Datendiebstahl und zunehmend auch Cyberkriminalität sind weiter auf dem Vormarsch. Nicht nur Großunternehmen und staatliche Stellen sind betroffen. Auch im Mittelstand wittern Konkurrenten, Wirtschaftsspione oder ehemalige Mitarbeiter fette Beute. Nahezu jedes KMU ist bereits Ziel solcher Angriffe geworden – oder vermutet es zumindest. Das zeigt: Der Mittelstand muss aufgrund der steigenden Cyberkriminalität schleunigst seine IT-Sicherheitsstrukturen auf Vordermann bringen.
Die Digitalisierung der Geschäftswelt ist in vollem Gange. Automatisierung und Big Data sind nur zwei der Schlagwörter einer Entwicklung, die das gesamte wirtschaftliche System umwälzen werden. Effizientere Prozesse, bessere Planung und Kontrolle, ungeahnte Erkenntnisse aus der Analyse von Daten – Mittelständlern eröffnet sich durch die Digitalisierung eine Vielzahl ganz neuer Möglichkeiten. Erfreulich ist, dass zahlreiche Entscheider der kleineren und mittleren Unternehmen das Potenzial längst erkannt haben. Problematisch ist hingegen, dass die damit einhergehenden Gefahren übersehen werden, oder übersehen werden wollen: Das Bewusstsein für Cyberkriminalität und die konkrete Umsetzung geeigneter Schutzmaßnahmen ist vorsichtig formuliert ausbaufähig.
Mittelstand im Fadenkreuz der Cyberkriminalität
In einer gemeinsamen Studie des Max-Planck-Instituts für ausländisches und internationales Strafrecht, des Fraunhofer-Instituts für System- und Innovationsforschung und der Landeskriminalämter im Bereich Wirtschaftsschutz gab jedes zweite KMU mit einer Mitarbeiterzahl von mehr als 50 an, in den vergangenen Jahren mindestens einmal Opfer von IT-Spionen gewesen zu sein oder zumindest deutliche Verdachtsmomente dahingehend bestünden. In der Baubranche, im Handel und bei industrienahen Dienstleistungen sind die Fallzahlen am höchsten. Für das Forschungsprojekt „Wirtschaftsspionage und Konkurrenzausspähung“ befragten die Forscher und Ermittler knapp 600 Mittelständler und untersuchten mehr als 700 Strafakten.
Diese Zahlen zeigen: Risiken bestehen für alle Branchen und Unternehmensgrößen. Sich als kleines oder mittelgroßes Unternehmen in Sicherheit zu wähnen, nur weil man nicht in der Öffentlichkeit steht, ist fahrlässig. Zum einen weckt der heimische Mittelstand mit seinen vielen Hidden Champions und Spezialisten Begehrlichkeiten bei den Hackern. Zum anderen rechnen die Angreifer bei Unternehmen aus der zweiten Reihe mit weniger Gegenwehr.
Datenklau – analog und digital
Die Ausspähung und der Datendiebstahl geschehen auf zwei Arten: physisch oder digital. Bei ersterer treibt der Täter sein Unwesen vor Ort. Entweder speichert er Betriebsgeheimnisse auf einem Datenträger, verschickt sie sich per Mail oder kopiert wichtige Dokumente. In knapp jedem zweiten der untersuchten Fälle kam – Obacht – der Täter aus den eigenen Reihen. Solche Mitarbeiter braucht zwar kein Mensch, ändert aber nichts an der Tatsache, dass diese Kundendaten und Know-How verkaufen – etwa aus Profitgier oder aus Rache.
Cyberattacken sind nicht nur minder ärgerlich, sie nehmen auch stetig zu. Über eine Lücke im IT-System fallen die Hacker ins Netzwerk ein und haben Zugriff auf den gesamten Datenfundus des Unternehmens. Schadsoftware, Bot-Angriffe, Ausspähungsprogramme – die Risiken sind vielfältig. Es ist daher keine Option, Entscheidungen rund um die Optimierung der IT-Sicherheitsstruktur auf die lange Bank zu schieben. Im Gegenteil: Handeln Sie zeitnah! Jede entwendete Information ist nicht nur geschäftsschädigend, sie kann letztendlich auch im Bankrott münden. Haben Wettbewerber oder Hacker Sie auf dem Kieker, kann schlimmstenfalls die komplette Produktion lahmgelegt werden.
Nicht kleckern, klotzen!
Das Ziel muss sein, dass mögliche Schadensfälle bereits vor Eintritt erkannt und verhindert werden. Diesen Schutz bieten nur ganzheitliche Lösungen, Einzelmaßnahmen helfen hier nicht weiter. Wer zwingend erforderliche Maßnahmen wegen zu hoher Kosten auf die lange Bank schiebt, hat die Zeichen der Zeit immer noch nicht erkannt. Denn tritt das Worst-Case-Szenario ein, ist der Schaden in der Regel höher als die versäumte IT-Investitionssumme. Der Digitalverband Bitkom beziffert den finanziellen Schaden durch Cyberkriminalität mit 55 Milliarden Euro.
Eine IT-Sicherheitsarchitektur auf dem neuesten Stand bietet neben der Abwehr von externen Cyber-Angriffen auch eine Lösung für interne Gefahren. Über ein Monitoring-System lässt sich nachvollziehen, wer wann und wo Zugriff auf welche Daten hat. Das Datenmanagement regelt automatisiert den Zugang zu Informationen. Flankiert werden sollte die digitale um die menschliche Komponente. Ein Training sensibilisiert die Belegschaft für auffälliges Verhalten von Kollegen, Kunden und Bewerbern.
Zwar zeigt der neue Report des Vereins „Deutschland sicher im Netz“, einer Initiative aus Wirtschaft und Politik zur Aufklärung im Bereich IT-Sicherheit, dass das Bewusstsein für das Thema im Mittelstand wächst. Inzwischen erklären sechs von zehn Geschäftsführern Cyber-Sicherheit zur Chefsache. Doch bei der Umsetzung hinkt man den eigenen Ansprüchen hinterher. Ein großer und womöglich sehr teurer Fehler.
Über den Kapitalmarktblog:
Hier schreiben die Kapitalmarktexperten der Quirin Privatbank über die deutsche Wirtschaft und alles, was den heimischen Mittelstand bewegt. Das erfahrene Team der Quirin Privatbank hat die Entwicklungen rund um die Mittelstandsfinanzierung immer im Blick und zeigt auf, welche alternativen Finanzierungsformen für KMU interessant sind.