"Die Angreifer arbeiten heute oft hochautomatisiert"

Warum nicht nur Konzerne, sondern auch Unternehmen aus dem Mittelstand im Fokus von Cyberkriminellen stehen und wie sie sich vor Angriffen schützen können, erläutert IT-Experte Jörn Runge im Interview.

springerprofessional.de: Herr Runge, warum stehen kleine und mittelständische Unternehmen (KMU) zunehmend im Visier von Cyberkriminellen?

Jörn Runge: Mittelständische Unternehmen geraten zunehmend ins Visier von Cyberkriminellen, weil sie aufgrund ihrer Größe zu einer schlechten Sicherheitslage neigen, gleichzeitig aber genauso abhängig von einer funktionierenden IT sind wie große Unternehmen und häufig ebenfalls sensible Daten verarbeiten, die nicht an die Öffentlichkeit gelangen sollen. Es ist in der Regel also weniger Aufwand nötig, sie zu kompromittieren – gleichzeitig ist das, was zu holen ist, trotzdem wertvoll. Hinzu kommt: Die Angreifer arbeiten heute oft hochautomatisiert. Sie durchforsten das Internet gezielt nach Schwachstellen, zum Beispiel nach offenen Remote-Desktop-Zugängen, veralteten Systemen oder schlecht geschützten E-Mail-Accounts. Wer hier keine grundlegenden Schutzmaßnahmen trifft, wird schnell zum Opfer – nicht, weil ein Angriff gezielt geplant wurde, sondern weil ein Massenangriff zufällig erfolgreich war. Außerdem ist für Cyberkriminelle der Druck auf KMU oft besonders lohnend: Ein mittelständisches Unternehmen kann sich einen längeren Ausfall schlicht nicht leisten und ist deshalb bereit, im Falle eines Angriffs zum Beispiel ein hohes Lösegeld für die Entschlüsselung seiner Daten zu zahlen, Stichwort: Ransomware.

Wo finden sich die häufigsten Schwachstellen in KMU, die zum Einfallstor für Cyberangriffe werden können?

Am liebsten würde ich mit etwas Technischem beginnen, aber tatsächlich steht und fällt alles mit dem Faktor Mensch. In nahezu allen Unternehmen fehlen grundlegende Schulungen zum Thema "Cybersecurity", was dazu führt, dass Mitarbeitende besonders anfällig für Phishing, Social Engineering oder den unachtsamen Umgang mit sensiblen Daten sind. Schon ein einziger Klick auf einen schadhaften Link oder ein Moment der Unaufmerksamkeit kann genügen, damit Angreifer Zugang erhalten. Technisch betrachtet zeigen sich die häufigsten Schwachstellen bei KMU häufig an sehr einfachen Dingen: Veraltete Software bleibt im Einsatz, weil Updates aufgeschoben oder vergessen werden. Passwörter sind oft zu simpel oder werden mehrfach verwendet, sodass Angreifer mit wenig Aufwand Zugang zu wichtigen Systemen erhalten. In vielen Unternehmen ist das Netzwerk so aufgebaut, dass ein erfolgreicher Angriff sich schnell auf andere Systeme ausweiten kann, weil keine sinnvolle Abgrenzung zwischen sensiblen und weniger sensiblen Bereichen existiert. Ein weiteres Problemfeld ist die vermeintliche Sicherheit durch Backups. Viele verlassen sich darauf, ohne regelmäßig zu überprüfen, ob diese Sicherungen tatsächlich funktionieren oder im Notfall nicht ebenfalls vom Angriff betroffen wären. Um sich wirksam zu schützen, benötigen Unternehmen eine Sicherheitsstrategie, die auf mehreren Ebenen greift und kontinuierlich weiterentwickelt wird. Moderne Schutztechnologien wie Antivirus-Systeme mit EDR-Funktionen sind hier ebenso entscheidend wie die regelmäßige Schulung der Mitarbeitenden und eine klare IT-Strategie, die technische und organisatorische Maßnahmen sinnvoll verbindet. Erst wenn Technik und Mensch zusammenspielen, wird aus IT-Sicherheit ein wirksamer Schutzschirm für das Unternehmen.

Welche Schutzmaßnahmen sind insbesondere im Mittelstand sinnvoll, um besser vor solchen Attacken gewappnet zu sein?

