img
Mann gibt sicheres Passwort auf Laptop ein

IT-Sicherheit: Darum müssen Unternehmen schnell handeln

Gerade in kleinen und mittelständischen Unternehmen sollte IT-Sicherheit Chefsache sein – ist sie es bei Ihnen?

KMUs geraten nachweislich immer stärker in den Fokus der organisierten Cyberkriminalität. Wenn der GAU dann eintritt, ist das ein eher suboptimaler Zeitpunkt, sich des Themas anzunehmen. Im Artikel erfahren Sie die Basics zum Thema IT-Sicherheit in Unternehmen und wie Sie Ihre IT-Security schnell und einfach stabil aufstellen. Wir beantworten Ihnen die 10 wichtigsten Fragen zur Cyber-Sicherheit – praxisnah und mit Beispielen aus unserer täglichen Arbeit als professioneller IT-Dienstleister. Machen Sie Ihre IT zur Chefsache!

Lesezeit: Ca. 10 Minuten

Laptop mit Meldung System Hacked

1. IT-Sicherheit: Unternehmen müssen dringend handeln

KMUs holen in Sachen Digitalisierung mittlerweile auf, auch wenn viele Wachstumspotenziale noch liegen bleiben. Im Fokus stehen zu Beginn meist Lösungen zur Effizienzsteigerung, zur Prozess-Automatisierung und zur Vernetzung der Wertschöpfungsketten.

Andere wichtige IT-Themen führen in vielen KMUs immer noch ein Schattendasein, ganz besonders die IT-Sicherheit. Angesichts der zunehmenden digitalen Transformation ist das ein extrem alarmierender Zustand – bei KMUs aber nach unserer Beobachtung eher die Regel als die Ausnahme.

IT-Sicherheit führt bei vielen KMUs ein alarmierendes Schattendasein.

Cyberangriffe: Es trifft kleine und mittlere Unternehmen

Denn den Cyber-Kriminellen ist heute kein Unternehmen mehr zu klein. Sie arbeiten organisiert und mit Hochdruck, sodass die schiere Menge erfolgreicher Angriffe ein lohnenswertes „Geschäftsmodell“ ist – auch wenn bei einem einzelnen KMU keine Millionen zu holen sind.

Ursache für Insolvenzen

Die individuellen Folgen für Unternehmen können existenziell sein, siehe etwa den medial viel beachteten Fall des Fahrradherstellers Prophete: Nach einem Cyberangriff musste der Geschäftsbetrieb für mehrere Wochen eingestellt werden – der Ausfall war nach Analyse des Insolvenzverwalters die Hauptursache für die Zahlungsunfähigkeit im Dezember 2022.

IT Security zur Chefsache machen

Höchste Zeit also, sich dem Thema IT-Sicherheit im Unternehmen zu stellen und es zur Chefsache zu machen. Im Artikel wollen wir Sie nicht mit Fachchinesisch zutexten, sondern Ihnen einen Überblick über die Herausforderungen geben und am Ende konkrete erste Schritte zu besserer Cyber Security aufzeigen, die schnelle Ergebnisse bei überschaubarem Aufwand bringen.

Picture of Über ifaktor

Über ifaktor

Machen Sie Ihre IT zum Wachstumsfaktor: ifaktor wurde 1999 im Herzen von Köln gegründet. Seither bieten wir aufstrebenden und mittelständischen Unternehmen in NRW maßgeschneiderte und investitionssichere IT-Lösungen, die das Wachstum gezielt unterstützen. Je nach Bedarf als externe IT-Abteilung, als Unterstützung für Ihr internes Team oder als Projektpartner.

