Digitalisierung oder der Einsatz von Künstlicher Intelligenz – diese Entwicklungen können gerade dem deutschen Mittelstand helfen, sich im internationalen Wettbewerb zu behaupten. Doch je digitalisierter die Unternehmen werden, desto größer werden auch die Angriffsflächen für Cyberattacken.
Das Problem ist, dass die meisten Unternehmen erst merken, wie brisant das Thema "Cybersicherheit" ist, wenn sie selbst von einem Angriff getroffen wurden.
anyaberkut / Getty Images / iStock
Meist sind es die großen und spektakulären Angriffe auf Großkonzerne oder auf die kritische Infrastruktur, die die Aufmerksamkeit der Öffentlichkeit auf das Thema "Cybersecurity" lenken. Doch jedes Unternehmen, unabhängig von Größe oder Branche, kann Cyberattacken zum Opfer fallen. Mittlerweile werden Angriffe automatisiert und kostengünstig per Knopfdruck an Millionen Nutzer ausgespielt. Im Mittelstand herrscht häufig noch der Irrglaube, einen selbst würde es schon nicht treffen. Eigene IT-Sicherheitsressourcen bauen solche Unternehmen entweder gar nicht auf oder legen sie in die Hände der in der Regel ohnehin schon überlasteten IT-Abteilung. Doch die allermeisten Angriffe sind völlig ungezielt und treffen ihre Opfer nach dem Zufallsprinzip. Bei der heute am meisten verbreiteten Schadvariante Ransomware heißt es dann "Game Over" – der Betrieb steht still. Das trifft kleine und mittelständische Unternehmen (KMU) meist noch härter als große Konzerne, die sich schon mit dem Fall der Fälle beschäftigt haben.
Neben dem bekannten Weg der Erpressung drohen Kriminelle immer öfter mit der Veröffentlichung. Vertrauliche Daten von Mitarbeitern, Kunden und Lieferanten sind dann plötzlich für alle zugänglich, was Unternehmen schnell in existenzbedrohende Situationen bringt. Wie eine internationale Manager-Umfrage des Versicherers Hiscox zeigt, haben beispielsweise 46 Prozent der Befragten aufgrund einer Attacke Kunden verloren. Wer Sicherheitslücken in seiner IT-Landschaft zuverlässig schließen will, benötigt dafür Know-how und Ressourcen – beides ist vor allem in KMUs allzu oft Mangelware. Hier ist die Unterstützung durch externe Experten angeraten, die mögliche Schwachstellen umfassend analysieren und bei einer effizienten Strategie gegen Bedrohungen unterstützen.
Lieber klein als gar nicht erst starten
Wer von strategischer IT-Sicherheit spricht, meint oft ein Informationssicherheits-Managementsystem (ISMS). Tatsächlich hat ein solches System den Vorteil, alle Aspekte der IT-Sicherheit für das eigene Unternehmen zu betrachten und ein angemessenes Sicherheitsniveau zu erzielen. Praktisch alle Compliance-Vorgaben wie die neue NIS 2 oder TISAX verlangen ein ISMS. Doch der Mittelstand schreckt oft vor dem Aufwand bei Planung und Implementierung zurück. Wer bislang IT-Sicherheit als Nebenaufgabe gesehen hat, fängt in puncto Reifegrad ganz unten an. Ein bis zwei Jahre Zeit für die Einführung eines ISMS mit den damit verbundenen Kosten sind bei vielen einfach nicht drin. Es heißt nicht umsonst: Man kann kein Unternehmen schützen, dass es nicht mehr gibt. Wenn die Kosten für die IT-Sicherheit eine Firma in den Ruin treiben, war der Aufwand nicht angemessen. Das gilt aber auch, wenn ein, mittlerweile alltäglicher, ungezielter Angriff den Betrieb zum Erliegen bringt. Die Abwehr muss zum Risiko passen.
