Die 4 häufigsten Irrtümer in KMUs zum Thema IT-Sicherheit in 2023
In der heutigen digitalen Welt ist die Sicherheit Ihrer IT-Infrastruktur von entscheidender Bedeutung, unabhängig von der Größe Ihres Unternehmens. So wie bisher das finanzielle Ranking über die Vergabe eines Auftrags ausschlaggebend ist, so ist die IT-Sicherheit Ihrer Daten und Systeme zur Voraussetzung geworden, als möglicher Lieferant überhaupt gelistet zu werden. Leider halten sich gewisse Irrtümer und Missverständnisse zum Thema IT-Sicherheit äußerst hartnäckig. Vor allem in KMU-Betrieben stoßen wir immer wieder auf ein ähnliches Muster an Fehleinschätzungen. Sie führen dazu, dass Risiken unterschätzt und überfällige Maßnahmen weiter auf die lange Bank geschoben werden.
”Es wird schon alles gut gehen.” Diese Fehleinschätzung kann schwerwiegende Folgen haben.
Wenn plötzlich alle Systeme stillstehen und Hilflosigkeit um sich greift, dann ist es zu spät darüber nachzudenken, wie man dies verhindern hätte können. Was Sie dann gar nicht hören wollen sind Sätze wie “Hätten wir doch...” und “Ich hab’s Dir doch gesagt”. Dabei sind in diesem Moment Datenverluste und der Reputationsschaden noch gar nicht realisiert!
Es gibt viele Gründe, wichtige Maßnahmen auf die lange Bank zu schieben. Angefangen von den Kosten, dem Aufwand und Zeitbedarf. Dazu gesellen sich die folgenden 4 Irrtümer, denen wir in unseren Gesprächen mit Geschäftsführern von Klein- und Mittelbetrieben immer wieder begegnen:
Irrtum 1: ‘Hacker-Angriff? Wir haben ja Nichts Interessantes...‘
Tatsächlich? Sind Ihre Konten wirklich so leer?
Ihre Konto- und Bankverbindungen, Kundendaten, Preislisten, Kalkulationen, Angebote und Planungsunterlagen sind nichts Interessantes? Cyber-Angreifer sehen das ganz anders!
Dieser Irrtum gehört zu den häufigen, aber auch gefährlichen Fehl-Annahmen, die ein Unternehmer in trügerischer Sicherheit wiegen. Die Vorstellung, dass Hacker nur auf große Unternehmen abzielen, und dass nur diese wertvolle Daten besitzen, ist ein trügerischer Gedanke, und könnte nicht weiter von der Wahrheit entfernt sein.
In der Realität stehen KMUs für bestimmte Gruppen von Angreifern besonders im Fokus, da ihre Sicherheitsmaßnahmen oft weniger robust sind als die, großer Unternehmen. Dies ist oft der Fall, weil viele Menschen wenig Verständnis für die gängigen Schwachstellen haben, die von Angreifern genutzt werden. Dadurch bleiben diese Sicherheitslücken dauerhaft geöffnet und es ist nur eine Frage der Zeit bis Sie – meist unbemerkt - einen Hacker in Ihren Systemen haben.
Selbst wenn Sie glauben, dass Ihre Daten nicht von großem Wert sind, sollten Sie bedenken, dass Hacker nicht nur darauf abzielen Ihren Betrieb durch Verschlüsselung Ihrer Daten lahm zu legen. Die gestohlenen Daten landen nämlich auch im DarkNet und werden dort zum Kauf angeboten oder an den Höchstbieter versteigert. Doch der wahre Schaden bei einem Cyberangriff: Ihre Daten werden für weitere Cyberangriffe missbraucht. Durch das Vortäuschen von gefakten Identitäten steigt das Risiko von Phishing Attacken dramatisch. Dabei geben sich die Hacker als Ihre Mitarbeiter oder Kunden aus.
Was glauben Sie, wie Ihre Mitarbeiter und Kunden darauf reagieren werden? Eine gewaschene Rezension auf Google ist hier noch das geringste Übel. Es drohen auch Klagen wegen Datenschutzverletzung unter Verhängung von Bußgeldern.
Sind Sie jetzt immer noch der Meinung, dass Ihre Daten niemanden interessieren?
Irrtum 2: ‘IT-Sicherheit? Darum kümmert sich bei uns unser Datenschutz-Beauftragter/IT-Betreuer...‘
Die Annahme, dass die Verantwortung für die IT-Sicherheit allein auf die Schultern des Datenschutzbeauftragten oder IT-Betreuers gelegt werden kann, ist ein weit verbreiteter Irrtum.
IT-Sicherheit ist eine unternehmensweite Verantwortung, die von der Unternehmensführung bis zu den Mitarbeitern geteilt werden muss. Sicherheitsverantwortliche wie Datenschutzbeauftragte und IT-Betreuer spielen sicherlich eine Rolle, aber sie allein können die Sicherheit Ihres Unternehmens nicht gewährleisten. Viele der Sicherheitslücken eines Systems liegen außerhalb des Aufgabenbereichs dieser beiden Rollen, wie zum Beispiel Mitarbeiterverhaltensregeln, Awareness Schulungen, Erstellung von Notfallplänen, etc. Das sind Aufgaben, für die das Management zuständig ist.