IT-Sicherheit Definition
Previous slide
Next slide

2. Was bedeutet IT-Sicherheit?

Die Begrifflichkeiten werden teils nicht trennscharf eingesetzt, was in einem Dialog über Sicherheit nicht hilfreich ist. Daher eine kurze Abgrenzung:

Informationssicherheit
Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in technischen und nicht-technischen Systemen, also etwa auch auf Papier.
Datensicherheit
Schutz aller personenbezogenen und aller anderen Daten in technischen und nicht-technischen Systemen. Ist der IT-Sicherheit übergeordnet.
IT-Sicherheit
Schutz aller Daten in technischen Systemen. Bezieht sich etwa auf Dateien, Rechner, Netzwerke, Clouds und Rechenzentren. Ist ein wichtiger Teil der Informationssicherheit.
Datenschutz
Schutz personenbezogener Daten nach gesetzlichen Vorgaben (DSGVO). Ist der Datensicherheit untergeordnet.
Cyberkriminalität

3. Cyberkriminalität – was sind die konkreten Risiken für KMUs?

IT-Sicherheit im Unternehmen – viel mehr als ein Hygienefaktor

Ein solides IT-Sicherheitssystem ist kein nice-to-have, sondern im Falle des Falles existenziell wichtig. Datenverlust, fehlender Datenzugriff, Systemausfälle, gekaperte Systeme, Lösegeldforderungen, Vertrauensverlust bei Kunden, Partnern und Zulieferern – für kleine und mittlere deutsche Unternehmen bedeuten solche Ereignisse sehr oft das Aus.

Existenzielle Gefahren drohen zum Beispiel durch:
Das macht dann 95.000 Euro, bitte

Um die finanziellen Auswirkungen von Cyberattacken auf KMUs einmal zu beziffern, hier eine Zahl aus einer HDI Cyber-Studie aus dem Jahr 2022: 72 Prozent der erfolgreichen Angriffe auf KMUs verursachten erhebliche Schäden, die die betroffenen Unternehmen im Schnitt 95.000 Euro kosteten. Bitter – und das ist nur der Durchschnittswert.

Cyberangriffe auf KMUs verursachen erhebliche Schäden – im Schnitt liegen diese zwischen 95.000 € und 500.000 €.

Unsere tägliche Erfahrung bestätigt, was Christian Kussmann sagt, Bereichsvorstand Firmen und Freie Berufe bei der HDI Versicherung: „Die häufig geäußerte Ansicht, dass kleinere Unternehmen für Cyber-Angriffe nicht interessant seien, ist durch die Praxis klar widerlegt.“

Wir unterstützen Sie gerne, Ihr Unternehmen zu schützen – passend zu Ihrem Bedarf und Budget.
Cyberkriminalität

4. Was sind die häufigsten Arten von Cyberangriffen

Welche Gefahren drohen Unternehmen konkret? Auf Platz 1 steht in der EU Ransomware, also Verschlüsselungstrojaner, die eingesetzt werden, um Lösegelder zu erpressen. Nach Angaben des EU-Rats werden dadurch Monat für Monat mehr als 10 Terabyte Daten gestohlen. Der ohnehin rasante Anstieg der Cyberkriminalität hat sich nach Angaben des Rats seit dem Angriff auf die Ukraine nochmals beschleunigt, da seither vermehrt Hacktivisten, also politisch motivierte Hacker, sowie staatlich unterstützten Gruppen in die Systeme westlicher Unternehmen eindringen.

Die aktuell häufigsten Arten von Cyberkriminalität gegen Unternehmen in der EU:
#1 Ransomware-Angriffe

Kriminelle dringen mit Trojanern in Systeme ein, verschlüsseln Daten und verlangen Lösegeld für deren Freigabe – meist erfolgreich, denn 60 Prozent der Betroffenen zahlen laut EU das geforderte Lösegeld.

#2 Malware

Malware – ein Kunstwort aus "malicious" (böse) und "Software" – benennt verschiedene Formen von Schadsoftware, etwa Trojaner, Viren, Würmer und Spionageprogramme.

#3 Social Engineering

Manipulation von Menschen, um Zugang zu Systemen oder Diensten zu erhalten. Dazu gehört etwa das Phishing durch E-Mails, die Nutzer dazu verleiten, auf enthaltene Links zu klicken. Dadurch wird zum Beispiel Schadsoftware heruntergeladen oder User werden auf gefälschte Websites geleitet, wo sie aufgefordert werden, dienstliche Passwörter einzugeben.

