^{Prof. Dr. Claudia Eckert, Securityspezialistin und Institutsleiterin am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC}

Je stärker Digitalisierung und Vernetzung voranschreiten, desto größer sind die Angriffsflächen für Cyberkriminelle. Frau Prof. Dr. Eckert: Wie sieht die aktuelle Bedrohungslage für den deutschen Mittelstand aus?
Phishing-Attacken, Identitäts- und Passwortdiebstahl sind nach wie vor ein wichtiges Thema. Auch Ransomware, die häufig mit gestohlenen Identitäten eingebracht wird, und die Kunden- oder Produktionsdaten auf der eigenen Festplatte verschlüsselt, um sie erst gegen Zahlung wieder freizugeben. Wenn so ein Angriff erfolgreich ist, kann alles zum Erliegen kommen. Und dagegen muss man sich wehren. Social Engineering spielt bei den Bedrohungen auch für den Mittelstand eine große Rolle, denn der Mensch ist ein schwaches Glied in der Sicherheitskette und wird leichtes Einfallstor für Angriffe.

Remote Work und Homeoffice scheinen diese Problematik verschärft zu haben.
Wenn Geräte nicht innerhalb der Unternehmensschranken, sondern von außen genutzt werden, fließen Daten ungeschützt, es sei denn, der Zugriff erfolgt über eine gesicherte VPN-Verbindung. Regelmäßige Back-ups werden in diesem Bereich leider häufig übersehen. Zudem wachsen Business-IT und OT zusammen. Wenn keine natürlichen Grenzen mehr da sind, wenn alle Unternehmensbereiche durch eine Vernetzung nach außen geöffnet werden, wird immer auch ein Zugang erschaffen. Dann ist nicht mehr nur die Vertraulichkeit von Daten gefährdet, sondern auch die Verfügbarkeit physischer Prozesse.

Wie kann ich meinen Betrieb sinnvoll schützen?
Zugang sichern, Daten sichern, Virenschutz und einen regelmäßigen Update-Zyklus für alle Geräte – auch für die mobilen und externen im Homeoffice - einbringen. Die 2-Faktor-Authentifizierung aus Passwort und zusätzlicher Smart Card oder Token ist das Mittel der Wahl, um Identitätsdiebstahl durch Phishing in den Griff zu bekommen.

Bevor man aber anfängt, eine neue Technik einzukaufen, sollte man sich zunächst klar machen: Was habe ich an IT im Einsatz, welches sind die schützenswerten Güter? Um dann daraus abzuleiten, wo und wie hoch der Schutzbedarf je Bereich ist. Eine Analyse* ist die Basis, um zu erkennen, was für den eigenen Betrieb das Richtige ist und woran sich das Kosten-Nutzen-Verhältnis orientieren sollte. Nicht jeder Mittelständler ist ein Hochsicherheitsunternehmen. Abwägen, gut durchdenken und gemeinsam mit Expertinnen und Experten so konfigurieren, dass es für die Mitarbeitenden im Arbeitsalltag praktikabel ist und akzeptiert wird.

Wo sehen Sie die Politik in der Pflicht?
Nicht so sehr in Gesetzesvorgaben oder Regularien, eher im Sinne einer Fürsorgepflicht und als Impulsgeber. Die Einkaufspolitik der öffentlichen Hand ist z. B. ein großer Bedarfsträger von IT. Hier würde ich mir wünschen, dass bestimmte Mindeststandards eingefordert werden, die Hersteller zur Entwicklung besserer Systeme motivieren, die so leichter zum Standard für den Massenmarkt werden. Zudem sollten Qualifizierungsangebote besser auf den Bedarf des Mittelstands zugeschnitten sein; Zertifizierungen oder Labels für eine leichtere Orientierung eingeführt oder auch die Kosten für eine Sicherheitsbasis-Analyse übernommen werden. Es müssen mehr Angebote geschaffen werden, um die Hürde für KMU so gering wie möglich zu machen.
*In diesem Zusammenhang empfiehlt das Fraunhofer AISEC den „Leitfaden zur Basis-Absicherung nach IT-Grundschutz“ des Bundesamtes für Sicherheit und Informationstechnik (BSI), der Betriebe für eine erste Eigen-Analyse systematisch durch einen Fragenkatalog leitet.

Das Fraunhofer AISEC ist wichtiger Innovationstreiber für digitale Transformationsprozesse. Über 120 Mitarbeiter arbeiten an Sicherheitskonzepten und -Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor, insbesondere um Organisationen in ihrer Beurteilungsfähigkeit zu unterstützen.