"Die Ausgaben für IT-Sicherheit steigen weltweit kontinuierlich"

Im Interview erklärt der IT-Sicherheitsexperte Thomas Kress, warum der Cyber Security Gap einen gefährlichen blinden Fleck in der IT darstellt, wie Unternehmen den Realitätsabgleich schaffen und welche Fehler in der Sicherheitsarchitektur besonders häufig übersehen werden.

springerprofessional.de: Herr Kress, warum wiegen sich viele mittelständische Unternehmen beim Thema "IT-Security" in trügerischer Sicherheit?

Thomas Kress: Weil sie die tatsächlichen Risiken oft unterschätzen. Häufig herrscht die Annahme vor, dass gerade kleinere oder weniger bekannte Unternehmen für Cyberkriminelle uninteressant seien. Tatsächlich sind sie jedoch ein beliebtes Ziel, da sie im Vergleich zu großen Konzernen meist weniger gut geschützt sind. Ein weiterer Grund ist das fehlende Bewusstsein für die Vielfalt und Raffinesse moderner Angriffsmethoden wie Phishing oder Social Engineering, die für Laien schwer zu erkennen sind. Hinzu kommt, dass Mittelständler häufig über begrenzte IT-Budgets und wenig spezialisiertes Personal verfügen. Die IT-Sicherheit wird oft mitgemacht, ohne dass es klare Zuständigkeiten oder umfassende Notfallpläne gibt. Veraltete Systeme, unzureichende Backups und fehlende regelmäßige Schulungen der Beschäftigten erhöhen das Risiko zusätzlich. Viele Unternehmen verlassen sich auf Standardlösungen und scheuen Investitionen in moderne Sicherheitsmaßnahmen, weil sie diese als zu teuer oder zu komplex empfinden. Gleichzeitig wächst durch die zunehmende Digitalisierung und Vernetzung die Angriffsfläche – ohne dass die Schutzmaßnahmen entsprechend angepasst werden. All diese Faktoren führen dazu, dass sich viele mittelständische Unternehmen sicher fühlen, obwohl sie tatsächlich besonders gefährdet sind und im Ernstfall oft schlecht vorbereitet reagieren können.

Was sollten Unternehmen tun, um sich einen klaren Überblick über ihre Cyberresilienz zu verschaffen?

Um sich einen klaren Überblick über die eigene Cyberresilienz zu verschaffen, sollten Unternehmen strukturiert und ganzheitlich vorgehen. Ein zentraler Ansatz ist die regelmäßige Bewertung des Reifegrads der eigenen IT-Infrastruktur und -Prozesse anhand etablierter Modelle oder Assessment-Tools. Dabei gilt es, sowohl technische als auch organisatorische Aspekte zu betrachten, wie etwa die Fähigkeit, auf Angriffe zu reagieren, Schwachstellen zu erkennen und sich schnell von Vorfällen zu erholen. Empfehlenswert ist die Nutzung von Cyberresilienz-Scores oder Reifegradmodellen, die auf realistischen Simulationen und Benchmarks basieren. Solche Scores helfen, Defizite bei den Cyberfähigkeiten der Teams zu identifizieren, Qualifikationslücken zu schließen und den Fortschritt im Zeitverlauf messbar zu machen. Dabei werden nicht nur IT-Teams, sondern auch Führungskräfte, Entwickler und Endanwender einbezogen. Entscheidend ist, dass sowohl technische Kompetenzen als auch organisatorische Fähigkeiten wie Krisenmanagement und Entscheidungsfindung bewertet werden. Zu den wichtigsten Maßnahmen zählen die Erstellung eines aktuellen Notfallhandbuchs, das klare Abläufe und Verantwortlichkeiten im Falle eines Sicherheitsvorfalls definiert, sowie regelmäßige und zuverlässige Datensicherungen, um im Ernstfall Datenverluste zu vermeiden. Der Einsatz von Multi-Faktor-Authentifizierung (MFA) schützt Zugänge effektiv vor unbefugtem Zugriff, während moderne Sicherheitslösungen wie Extended Detection and Response (XDR) und Network Detection Response (NDR) helfen, Bedrohungen frühzeitig zu erkennen und automatisiert darauf zu reagieren. Mitarbeiter sollten regelmäßig trainiert werden, da die Gefahren häufig über Phishing-E-Mails eingeschleust werden. Erst wenn diese grundlegenden Schutzmaßnahmen etabliert und im Alltag verankert sind, ist es sinnvoll, über weiterführende und komplexere Strukturen nachzudenken.

Welche Fehler werden in der Sicherheitsarchitektur besonders häufig übersehen?

