• Dr. Stefan Stöckl

Cyberrisiken im Mittelstand

Wie man Gefahrenpotenzial angemessen einstuft





Der digitale Wandel ist inzwischen fester Bestandteil des Geschäftsalltags. Dabei wandeln sich nicht nur Arbeitsprozesse und Kommunikationsmittel, sondern auch die Taktiken mit denen Betrüger Unternehmen angreifen. Das Internet bietet hierfür den perfekten Rahmen. Verdeckt und gut geplant gelingt es Cyber-Kriminellen ganze IT-Systeme lahmzulegen und das nicht nur für einige Stunden, sondern teilweise für mehrere Tage. Die Folgen für Unternehmen sind verheerend. Neben dem Klau sensibler Firmendaten, kommt auch noch der enorme Zeitaufwand hinzu, um beschädigte IT-Systeme wieder herzustellen. Im schlimmsten Fall gehen manche Datensätze sogar dauerhaft verloren.


Doch wie kann man Cyber-Angriffen erfolgreich vorbeugen und wie schätzt der Mittelstand die Risiken eines solchen Angriffs ein?


Cyber-Angriffe beschränken sich inzwischen nicht mehr ausschließlich auf Großunternehmen. Seit 2019 geraten vermehrt Mittelständler und Familienunternehmen in den Fokus von Cyber-Attacken (Deloitte-Studie, Cyber-Security im Mittelstand). Trotz der sich zuspitzenden Risikolage, unterschätzt der Mittelstand weiterhin die Gefahrenlage der fortschreitenden Digitalisierung (Deloitte-Studie, Cyber-Security im Mittelstand). Dabei liegen die Risiken zunächst auf technischer Seite. Veraltete Systeme, unsichere Server aber auch offene Schnittstellen zum Internet öffnen potenziellen Angreifern Tür und Tor. Hinzu kommt ein häufig unterschätzter Faktor: menschliches Fehlverhalten (Deloitte-Studie, Cyber-Security im Mittelstand). Das Klicken auf Phishing-Links oder das Öffnen von Schad-Emails, das Weitergeben von Passwörtern an Unbefugte, aber auch der laxe Umgang mit zentralen Datenträgern, sind nur einige Beispiele für das Fehlverhalten von Mitarbeitern im täglichen Umgang mit sensiblen Daten. Schuld daran sind zumeist fehlende Richtlinien zum Umgang mit vertraulichen Informationen, aber auch die mangelnde Priorisierung des Themas durch die Unternehmensleitung erschwert den Aufbau passender Abwehrmechanismen (Deloitte-Studie, Cyber-Security im Mittelstand).


Aus einer Befragung von 500 mittelständischen Unternehmen geht hervor, dass dem Thema Cyber-Security noch nicht ausreichend Aufmerksamkeit entgegengebracht wird (Deloitte-Studie, Cyber-Security im Mittelstand). So steht bei knapp der Hälfte der befragten Unternehmen der Themenblock Cyber-Security nicht auf der Top-Prioritätenliste der Unternehmensleitung. 48% Prozent der Studienteilnehmer gaben sogar an, dass Cyber-Risiken kein zentrales Thema im Unternehmen darstellen (Deloitte-Studie, Cyber-Security im Mittelstand). 34 % Prozent gaben darüber hinaus an, über keinen adäquaten Notfallplan im Falle eines Cyber-Angriffs zu verfügen (Deloitte-Studie, Cyber-Security im Mittelstand). Etwa 49 % der Befragten verfügen zudem über keine konkrete Vorgehensweise, wenn es um die Bewertung von Cyber-Risiken geht (Deloitte-Studie, Cyber-Security im Mittelstand). Bei der Frage nach der Einschätzung der brisantesten Problemebenen, gaben 61 % der Mittelständler das fehlende Bewusstsein für Cyber-Gefahren im Unternehmen und die mangelnde Reaktionsfähigkeit bei der Erkennung von Cyber-Angriffen an (Deloitte-Studie, Cyber-Security im Mittelstand).