Die Initiative muss vom Management ausgehen. Die Unternehmensleitung muss die Bedeutung der IT-Sicherheit verstehen und aktiv daran arbeiten, eine Sicherheitskultur im gesamten Unternehmen zu etablieren. Doch das machen bis jetzt nur 23% der klein- und mittelständischen Unternehmen
Es muss bei der Finanzierung anfangen. Aber auch Zeit als Ressource ist nicht wegzudenken. Mitarbeiter müssen geschult werden, Systeme auf dem aktuellen Stand gehalten werden. Jeder Teil eines Unternehmens muss wie ein Zahnrad ineinandergreifen, um IT-Sicherheit zu gewährleisten. Wird nur eine Komponente übersehen, stockt der Sicherheitsprozess und Ihre Systeme werden für Angriffe anfällig.
Irrtum 3: ‘Backup? Ja, das haben wir natürlich...‘
Die regelmäßige Sicherung von Unternehmensdaten ist ein unverzichtbarer Schutzmechanismus gegen Datenverlust. Allerdings wird oft angenommen, dass das einfache Vorhandensein eines Backups schon ausreicht, um alle Konsequenzen im Falle eines Cyberangriffes aufzufangen. Dies ist ein gefährlicher Irrtum.
Es ist nicht ausreichend, einfach eine Backup-Lösung zu haben. Cyber-Angreifer attackieren oft gezielt die Backup-Systeme bevor sie sich weiter im Unternehmensnetzwerk verbreiten.
Damit sabotieren sie gezielt die Rückzugs-Möglichkeiten mittels Backup. Die Qualität des Backups, die Häufigkeit der Sicherungen und die Wiederherstellungsfähigkeit sind entscheidend. Eine unzureichende Backup-Strategie – ohne ein aktuelles Offline-Backup / Air-Gap Backup - wird im Ernstfall zu erheblichem Datenverlust führen und die Wiederherstellung Ihres Betriebs verhindern. In der Praxis bedeutet das, dass ein Wellnesshotel nichts mehr über ihre aktuellen Reservierungen weiß, ein Architekturbüro keine Pläne ihrer aktuellen Bauvorhaben mehr hat. Trotz Abwehr des Cyberangriffs und der Wiederherstellung Ihrer Systeme bleibt Ihr Unternehmen handlungsunfähig.
Denken Sie daran: Die Existenz eines Offline-Backups war für viele Unternehmen schon die letzte Rettung. In Ihren Notfallplänen für einen Cyberangriff spielt die richtige Backup-Strategie daher eine zentrale Rolle.
Irrtum 4: ‘Polizei bei einem Vorfall der IT-Sicherheit einschalten? Dann stehen wir morgen in der Zeitung!‘
Ein weiterer häufiger Irrtum ist die unbegründete Angst die Strafverfolgungsbehörden im Falle eines Cyberangriffes einzuschalten. Die meisten Unternehmen haben Angst vor einer öffentlichen Bloßstellung. Die Folge: Unternehmen zögern, den Vorfall zu melden. So verstreicht wertvolle Zeit. Satte 91,5% an Cyberangriffen werden laut Polizeilicher Kriminalstatistik überhaupt nie gemeldet. (Quelle: Cybercrime Bundeslagebericht 2022)
Es ist wichtig zu verstehen, dass die Zusammenarbeit mit Strafverfolgungsbehörden und Cybersecurity-Experten entscheidend ist, um Angriffe aufzuklären und zukünftige Vorfälle zu verhindern. Die Polizei wird niemals zur Veröffentlichung von Vorfällen und Angriffen beitragen. Sie würde damit ihre eigene Arbeit sabotieren. Im Gegenteil: Die Behörden werden dazu beitragen, die verantwortlichen zur Rechenschaft zu ziehen und damit weitere Schäden zu verhindern; nicht nur für Sie, aber auch für andere Unternehmen.
Melden Sie sich im Ernstfall so schnell wie möglich bei den zentralen Ansprechstellen Cybercrime (ZAC) der Polizeien für Wirtschaftsunternehmen (Deutschland), der Meldestelle Against Cybercrime des Bundeskriminalamts oder Cyber-Security Hotline der WKO (Österreich) oder der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) (Schweiz).
Fazit
Die hier beschriebenen Irrtümer sind nicht die einzigen Fehleinschätzungen, denen wir immer wieder begegnen. Aber die genannten vier treten besonders häufig auf. Es ist daher sehr wichtig, diese Fehleinschätzungen als solche zu erkennen und im Anschluss die richtigen Maßnahmen daraus abzuleiten. Und nur durch zeitnahes Handeln können Sie damit verbundenen Risiken abmildern. Warten Sie nicht weiter zu!
Fangen Sie jetzt an und stärken Sie Ihre IT-Infrastruktur systematisch! Mit ITSicherheit24 schaffen Sie ein sicheres Umfeld in Ihrem Unternehmen auf sämtlichen Ebenen. Unkompliziert, effektiv und erschwinglich.