Cyber-Attacken können Unternehmen in ihrer Existenz bedrohen. Dennoch wird häufig nicht ausreichend in eine sichere IT investiert. Forschungsprojekte entwickeln derzeit Ansätze, wie sich auch kleine Firmen kostengünstig schützen können.
Hackerangriffe, wie Ransomware, bedrohen auch kleinere Unternehmen.
James Thew / stock.adobe.com
Der sensible Umgang mit Daten wird für Unternehmen immer wichtiger. Die großen Datenmassen, die täglich produziert werden, müssen nicht nur ausgewertet, sondern auch geschützt werden. So steht zum Beispiel das Controlling immer wieder vor der Herausforderung, die richtigen Informationen zu filtern und an die Entscheider weiterzuleiten. Doch was, wenn die Datenqualität nicht stimmt oder nach einem Systemausfall kein Zugriff auf die Daten mehr möglich ist?
IT-Kosten für Datensicherheit
Dies verdeutlicht auch das Ergebnis einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI): Zwar wirkt die Corona-Pandemie wie ein Digitalisierungsturbo. Doch das Thema Sicherheit wird dabei zu wenig berücksichtigt. So nutzen 42 Prozent der Unternehmen ausschließlich eine eigene IT. Und mehr als die Hälfte der Unternehmen geben weniger als zehn Prozent des IT-Budgets für Cyber-Sicherheit aus. Diese Anstrengungen reichen jedoch häufig nicht, meint das BSI. Die Behörde empfiehlt, bis zu 20 Prozent der IT-Ausgaben in die Sicherheit zu investieren.
Welche Kosten tatsächlich in die IT-Sicherheit investiert werden müssen, variiert je nach Größe und Branche des Unternehmens. Diplom-Wirtschaftsinformatiker Patrick Müller ist forensischer Datenanalyst und Dozent in der Executive Education der Frankfurt School of Financen & Managment. Er erklärt gegenüber Springer Professional:
Mehr Budget für die IT-Sicherheit wäre wünschenswert. Welcher Anteil der IT-Ausgaben in die Sicherheit investiert werden sollte, hängt vermutlich auch von der Unternehmensgröße ab. Es ist gut möglich, dass der Anteil geringer wird, je größer das Unternehmen ist, wenn sich Skaleneffekte einstellen. Zudem hängen IT-Ausgaben und -Risiken natürlich stark vom Geschäftsmodell, der Systemrelevanz und der IT-Infrastruktur ab."
Lücken in der IT-Sicherheit beschädigen Geschäft und Image
Wie gravierend Sicherheitslücken sein können, zeigen jüngste Beispiele:
- Ein Cyber-Angriff auf die Supermarktkette Tegut sorgte für leere Regale. Betroffen war das Warenwirtschaftsprogramm: Laut dem Handelsunternehmen wurden alle E-Mail-Server vom Netz genommen und Teile der Website deaktiviert.
- Die Madsack-Mediengruppe musste nach einer Cyber-Attacke einige Zeitungen als Notversionen drucken.
- Nach einem Hackerangriff auf eine Pipeline musste die USA den Notstand ausrufen. Die wirtschaftlichen Folgen für betroffene Unternehmen, Bürger und die Politik sind auch in diesem Fall kaum absehbar.
Im Zusammenhang mit Angriffen von Hackern fällt immer häufiger der Begriff Ransomware: Das IT-System kann hierdurch verschlüsselt werden. Im schlimmsten Fall hat das Unternehmen auf seine eigenen, sensiblen Daten keinen Zugriff mehr. Und häufig wird für die Entschlüsselung ein Lösegeld gefordert. Das Unternehmen hat also praktisch von einer Sekunde auf die nächste einen Totalausfall - ohne Vorwarnung. Darauf vorbereitet sind die wenigsten Firmen. Dabei können die finanziellen Schäden durch Cyber-Kriminelle ein Unternehmen in eine Krise stürzen. Präventionsmaßnahmen werden daher von Fachleuten dringend empfohlen.
Mitarbeiter für IT-Sicherheit sensibilisieren
Informatikexperte Müller weist darauf hin, dass beim Thema Datensicherheit aber auch die IT-spezifische Mitarbeiterweiterbildung wichtig ist: "Eine Gefahr für die IT-Landschaft kann auch durch die eigenen Mitarbeiter entstehen, wenn diese nicht ausreichend geschult wurden. Dabei geht es nicht nur darum zu wissen, wo die Risiken liegen und was vermieden werden soll, sondern auch wie dies erkannt oder geprüft werden kann."