In der Sicherheitsarchitektur von Unternehmen werden immer wieder bestimmte Fehler übersehen, die gravierende Folgen haben können. Zu den häufigsten zählen schwache und wiederholt verwendete Passwörter sowie der Verzicht auf MFA-Verfahren, wodurch Angreifer leicht Zugang zu sensiblen Systemen erhalten können. Auch fehlende oder unzureichende Risikoanalysen sind ein verbreitetes Problem: Oft werden Bedrohungen und Schwachstellen nicht systematisch identifiziert und bewertet, sodass wichtige Schutzmaßnahmen fehlen. Ein weiterer häufiger Fehler ist die Vernachlässigung der physischen Sicherheit – etwa durch ungesicherte Serverräume oder fehlende Zutrittskontrollen, die es Unbefugten ermöglichen, direkt auf Hardware und Daten zuzugreifen. Schatten-IT stellt ebenfalls ein Risiko dar: Mitarbeiter nutzen nicht genehmigte Anwendungen, die weder überwacht noch in die Backup-Strategie eingebunden sind und häufig nicht den Compliance-Anforderungen entsprechen. Darüber hinaus werden Mitarbeiterschulungen und Sensibilisierung oft vernachlässigt, sodass das Personal Risiken wie Phishing oder Social Engineering nicht erkennt und unbeabsichtigt Sicherheitslücken öffnet. Häufig fehlt es auch an einer vollständigen und klaren Dokumentation der Sicherheitsprozesse sowie an einer kontinuierlichen Überprüfung und Verbesserung der bestehenden Maßnahmen. Schließlich konzentrieren sich viele Unternehmen zu stark auf technische Lösungen und vernachlässigen dabei organisatorische und menschliche Aspekte, was die Wirksamkeit der gesamten Sicherheitsarchitektur deutlich schwächt.

Inwieweit ist eine gute Cybersecurity für Unternehmen eine Frage des Budgets?

Eine gute IT-Sicherheit ist für Unternehmen zwar immer auch eine Frage des Budgets, aber nicht ausschließlich davon abhängig. Die Ausgaben für IT-Sicherheit steigen weltweit kontinuierlich, und viele Unternehmen investieren mittlerweile rund 10 bis 13 Prozent ihres IT-Budgets in Cybersecurity-Maßnahmen. Dennoch zeigt die Praxis, dass nicht allein die Höhe des Budgets entscheidend ist, sondern vor allem dessen gezielte und risikobasierte Verwendung. Unternehmen sollten ihr Budget an den tatsächlichen Risiken und geschäftskritischen Prozessen ausrichten, anstatt pauschal zu investieren. Dazu gehört die Identifikation besonders schützenswerter Systeme, die Bewertung potenzieller Bedrohungen und die Priorisierung der Maßnahmen entlang der eigenen Risikoexposition. Auch gesetzliche Vorgaben und branchenspezifische Anforderungen beeinflussen die Höhe und Verteilung des Budgets maßgeblich. Allerdings belegen Studien, dass viele Unternehmen ihre Mittel nicht optimal einsetzen: Oft werden Sicherheitslösungen nach dem Gießkannenprinzip angeschafft, sodass sich Funktionen überlappen oder Tools aufgrund von Ressourcen- und Kompetenzmangel gar nicht richtig genutzt werden. Besonders in wirtschaftlich schwierigen Zeiten ist es daher wichtig, die bestehenden Investitionen regelmäßig zu überprüfen, zu konsolidieren und auf die wirksamsten Maßnahmen zu konzentrieren. Auch mit begrenztem Budget lässt sich ein hohes Schutzniveau erreichen, wenn Unternehmen ihre Risiken realistisch einschätzen, Prioritäten setzen, bestehende Lösungen optimal nutzen und die Beschäftigten regelmäßig schulen. Letztlich ist Cybersecurity also nicht nur eine Frage des Geldes, sondern vor allem der richtigen Strategie und Priorisierung.

Wie sollten sich Unternehmen verhalten, die mit einem Hackerangriff und einer Lösegeldaufforderung konfrontiert sind?

Wenn ein Unternehmen Opfer eines Cyberangriffs wird, ist es entscheidend, zunächst Ruhe zu bewahren und nicht vorschnell zu handeln. Ob das geforderte Lösegeld bezahlt wird, ist letztlich eine unternehmerische Entscheidung und davon abhängig, wie gut das Unternehmen vorbereitet ist. Wenn keine Backups vorhanden sind, kommt man oft nicht umhin zu zahlen. Es gibt jedoch keine Garantie dafür, dass die Angreifer die Daten tatsächlich entschlüsseln oder nicht weiterverbreiten. Daher sollte man immer Spezialisten und die entsprechenden Stellen bei den Strafverfolgungsbehörden hinzuziehen. Wichtig ist es, betroffene Systeme sofort zu isolieren, um eine weitere Ausbreitung der Schad-Software zu verhindern. Zudem ist es wichtig, einen Krisenstab zu bilden, der alle relevanten internen und externen Ansprechpartner wie IT-Verantwortliche, Geschäftsleitung, Datenschutzbeauftragte, Rechtsberater und gegebenenfalls Versicherer einbindet. Der Vorfall muss sorgfältig dokumentiert und Beweise gesichert werden, ohne voreilig Systeme herunterzufahren, Daten zu löschen oder überstürzte Aktionen zu starten. Spezialisten für IT-Forensik und externe Sicherheitsdienstleister sollten hinzugezogen werden, um den Angriff zu analysieren, Wiederherstellungsoptionen zu prüfen und die nächsten Schritte abzustimmen. Zudem ist es ratsam, den Vorfall bei der Polizei anzuzeigen und die Cyberversicherung zu informieren, falls eine besteht. Die Kommunikation innerhalb des Unternehmens sowie nach außen sollte kontrolliert erfolgen, um Panik zu vermeiden und gesetzlichen Informationspflichten nachzukommen. Nach der Bewältigung des Angriffs ist es unerlässlich, die Sicherheitsmaßnahmen umfassend zu überprüfen und zu verbessern, um zukünftige Angriffe besser abwehren zu können. Entscheidungen, insbesondere bei sensiblen Daten oder der Gefahr einer Veröffentlichung, sollten stets in enger Abstimmung mit Experten und Rechtsbeiständen getroffen werden, um Risiken bestmöglich zu minimieren.