Mangelhafte IT-Sicherheitsmaßnahmen begünstigen in kleinen und mittleren Unternehmen den Erfolg von Cyberkriminellen. Die Unterstützung durch IT-Dienstleister kann für KMU eine Lösung sein, um sich in Zukunft bestmöglich aufzustellen.
Sebastian Müller ist Anwalt in Essen und hat eine eigene Kanzlei. Zusammen mit seinen vierzehn Angestellten hat er schon vielen Mandanten zu ihrem Recht verholfen. Im letzten Monat gab es eine böse Überraschung. Ein IT-Sicherheitsvorfall legte den Betrieb mehrere Tage lahm. Das war passiert: Der Drucker wollte mal wieder nicht so wie Herr Müller. Ein wichtiges Dokument, das für den Prozessauftakt in einer Stunde dringend benötigt wurde, kam einfach nicht aus dem Gerät. Ein Mitarbeiter identifizierte schnell die Sicherheitssoftware als vermeintliches Problem und deaktivierte sie kurzerhand. Endlich kam das Dokument aus dem Drucker. Was der unter Zeitdruck handelnde Mitarbeiter nicht beachtete: Ab diesem Zeitraum war der Rechner über Wochen ungesichert. Er hatte vergessen, die Sicherheitslösung nach dem Druck wieder zu aktivieren. So konnten sich Angreifer Zugang zu schützenswerten Daten der Kanzlei verschaffen, diese verschlüsseln und für die Wiederfreigabe Lösegeld erpressen. Das ist existenzbedrohend für die Kanzlei, die mit einem Cyberangriff nicht gerechnet hatte und sich bis zu diesem Zeitpunkt auch nicht als Ziel von Kriminellen sah.
Status Quo der IT-Sicherheit in KMU
Wie das Beispiel der Kanzlei deutlich macht: Viele kleine und mittelständische Unternehmen fokussieren sich auf das Kerngeschäft. Auf ihrem Fachgebiet sind sie die Experten, aber sie vernachlässigen die grundlegende IT-Sicherheit, weil sie nicht über das nötige Know-how verfügen. Eine bestmögliche Absicherung vor Cybergefahren ist so nicht möglich.
Wie gravierend das Problem ist und wo die Herausforderungen für KMU liegen, zeigt unsere Umfrage „Wie sind KMU im Bereich IT-Sicherheit aufgestellt?“. Ein Ergebnis: kleine Unternehmen haben kein Bewusstsein für Cyberbedrohungen und sie verfügen nicht über die notwendigen Ressourcen für eine umfassende IT-Sicherheit. Befragt wurden 193 Unternehmen mit bis zu 50 Mitarbeitenden in den Branchen Architektur- und Ingenieursbüros, Anwaltskanzleien, Steuerberater, Wirtschaftsprüfer und Finanzdienstleister.
IT-Sicherheitsmaßnahmen sind kein Beiwerk oder ein „nice-to-have“, sondern die Basis für ein langfristig erfolgreiches Unternehmen – unabhängig von der Anzahl der Mitarbeitenden. Gelungene Angriffe auf kleine und mittelständische Unternehmen sind häufig existenzbedrohend. Zu diesem Ergebnis kommt eine Umfrage des Bundesamtes für Sicherheit in der Informationstechnik im zweiten Halbjahr 2020 zur Lage der IT-Sicherheit im Homeoffice. Ein gut abgesichertes KMU stellt sicher, dass ein Angriff das Geschäft nicht dauerhaft schädigt.
Alarmierende Bedrohungslage trifft auf trügerisches Gefühl der Sicherheit
Für Kriminelle zählt das Motto „Klein und schnell zu haben“. Auch Mittelständler fahren Gewinne ein, die sich sehen lassen können. Und mehrere kleinere Unternehmen ergeben in der Summe ein großes, bei denen Angreifer leichteres Spiel haben. Denn häufig sind KMU nicht so gut geschützt wie große Firmen. Hat ein Unternehmen beispielsweise wie eingangs geschildert die Sicherheitssoftware deaktiviert, fallen ungewöhnliche Prozesse auf dem Rechner nicht so schnell auf und Schadsoftware kann sich unbemerkt ausbreiten.
Die Gefahrenlage ist alarmierend. Das zeigt der G DATA Bedrohungsreport Q1 I 2021 deutlich. Im ersten Quartal 2021 steigerte sich die Anzahl der abgewehrten Angriffe auf Unternehmen um 62 Prozent. Die Infrastruktur der Emotet-Schadsoftware – auch als die Allzweckwaffe des Cybercrime bekannt – gilt zwar seit Januar 2021 als erfolgreich zerschlagen, dennoch gibt es für Unternehmen keine Verschnaufpause. Der inoffizielle Emotet-Nachfolger QBot wurde bei jeder vierten verhinderten Attacke von den Angreifern eingesetzt.