Viele betrügerische Mails seien heute vordergründig so raffiniert erstellt, "dass wir uns in der täglichen Arbeit schnell täuschen lassen und doch einen Anhang öffnen oder einen Link anklicken, obwohl wir die Mitarbeiteranweisung kennen und wissen, dass wir nur Links und Anhänge von vertrauenswürdigen Absendern öffnen sollen". Praktische IT-Tricks zum Prüfen der Absender-Domäne oder des tatsächlichen Hyperlink-Ziels seien Müller zufolge eine schnelle und kostengünstige Maßnahme zur Erhöhung der gelebten IT-Sicherheit.
Cyber-Attacken bedrohen Existenz kleiner Unternhmen
Dabei geraten nicht nur Großunternehmen in den Fokus von Kriminellen. Die wirtschaftlichen Folgen können für vor allem kleine Unternehmen hart treffen, wie die BSI-Analyse zeigt. Der zufolge hat eine von vier Cyber-Attacken für Unternehmen mit weniger als 50 Mitarbeitern existenzbedrohende Folgen. Dennoch werden häufig einfache und kostengünstige Sicherheitsmaßnahmen, wie beispielsweise Mobile Device Management, nicht ausreichend umgesetzt.
Stefanie Ziegler stellt in ihrem Beitrag "Typisierte Maßnahmenpläne für IT-Sicherheit im Mittelstand" fest:
Kleine und mittlere Unternehmen sind ein häufiges Angriffsziel von Cyber-Kriminalität. Um sie zur Umsetzung von IT-Sicherheit zu motivieren, müssen die geeigneten Maßnahmen auf ihre Bedürfnisse zugeschnitten werden."
Neue Ansätze zur IT-Sicherheit kommen aus der Wissenschaft
Ziegler weist in ihren Ausführungen auf eine Arbeit der Hochschule Mannheim hin. Diese hat im Rahmen der Transferstelle IT-Sicherheit im Mittelstand (TISiM) einen speziell für diese Zielgruppe kuratierten und niedrigschwellig aufbereiteten Maßnahmenkatalog entwickelt. "Ziel des Maßnahmenkataloges ist es, aus der Fülle von bestehenden, teils komplexen Anforderungen an die IT-Sicherheit von Organisationen Maßnahmen zu identifzieren und so anzupassen, dass sie für KMU verständlich sind. Die einzelnen Maßnahmen sollen auf ein Niveau heruntergebrochen werden, auf dem sie schnell, unkompliziert und in einem ersten Schritt auch ohne externe Hilfe von Fachexperten realisiert werden können."
Die Wissenschaft hat also den dringenden Handlungsbedarf erkannt und versucht, für Unternehmen neue Ansätze zu entwickeln. Aktuell ist hierzu ein spannendes neues Forschungsprojekt an den Start gegangen. Das Bundesministerium für Bildung und Forschung (BMBF) unterstützt Forschungsvorhaben mit Blick auf die ökonomischen Aspekte von IT-Sicherheit und Privatheit als eigenen Forschungsschwerpunkt.
Forscher entwickeln Ansatz zur Bewertung der IT-Sicherheit
Hierzu gehört das vom Wirtschaftsinformatiker Günther Pernul, Professor an der Universität Regensburg, koordinierte Projekt DEVISE, das mit insgesamt 1,6 Millionen Euro ausgestattet wurde. Der Projektname steht für "Datenqualitätsmanagement zur Verbesserung der Informationssicherheit". Zielsetzung der Regensburger Forscher ist die Entwicklung eines umfassenden Bewertungsmodells zur Bestimmung, Einordnung und Verbesserung von Sicherheitsdaten.
Entstehen soll ein innovativer Ansatz, mit dessen Hilfe ein vernetztes, unternehmensweites Lagebild der IT-Sicherheit dargestellt werden kann. Typische, unterschätzte Fehlerursachen bei der betrieblichen Datenerfassung und Informationsverarbeitung, die in engem Bezug zu IT-Sicherheitsrisiken und Abwehrmechanismen stehen, sollen ermittelt werden.
Die so gewonnen Erkenntnisse könnte Grundlage für ein Bewertungsmodell werden, dass Unternehmen helfen kann, Gefahren frühzeitig zu erkennen, unter ökonomisch sinnvollem Ressourcenaufwand zu identifizieren und zu eliminieren. Damit ließe sich das IT-Sicherheitsniveau unter Berücksichtigung der Kostenaspekte deutlich steigern.