Wie „gesund“ ist der Mittelstand wirklich?

Ob zu dick oder zu dünn – oder zu eitel: Als Menschen leiden wir häufig daran, dass Selbst- und Fremdbild nicht übereinstimmen. Warum sollte es Unternehmen anders gehen? Gerade in puncto IT-Security driften Selbst- und Fremdeinschätzung im deutschen Mittelstand auseinander. Allerdings gibt es für Unternehmen die besseren Heilmittel.

Das Bewusstsein für Cybersicherheit in mittelständischen Unternehmen ist angewachsen. Dennoch gibt es immer noch zu viele kleine und mittlere Unternehmen, die sich nicht ausreichend vor Cyberrisiken schützen. Das zeigt der jüngst veröffentlichte „Praxisreport 2021/22 Mittelstand@IT-Sicherheit“ der Initiative „Deutschland sicher im Netz“ (DsiN). Während viele Firmen ihre Abhängigkeit von IT-Security klar erkennen und sogar hoch einschätzen, bleibt ihr Nachholbedarf zur Einführung entsprechender Strategien unvermindert hoch. 

Die Coronapandemie hat Unternehmen vor eine Herausforderung gestellt: Mit der zwangsweisen und schnellen Einrichtung von Telearbeitsplätzen hat die Digitalisierung zwar einen großen Schritt nach vorn gemacht, aber gleichzeitig fehlten die dafür aufgewendeten Ressourcen auf der anderen Seite, um das angeschaffte Equipment und die neu entstandenen Strukturen entsprechend abzusichern. Cyberkriminelle hatten also ein leichteres Spiel als zuvor, als noch nicht so viele, in die Unternehmensnetze eingebundenen Endgeräte außerhalb der sicheren Firmengrenzen unterwegs waren.

42 Prozent, so die Studie, waren in den vergangenen Monaten von sicherheitsrelevanten Vorfällen betroffen. Fünf Prozent haben nach eigenen Aussagen sogar permanent mit Angriffen zu kämpfen. Wohlgemerkt: Das sind die Zahlen aus dem Praxisreport. Also Zahlen von Unternehmen, denen es erstens aufgefallen ist, dass sie angegriffen wurden, und zweitens, die in der Folge auch noch öffentlich zugegeben haben, dass sie angegriffen worden sind. Mit anderen Worten: Die Dunkelziffer der angegriffenen Unternehmen dürfte wesentlich höher liegen!

Erschwerend kommt hinzu, dass die Verdrängung der Gefahrenwahrnehmung voranschreitet. Viele Unternehmen wollen ihr Risiko offenbar gar nicht so genau registrieren: Zwei Drittel begnügen sich entweder mit einer einmaligen Bestandsaufnahme der Risiken oder verzichten komplett darauf. Das kann schon mal gutgehen, muss aber nicht. Für die Unternehmen fällt durch die Coronapandemie der Bedarf an zusätzlichen Schutzmaßnahmen größer aus, er findet aber zu wenig Beachtung, so das Zwischenfazit des Praxisreports. Ein Dilemma.

Die aktuellen Daten deuten laut DsiN „auf eine wachsende Verantwortungsbereitschaft der Führungsebene oder Geschäftsleitungen im Umgang mit IT-Sicherheitsthemen hin.“ Man will offenbar mehr für die Sicherheit tun. Allerdings geben nur 16 Prozent der Unternehmen an, tatsächlich konkrete Maßnahmen zu ergreifen, um eine IT-Sicherheitskultur im Unternehmen zu etablieren. Diese Unternehmen haben ihre Sicherheitskultur unter die Lupe genommen und entsprechende Kommunikationsmaßnahmen eingeführt. Weitere sechs Prozent führen regelmäßige Tests mit der Belegschaft durch. Der Rest nimmt es mit der Sicherheit „nicht so eng“. Bleibt es beim Wunschdenken? 

Gemessen an dem Ziel, dass mindestens die Hälfte aller Betriebe entsprechende Vorkehrungen vornehmen sollte, ist der deutsche Mittelstand noch nicht ausreichend sicher. Der Praxisreport berichtet auch von einem starken Nachholbedarf bei der Etablierung einer unternehmensinternen IT-Sicherheitskultur – verzichtet doch ein Viertel aller Unternehmen auf grundsätzliche Maßnahmen zur Schulung von Mitarbeitenden.

Zusätzlich lässt die technische Weiterentwicklung zu wünschen übrig. Bei den Schutzvorkehrungen für E-Mails wird sogar ein negativer Trend festgestellt. Die gestiegene E-Mail-Kommunikation aus dem Homeoffice heraus sollte eigentlich verstärkte Sicherheitsanstrengungen nach sich ziehen, tut es aber nicht. Die Hälfte aller Unternehmen verzichtet auf Schutzvorkehrungen bei E-Mails und etwa ebenso viele gewähren die private und dienstliche Nutzung von IT-Equipment ohne besondere Vorgaben zur Sicherheit. Die Überprüfung von Schutzmaßnahmen im Homeoffice ist laut Studie sogar rückläufig. Da scheint es fast schon ein Lichtblick, dass das zeitnahe Ausbringen von Software Updates in den Betrieben „nur“ stagniert.

Angesichts der wachsenden Bedrohungen, denen Betriebe unterschiedlichster Größe heute ausgesetzt sind, sollten Unternehmen mit begrenztem Budget zumindest die grundlegendsten Maßnahmen angehen. Hier einige Ansatzpunkte, um Gefahren und Risiken zu minimieren, damit Unternehmen weiter gesund wachsen können:

1. Schwachstellenscans: Einfallstore früh aufdecken und Handlungsbedarf ermitteln
2. Software Updates: Regelmäßig und zeitnah Schwachstellen beheben
3. Backup: Daten regelmäßig sichern und vor Fremdzugriff schützen
4. Dienstleister: Abwehr stärken durch Hilfe von außen
5. Awareness: Mitarbeitende turnusmäßig schulen
6. Notfallplan: Erstellen, proben und bei Bedarf anpassen
7. Cyberversicherung: Rechtzeitig und mit ausreichender Deckung abschließen

Es geht nicht nur darum, besser auf Angriffe durch Hacker oder Ransomware vorbereitet zu sein, sondern auch darum, sich im Schadensfall zu schützen und Folgeschäden zu verringern oder ganz zu vermeiden. Die ersten drei Maßnahmen können durch den Einsatz eines umfassenden Endpoint Management Systems wie der baramundi Management Suite (bMS) unkompliziert und effizient abgedeckt werden.

Wie schon gesagt: Wer nichts tut, kann auch Glück haben und es passiert nichts. Beim Menschen hilft das Ignorieren einer Krankheit manchmal, und sie verschwindet von selbst. Meist ist aber eine ärztliche Untersuchung mit anschließender Therapie besser, als nichts zu tun. Und bei Unternehmen grenzt Nichtstun an Fahrlässigkeit, hängen doch auch die Existenzen von Menschen an einem gesunden, gelebten Security-Konzept. Menschen wie Unternehmen sollten dabei genau hinschauen und immer wieder überprüfen, ob der eigene Eindruck, den man von sich hat, auch noch mit der Wirklichkeit übereinstimmt.