Besonders sinnvoll sind Maßnahmen, die wenig Aufwand und Geld kosten, gleichzeitig aber viel Sicherheit bringen. In der Regel sind das zum Beispiel Schulungen für die Mitarbeitenden, eine Multi-Faktor-Authentifizierung für alle Benutzeraccounts und eine geeignete Sicherheitsstrategie, die gemeinsam mit einem Partner erarbeitet und langfristig verfolgt wird. IT-Sicherheit ist immerhin kein Projekt, sondern ein Prozess. Weitere einfache und wirksame Schutzmaßnahmen sind:

• Regelmäßige Backups: Automatisierte Datensicherungen sorgen dafür, dass im Notfall schnell wiederhergestellt werden kann. Sei es nach einem Angriff oder einem technischen Defekt.
• Updates und Patches: Betriebssysteme und Programme müssen stets auf dem aktuellen Stand sein. Sicherheitslücken, die durch veraltete Software entstehen, sind ein häufiges Einfallstor für Angreifer.
• Starke Passwörter und Passwort-Manager: Schwache Passwörter sind nach wie vor eine der häufigsten Ursachen für erfolgreiche Angriffe. Ein Passwort-Manager hilft, starke und unterschiedliche Passwörter für alle Accounts zu nutzen.
• Vernünftige Zugriffsrechte: Nicht jeder Mitarbeitende braucht Zugang zu allen Daten oder Systemen. Das Prinzip der minimalen Rechte ("Need to know") senkt das Risiko erheblich.

Ganz wichtig: All diese Maßnahmen wirken vor allem dann, wenn sie konsequent und regelmäßig umgesetzt werden. Es reicht nicht, einmal im Jahr eine Schulung zu machen oder ein Backup zu fahren. IT-Sicherheit muss Teil der täglichen Routine im Unternehmen werden, und zwar auf allen Ebenen, vom Praktikanten bis zur Geschäftsführung. Niemand muss das allein schaffen. Es gibt zahlreiche spezialisierte Dienstleister und Beratungen, die den Mittelstand gezielt und bedarfsgerecht unterstützen können – gerade, wenn keine eigene IT-Abteilung vorhanden ist.

Inwieweit sollten IT-Sicherheit und Digitalisierung im deutschen Mittelstand Hand in Hand gehen?

IT-Sicherheit und Digitalisierung müssen im deutschen Mittelstand unbedingt Hand in Hand gehen. Die Digitalisierung bietet enorme Chancen: Prozesse werden effizienter, neue Geschäftsmodelle entstehen, Kunden können besser erreicht werden. Aber mit jedem Schritt in die digitale Welt wachsen auch die Risiken. Daten, Systeme und Prozesse werden angreifbar – erneut Stichwort Ransomware, Phishing oder Datendiebstahl. Gerade im Mittelstand sehen wir häufig, dass die Digitalisierung nun mit hohem Tempo angegangen, IT-Sicherheit aber als Bremser wahrgenommen wird. Das ist ein Fehler. Wer Sicherheit erst nachträglich integriert, zahlt im Zweifel doppelt: finanziell und im Vertrauensverlust bei Kunden oder Partnern. Digitalisierung ohne IT-Sicherheit ist wie Autofahren ohne Bremsen: Geht schon, ist aber extrem riskant. Mein Rat: IT-Sicherheit sollte von Anfang an Teil jeder Digitalisierungsstrategie sein. Das beginnt bei der Auswahl von IT-Systemen und reicht bis zur Schulung der Mitarbeiter. Sicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess, der mit der Digitalisierung mitwachsen muss. Nur so kann der Mittelstand die Vorteile der Digitalisierung wirklich sicher und nachhaltig nutzen.

Nicht nur Cyberangriffe, auch IT-Probleme können KMU massiv schaden. Haben Betriebe diese Problematik auf dem Schirm?

Viele kleine und mittlere Unternehmen (KMU) unterschätzen nach wie vor die Risiken, die sowohl von Cyberangriffen als auch von "klassischen" IT-Problemen ausgehen. Im Fokus stehen oft die spektakulären Hackerangriffe, aber Ausfälle durch Hardwaredefekte, Softwarefehler, fehlerhafte Updates oder auch menschliches Versagen können genauso existenzbedrohend sein. Viele Betriebe haben diese Problematik nicht ausreichend auf dem Schirm und sind nicht darauf vorbereitet. Die IT wird häufig als unterstützende Infrastruktur betrachtet, aber nicht als zentraler Teil des Geschäftserfolgs. Das zeigt sich auch daran, dass IT-Sicherheit und IT-Resilienz oft erst dann wirklich ernst genommen werden, wenn bereits ein Schaden entstanden ist. Dabei könnte man beispielsweise mit einem passenden Backup-Konzept, Notfallplänen und regelmäßigen Updates vielen Problemen vorbeugen. Man muss sich nur vorstellen, was es das eigene Unternehmen kosten würde, wenn die IT für zwei Wochen komplett ausfällt. Die meisten möchten sich das gar nicht ausmalen – Umsatzausfälle, Stillstand in der Produktion, verärgerte Kunden, Imageschäden. Im Vergleich dazu ist nahezu jede Investition in IT-Sicherheit und stabile IT-Strukturen ein "Schnäppchen". Gerade diese einfache Rechnung wird in der Praxis oft unterschätzt, dabei ist sie entscheidend für den langfristigen Unternehmenserfolg.