Besorgniserregend ist zudem: Mehr als drei Viertel der befragten Unternehmen unserer Umfrage gaben an, sich von Cyberangriffen nur mittelmäßig bis sehr wenig bedroht zu fühlen, obwohl sie genauso im Visier der Kriminellen sind, wie Konzerne. Sie setzen selbst einfache Maßnahmen gegen Cyberangriffe nur teilweise um. 68 Prozent der Unternehmen nutzen eine Firewall, jeweils knapp zwei Drittel kümmern sich um die E-Mail-Sicherheit und Backups. Eine sichere VPN-Verbindung nutzen weniger als die Hälfte der befragten KMU. Das ist in Zeiten von Homeoffice bedenklich. Denn eine sichere Verbindung zum Unternehmensnetzwerk ist wichtig, bei der die Daten verschlüsselt werden und somit von Unbeteiligten nicht einsehbar sind. Gleiches gilt für die Tatsache, dass nur knapp 40 Prozent der Unternehmen Updates und Patches der genutzten Programme installieren, um Sicherheitslücken zu schließen. Rund 13 Prozent der befragten Unternehmen haben gar keine Endpoint Protection im Einsatz.
Die Umfrageergebnisse machen deutlich: Bei der Umsetzung einfacher Maßnahmen zur IT-Sicherheit besteht im KMU-Segment akuter Handlungsbedarf. Das ist fatal, denn mit einfachen Maßnahmen lässt sich die IT-Sicherheit enorm steigern. Bei einem erfolgreichen Angriff werden häufig genau diese Schwachstellen in Betriebssystemen und Anwendungen ausgenutzt. Die Installation der bereitstehenden Patches ist eine einfache und lohnenswerte Maßnahme, die umgehend für mehr Sicherheit sorgt.
Zeit- Budget- und Personalmangel sind kein Argument gegen IT-Sicherheitsmaßnahmen
Neben dem fehlenden Bewusstsein und unzureichenden Maßnahmen kommen weitere Schwierigkeiten im KMU-Bereich hinzu: Es fehlt an Zeit, Budget und Personal, um weitreichende Sicherheitsmaßnahmen umzusetzen. Das häufigste Argument gegen mehr IT-Sicherheit ist bei Kleinstunternehmen mit bis zu 25 Mitarbeitenden der Personalmangel. Das Kerngeschäft bei Rechtsanwälten, Steuerberatern, Architekten, Wirtschaftsprüfern und Finanzdienstleistern nimmt so viel Zeit in Anspruch, dass für IT-Sicherheit keine Ressourcen mehr vorhanden sind. Dabei verschärft fehlendes Budget noch einmal die Lage.
Hier zeigt sich der Teufelskreis, in dem sich kleine Unternehmen befinden: Sie schätzen die Bedrohungslage gering ein und sehen die existenzbedrohenden Ausmaße eines Angriffs erst dann, wenn es zu spät ist. Die lückenhaft umgesetzten Maßnahmen schützen nicht, sondern tragen lediglich zu dem trügerischen Sicherheitsgefühl bei.
KMU müssen sich bewusst machen, dass sie ein genauso lohnendes Angriffsziel von Cyberkriminellen sind, wie jedes andere Unternehmen auch. Ist die IT-Sicherheit lückenhaft, ist der Vorfall mit fatalen Folgen nur eine Frage der Zeit. Ein Umdenken ist dringend notwendig, denn eine Investition in IT-Sicherheit rentiert sich bereits nach einem einzigen verhinderten Angriff. Kleine und mittelständische Unternehmen können die Umsetzung aber oft nicht alleine bewältigen, sie können aber vom Fachwissen externer IT-Experten profitieren und ihre IT-Sicherheit in deren kompetente Hände geben. Das ist um einiges kostengünstiger, als sich als Unternehmen nach einem Angriff wieder auf ein festes Fundament zu stellen.
Mit IT-Dienstleistern das Kerngeschäft absichern
Der Schock des Angriffs sitzt bei Sebastian Müller und seiner Belegschaft noch tief. Sie haben durch den Vorfall gelernt, wie wichtig es ist, schützenswerte Daten vor Kriminellen gut abzusichern. Unter Zeitdruck kommt schnell Stress auf und die IT-Sicherheit ist nicht das erste woran die Belegschaft von Herrn Müller denkt. Das Kerngeschäft steht klar im Fokus. Eine gemanagte Security Software ist für Kanzleien, wie die von Sebastian Müller eine gute Lösung für mehr IT-Sicherheit. G DATA 365 Essentials schützt umfassend vor Cybergefahren und wird dabei von den Bochumer IT-Experten fortlaufend überwacht und administriert. Der Vorteil: In Zukunft fällt unmittelbar auf, wenn in der kleinen Kanzlei irgendetwas nicht so eingestellt ist oder läuft, wie es sein soll. Aufmerksam geworden ist der Kanzleiinhaber übrigens auf den Cyber-Defense-Spezialisten durch die Auszeichnung IT-Champion – dem vertrauenswürdigsten IT Security Unternehmen Deutschlands.
Ein Bewusstsein für Cybergefahren und die Kenntnis der eigenen Schutzbedürfnisse ist hierbei die Grundlage für die Umsetzung von Maßnahmen in kleinen und mittleren Unternehmen. Es ist sinnvoll, bei dem Thema IT-Sicherheit externe Unterstützung von Systemhäusern oder Dienstleistern zu bekommen. Bei der Hälfte der befragten Unternehmen spielen bereits externe Experten eine Rolle. Sie können grundlegende IT-Sicherheitsmaßnahmen schnell umsetzen und auch beratend zur Seite stehen, denn jedes Unternehmen hat eine ganz individuelle Netzwerkstruktur. Der passende Dienstleister sollte in Hinblick auf die Kompetenzen im Sicherheitsbereich jedoch sorgfältig ausgewählt werden.
Marita Bierhoff
Public Relations Managerin