrscheinlichsten? Mit welchen Kosten ist bei Ausfällen oder Datenverlusten zu rechnen? Welches sind die wichtigsten Daten, die entsprechend den höchsten Schutz erfordern? Das unterscheidet sich sehr stark, je nach Branche, Unternehmensgröße, Geschäftsmodell, Prozessen, Lieferketten und Kundenstruktur – eine Anwaltskanzlei hat andere Sicherheitsbedürfnisse als ein Industriebetrieb, eine medizinische Einrichtung andere als ein Online-Shop. Eine Analyse, die den präzisen Bedarf ermittelt, bietet ifaktor in Form einer ITQ-Basisprüfung nach den BSI-Richtlinien an.
Butter bei die Fische: IT-Sicherheit in Euro
Sicherheitsmaßnahmen hängen, wie bereits gesagt, stark von den jeweiligen Bedingungen und Anforderungen ab. Um Ihnen dennoch eine Hausnummer zu geben, hier einige Beispiel dafür, wie Sie Ihre IT mit Security-Sofortmaßnahmen oder/und mit langfristigen Managed Services sicher aufstellen.
Einige Beispiele, die Ihnen eine Idee geben, was zeitgemäße IT-Sicherheit kostet:
- Unverbindliche IT-Security Erstberatung – Bei ifaktor immer kostenlos.
- Individuelles IT-Security Consulting – Im Schnitt ca. 200 € pro Stunde Beratung.
- Individuelle IT-Security-Services nach Bedarf – Im Schnitt ca. 150 € je Stunde Aufwand.
- Professionelle IT-Sicherheitsanalyse mit Handlungsempfehlungen – Bereits ab ca. 2.000 €.
- Kontinuierliche Mitarbeiter-Sensibilisierung/Security Awareness Trainings – inklusive KI-gestützter E-Trainings und E-Mail-Phishing-Simulationen: Ab 2 € je E-Mail-Postfach
- Dauerhafte professionelle Unterstützung durch einen IT-Partner (Managed Service) – inklusive IST-Analyse, Optimierung und Kontrolle: Bereits ab 139 € monatlich.
Sie wollen Ihre IT-Sicherheit nachhaltig verbessern?
Über den Autor
Diese Artikel könnten Sie auch interessieren:
Zero-Trust für KMUs: Schutz für mittelständische Unternehmen vor Cyberbedrohungen!
Cybersecurity im Mittelstand: Strategien zum Schutz vor digitalen Bedrohungen Die Cybersicherheit ist zu einem kritischen Faktor für den Erfolg von KMUs geworden. In Anbetracht der
Die Grundpfeiler der Sicherheit: Cybersecurity-Maßnahmen für Mittelständler
Cybersecurity im Mittelstand: Strategien zum Schutz vor digitalen Bedrohungen Die digitale Umgebung bietet Mittelständlern umfangreiche Chancen, birgt aber ebenso erhebliche Risiken. Ein unzureichender Schutz vor
Die Zukunft ist digital: Ein Leitfaden für einen erfolgreichen Cloud-Übergang für Mittelständler
Der Weg in die Wolke: Ein Leitfaden für den optimalen Übergang Die Digitalisierung schreitet unaufhaltsam voran, und der Übergang in die Cloud ist für viele