Die Pandemie sorgte für eine erhebliche Steigerung der Digitalisierung im KMU Bereich. Erstmals übersprang die Nutzung von Cloudsystemen die 50 Prozentmarke. Parallel ist der Anteil folgenschwerer Cyberangriffe eklatant gestiegen. Laut dem Praxisreport von Deutschland sicher im Netz (DsiN) führten mehr als dreiviertel aller Angriffe zu spürbaren Auswirkungen (76 Prozent), bei jedem achten Unternehmen wurden sie als erheblich, bei vier Prozent sogar als existenzgefährdend angegeben. 

Zwar bewertete jedes dritte Unternehmen die unzureichende Absicherung der eigenen IT als Risiko, allerdings seien die Defizite bei Standardmaßnahmen des Cyberschutzes “besonders auffällig”: So verfügen 64 Prozent der Unternehmen über keine Maßnahmen der Angriffserkennung, mehr als ein Drittel verzichte auf IT-Notfallpläne (34 Prozent), 43 Prozent seien nachlässig im Umgang mit Software- und Sicherheitsupdates. 

KMU sollten dabei nicht den Standpunkt vertreten, dass das eigene Unternehmen für Cyberkriminelle nicht „interessant“ genug sei. Mit jeder Ausgabe des Security Newsletters widerlegen wir diese Theorie, wenn wir über Angriffe berichten, die enorme Schäden auslösen. 

Extreme Kosten durch Cyberangriffe 

Ein Grund, warum Organisationen auf ausreichende IT-Sicherheitsmaßnahmen verzichten, sind unter anderem die Kosten hierfür. Sie werden als Aufwände gesehen, von denen sich erst einmal kein spürbarer Mehrwert ableiten lässt. IT-Sicherheit macht Abläufe aus Sicht des Anwenders nicht schneller oder komfortabler, eher im Gegenteil: Der Komfort wird meist ein Stück weit eingeschränkt. Setzt man diese Aufwände oder Einschränkungen jedoch ins Verhältnis zu den tatsächlichen Kosten und Einschränkungen, die bei Cyberangriffen anfallen, ergibt sich ein ganz anderes Bild. 

Durch Cyberangriffe werden weltweit Kosten von bis zu 6 Billionen Dollar verursacht, Tendenz steigend. Im Mittel geht man bei einem Ransomwareangriff von 1,2 Millionen Dollar aus. Alleine in Deutschland wurde der wirtschaftliche Schaden 2021 mit 220 Milliarden Dollar beziffert, mehr als doppelt so hoch wie 2019. 

Warum stellen KMU immer mehr ein lukratives Ziel dar? 

Man könnte erst einmal davon ausgehen, dass Hacker finanzstarke Konzerne mit hohem Digitalisierungsgrad und damit größerer Angriffsfläche KMU vorziehen. Großunternehmen investieren in der Regel aber auch mehr Ressourcen in die digitalen Abwehrsysteme. Ein Angriff wird damit aufwendiger, teurer und setzt mehr technisches Wissen der Angreifer sowie bessere Angriffstechnologien voraus. 

KMU haben – auch bedingt durch die Pandemie – kurzfristig eine Vielzahl digitaler Lösungen eingeführt. Oft wird dabei festgestellt, dass diese Lösungen in der Standardkonfiguration verbleiben und nicht gegen externe Bedrohungen abgehärtet werden. Damit kann ein erfolgreicher Angriff nicht nur von absoluten Spezialisten, sondern von einer „breiten Masse“ durchgeführt werden. 

KMU sind für Hacker unter anderem auch deshalb so lukrativ, da sie als Einfallstor für einen Angriff auf einen Großkonzern dienen. Haben KMU als Teil der Lieferantenkette Zugriffsrechte auf den Großkonzern oder sind im Informationsaustausch mit diesem, kann ein Umweg über KMU einen erfolgreichen Angriff auf das Großunternehmen bedeuten. 

Unsere Empfehlung 

KMU sollten mindestens den IST-Stand der IT-Sicherheit im Unternehmen und damit das bestehende Risiko kennen. Liegen diese Risiken transparent vor, gilt es, diese der obersten Leitung vorzustellen, damit dort eine Abwägung erfolgen kann. Erst wenn das Management die bestehenden Risiken kennt, akzeptiert oder geeignete Maßnahmen beauftragt und die Ressourcen hierfür zur Verfügung stellt, heben sich untergeordnete Stellen z.B. die IT-Abteilung aus der Verantwortung. 

Natürlich kann nicht jedes KMU auf eine IT-Abteilung zurückgreifen. In diesem Fall kann der Status zum IST Stand der IT-Sicherheit durch den IT-Dienstleister erbracht werden. 

In jedem Fall sind die Kosten zur Bewältigung eines Cyberangriffs exorbitant höher als die Investitionen in eine verhältnismäßige und dem Stand der Technik entsprechende IT-Sicherheit. Ganz zu schweigen vom Stress, der durch die Bewältigung eines Vorfalls ausgelöst wird.