Das Bewusstsein in Deutschlands mittelständischen Unternehmen für die Gefahren von Cyber-Angriffen auf das eigene IT-System und da-mit auf sensible Daten wächst zwar, aber noch immer hoffen viele Firmen, dass sie von solchen Angriffen verschont bleiben – mit der Folge, dass sie unzureichend in die IT-Sicherheit investieren. Der Grund liegt meistens in den damit verbundenen Kosten. Doch besonders für kleine und mittlere Unternehmen kann ein Angriff auf das IT-System schnell viel teurer wer-den als die Kosten für Schutzmaßnahmen dagegen. Die Folgen reichen vom einfachen Datenklau über die Ausspionierung des Unternehmens bis hin zur Erpressung im Falle eines Angriffs mit Schadsoftware (sogenannter Ransomware).

Solche Schadensfälle sind aber vermeidbar. Dazu benötigen Unternehmen allerdings eine umfassende IT-Sicherheitsstrategie, ein sogenanntes Informationssicherheitsmanagementsystem (ISMS). Mit ein paar punktuellen Maßnahmen ist es jedenfalls nicht getan. Ziel muss es sein, das eigene Risiko zu bewerten und geeignete Sicherheitsmaßnahmen zu ergreifen. Und diese müssen regelmäßig auf ihre Aktualität und Effizienz überprüft wer-den. Nötig ist eine Herangehensweise, die die gesamte Organisation des Unternehmens einbezieht und mögliche Veränderungen der Firmenstruktur stets berücksichtigt. Ändert sich also die Struktur des Unternehmens, so muss das oftmals auch eine Änderung des IT-Sicherheitskonzepts nach sich ziehen. Und ebenso wichtig ist, dass sowohl die Unternehmensleitung als auch die Mitarbeiter hinter diesem Sicherheitskonzept stehen, seine Bedeutung verstehen und anerkennen. Denn mehr Sicherheit kann auch mehr Komplikationen bedeuten. Und davon sind in erster Linie die Angestellten betroffen.

Experten raten, dass am Anfang der Ausarbeitung eines Maßnahmenpakets ein Basis-Sicherheitscheck (ISMS-Quick-Check) stehen sollte. Anschließend sollte eine Struktur- und Bedarfsanalyse folgen. Aufgrund dieser Analyse sollte eine umfangreiche und detaillierte Bewertung der Risiken, denen das Unternehmen ausgesetzt ist, erstellt werden. Aus dieser Bewertung wiederum ergibt sich schließlich die Festlegung eines Maßnahmenkatalogs. Er sollte so zusammengestellt werden, dass die Maßnahmen effizient sind, der Aufwand aber im Verhältnis zum möglichen Schaden nicht übertrieben groß wird. Informationen dazu gibt es unter anderem auf der Website des Bundesamtes für die Sicherheit in der Informationstechnik (www.bsi.de).

Wichtig ist, dass der vorhandene Mitarbeiterstamm diese Maßnahmen umsetzen kann. Schulungen der Mitarbeiter sind daher unerlässlich und sollten auch in regelmäßigen Abständen wiederholt werden. Sollte das nicht möglich sein oder der Aufwand zu groß werden, ergibt es Sinn, über eine teilweise oder auch vollständige Auslagerung der Sicherheitsmaßnahmen an einen externen Dienstleister nachzudenken. 

Das alles kostet Geld und ist zeitaufwendig. Andererseits haben Unternehmen mit einem ausgefeilten IT-Sicherheitssystem auch einen Wettbewerbsvorteil gegenüber der Konkurrenz, die darauf möglicherweise nicht verweisen kann. Denn auch Kunden und Geschäftspart-ner werden durch die eigenen Sicherheitsmaßnahmen geschützt – und sie werden das zu schätzen wissen.