Heute ist jedes Unternehmen, das online Geschäft treibt, ein potenzielles Opfer von Cyberkriminellen. Kleinere (mit weniger als 250 Mitarbeitern) und mittelständische Unternehmen (250 bis 499 Mitarbeiter) trifft es oft als erstes. Darüber hinaus dienen sie mitunter als Sprungbrett und Einfallstor für größere Hacking-Kampagnen. Aus Sicht der Angreifer sind kleine und mittlere Unternehmen (KMU) besonders attraktiv, weil sie in der Regel nur über grundlegende Sicherheitsvorkehrungen verfügen. Zudem besitzen sie meist nicht im selben Umfang Personal und Expertise wie ein Großunternehmen, um einen komplexeren Angriff abzuwehren.
Foto: Makstorm - shutterstock.com
In einer Studie befragte der Netzwerkausrüster Cisco 1.816 Teilnehmer aus 26 Ländern. Die Ergebnisse sind im "Small and Mighty" Cybersecurity Special Report (PDF) zusammengefasst. Demzufolge erlitt mehr als die Hälfte (53 Prozent) der mittelständischen Unternehmen 2018 eine Datenpanne. Größte Sorge besteht bei gezielten betrügerischen Angriffen auf Mitarbeiter (Phishing), neuen Arten von Malware (Advanced Persistent Threat) und Denial-of-Service (DoS)-Attacken, die die Server eines Unternehmens mit so viel Traffic überfluten, dass sie kollabieren.
Cloud-Nutzung erfordert Cloud-basierte Verteidigungsstrategien
Weil sie so attraktive Ziele sind und weil es ihnen in der Regel an sachkundigem IT- oder speziellem Netzwerksicherheitspersonal mangelt, müssen kleinere Unternehmen besonders wachsam sein. Sie müssen kreative Wege finden, um Cyber-Gefahren zu erkennen und abzuwenden. Immer mehr Unternehmen entscheiden sich deshalb dafür, die Vorteile von Cloud-basierten Sicherheitslösungen zu nutzen.
Laut Cisco sagten 2014 55 Prozent der kleineren Unternehmen, dass einige ihrer Dienste in der Cloud gehostet wurden, 2017 waren es bereits 70 Prozent. Die Security-Services sollen flexibel und autark auf Bedrohungen reagieren können. Zudem sollen sie aufgrund von Skaleneffekten einen Bruchteil der Kosten im Vergleich zu On-Premise-Lösungen im Eigenbetrieb mit sich bringen.
Angesichts des weltweiten Fachkräftemangels in der Cybersicherheit lagern viele KMU Leistungen, die Fachexpertise benötigen, aus. Laut der Umfrage nutzen 57 Prozent externe Beratungsleistungen, 54 Prozent lagern Incident Response aus und 51 Prozent beschäftigen externe Dienstleister für Monitoring-Leistungen.
40 Prozent der Befragten waren für mehr als acht Stunden offline
Die meisten KMU verstehen, dass, je komplexer ihre IT-Landschaft ist, die potenziellen Angriffsflächen stärker minimiert werden müssen. So geben beispielsweise 77 Prozent der mittelständischen Unternehmen an, dass sie Probleme hatten, Warnmeldungen zu erfassen und zu bearbeiten. Nur 54 Prozent dieser Warnungen konnte nachgegangen werden. Das bedeutet, dass 46 Prozent der Alerts weiter unter der Oberfläche lodern. Nicht jeder dieser Warnmeldungen birgt Gefahrenpotenzial, aber dort wo es der Fall ist, sind die Konsequenzen mitunter fatal.
Der Bericht von Cisco besagt, dass im Jahr 2018 40 Prozent der Befragten in kleineren Unternehmen (250 bis 499 Mitarbeiter) Ausfallzeiten von acht Stunden oder mehr aufgrund eines größeren Sicherheitsverstoßes zurückzuführen hatten. Zwar litten größere Unternehmen (500 oder mehr Mitarbeiter) auch darunter, sie waren jedoch aufgrund von Ressourcenvorteilen tendenziell besser gewappnet.
Außerdem erlebten 39 Prozent der Befragten einen schweren Sicherheitsverstoß, der mehr als die Hälfte ihrer Systeme betraf. Dies ist insofern bedenklich, da ein Vorfall wie ein Flächenbrand gleich das ganze Unternehmen zum Erliegen bringen kann. Kleinere Unternehmen haben seltener viele verschiedene Standorte oder Geschäftsbereiche und ihre kritischen Systeme sind in der Regel stärker miteinander verzahnt.
Die Wiederherstellung nach einem Cyberangriff ist schwierig und kostspielig
29 Prozent der mittelständischen Unternehmen in der Studie beziffern die Schäden aus einem Cyberangriff auf unter 100.000 Dollar. Weitere 20 Prozent schätzen, dass sich die Schäden zwischen einer Million und knapp 2,5 Millionen Dollar bewegen. Diese Größenordnung kann für ein unvorbereitetes KMU existenzbedrohlich sein.
Auch hierzulande schnellen die Kosten in die Höhe. Laut der Wirtschaftsschutzstudie 2018 (PDF) des Digitalverbands Bitkom wurden sieben von zehn Industrieunternehmen in den vergangenen zwei Jahren Opfer von Sabotage, Datendiebstahl oder Spionage. Die Schäden durch Cyberangriffe für diesen Zeitraum werden mit rund 43 Milliarden Euro beziffert. Wirtschaftssabotage wird zum Massenphänomen. Das Bundesamt für Verfassungsschutz spricht in dem Zusammenhang von einer "alarmierenden Rate, was kleine und mittlere Unternehmen anbelangt."
Sicherheit gewinnt an Bedeutung
Gleichzeitig gewinnt Sicherheit erfreulicherweise inzwischen ebenfalls an Bedeutung. 92 Prozent der mittelständischen Unternehmen haben mittlerweile eine Führungskraft, die für die Sicherheit im eigenen Haus verantwortlich ist, so die Cisco-Studie. 42 Prozent der Mittelständler beschäftigen demnach heutzutage einen Chief Information Security Officer (CISO), weitere 24 Prozent haben einen Chief Security Officer (CSO) eingestellt.
Ebenso ist positiv hervorzuheben, dass nahezu alle (91 Prozent) mittelständischen Unternehmen ihre Incident-Response-Pläne mindestens einmal jährlich im Rahmen von Übungen testen. Fraglich bleibt jedoch, ob Konzepte allein für den Umgang mit Sicherheitspannen eine ausreichende Verteidigungsstrategie darstellen. Die Angreifer scheinen von Tag zu Tag intelligenter zu werden und verbringen viel Zeit damit, neue Ideen auszutüfteln um Schäden anzurichten und Kasse zu machen.
Um mit Cyberkriminellen Schritt zu halten, müssen kleine und mittlere Unternehmen ihre Abwehrkraft weiter verbessern und verstehen, dass selbst kleinere Veränderungen besser sind als gar keine. Die Cyber-Bedrohungslandschaft ist vielfältig. Sie verändert sich ständig und die Angriffsziele nehmen zu. Als Reaktion darauf gilt es, die Sicherheitstechnologien und -strategien auf die gleiche Weise kontinuierlich weiterzuentwickeln. (jd)