Unterschätzte Risiken: Wie mittelständische Unternehmen ihre IT-Sicherheit stärken können

Wie lassen sich Daten schützen und Schäden bei KMUs durch IT-Sicherheit vermeiden? Erfahren Sie mehr über spezielle Standards und geeignete Sicherheitslösungen.

In einer digitalisierten Welt sind kleine und mittlere Unternehmen (KMUs) zunehmend von Cyberbedrohungen betroffen. 

IT-Sicherheit ist aus der vernetzten Welt nicht mehr wegzudenken

N+P Informationssysteme GmbH

26. Juni 2023

Min. Lesedauer

  • Angesichts begrenzter Ressourcen und mangelnder Aufmerksamkeit für das Thema vernachlässigen viele KMUs die IT-Sicherheit, was sie zu leichten Zielen für Hacker macht

  • Der Schutz von personenbezogenen und firmeninternen Daten ist entscheidend, um finanzielle Verluste und Imageschäden zu vermeiden

  • Es gibt verschiedene technische und organisatorische Maßnahmen für die IT-Sicherheit und speziell auf die Bedürfnisse von KMUs zugeschnittene Standards, die mit wenigen Maßnahmen einen hohen Sicherheitsgrad bieten

In einer Umfrage zu Cyberangriffen im deutschen Mittelstand vom Dezember 2021 berichteten 26,6 % der befragten mittelständischen Unternehmen, dass sie innerhalb der letzten zwei Jahre Ziel eines erfolgreichen Cyberangriffs waren. 72 % dieser Angriffe führen zu schweren Schäden und verursachen bei KMU einen durchschnittlichen finanziellen Verlust von 95.000 Euro. Größere Mittelständler berichten sogar von Schäden von bis zu 500.000 Euro. Dabei gehören laut dem BSI (Bundesamt für Sicherheit in der Informationstechnik) 99 % der deutschen Unternehmen zum Mittelstand. Keines dieser Unternehmen kommt ganz ohne IT aus. Durch den Einsatz der IT stellt sich auch immer die Frage: Brauche ich IT-Sicherheit?

Die Antwort auf diese Frage lässt sich – nicht nur mit Blick auf die finanziellen Schäden eines Cyberangriffs – klar mit „Ja“ beantworten. Auch wenn es sich nur um ein kleines Unternehmen handelt, wird mit schützenswerten Daten gearbeitet. Dies können sowohl personenbezogene als auch firmeninterne Daten sein. Der Schutz der Daten in Zeiten von Big Data und Cloud Computing ist wichtig, um den wirtschaftlichen Erfolg zu sichern, da es ansonsten zu Imageschäden und/oder finanziellen Schäden kommen kann. Aus diesem Grund sollte sich beispielsweise auch eine Baufirma mit dem Schutz vor Cyberkriminalität auseinandersetzen.

Schutzziele setzen, Risiken minimieren

Die IT-Sicherheit hat zum Ziel, die Verfügbarkeit, Vertraulichkeit und Integrität des IT-Systems zu wahren und die damit verbundenen Risiken zu minimieren.

Verfügbarkeit

Das System ist jederzeit erreichbar.

Vertraulichkeit

Es erfolgt kein Zugriff (lesend und schreibend) von unberechtigten Personen.

Integrität

Es werden keine undokumentierten Veränderungen vorgenommen.

Maßnahmen zur Gewährleistung der IT-Sicherheit

Um IT-Sicherheit herzustellen, sollten verschiedene organisatorische und technische Maßnahmen ergriffen werden. Viele davon sind auch mit wenigen Mitteln einfach umsetzbar, da man schon viel mit einer strukturierten Organisation und der Einführung von bestimmten Regeln erreichen kann.

Folgende technische Maßnahmen sollten mindestens umgesetzt werden:

  • Integration einer Firewall inklusive Deep Packet Inspection in das System

  • Unternehmensweiter Einsatz einer Antivirensoftware

  • Es sollte eine Netzwerksegmentierung stattfinden.

  • Für alle Anmeldungen sollten Passwörter verwendet und keine Konten geteilt werden.

  • Es sollte eine regelmäßige Datensicherung eingerichtet sein.

  • Es sollten regelmäßig Patches und Updates eingespielt werden.

  • Integration eines Spamfilters in den Mailvorgang

  • Beschränkung jedes Benutzers auf die Rechte, die er unbedingt benötigt

  • Es sollte eine verschlüsselte Übertragung von sensiblen Daten stattfinden.