#4 Angriffe auf Datenquellen

Unternehmen sammeln heute Unmengen an Daten. Da kommt es nicht selten zu unbeabsichtigten Datenlecks oder zu gezielten Datenschutzverletzungen durch Kriminelle – mit oft äußerst unangenehmen Folgen für Unternehmen, Kunden und Partner.

#5 DDoS-Attacken

Das Kürzel steht für Distributed Denial of Service, zu deutsch etwa: verteilte Überlastattacken. Dabei überschwemmen Angreifer Systeme mit so viel Traffic, dass die eigentlichen Nutzer – etwa Unternehmensangehörige oder Kunden – keinen Zugriff mehr auf Informationen oder Dienste haben.

#6 Supply-Chain-Angriffe

Supply Chains werden immer komplexer, die Verflechtung mit Lieferanten immer enger. Angriffe auf diese Versorgungsketten funktionieren häufig als kombinierte Attacken gegen Lieferanten und deren Kunden.

Cyberangriff Beispiel: Ransomware-Atacke auf Kölner Mittelständler

Ein aktueller Vorfall aus meinem Arbeitsalltag, wie er KMUs so oder ähnlich immer wieder betrifft. Vorsicht, Spoileralarm: In diesem Fall gab es ein Happy End. Ein Kölner Mittelständler engagierte uns vor einigen Monaten als IT-Dienstleister, weil er mit dem vorherigen Anbieter unzufrieden war: Systeme, Hardware und Software waren so veraltet, dass die IT zu einem echten Wachstumshindernis geworden war. Und, Sie ahnen es: Auch die IT-Sicherheit war extrem vernachlässigt worden, wie sich bald zeigte. Wunde Punkte waren hier zum Beispiel die Adminrechte der Mitarbeiter und mangelhafte Daten-Backups.
Neue, zeitgemäße Umgebung aufgesetzt
Wir bauten zunächst eine moderne IT-Umgebung auf. Das Benutzerrechte-System organisierten wir nach neusten Sicherheitsstandards um. Die Daten migrierten wir zu Microsoft 365 und richteten ein separiertes, externes Backup ein – für uns ein absolutes Muss, denn ein Backup auf dem selben System nutzt bei einem Angriff im Zweifelsfall gar nichts.
Totalausfall durch Verschlüsselungs-Trojaner

Unser Kundenunternehmen arbeitete unterdessen noch mit der alten Umgebung weiter. Soweit, so normal – bis der Kunde uns informierte, dass seine Telefonie ausgefallen war. Das erwies sich leider nur als die Spitze des Eisbergs, denn wir fanden in der alten Umgebung einen Verschlüsselungs-Tojaner, der zu diesem Zeitpunkt bereits ganze Arbeit geleistet hatte: Backups, Userdaten, Produktivdaten waren weg, die alte IT-Umgebung ein Totalausfall.


Nur durch das extrem glückliche Timing kam der Kunde mit dem Schrecken davon, denn wir hatten die Daten ja bereits migriert und die neue Umgebung aufgesetzt. Das alte System schalteten wir komplett ab und zogen den Wechsel vor. Sogar die Telefonie über Microsoft Teams war sofort nutzbar. Unser Kunde entging so potenziell hohen Lösegeldforderungen und einem langwierigen System-Totalausfall – eine Situation, wie sie schon zu zahlreichen Insolvenzen geführt hat. Sie wollen Ihr Unternehmen bestmöglich schützen? Hier erfahren Sie mehr zu unseren modernen Lösungen für IT-Sicherheit aus Köln.

Ist Ihre IT ausreichend abgesichert?

Buchen Sie sich gerne eine unverbindliche Erstberatung mit uns, dann sind Sie garantiert auf der sicheren Seite.

