Claudia Eckert, Leiterin Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, Foto: Presse

Wie steht der deutsche Mittelstand bezüglich der IT-Sicherheit da?

Claudia Eckert: Das Bewusstsein für die Gefahr durch Cyber-Kriminelle ist in letzter Zeit deutlich gewachsen und eigentlich inzwischen weit verbreitet im Mittelstand. Es gibt ja auch eine Reihe von Initiativen, zum Beispiel des Bundeswirtschaftsministeriums, die darauf hinweisen. Aber die Kenntnis, was sie konkret gegen die Gefahr tun müssen, ist leider nach wie vor bei vielen Mittelständlern noch nicht so weit verbreitet. Viele wissen also, dass sie gefährdet sind, sie wissen aber nicht, wie sie sich effektiv gegen die Gefahr wehren können. Meiner Einschätzung nach sind hier weitere Initiativen wichtig, die genau diese Unsicherheit beim Mittelstand beseitigen und konkretere Hilfestellungen bieten.

Wovon hängt es ab, welcher Kenntnisstand vorherrscht?

Ein Unternehmer, der mit der Digitalisierung schon weiter vorangeschritten ist, hat meistens auch mehr Wissen über die notwendigen Maßnahmen zur IT-Sicherheit. Bei den Unternehmen dagegen, die noch eher am Anfang des Digitalisierungsprozesses stehen, ist das häufig nicht der Fall. Durch die Digitalisierung ändern sich unternehmerische Geschäftsprozesse und IT-Systeme, die früher abgeschottet waren, werden vernetzt und für Zugriffe geöffnet. Dadurch kann es zu einer Vielzahl von neuen, unerwünschten Zugriffsmöglichkeiten kommen, die erhebliche Sicherheitsrisiken für ein Unternehmen bedeuten können. Klassische Maßnahmen bieten keinen ausreichenden Schutz gegen diese Risiken. Dies ist Unternehmen, die sich in dieser Transformationsphase befinden, jedoch häufig nicht bewusst. Es fehlt ihnen häufig an Mitarbeitenden mit den erforderlichen Fachkenntnissen, um Risiken analysieren und einschätzen zu können und auf dieser Basis qualifiziert zu entscheiden, welche Schutzmaßnahmen unter entsprechenden Kosten-Nutzen-Abwägungen angemessen sind.

Was raten Sie Unternehmern, die den Weg der Digitalisierung beschreiten?

Sie sollten unbedingt von Anfang an das Thema IT-Sicherheit großschreiben und bei jedem Schritt mitbedenken. Das bedeutet, sie sollten eine Analyse erstellen und daraus die richtigen Schlüsse über die notwendigen Schutzmaßnahmen ziehen.

Viele kleine und mittelständische Unter-nehmen sind damit aber überfordert.

Richtig – deshalb sollten sie sich auch professionelle Hilfe in Form eines Sicherheitsdienstleisters holen. Da gibt es gute und vernünftige Angebote, die auch nicht die Welt kosten.

Ist das Thema auch eine Generationenfrage?

Ja, zum Teil ist es das wohl auch. Aber auch ältere Unternehmen, die viel mit Digitalisierung zu tun haben, erkennen die Notwendigkeit von umfassenden Schutzmaßnahmen. Was ich aber immer wieder feststelle, ist, dass es eine weit verbreitete Angst davor gibt, die eigenen Unternehmensdaten herauszugeben, sie also zum Beispiel in einer Cloud zu speichern. Viele glauben noch immer, es sei am sichersten, einen Server im eigenen Keller stehen zu haben. Da aber, wie gesagt, häufig die erforderlichen IT- und insbesondere IT-Sicherheitskompetenzen bei mittelständischen Unternehmen fehlen, bieten lokal betriebene, aber unsichere IT-Systeme nur eine trügerische Sicherheit. Bei Dienstleistern gibt es vertrauenswürdige Angebote. Dort sind die Daten häufig besser aufgehoben als unter eigener Verwaltung.

Seit der Pandemie haben viele Unternehmen auf Homeoffice umgestellt. Liegt darin eine zusätzliche Gefahr?

Ganz sicher sogar. Plötzlich arbeiteten von einem auf den anderen Tag viele Angestellte zu Hause. Das bedeutet: Viele Informationen des Unternehmens, die sonst niemals dessen Räume verlassen hätten, wurden plötzlich online hin- und hergeschickt. Die Angestellten arbeiteten oft mit ihren eigenen Endgeräten, die sie sonst nur für private Zwecke benutzen, denn ihre Arbeitgeber hatten sie bis dahin überhaupt nicht mit Laptops ausgestattet. Für ein kleines oder auch mittleres Unternehmen ist das ja auch durchaus eine Kostenfrage. Man darf da-von ausgehen, dass viele private Laptops oder Smartphones nicht ausreichend gegen Angriffe Unbefugter gesichert waren – und damit auch nicht die Daten des Unternehmens. Für IT-Manager sind das Horrorszenarien.

Nun dauert die Pandemie schon viele Monate und viele Menschen arbeiten noch immer oder wieder von zu Hause oder mobil. Sollte sich die Lage inzwischen gebessert haben?

Falls das nicht der Fall ist, hätte ich nach einer so langen Zeit dafür kein Verständnis mehr. Wenn sie den Sommer, als ja vor einer zweiten und möglicherweise längeren Corona-Welle im Herbst und Winter gewarnt wurde, nicht genutzt haben, um ihre IT-Sicherheit aufzurüsten, wäre das in meinen Augen grob fahrlässig.

Gibt es Branchen, die weiter sind als andere?

Alle Branchen, in denen Digitalisierung und Automatisierung weiter vorangeschritten sind, also zum Beispiel die Unternehmen der Industrie 4.0, sind zweifellos auch besser gerüstet. Sie setzten sich eben auch schon seit längerer Zeit mit dem Thema auseinander. Andere Branchen, in denen die Digitalisierung erst seit Kurzem ein Thema ist, hinken ziemlich hinterher. Ich denke da zum Beispiel an die Baubranche und das Handwerk.

Was raten Sie mittelständischen Unternehmern, die ihr IT-Sicherheitssystem aufrüsten wollen?

Vor allem zwei Dinge: Sie sollten sich unbedingt Rat von Experten suchen, denn sie selbst haben gar nicht die not-wendigen Kapazitäten. Und sie sollten ihre Angst, Daten nach außen, also zum Beispiel in eine Cloud, zu vergeben, verlieren, die entsprechenden Dienstleister aber auch mit Augenmaß aussuchen. Ich finde aber, dass auch die Politik an dieser Stelle gefragt ist.

Inwiefern?

Sie sollte die Anbieter von Soft- und Hardware, die vom Mittelstand genutzt werden, dazu verpflichten, für IT-An-griffe, die aufgrund mangelnder Qualität ihrer Produkte erfolgen, zu haften. Denn ein Mittelständler hat keine Möglichkeit, die Qualität und Sicherheit von IT-Systemen und Produkten zu beurteilen. Das würde vielen Mittelständlern auch die Angst davor nehmen, die richtigen Schritte zu unternehmen. Dabei kann man mit wenigen Maßnahmen bereits 80 Prozent Sicherheit erreichen. Und das ist doch schon ziemlich viel.