Folgende organisatorische Maßnahmen sollten mindestens umgesetzt werden:

  • Sensibilisierung der Mitarbeiter zu dem Thema IT-Sicherheit

  • Es sollte eine regelmäßige Protokollauswertung stattfinden.

  • Durchführung regelmäßiger Schulungen zum Thema IT(-Sicherheit)

  • Es sollte eine Regelung zur privaten Nutzung von IT vorhanden sein.

  • Es sollten Notfallpläne (ausgedruckt) vorhanden sein.

  • Erstellung einer Dokumentation zu den bestehenden IT-Vorgängen, -Regelungen und -Sicherheitsmaßnahmen

  • Es sollten Regeln zur Beschaffung und Verwendung mobiler Geräte bestehen.

  • Es sollte eine Zutrittskontrolle für die Serverräume vorhanden sein.

Je nach Art der Daten und Verarbeitungstätigkeiten sind ggf. weitere technische und organisatorische Maßnahmen notwendig und sinnvoll.

Informationssicherheitsmanagementsystem

Alle genannten Maßnahmen lassen sich auch innerhalb eines Informationssicherheitsmanagementsystems (ISMS) umsetzen. Meist wird dies im Zuge einer Zertifizierung durchgeführt. Die bekanntesten ISMS-Standards sind der IT-Grundschutz und die ISO 27001. Beide Standards sind sehr umfangreich und somit nur eingeschränkt praktikabel für KMUs (kleinere und mittlere Unternehmen).

Speziell für KMUs wurden das ISIS12 und die VdS-Richtlinie 10000 (früher 3473) entwickelt. Diese versuchen mit möglichst wenigen Maßnahmen einen hohen Grad an Sicherheit zu erzielen.

Das ISIS12 beinhaltet die Einführung eines Informations-Sicherheitsmanagement (ISMS)in zwölf Schritten:

ISIS12 steht für das Informations-Sicherheitsmanagement in 12 Schritten.
So funktioniert die Einführung eines ISMS in zwölf Schritten. 

Innerhalb dieser Schritte wird die IST-Situation festgestellt und Schritt für Schritt in den SOLL-Zustand überführt. Nach erfolgreicher Durchführung ist eine Erweiterung auf die bekannten Standards möglich.

Die VdS-Richtlinie 10000 „Cyber-Security für kleine und mittlere Unternehmen“ hat einen geringeren Umfang als das ISIS12, jedoch wird angegeben, dass schon mit 20 % des Umfangs der ISO 27001 ein angemessenes Schutzniveau erreicht werden kann. In der Richtlinie sind konkrete Maßnahmen enthalten und diese können folglich auch erweitert werden.

Mit diesem fundierten Ansatz können KMUs ihre individuellen Herausforderungen angehen und ihren Schutz vor Cyberkriminalität verbessern. Nur durch ein umfassendes Vorgehen können sie sich gegen die ständig wachsende Bedrohungslage wappnen. Es ist an der Zeit, den Schutz vor Cyberangriffen als unverzichtbaren Bestandteil des Geschäftsbetriebs anzuerkennen und entsprechende Investitionen und Ressourcen dafür bereitzustellen. Nur so können KMUs ihre Daten und ihre Zukunft erfolgreich absichern.

N+P Informationssysteme GmbH

Zur Person: N+P Informationssysteme GmbH

Die N+P Informationssysteme GmbH ist ein Fachhändler von Autodesk und seit 1990 Ansprechpartner für die Digitalisierung der mittelständischen Fertigungs- und Bauindustrie. Für Kunden der Fertigungsindustrie ist die Aufstellung von N+P als Digitalisierungspartner für die gesamte Wertschöpfungskette von Konstruktion über Fertigung, Planung und Steuerung bis zum Datenmanagement im deutschsprachigen Raum einzigartig. Auch für die Bauindustrie ist N+P Anbieter für die durchgängige Digitalisierung des Gebäudelebenszyklus (Planen – Bauen – Betreiben) und verbindet die IT-Systeme von Planung, Bauablaufmanagement und Gebäudebetrieb.

Sie empfohlen

Construction business cybersecurity graphic

AECO

5 Maßnahmen zum Schutz Ihrer Baufirma vor Cyber-Kriminalität

Zum Beitrag
A man in a safety uniform and hard hat leans on a car with a power plant in the background at dusk

Zukunftsweisende Technologien

Hoffnung im Kampf gegen Cyberangriffe auf kritische Infrastrukturen

Zum Beitrag
Futuristic images representing artificia intelligence rise from a computer screen.

Zukunftsweisende Technologien

Generative KI in Unternehmen: 4 Tipps für innovativeres Arbeiten

Zum Beitrag