Cyberkriminalität

5. Was tun, wenn ein Cyberangriff stattgefunden hat?

Erste Hilfe bei Cyberangriffen

Weil eine schnelle, überlegte Reaktion für eine erfolgreiche Schadensbegrenzung so wichtig ist, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) dafür eine Checkliste entwickelt. Unter anderem geht es darum, die zuständigen Personen und Stellen schnell zu informieren – IT-Sicherheitsverantwortliche, Admins, Datenschutzbeauftragte, Geschäftsleitung oder externe Dienstleister.

Zentrale Ansprechstellen Cybercrime (ZAC) der Polizeien für Wirtschaftsunternehmen

Für den Fall eines Cyber-Angriffs auf Ihr Unternehmen, haben die Landeskriminalämter ihre Spezialisten in die sogenannten Zentralen Ansprechstellen Cybercrime zusammengestellt. Die Polizeibehörden stehen Ihnen für Informationen zur Verbesserung der IT-Sicherheit im Unternehmen und auch bei Cyber-Straftaten gegen Ihre Firma als Ansprechpartner zur Verfügung. Jedes Bundesland hat eine eigene Rufnummer:

IT-Sicherheit Schwachstellen

6. Cybersicherheit – eine Sache der Unternehmensgröße?

Darum muss IT-Sicherheit GERADE bei KMUs ganz oben stehen
Entschuldigen Sie bitte die vielen Großbuchstaben, aber beim Komplex KMUs und IT-Sicherheit klemmt bei mir schon mal die Hochstelltaste. Denn es gibt in Deutschland rund 3,5 Millionen KMUs – und eine Tendenz ist klar und deutlich erkennbar: Die Zahl der Cyber-Angriffe auf sie steigt überproportional. Der Branchenverband Bitkom berichtet, dass 2020/21 etwa neun von zehn Unternehmen von Angriffen betroffen waren. Und rund die Hälfte von ihnen waren KMUs, Tendenz stetig zunehmend.
KMUs als einfache Opfer? Leider oft die traurige Realität
Warum stehen gerade KMUs so unter Beschuss? In den meisten größeren Unternehmen ist das Thema IT-Sicherheit weitgehend in seiner Bedeutung erkannt und angenommen. Das macht diejenigen KMUs, in denen die Sicherheit vernachlässigt wird, für Cyberkriminelle zu den leichteren Opfern. Ganz nach dem Motto: Es müssen nicht immer Millionenforderungen sein – Kleinvieh macht schließlich auch Mist.
IT-Sicherheit Schwachstellen
Previous slide
Next slide

7. Wo liegen die größten IT-Sicherheits-Schwachstellen bei KMUs?

Viermal mangelhaft – vier ganz alltägliche Sicherheitslücken
Und was sind nun die konkreten Sicherheitsversäumnisse, die dazu führen, dass KMUs zu bevorzugten Opfern werden? Das kann ich aus eigener Anschauung als Kölner IT-Dienstleister für kleinere und mittlere Unternehmen klar benennen:
Schlechte Backups:

Viele KMUs machen keine, zu seltene oder zu schlechte Backups, die im Notfall wenig bis gar nichts nutzen

Kritische Zugriffsrechte

Viele KMUs reglementieren die Zugriffsrechte im Unternehmen gar nicht oder nicht streng genug – ein weit offenes Tor für Eindringlinge

Fehlende Mitarbeiter-Sensibilisierung:

Viele KMUs unterschätzen den Faktor Mensch – schon mit wenigen Stunden Security-Schulungen für Mitarbeiter ließen sich viele der häufigsten Einfallstore für Kriminelle wirksam schließen

Kein Notfall-Maßnahmenplan:

Viele KMUs verfügen nicht über eine sicher hinterlegte To-do-Liste für den Notfall. Der IT-Notfall-Maßnahmenplan des BSI für GF und IT-Verantwortliche in KMUs zeigt, wie ein Notfallmanagement aufgesetzt werden sollte