Alle ISMS haben ein Ziel: die IT-Sicherheit auf ein angemessenes Niveau im Vergleich zu ihren Risiken zu bringen. Die Wahrscheinlichkeit, Opfer eines gezielten Angriffs zu werden, ist bei einem mittelständischen Schraubenproduzenten sicher kleiner als bei einem Hersteller von Panzern und Lenkwaffen. Jedes Unternehmen sollte die Risiken ehrlich bewerten, die wichtigsten Maßnahmen für die Top-Risiken treffen und mit einem Resilienzkonzept auf den Ernstfall vorbereitet sein. Spezielle Angebote für den Mittelstand liefern hierzu die passende Hilfestellung.
Ungezielte Attacken passieren häufiger, als die meisten glauben wollen. Zu jeder Zeit klopfen automatisierte Systeme das Internet auf ungepatchte Schwachstellen ab und versuchen sich auf den verwundbaren Systemen einzunisten. In der letzten Zeit haben sich viele Internet-of-Things-Geräte (IoT) dafür empfänglich gezeigt. IoT bietet zwar erhebliche Wertschöpfungspotenziale, eröffnet aber auch neue Einfallstore für Cyberkriminelle. So unterscheiden sich die Lebenszyklen von IT- und Automatisierungsgeräten sehr stark. Automatisierungsanlagen, inzwischen häufig mit netzwerkfähigen Protokollen und Schnittstellen ausgestattet, laufen oft mehrere Jahrzehnte – ohne kontinuierliches Patch-Management. Es ist erschreckend einfach, IoT-Geräte zu finden, zum Beispiel mithilfe einer spezifischen Suchmaschine. Ein Werkzeug des Mittelstand-Digital-Zentrums Chemnitz zeigt auf dieser Basis etwa, welche Webcams in welcher Region mit welchen offenen Ports ungeschützt sind.
Doch nicht nur der Trend zu IoT verschärft potenzielle Sicherheitsrisiken, auch Entwicklungen wie hybrides Arbeiten oder Bring Your Own Device (BYOD) können Kriminellen schnell Tür und Tor öffnen. Experten sind sich einig, dass nur eine Sicherheitsarchitektur, die nach Zero-Trust-Maßgaben ausgerichtet ist, genug Schutz für die nächsten Jahre bietet. Gab es früher ein klares Drinnen und Draußen, orientieren sich die Demarkationslinien heute eher entlang der Identität. Ein zeitgemäßes Identity- und Access-Management (IAM) übernimmt Authentifizierung und Autorisierung der User, wenn diese remote oder innerhalb des Netzwerks auf Ressourcen zugreifen. Zero Trust sollte nicht nur für Personen gelten, sondern auch für Dienste und IoT-Geräte. Nutzer, Geräte und auch Daten sollten auf Basis der Identität, die darauf zugreifen will, unabhängig vom Zugriffsort geschützt werden können.
Ein Element ist dabei absolut und in jeder Umgebung zwingend notwendig: Die Multi-Faktor-Authentifizierung (MFA), bei der Benutzername und Passwort durch einen weiteren Faktor wie eine App oder einen Token komplettiert werden. Auf MFA zu verzichten, stellt das buchstäblich offene Scheunentor dar, während man die Fenster daneben mit Gittern verriegelt. Dazu sollten alle Möglichkeiten ausgenutzt werden, die Anbieter wie Microsoft in den Basislizenzen bieten: Conditional Access, passwortlose Authentifizierung und die Abschaltung von Legacy-Authentifizierungen. Dass Rechte so sparsam wie möglich an Anwender und Admins vergeben und gerade die höher privilegierten Rollen nur zeitbeschränkt zugeteilt werden, sollte ohnehin klar sein.
Unternehmen müssen ihre Cyberresilienz in den Fokus nehmen
Trotz aller Vorsichtsmaßnahmen gilt: Cyberangriffe werden sich niemals ganz vermeiden lassen und irgendwann trifft es jeden. Entscheidend wird sein, wie gut Unternehmen auf den Ernstfall vorbereitet sind. Sie sollten sich rechtzeitig um das Thema "Resilienz" kümmern, was auch Backup-Pläne und Disaster Recovery umfasst. Die IT-Sicherheit sollte integraler Bestandteil der Business-Prozesse sein und in der Verantwortung der Führungsebene liegen, egal um welche Firmengröße es sich handelt.
