Praxisreport: Was KMU für ihre IT-Sicherheit jetzt tun sollten

Der Schutz von Daten und IT-Infrastruktur wird auch für den Mittelstand immer wichtiger. Wie kleine und mittlere Unternehmen ihre IT absichern und wo es Defizite gibt, zeigt der Praxisreport „IT-Sicherheit@Mittelstand“ der Initiative Deutschland sicher im Netz (DsiN).

Mittelständische Unternehmen, die langfristig wettbewerbsfähig, innovativ und resilient bleiben wollen, kommen um eine Digitalisierung ihrer Prozesse und Strukturen nicht herum. Das zeigen Untersuchungen der Förderbank KfW deutlich. Laut Analysen von KfW Research rechnen rund zwei Drittel der deutschen Mittelständler damit, dass sich ihre Kunden zukünftig ganz oder zumindest teilweise digitalen Produkten und Dienstleistungen zuwenden werden. Unternehmen, die die Digitalisierung aktiv vorantreiben, sind zudem innovativer, resilienter gegen Krisen und wettbewerbsfähiger als der Durchschnitt.

Mit der zunehmenden Digitalisierung steigt jedoch auch die Abhängigkeit von verfügbaren und sicheren IT-Infrastrukturen. Gleichzeitig vergrößert sich die Angriffsfläche für Cyberattacken. Welche Auswirkungen das auf den Mittelstand hat, und wie kleine und mittlere Unternehmen (KMU) auf diese Herausforderungen reagieren, untersucht die Initiative Deutschland sicher im Netz (DsiN) seit sechs Jahren in regelmäßigen Abständen. Die aktuellen Ergebnisse sind im DsiN-Praxisreport 2021/2022 „IT-Sicherheit@Mittelstand“ nachzulesen. Aus dem Report lassen sich vor allem folgende Schlussfolgerungen ziehen:

IT-Sicherheit wird für den Mittelstand immer wichtiger: Bei fast der Hälfte der Befragten (49 Prozent) hängen die Betriebsabläufe unmittelbar von der IT-Sicherheit ab. Im Berichtsjahr 2020 waren es noch 38 Prozent. Gut ein Fünftel (21 Prozent) gibt an, der Schutz wichtiger Geschäftsinformationen vor Mitbewerbern, Cyberkriminellen oder staatlichen Spionen sei entscheidend für ihre Wettbewerbsfähigkeit, bei elf Prozent könnte die Veröffentlichung oder der Diebstahl von Daten sogar das Fortbestehen des Unternehmens bedrohen.

Gravierende und existenzbedrohende Angriffe nehmen zu: Über 40 Prozent der befragten Unternehmen waren im Berichtszeitraum von IT-Sicherheitsvorfällen betroffen, bei 17 Prozent führten die Cyberangriffe zu erheblichen oder existenzgefährdenden Schäden – ein Zuwachs von drei Prozent gegenüber dem Vorjahr.

KMU kennen ihre IT-Security-Risiken nicht: Nur 16 Prozent der Befragten evaluieren ihre IT-Sicherheitsrisiken kontinuierlich, 2020 waren es 15 Prozent. Weitere 18 Prozent überprüfen den Security-Status immerhin jährlich, 37 Prozent führen gar kein Risiko-Assessment durch. Im Vergleich zum Vorjahr haben sich diese Werte nicht verändert. 29 Prozent (Vorjahr: 30 Prozent) kennen aufgrund einer einmaligen Bestandsaufnahme zumindest die größten Risiken.

Security Awareness bleibt unzureichend: Fast die Hälfte der Mittelständler (44 Prozent) überlässt es den Mitarbeitern, sich ausreichend über IT-Sicherheitsrisiken zu informieren, knapp ein Viertel (24 Prozent) verschickt gelegentlich sicherheitsrelevante Informationen. Nur 16 Prozent verfügen über verpflichtende Schulungsprogramme, und nur 13 Prozent testen den Erfolg dieser Maßnahmen.

Vorbeugung, Entdeckung, Reaktion – wie gut sind Mittelständer für Cyberattacken gerüstet?