Kostenloser Download: Checkliste IT-Sicherheit
Wie gut ist Ihr Unternehmen in Sachen IT-Sicherheit aufgestellt? Unsere kostenlose PDF-Checkliste beinhaltet die 4 größten IT-Security-Versäumnisse, die wir leider immer wieder bei Unternehmen sehen. Zu jedem der 4 Versäumnisse gibt es eine konkrete Checkliste, um kritische Sicherheitsmängel mit Ihrer IT nachhaltig abzustellen.
IT-Sicherheit Schwachstellen

8. Hat Ihr IT-Team ausreichende Security-Expertise und Ressourcen?

Die Geschäftsführung muss das IT-Team unterstützen
Mein Mantra lautet: In KMUs muss IT-Sicherheit Chefsache sein. Warum? Weil die Zuständigkeiten, so wie ich sie in KMUs antreffe, teilweise einem Himmelfahrtskommando gleichen – es geht halt so lange gut, wie es gutgeht. Was die IT-Verantwortlichen bräuchten, ist eine engagierte Unterstützung durch die Geschäftsführung. Die Realität sieht oft anders aus – zwei typische Konstellationen habe ich kürzlich einmal so beschrieben:
Konstellation 1: Die One-Man-Show
Eine Person, häufig fachfremd, ist im Unternehmen verantwortlich für das Funktionieren der IT-Infrastruktur, für ihre Weiterentwicklung und daneben auch noch für die Sicherheit. Das kann auf Dauer nicht funktionieren, weil es für eine einzelne Person fast unmöglich ist, über alle nötigen Kompetenzen zu verfügen und bei den neuesten Entwicklungen up to date zu bleiben.
Konstellation 2: Supporter am Limit
Es gibt ein Team von zwei bis fünf Leuten, die die IT-Infrastruktur am Laufen halten, sich um Updates, Patches, Server, PC-Arbeitsplätze, mobiles Arbeiten, Home-Office-Infrastruktur, Telefonie, Druckerprobleme und und und kümmern. Diese Leute arbeiten oft am Limit – und haben schlicht keine Zeit, sich adäquat um Sicherheitsthemen zu kümmern.
Die Folge: Wichtige IT-Themen bleiben liegen
Das ist, wie gesagt, die riskante Realität, wie ich sie in vielen KMUs heute beobachte. Unter der Vernachlässigung leidet nicht nur die Sicherheit, sondern es bleiben auch IT-Themen unbehandelt, die echte Wachstumsfaktoren sein könnten. Etwa der strategische Ausbau der IT, um Produktivitätspotenziale zu erschließen oder die Möglichkeiten von sicherem mobilen Arbeiten und Home Office.
IT-Team unterstützen

9. Wie können Sie Ihre IT-Verantwortlichen unterstützen?

Hinschauen – und das IT-Team nicht allein lassen

Recruiting im IT-Bereich ist eine riesige Herausforderung, insbesondere, wenn Unternehmen – wie vielleicht Ihres – nicht direkt in der IT-Branche tätig sind. Außerdem ist es für ein KMU kaum möglich, mit einem Inhouse-Team die gesamte Bandbreite erforderlicher Kompetenzen abzubilden. Ein Ausweg: Lassen Sie Ihr IT-Team durch externe Manpower und Kompetenzen unterstützen.

IT ganz oder teilweise outsourcen: Managed Services

Diese Unterstützung kann entweder projektweise erfolgen oder in Form von Managed Services, also mit klar definierten Serviceverträgen mit überschaubaren monatlichen Kosten. Managed Services können entweder ein oder mehrere Einzelthemen abdecken, etwa Support oder IT-Sicherheit. Oder Sie setzen einen Dienstleister ganzheitlich als externe IT-Abteilung ein, die sich ganzheitlich um Ihre IT und deren strategische Weiterentwicklung kümmert.

