IT-Sicherheit und Datenschutz für KMU –
der größere Kontext
Die Informationstechnologie (IT) zeichnet sich durch eine ungebrochen hohe Innovationsgeschwindigkeit aus. Ausdruck findet das in ihrer enormen Veränderungskraft und rasanten Durchdringung aller Lebens- und Wirtschaftsbereiche. Durch die fortschreitende Miniaturisierung und Vernetzung von intelligenten Systemen sind noch deutlich höhere Steigerungsraten beim IT-Einsatz zu erwarten. Begriffe wie „Internet der Dinge“ und „Industrie 4.0“ benennen diesen Trend.
Daten (Informationen) aller Art sind in vielen Bereichen zum entscheidenden Produktionsfaktor und dadurch zur Basis von wirtschaftlichem Erfolg geworden. Entsprechend folgenschwere Auswirkungen können der Verlust oder die Manipulation von Daten haben. Die Bedrohung der modernen Gesellschaft durch IT-Risiken nimmt ständig zu. Nahezu alle Gebiete in Wirtschaft und öffentlicher Verwaltung sind von diesen negativen Auswirkungen betroffen.
Mit der gleichzeitig voranschreitenden Globalisierung nimmt der wirtschaftliche Druck auf alle Akteure zu. Überraschenderweise kommt IT-Sicherheit in diesem Spannungsfeld trotzdem oft zu kurz. Obwohl durch Hacker geschädigte Anbieter bei Innovationen und Wettbewerbsfähigkeit zurückfallen können und Gefahr laufen, sehr schnell vom Markt zu verschwinden.
Breites Spektrum von Angriffsmöglichkeiten
Neue Technologien ermöglichen Cyberkriminellen auch neuartige Chancen Unternehmen anzugreifen. Cyberkriminalität zielt auf:
- unbefugte Datenbeschaffung,
- unbefugtes Eindringen in ein Datenverarbeitungssystem, Datenbeschädigung
- betrügerischen Missbrauch von Datenverarbeitungsanlagen
- Veränderung oder Löschung wichtiger Daten
Alle Unternehmen gleich welcher Größe sind diesem Risiko ausgesetzt. IT-Missbrauch und vor allem auch der damit verwalteten Daten sind z.B.:
- zentrale Firmeninformationen entwenden,
- Wirtschaftsspionage
- Datenzugriff sperren und „Lösegeld“ erpressen
- Kommunikation überwachen und aufzeichnen
- Störung oder Lahmlegen kritischer Systeme wie z.B. Flugsicherung oder auch Steuerungssysteme öffentlicher Infrastrukturen
- etc
KMU unterschätzen Cyber-Risiken
KMU fühlen sich im Vergleich zu Großunternehmen deutlich weniger durch Cyberangriffe gefährdet. Etwa ein Fünftel erwarten gar keinen, ein Drittel nur einen geringen Schaden. Aber von einem Datenverlust sind KMU und Großunternehmen gleichermaßen betroffen. Nach einem Report des US-Softwareherstellers Symantec vom Januar 2015 waren mehr als ein Drittel aller gezielten Angriffe auf Unternehmen mit 1 bis 250 Mitarbeitern gerichtet. Ein Grund dafür: sie sind häufig eine leichtere Beute sind als große Unternehmen – es ist also gar nicht die Frage, ob ein Unternehmen angegriffen wird, sondern wann.
Die Schäden steigen, das Bewusstsein für IT-Sicherheit (noch) nicht: Laut einer Studie schützen sich KMU trotz steigender Hackerangriffe nur unzureichend gegen IT-Angriffe. Jedes fünfte mittelständische Unternehmen wurde 2014 mindestens einmal Opfer einer Attacke aus dem Internet, wie eine Umfrage der Beratungsgesellschaft Pricewaterhouse Coopers (PwC) ergab. Dabei zwingt sie der Gesetzgeber längst zum Handeln.
Allerdings kann mehr als die Hälfte der Betroffenen (58 Prozent) nicht genau angeben, welche Bereiche bzw. Daten angegriffen wurden und mit welchen Folgen. Trotz dieser unsicheren Informationslage geht jedes zweite Unternehmen davon aus, dass durch Angriffe kein finanzieller Schaden entstanden ist.
„Viele Mittelständler haben den Ernst der Lage noch nicht erkannt und verfügen weder über ausreichende technische Sicherheitsmaßnahmen, noch einen angemessenen Versicherungsschutz“, urteilte Peter Bartels, Vorstandsmitglied von PwC. Bisher sei zum Beispiel nur jedes fünfte Unternehmen gegen einen Cyberangriff versichert. „Das Bewusstsein für die Risiken eines allzu laxen Umgangs mit der IT-Sicherheit muss demnach deutlich steigen, zumal sich auch die regulatorischen Vorschriften verschärfen“, erklärte Bartels.
Kosten einer Cyberattacke
IT-Sicherheitsvorfälle kommen Unternehmen teuer zu stehen: Bei KMU betragen die Kosten im Schnitt 38.000, bei großen Unternehmen im Schnitt eine halbe Million US-Dollar. Dies geht aus einer aktuellen Studie von Kaspersky Lab hervor. Zu den kostenintensivsten IT-Sicherheitsvorfällen gehören Mitarbeiterbetrug, Cyberspionage, Netzwerkeinbrüche (Network Intrusions) sowie Fehler von Drittanbietern.
Klassische Ausgaben als Folge eines Sicherheitsvorfalls sind der Mehraufwand für professionelle Dienstleistungen – wie externe IT-Experten, Anwälte oder Berater – sowie Umsatzverluste aufgrund verloren gegangener Geschäftsoptionen oder von IT-Ausfällen. Neben den oben genannten direkten Kosten kommen noch indirekte Ausgaben – etwa für Personal, Trainingsmaßnahmen und Infrastrukturaktualisierungen – hinzu, die durchschnittlich zwischen 8.000 (KMU) und 69.000 US-Dollar (große Unternehmen) betragen.
Neun von zehn Unternehmen, die an der Studie teilgenommen haben, hatten mindestens einen Sicherheitsvorfall im Untersuchungszeitraum zu beklagen. Fast die Hälfte (46 Prozent) haben aufgrund einer internen oder externen Cyberbedrohung sensible Firmendaten verloren.
FAZIT
Inhaber und Geschäftsführer von KMU sollten das Thema IT-Sicherheit und Datenschutz nicht ignorieren. Sinnvoll wäre es, sich mit diesem Thema an einen externen Experten zu wenden, der die Entwicklung eines maßgeschneiderten IT-Sicherheitskonzepts gemeinsam mit Ihren IT-Verantwortlichen erstellt und das Risiko existenzbedrohender Datenverluste verhindert.