Wie der DsiN-Praxisreport deutlich zeigt, gibt es in vielen mittelständischen Unternehmen noch Nachholbedarf in allen drei Phasen der Cyberabwehr:

Vorbeugung: Ein möglichst umfassender Schutz aller Zugänge, Endgeräte, Server und Netze durch geeignete technische und organisatorische Maßnahmen ist Voraussetzung für eine sichere IT-Infrastruktur. Dabei kommt einer durchgängigen Security-Strategie, die sämtliche Komponenten unterhalb und oberhalb des Betriebssystems umfasst, große Bedeutung zu. Dell und Intel haben deshalb Verfahren und Richtlinien etabliert, die den kontinuierlichen Schutz von Plattformen gewährleisten. Sie umfassen den Entwicklungszyklus, die Sicherheit der Lieferketten, Hardware- und Software-basierte Sicherheitsfunktionen sowie das zeitnahe Schließen von Sicherheitslücken.

Standards wie die ISO/IEC 27001, die Richtlinie VdS 10000, das IT-Grundschutz-Kompendium und die IT-Grundschutz-Profile des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie die „Handreichung zum Stand der Technik in der IT-Sicherheit“ des Bundesverbandes IT-Sicherheit TeleTrust liefern darüber hinaus wichtige Informationen und Hilfestellungen bei der Konzeption und Umsetzung. Leider orientieren sich dem DsiN-Praxisreport zufolge nur 20 Prozent der deutschen Mittelständler an diesen Normen und Dokumenten. Immerhin 13 Prozent haben einen externen auf IT-Sicherheit spezialisierten Dienstleister mit der Auswahl und Implementierung von Schutzmaßnahmen beauftragt.

Entdeckung: 58 Prozent der Umfrageteilnehmer sind nach eigenen Angaben noch nie Opfer eines Cyberangriffs geworden. Dieser hohe Anteil widerspricht anderen Untersuchungen, die von wesentlich höheren Zahlen ausgehen. So waren laut einer Umfrage des Branchenverbands Bitkom im vergangenen Jahr 84 Prozent der befragten Unternehmen von Cyberattacken betroffen, weitere 9 Prozent vermuten dies. Die Diskrepanz legt nahe, dass kleine und mittlere Unternehmen Angriffe oft gar nicht erkennen, was das Risiko langfristiger und schwerer Schäden erhöht. Wie der Cost of Data Breach Report zeigt, werden Cyberangriffe umso teurer, je länger sie unentdeckt bleiben. Zu dieser Vermutung passt die Tatsache, dass nur 36 Prozent der für den Praxisreport befragten Unternehmen Sensoren oder spezialisierte Dienstleister für die Angriffserkennung einsetzen.

Reaktion: Wird ein erfolgreicher Cybereinbruch entdeckt, ist schnelles und überlegtes Handeln entscheidend. Dafür braucht es eine sorgfältige Vorbereitung und regelmäßiges Training der Sicherheitsverantwortlichen und der Mitarbeiter.  Auch hier zeigt sich im Mittelstand noch Nachholbedarf. Nur elf Prozent der von DsiN Befragten trainieren den Ernstfall regelmäßig, weitere elf Prozent haben immerhin spezielle Notfallpläne entwickelt. 44 Prozent verlassen sich auf die Mitarbeiter, die über entsprechende Handlungsanweisungen verfügen, und 34 Prozent wollen Maßnahmen erst dann definieren und anstoßen, wenn es zu einem Angriff gekommen ist.

Fazit: Der Mittelstand braucht Unterstützung

Die IT-Sicherheits-Defizite in mittelständischen Unternehmen sind verständlich. Schließlich kann sich ein kleiner oder mittlerer Betrieb keine große Mannschaft spezialisierter Security-Experten leisten. Ein solches Team benötigt man heute aber, um die immer raffinierteren und gefährlicheren Angriffe entdecken und abwehren zu können. Mittelständler sollten deshalb mit Dienstleistern zusammenarbeiten, die diese Aufgabe übernehmen können. Sie verfügen über die notwendigen Spezialisten und Ressourcen, um einen umfänglichen IT-Schutz zu bieten.

So bietet etwa Dell Technologies mit Managed Detection and Response (MDR) einen umfassenden Managed Security Service. Die IT-Security-Spezialisten von Dell überwachen die Netzwerke und Systeme der Kunden rund um die Uhr, identifizieren und analysieren Anzeichen von verdächtigen Aktivitäten, stoppen Angriffe, bevor sie Schaden anrichten und unterstützen bei der Wiederherstellung kompromittierter Systeme oder verlorener Daten. So erhalten auch mittelständische Unternehmen IT-Sicherheit auf Enterprise-Niveau.