IT-Sicherheit Kosten
Mann rechnet mit Tablet und Taschenrechner am Schreibtisch

10. Was kostet IT-Sicherheit für KMUs?

Erst analysieren, dann investieren – der wirtschaftliche Weg zu IT-Security
Klar ist natürlich, dass die IT-Sicherheit für kleinere und mittlere Unternehmen auch ein Kostenfaktor ist. Es gibt die unverhandelbaren Basics, die jedes Unternehmen umsetzen sollte, etwa Firewalls, regelmäßige Sicherheitsupdates oder Mitarbeiterschulungen. Aber was ist darüber hinaus in Ihrem Unternehmen nötig?
Kosteneffizient, weil maßgeschneidert

Um zu entscheiden, in welche Sicherheitsmaßnahmen investiert werden sollte, ist zunächst eine Analyse sinnvoll: Welche Arten von Angriffen sind bei Ihnen am wahrscheinlichsten? Mit welchen Kosten ist bei Ausfällen oder Datenverlusten zu rechnen? Welches sind die wichtigsten Daten, die entsprechend den höchsten Schutz erfordern? Das unterscheidet sich sehr stark, je nach Branche, Unternehmensgröße, Geschäftsmodell, Prozessen, Lieferketten und Kundenstruktur – eine Anwaltskanzlei hat andere Sicherheitsbedürfnisse als ein Industriebetrieb, eine medizinische Einrichtung andere als ein Online-Shop. Eine Analyse, die den präzisen Bedarf ermittelt, bietet ifaktor in Form einer ITQ-Basisprüfung nach den BSI-Richtlinien an.

Butter bei die Fische: IT-Sicherheit in Euro

Sicherheitsmaßnahmen hängen, wie bereits gesagt, stark von den jeweiligen Bedingungen und Anforderungen ab. Um Ihnen dennoch eine Hausnummer zu geben, hier einige Beispiel dafür, wie Sie Ihre IT mit Security-Sofortmaßnahmen oder/und mit langfristigen Managed Services sicher aufstellen.

Einige Beispiele, die Ihnen eine Idee geben, was zeitgemäße IT-Sicherheit kostet:
  1. Unverbindliche IT-Security Erstberatung – Bei ifaktor immer kostenlos.
  2. Individuelles IT-Security Consulting Im Schnitt ca. 200 € pro Stunde Beratung.
  3. Individuelle IT-Security-Services nach Bedarf Im Schnitt ca. 150 € je Stunde Aufwand.
  4. Professionelle IT-Sicherheitsanalyse mit Handlungsempfehlungen – Bereits ab ca. 2.000 €.
  5. Kontinuierliche Mitarbeiter-Sensibilisierung/Security Awareness Trainings – inklusive KI-gestützter E-Trainings und E-Mail-Phishing-Simulationen: Ab 2 € je E-Mail-Postfach
  6. Dauerhafte professionelle Unterstützung durch einen IT-Partner (Managed Service) – inklusive IST-Analyse, Optimierung und Kontrolle: Bereits ab 139 € monatlich.
Sven Berghoff berät Kunden
Sie wollen Ihre IT-Sicherheit nachhaltig verbessern?
Buchen Sie sich jetzt ein unverbindliches Gespräch mit unserem IT-Security-Experten Sven Berghoff. Gerne besprechen wir Ihre persönlichen Herausforderungen und zeigen Ihnen kosteneffiziente Möglichkeiten auf, Ihr Unternehmen nachhaltig zu schützen.
Sven Berghoff

Über den Autor

Hallo, ich bin Sven Berghoff, Teil der Geschäftsleitung bei ifaktor und arbeite seit mehr als 20 Jahren im Bereich IT-Dienstleistungen für KMU. Im Unternehmen verantworte ich die beiden Kernbereiche IT-Betreuung und IT-Security. Ich poste zu den beiden Themen regelmäßig auf LinkedIn  – vernetzen Sie sich gerne mit mir.

Diese Artikel könnten Sie auch interessieren:

Zulia Maron Duo

ifaktor wurde 1999 im Herzen von Köln gegründet. Seither bieten wir aufstrebenden und mittelständischen Unternehmen in NRW maßgeschneiderte und investitionssichere IT-Lösungen, die Ihr Wachstum gezielt unterstützen.