Rund zwei Drittel aller mittelständischen Unternehmen sind bereits Opfer von Cyberattacken geworden, im Ergebnis mussten davon fast die Hälfte zeitweilig den Betrieb einstellen. Im Durchschnitt treten vier IT-Sicherheitsvorfälle pro Jahr auf, wobei jeder Schaden mit rund 25.000,00 €/h zu Buche schlägt und 3,8 Stunden zur Beseitigung notwendig sind.

In nackten Zahlen ausgedrückt: Der durchschnittliche Gesamtschaden im mittelständischen Unternehmen beläuft sich auf jährlich 380.000,00 €!

In kleineren Betrieben wird der Durchschnitt sicherlich niedriger anzusetzen sein, aber bereits ein niedriger zweistelliger Prozentsatz dieses Wertes, sollte bei vielen Klein- und Kleinstunternehmen zumindest zu Liquiditätsengpässen führen. Der weitverbreitete Gedanke kleiner Betriebe, bei Ihnen sei nichts zu holen, stellt sich als gefährlicher Irrglaube heraus, denn gerade in diesem Größenbereich stellt sich die Sicherheitslandschaft oftmals als mangelhaft dar und bietet Hackern erleichterte Zugriffsmöglichkeiten auf die IT-Systeme. Der Weg des geringsten Widerstandes ist ein beliebtes Handlungsmotto von Cyber-Kriminellen!
Häufigstes Einfallstor für derartige Angriffe von außen sind E-Mails mit Schadprogrammen, die zwar grundsätzlich von Viren-Schutzprogrammen erkennt werden, aber doch immer wieder versagen, wenn neue Viren im Umlauf sind, die den Entwicklern der Schutzprogramme noch nicht bekannt sind. In derartigen Szenarien ist es dann ein unachtsames Öffnen eines Anhanges, das zur Infizierung der IT-Systeme führt.

„Bruder Leichtfuß“ in Gestalt des eigenen Mitarbeiters, ist leider meist der Verursacher Nummer eins, wenn es um die Feststellung der Ursache von IT-Sicherheitsvorfällen geht. Der Grund des Fehlverhaltens ist aber in der Regel in der Leitungsebene des Unternehmens zu suchen, die mangels Sensibilisierungs- und Schulungsmaßnahmen nicht dazu beiträgt, ein entsprechendes Problembewusstsein bei seinen Mitarbeitern zu schaffen. Zwar sind grundsätzliche technische Sicherheitsmaßnahmen in mittelständischen Betrieben umgesetzt, jedoch hilft eine Abschirmung gegen Angriffe Dritter nicht, wenn die interne Sicherheitslücken nicht ausreichend beachtet und untersucht werden.

Es ist mindestens ebenso wichtig, interne Arbeitsanweisungen, Richtlinien, Prozess und Verfahren offen mit den Mitarbeitern zu kommunizieren und diesen nicht nur bekannt zu machen, sondern auch zu prüfen, ob deren Regelungsinhalt verstanden worden ist. Mit der Vorlage eines Sammelsuriums von Sicherheitsanweisungen zur Unterschrift ist es nicht getan, wenn nicht sichergestellt werden kann, dass diese am Ende des Tages auch verstanden und befolgt werden.

Betrachtet man allein die Abhängigkeit der Geschäftsprozesse von der Funktionalität der IT-Systeme, wird einem schnell bewusst, welche gravierenden Folgen stundenweise oder gar tagelange Ausfälle der Informationstechnik haben können.

Getreu der Prämisse – Aktion statt Reaktion – sollte daher überprüft werden, ob das eigene Sicherheitsniveau noch angemessen ist und zu welchem Ergebnis ein unabhängiger Experte für Informationssicherheit kommt, der neutral bewertet und der Gefahr eigener Betriebsblindheit zuvorkommt.

Viele Sicherheitsmaßnahmen sind nicht zwangsläufig mit hohen Kosten verbunden, sondern sind bereits auch mit kleinerem Budget umsetzbar, wie etwa Schulungen oder die Formulierung eindeutiger Arbeitsanweisungen, um damit organisatorischen Fehlern vorzubeugen.

Eine regelmäßige Überprüfung des Unternehmens auf Sicherheitsmängel ist insbesondere für die Unternehmensleitung relevant, um im Schadensfall den Nachweis erbringen zu können, unternehmerischen Sorgfaltspflichten nachgekommen zu sein. Andernfalls kann es zum Fortfall des Versicherungsschutzes bis hin zur persönlichen Haftung des Geschäftsführers kommen.

Zur Versinnbildlichung möge man sich ins Gedächtnis rufen, dass fehlende regelmäßige Wartung des Autos, früher oder später teuer wird und schnell zu kostspieligen Reparaturen führt, wenn Mängel nicht rechtzeitig erkannt werden. Das Fahrzeug wird ausfallen oder läuft nicht mehr zuverlässig. Etwas anderes kann nicht für das eigene Unternehmen gelten, das Grundlage der Bestreitung des Lebensunterhaltes ist.

© 2019 ITQ Institut für Technologiequalität