Cybersecurity bei KMU: Wie Mittelständler sich gegen wachsende Bedrohungen schützen können
Von Phishing bis Ransomware: Der Bundesverband Mittelständischer Wirtschaft (BVMW) und Cybersecurity-Experte Andreas Rohr (DCSO GmbH) zeigen, welche Sicherheitslücken für KMU bestehen und welche Maßnahmen sinnvoll sind.
Cybersicherheit ist längst kein Thema mehr, das ausschließlich Großkonzerne betrifft. Mittelständische Unternehmen (KMU) geraten zunehmend ins Visier von Cyberkriminellen, da sie oft lukrative Ziele mit relativ schwacher Verteidigung sind. Im Interview mit Andreas Rohr, Geschäftsführer der Deutschen Cybersicherheitsorganisation (DCSO), beleuchten wir die zentralen Herausforderungen für KMU, analysieren die größten Schwachstellen und zeigen, welche Maßnahmen Sie ergreifen können, um sich wirksam zu schützen. Angesichts wachsender Bedrohungen und immer raffinierterer Angriffe zeigt sich: Cybersicherheit ist kein Luxus, sondern eine unverzichtbare Notwendigkeit – insbesondere für den Mittelstand.
Wie gut sind mittelständische Unternehmen über aktuelle Cybergefahren informiert?
Know-how über Cybersicherheit und Informationen zu Sicherheitsvorfällen sind grundsätzlich verfügbar, damit Unternehmen adäquate Gegenmaßnahmen planen und umsetzen können. Gespräche mit IT-Fachkräften aus mittelständischen Betrieben offenbaren jedoch häufig ein anderes Problem: Es mangelt entweder an der Zeit oder der nötigen Expertise, um diese Informationen korrekt zu analysieren und in konkrete Maßnahmen umzusetzen. Diese Lücke stellt eine zentrale Herausforderung dar, wenn es darum geht, die Cybersicherheit im Unternehmen nachhaltig zu stärken.
Inwieweit helfen gesetzliche Vorgaben wie die DSGVO bei der Cybersicherheit von KMU?
Regulierungen auf EU-Ebene, wie die Datenschutzgrundverordnung (DSGVO) oder die NIS2-Richtlinie, zielen primär darauf ab, Unternehmen dazu zu bewegen, sich angemessen mit den notwendigen Sicherheitsthemen zu beschäftigen. Das allein schafft jedoch keine umfassende Sicherheit. Die Vorgaben bieten jedoch wertvolle Orientierungshilfen, welche Maßnahmen Unternehmen ergreifen sollten, um ihre Schutzmechanismen zu stärken. Es ist sinnvoll, diese Orientierung zu nutzen, auch wenn Unternehmen nicht direkt von diesen Vorgaben betroffen oder zur Umsetzung verpflichtet sind.
Diese Regulierungen, ergänzt durch Initiativen wie den Cyber Resilience Act, fördern einen systematischen und ganzheitlichen Ansatz zur Verbesserung der Cybersicherheit. Sie verdeutlichen, welche Schritte effektiv sind, um die eigene Sicherheitslage zu optimieren. Die Orientierung an diesen Vorgaben ist daher nicht nur empfehlenswert, sondern sollte Teil einer vorausschauenden und durchdachten Unternehmensstrategie sein.
Was können Unternehmer konkret tun, um sich vor Cyberangriffen zu schützen?
Die wirksamsten Schritte, die ein mittelständisches Unternehmen – oder jede andere Organisation – ergreifen kann, bestehen darin, die Sicherheit der eigenen Systeme zu gewährleisten und die Sensibilisierung der Mitarbeiter zu stärken.
- Systeme stets aktuell halten: Alle eingesetzten Systeme sollten regelmäßig auf den neuesten Stand gebracht werden, indem Sicherheitsupdates und Patches zeitnah eingespielt werden. Angreifer suchen gezielt nach öffentlich bekannten Schwachstellen, um diese auszunutzen. Durch regelmäßige Updates schließen Unternehmen potenzielle Angriffsflächen und erschweren Angreifern erfolgreiche Zugriffe erheblich.
- Detektion und Reaktionsfähigkeit: Neben aktuellen und gut gesicherten Systemen sollte man davon ausgehen, dass Angreifer initial einen Weg finden könnten, beispielsweise ein Nutzersystem oder einen Dienst trotz Sicherheitsmaßnahmen erfolgreich zu übernehmen. Das ist wie bei einem guten Zaun um ein Betriebsgelände, nach dessen Überwindung man zusätzlich Kameras oder Bewegungsmelder einsetzt, um über unbefugte Personen frühzeitig alarmiert zu werden. In der Security sind das Systeme zur Angriffserkennung (SzA, wie das BSI – Bundesamt für Sicherheit in der Informationstechnik – es fordert). Achten Sie darauf, entweder selbst oder durch einen Dienstleister die Alarme rund um die Uhr zu analysieren und Gegenmaßnahmen zu ergreifen.