In der Tat benötigen in etwa 53 % der KMUs ein bis sieben Tage zur Aufklärung einer Cyber-Attacke. Gemessen an der Gefahr einer Existenzbedrohung des Unternehmens, ist eine derart lange Reaktionszeit schlicht untragbar (Deloitte-Studie, Cyber-Security im Mittelstand). So schätzten etwa 50 % der befragten Unternehmen das Thema Cyber-Security hoch ein und räumten der Thematik sogar eine zukunftsweisende Relevanz ein, bislang mangelt es jedoch an der Übertragung in die Unternehmenspraxis (Deloitte-Studie, Cyber-Risiken im Mittelstand).


Doch was versteht man eigentlich unter dem Begriff Cyber-Security und wie kann der Mittelstand Cyber-Angriffe besser abwehren?


Laut dem Bundesamt für Sicherheit in der Informationstechnik, umfasst der Begriff Cyber-Security oder auch Cyber-Sicherheit, alle Aspekte der Sicherheit in der Informations- und Kommunikationstechnik. Dazu zählen sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und demnach auch jede hierauf aufbauende Kommunikation, Anwendungen und Prozesse. Häufig findet man auch eine Aufteilung der Definition in Funktions- und Informationssicherheit (Deloitte-Studie, Cyber-Risiken im Mittelstand). Während es bei der Funktionssicherheit primär darum geht, dass ein System sich entsprechend seiner zu erwartenden Funktionalität verhält, steht bei der Informationssicherheit der Schutz von Informationen während ihrer technischen Verarbeitung im Vordergrund (Deloitte-Studie, Cyber-Risiken im Mittelstand). Im Wesentlichen geht es somit darum, Informationen durch entsprechende Systemvorkehrungen zu schützen.


Unternehmenssysteme können somit nicht mehr isoliert vom Internet betrachtet werden. Aus diesem Grund bilden digitale Geschäftsmodelle einen festen Bestandteil der Unternehmensstrategie. Geht es um die konkrete Ausgestaltung der Digitalstrategie, so sollte ein Maßnahmenkatalog zur Abwehr von Cyber-Attacken nicht fehlen. Gerade für mittelständische Unternehmen ist die Ausarbeitung von entsprechenden Notfallplänen von zentraler Bedeutung. Ein solcher Cyber-Notfallplan soll nicht nur einen kompletten Ausfall der operativen Geschäftstätigkeit verhindern, sondern auch etwaige Schäden von der Organisation oder Einzelpersonen abwenden (Deloitte-Studie, Cyber-Risiken im Mittelstand). Der Notfallplan ist dabei nichts anderes als ein Handbuch, welches einen Maßnahmenkatalog zu wirtschaftlichen, juristischen, kommunikativen, organisatorischen aber auch technischen Handlungsweisen im Falle eines Cyber-Angriffs beinhaltet (Deloitte Studie, Cyber-Risiken im Mittelstand). Eine gelungene Abwehrstrategie setzt folgerichtig schon weit vor einem Angriff an. Sie beginnt mit einer realistischen Einschätzung von möglichen Angriffspunkten und Geschäftsbereichen, die besonders sensibel für Cyber-Angriffe sind und mündet nicht zuletzt in der Ausarbeitung einer passenden Strategie für mögliche Schadensszenarien (Deloitte-Studie, Cyber-Risiken im Mittelstand).


Kennen Sie Ihr Risikopotenzial oder haben Sie bereits entsprechende Vorkehrungen getroffen? Sollte dies nicht der Fall sein, so sprechen Sie uns an! Wir unterstützen Sie gerne bei der Ausarbeitung eines maßgeschneiderten Notfallplans!






















Quellen:


https://www.pwc.de/cybersecurity?utm_source=google.com&utm_medium=cpc&utm_campaign=XM_trustintransformationcybersecurity2021&utm_content=text&utm_term=cyber%20security



https://www2.deloitte.com/de/de/pages/mittelstand/contents/cyber-security-im-mittelstand-studie.html


https://www.mittelstand-digital.de/MD/Redaktion/DE/Dossiers/A-Z/cyber-security.html


https://www2.deloitte.com/de/de/pages/risk/articles/zero-trust.html?gclid=EAIaIQobChMI_Za-57vr9wIVh7rVCh0b5QQpEAAYASAAEgK6NPD_BwE



7 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen