Markus Jerger, Bundesgeschäftsführer des BVMW, Foto: C.Kruppa

Fast jedes zweite mittelständische Unternehmen ist von Cyberangriffen betroffen. Doch trotz gewachsenem Bewusstsein wandeln KMU dieses zu selten in konkrete Schutzmaßnahmen um. Cyber-Kriminelle nutzen gerne den Faktor Mensch, um beispielsweise durch Social Engineering sensible Daten zu erhalten. Immer noch öffnen Mitarbeiter leichtfertig Anhänge oder Links. Mit der Verlagerung analoger Prozesse ins Digitale während der Corona-Pandemie wurde auch das Homeoffice ein größeres Einfallstor für Cyberangriffe. Einen großen Teil machen Angriffe durch Schadsoftware aus, beispielsweise über Ransomware- oder Spyware-Attacken, bei denen Daten verschlüsselt oder ausgespäht werden. Angriffe über Phishing-E-Mails sind häufig, aber auch DDoS-Angriffe, bei denen Server gezielt überlastet werden, nahmen zu.

Die finanziellen Folgen können für kleine Betriebe existenzbedrohend sein, denn die Angriffe treffen auch die Informations- und Produktionssysteme. Selbst die Erpressung von Lösegeldern ist im Mittelstand keine Seltenheit mehr. Angriffe werden oft sehr schwer oder gar nicht erkannt. Unternehmen fürchten neben dem Verlust von Kunden- und Unternehmensdaten einen erheblichen Imageschaden – ein Grund, weshalb die Fälle nicht immer an die Öffentlichkeit gelangen.

Angriffe zielen auf den Diebstahl sensibler Daten, wie Kommunikationsdaten aus E-Mails, Finanz-, Mitarbeiter- oder Kundendaten, oder aber die Verfügbarkeit von Systemen, die aufgrund der zunehmenden Vernetzung zwischen Unternehmen, Lieferanten und Kunden eine immer wichtigere Rolle spielt. Der Ausfall von Systemen hat gravierende Folgen für den Betriebsablauf. Aber auch Angriffe mit Ransomware, deren Ziel die Erpressung von Lösegeldern ist, häufen sich. Ein Großteil der Attacken kommt dabei Hobby-Hackern oder Privatpersonen und erfolgt ohne konkretes Ziel. Der gezielte Diebstahl sensibler Daten geht von der organisierten- und Auftragskriminalität aus, nicht selten sind auch ausländische Geheimdienste im Spiel.

Viele mittelständische Unternehmen verfügen über technischen Basisschutz, beispielsweise Virenscanner oder Firewall, doch nur wenige erstellen regelmäßige Datensicherungen oder erarbeiten Krisenreaktionspläne. Gerade kleinere Betriebe haben zumeist weder eine eigene IT-Abteilung noch entsprechende Beurteilungskompetenz bei der Auswahl externer IT-Dienstleister.

Es kommt hinzu, dass noch immer zu viele Mittelständler einen zu geringen Teil ihrer IT-Ausgaben in Cybersicherheit investieren. Bei mehr als 50 Prozent dient lediglich ein Zehntel der IT-Ausgaben der Cybersicherheit, Experten raten jedoch zu rund 20 Prozent. Regelmäßig Updates gehören zum kleinen Einmaleins – und werden trotzdem immer noch zu wenig berücksichtigt. Vor dem Hintergrund der laut BSI täglich 553.000 neuen registrierten Schadprogramm Varianten ein brandgefährliches Versäumnis. Informationssicherheit muss als strategisches Thema betrachtet werden und gehört auf die Leitungsebene. Gleiches gilt für die Resilienz bei Cyberangriffen.

Nur wenn Unternehmen Reaktionsmechanismen und Notfallpläne erarbeitet haben, ist im Krisenfall klar, was zu tun ist. Die Lehre für Unternehmen kann daher nur sein, IT-Sicherheit zur Chefsache zu machen und sie bei allen Digitalisierungsvorhaben mitzudenken.