- Mitarbeiterschulungen: Die Schulung der Mitarbeitenden im Umgang mit Phishing-E-Mails ist essenziell. Neben der Vermittlung typischer Merkmale solcher Nachrichten sollten Mitarbeitende praktische Werkzeuge und Methoden erhalten, um legitime E-Mails von betrügerischen zu unterscheiden. Es ist außerdem wichtig, Mitarbeitende zu ermutigen, bei verdächtigen E-Mails Rückfragen zu stellen. Da Phishing-Angriffe immer raffinierter werden und oft kaum von echten Nachrichten zu unterscheiden sind, ist diese Sensibilisierung ein unverzichtbarer Bestandteil einer ganzheitlichen Cybersicherheitsstrategie.
Welche neuen Technologien könnten KMU helfen, ihre Cybersicherheit zu verbessern?
Die Frage, ob Technologien – insbesondere moderne, auf künstlicher Intelligenz basierende Lösungen – zur Verbesserung der Cybersicherheit beitragen können, ist berechtigt. Es ist wahrscheinlich, dass durch den gezielten Einsatz solcher Technologien ein höheres Sicherheitsniveau erreicht werden kann. Technologien, die dabei helfen, Anomalien zu erkennen und zu prüfen, ob es sich um einen Angriff handelt, sollten bevorzugt eingesetzt werden. So kann man bei zeitnaher Behandlung reagieren und größeren Schaden verhindern. Dennoch sind Technologien allein nicht ausreichend. Entscheidend ist ein ganzheitlicher Ansatz, der Mitarbeitende, die IT-Abteilung, externe Dienstleister und genutzte Cloud-Dienste sinnvoll miteinander verknüpft. Neue Technologien lediglich zu erwerben, weil sie verfügbar sind, führt selten zum gewünschten Erfolg. Stattdessen sollte eine Auseinandersetzung erfolgen, wie bestehende (Betriebs-)Prozesse genutzt und erweitert werden können, um den Mehrwert von Technologien zu erhalten. So ist es im übertragenen Sinne nicht sinnvoll, beispielsweise ein Gepäckkontrollgerät zu beschaffen, ohne die Fähigkeit zu besitzen, Verdachtsfälle zu bewerten.
Wie bleiben KMU mit begrenzten Ressourcen auf dem neuesten Stand?
Unternehmen sollten sich zunächst darauf konzentrieren, die grundlegenden Aufgaben im Bereich der Cybersicherheit zu bewältigen, bevor sie zukünftige Entwicklungen ins Auge fassen. Oft ist es sinnvoll, Standardaufgaben wie E-Mail- oder Endgeräteverwaltung an spezialisierte Anbieter auszulagern, anstatt sie selbst zu betreiben. So kann man sich auf die eigenen Kerndienstleistungen in der IT fokussieren. Ergänzend sollte ein Anbieter hinzugezogen werden, dessen Kernkompetenz in der Einrichtung und dem Betrieb von Angriffserkennung und -analyse liegt.
Die Absicherung von KI-Anwendungen unterscheidet sich grundlegend von klassischen Sicherheitsmaßnahmen und erfordert besondere Aufmerksamkeit. Unternehmen müssen sich intensiv mit den spezifischen Risiken auseinandersetzen, um potenzielle Probleme zu vermeiden und die Sicherheit sowie Integrität der Kundeninteraktionen sicherzustellen.
Plant man den Einsatz von KI-Tools, etwa zur Unterstützung bei Kundeninteraktionen, beispielsweise durch die Bereitstellung von Informationen aus Datenbanken, Hilfestellung bei Wartungsarbeiten an Maschinen oder die Lösung von Fehlermeldungen, sollte ein Projekt angedacht werden, das auch neuartige Sicherheitsaspekte berücksichtigt. Setzt man beispielsweise eine sogenannte "Conversational AI" wie ChatGPT ein, mit der Kunden direkt kommunizieren, müssen die bereitgestellten Informationen sorgfältig gegen Manipulation geschützt werden. Andernfalls könnten unerwünschte Szenarien entstehen, etwa wenn die KI indirekt empfiehlt, Ersatzteile bei einem Konkurrenten zu erwerben.