Kleine und mittlere Unternehmen: IT-Sicherheit ungenügend
Für kleine und mittlere Unternehmen ist IT-Sicherheit wichtig – Kundendaten sind kostbar. Nicht alle Firmen sind ausreichend informiert. Ein Tool soll helfen.
(Bild: silvabom/Shutterstock.com)
Wenn Thomas Nellinger an IT-Sicherheit denkt, denkt er vor allem an Kundendaten. Nellinger ist in einem Hotel für IT, Verwaltung und Buchhaltung zuständig. Wer hier als Gast eincheckt, hinterlässt Details wie die Anschrift, aber auch und vor allem Kreditkartendaten. "Früher waren 70 bis 80 Prozent der Zahlungen bar, heute ist das umgekehrt", sagt Nellinger. Umso wichtiger sei es, dass die Daten auf dem Weg zum Kreditkartenunternehmen geschützt sind.
Hackerangriffe hat Nellinger bis dato noch nicht erleben müssen. Dennoch oder gerade deswegen will er sich auf dem Laufenden halten. Geholfen hat ihm dabei der sogeannte Sec-O-Mat, eine Art Suchmaschine für IT-Sicherheit. Entwickelt wurde das Online-Tool zusammen mit Partnern von der Transferstelle IT-Sicherheit (TISiM) im Mittelstand, die vom Bundesministerium für Wirtschaft und Energie (BMWI) gefördert wird.
Bewusstsein für IT-Sicherheit
Der Sec-O-Mat soll eine "Unterstützungsinfrastruktur" für kleine und mittlere Unternehmen (KMU) sein, so erklärt es die Leiterin der Transferstelle, Sandra Balz, und dabei helfen, ein Bewusstsein für IT-Sicherheit zu schaffen. Wer sich durch die Seiten klickt, muss unter anderem Fragen zur Unternehmensgröße beantworten und angeben, wie viele Mitarbeiter einen Internetzugang für berufliche Zwecke nutzen. Dann geht es darum, einzuschätzen, welche Schadenszenarien bei einem Hackerangriff eintreten könnten und welche Auswirkungen das hätte. Am Ende steht ein individueller, sehr umfangreicher Aktionsplan.
Der empfiehlt dann zum Beispiel, ein Backup-System zu installieren oder Nutzer zu schulen. Aber auch Anwendungsprogramme, Podcasts, Videos oder entsprechende Weiterbildungsseminare werden angegeben. Der Vorteil Balz zufolge: Die Angebote wurden und werden von Experten des Fraunhofer-Instituts für offene Kommunikationssysteme kuratiert, also geprüft und gebündelt sowie aktualisiert, es steckten seriöse Anbieter dahinter.
Handwerkskammern als regionale Anlaufstellen
Ist jemand mit dem Aktionsplan überfordert, kann er oder sie sich an einen der TISiM-Regional-Standorte bei den Industrie- und Handelskammern (IHK) wenden – und wird dann an die Hand genommen. In Rheinland-Pfalz gibt es davon aktuell 2, bundesweit sind es 35. Zukünftig sollen Balz zufolge Handwerkskammern als regionale Anlaufstellen dazu kommen.
Doch nicht alle KMU oder Soloselbständigen agieren so vorbildlich wie Nellinger. Das Bewusstsein, dass etwas passieren müsste, sei zwar da, es geschehe aber zu wenig, meint Balz. Größere Unternehmen seien besser aufgestellt oder teils sogar per Gesetz verpflichtet, in Sachen Sicherheit tätig zu werden, erläutert Jürgen Kohr, verantwortlich für das Cybersecurity Geschäft in Deutschland bei TÜV Rheinland.
Opfer eines Cyberangriffs – 46 Prozent der befragten KMU
Laut "Praxisreport Mittelstand" des Vereins "Deutschland sicher im Netz" aus dem vergangenen Jahr gaben 46 Prozent der befragten KMU an, bereits ein oder mehrere Male Opfer eines Cyberangriffs geworden zu sein. "Die Dunkelziffer dürfte höher liegen", heißt es dort. 70 Prozent der Unternehmen begnügten sich bestenfalls mit einer einmaligen Ermittlung ihrer individuellen Risikosituation.
"Gerade kleinere Unternehmen haben sehr wenig Erfahrung in Sachen IT-Sicherheit", sagt Christian Kien vom TISiM-Regional-Standort bei der IHK Trier. Das Problembewusstsein sei äußerst gering. "Aktuell meinen viele, es gebe in der Corona-Pandemie wichtigere Dinge."
"Oft ist das Bequemlichkeit"
Dabei ist die Gefahr äußerst real und das Homeoffice ein weiteres Einfallstor für Angreifer, wie Kohr darlegt: "Je besser die Schutzmechanismen bei großen Firmen werden, desto mehr konzentrieren sich Kriminelle auf die kleinen und das ist ein sehr ungleiches Spiel." Häufig hätten es die Täter auf Kundendaten abgesehen. Diese würden verschlüsselt und erst gegen Zahlung wieder freigegeben. Die Schäden seien immens.
Außerdem könnten Kien zufolge etwa Homepages lahmgelegt und damit die Geschäftstätigkeit eingeschränkt werden. Die Nutzer in den Unternehmen gingen vergleichsweise unbedarft damit um, etwa was fremde Links betreffe. "Oft ist das Bequemlichkeit", sagt Kohr. Häufig sei die Software der einzelnen Geräte oder Server nicht auf dem neuesten Stand und damit nicht gut genug vor Angriffen geschützt.
Nellinger will die Befragung noch einmal machen, um zu sehen, wo das Hotel steht. "Wir werden zwar seit Jahren von einem Unternehmen in Sachen IT betreut", erzählt Nellinger, "aber warum sollte man nicht trotzdem selbst mal schauen, wo es Nachholdbedarf gibt?" Und genau das kann, wenn es nach den Expertinnen und Experten geht, gar nicht oft genug passieren.
(bme)
