Schwarzer Bildschirm, blockierter Login und ein Erpresserbrief – das Horrorszenario gezielter Cyberangriffe treibt längst nicht mehr nur Großunternehmen um. Auch der Mittelstand ist betroffen: Jedes vierte mittelständische Unternehmen war schon mal Opfer eines Angriffs aus dem Netz. Zwölf Tipps, wie KMU sich schützen können.
Mit zunehmender Digitalisierung in Zeiten von Homeoffice und Co. erhöht sich auch im Mittelstand die Gefahr digitaler Angriffe. Zwar setzen immer mehr KMU deshalb auf Sicherheitsmaßnahmen, doch bleibt mehr als ein Drittel der Mittelständler beim Thema Cyber-Sicherheit weiterhin inaktiv. Cyberkriminelle Vorfälle gehören laut Allianz Risk Barometer 2022 zu den größten Gefahren, die deutsche Unternehmer fürchten, getoppt nur noch von Betriebsstörungen wie Ausfällen in der Lieferkette.
Dabei sind gerade KMU immer häufiger das Ziel von Hackerattacken. Laut einer Studie des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) war jedes vierte mittelständische Unternehmen schon Opfer erfolgreicher Cyberangriffe. Der Grund: Vielen kleinen und mittleren Unternehmen fehlen schlicht die personellen und finanziellen Ressourcen, um sich wirksam gegen Angriffe aus dem Netz zu wehren.
Jedes vierte mittelständische Unternehmen war schon Opfer erfolgreicher Cyberangriffe
Hinzu kommt eine gewisse Sorglosigkeit: Zwar müssen nur die wenigsten Mittelständler Betriebsspionage oder Angriffe auf die Produktionsanlagen fürchten, aber sogenannte Erpressungstrojaner sind vergleichsweise häufig im Einsatz und können Computer über unbegrenzte Zeit lahmlegen. Oder Hacker greifen mit Ransomware Kunden- und Unternehmensdaten ab und verkaufen diese dann im Darknet.
Ein solcher Vorfall kann für die Betriebe dramatische Folgen haben. Die Kosten der Schadensbeseitigung können im schlimmsten Fall existenzbedrohend werden. Nach Schätzungen des IT-Unternehmens Cybersecurity Ventures haben die weltweit verursachten Schäden 2021 sechs Billionen US-Dollar erreicht.
Die Kosten der Schadensbeseitigung können existenzbedrohend sein
Solche unnötigen Kosten lassen sich leicht vermeiden, wenn man einige Grundregeln der IT-Sicherheit beachtet. Zuerst gilt es, die Schwachstellen der digitalen Infrastruktur mit einer Risikoanalyse ausfindig zu machen und zu schließen. Nachfolgend ein kleiner Leitfaden, wie Mittelständler dabei vorgehen können:
- Eine stets aktuelle Software schließt Sicherheitslücken und mögliche Einfallstore für Schadsoftware.
- Anti-Viren-Programme sollten sich automatisch aktualisieren.
- Eine Firewall schützt zwar nicht generell vor Angriffen aus dem Netz, erschwert aber Hackern den Zugang.
- Anders als Sammelaccounts verringern individuelle Mitarbeiterzugänge die Gefahr der unkontrollierten Weitergabe von Passwörtern.
- Passwörter benötigen eine gewisse Komplexität. Relativ sicher ist z.B. eine Mischung aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
- Eine Zwei-Faktor-Authentifizierung bringt zusätzliche Sicherheit. Das kann neben dem Passwort zum Beispiel eine auf einem separaten Gerät generierte TAN sein. So verringert sich zusätzlich das Risiko, dass Zugänge einfach geknackt werden können.
- Zum Einrichten neuer Programme und Änderungen am Betriebssystem ist ein Admin-Zugang notwendig. Für die alltägliche Arbeit reicht ein Nutzerprofil mit eingeschränkten Rechten. So kann ein eventuell eingefangener Virus weniger Schaden anrichten.
- Eine regelmäßige Datensicherung, am besten auf einem externen Speicher, und ein regelmäßiger Test dieses Back-ups verhindern, dass die Firmendaten im Falle eines Angriffs restlos verloren gehen.
- Handys und Notebooks benötigen ebenso eine Verschlüsselung wie Desktop-PCs. Ansonsten droht die feindliche Übernahme auch unterwegs.
- Zumindest ein Teil der Daten sollte in der Cloud liegen. Denn diese hat in der Regel deutlich höhere Sicherheitsstandards und bessere Schutzmechanismen als ein eigener Server.
- Gerade Ransomware kommt in der Regel mit einem unbewussten Klick auf Anhänge und Links vermeintlich harmloser E-Mails ins System. Schulungen und Weiterbildungen der Mitarbeiter schärfen hier das Bewusstsein.
- Fortgeschrittene Unternehmen können sich zudem um einen IT-Grundschutz nach ISO27001-Zertifikat bemühen. Unterstützung finden sie bei zertifizierten Beratern oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
In jedem Fall gilt: Jeder Mittelständler sollte sich mit dem Thema IT-Sicherheit auseinandersetzen. Nur so lassen sich unnötige, teils existenzbedrohende Kosten im Falle erfolgreicher Cyberangriffe vermeiden. Auch wer nur einen Teil der vorgeschlagenen Maßnahmen umsetzt, ist auf jeden Fall besser gewappnet gegen die Gefahren des digitalen Zeitalters.
Über den Kapitalmarktblog:
Hier schreiben die Kapitalmarktexperten der Quirin Privatbank über die deutsche Wirtschaft und alles, was den heimischen Mittelstand bewegt. Das erfahrene Team der Quirin Privatbank hat die Entwicklungen rund um die Mittelstandsfinanzierung immer im Blick und zeigt auf, welche alternativen Finanzierungsformen für KMU interessant sind.