Ein Mann sitz an einem Schreibtisch und arbeitet an einem Laptop. Eine Frau steht neben ihm. Gemeinsam schauen sie auf den Screen.
EWE business Magazin

IT-Sicherheit im Mittelstand

EWE-Sicherheitsexperte Markus Bittner im Interview

EWE business Magazin / IT-Security / Mittelstand
IT-Security
Digitalisierung
Glasfaser/Internet
16.05.2022  8 Min.
Autor: Team EWE business

Digitale Gefahren für Firmen nehmen kontinuierlich zu

Markus Bittner im Gespräch über das IT-Sicherheitsgesetz 2.0, Einfallstore und warum IT-Sicherheit im Mittelstand immer häufiger zur Chefsache wird

Cyberkriminelle nehmen zunehmend mittelständische Unternehmen ins Visier. Warum? Weil es weiterhin noch viele Unternehmen gibt, die die Gefahren aus dem Netz unterschätzen und dementsprechend die eigene IT-Sicherheit vernachlässigen. Und das, obwohl in den Medien immer häufiger von erfolgreichen Cyberattacken berichtet wird. Warum das so ist und welche Auswirkungen das haben kann, darüber haben wir mit Markus Bittner von EWE gesprochen. Er ist IT-Security-Experte und bei EWE verantwortlich für die Implementierung und den Betrieb sämtlicher Security-Produkte.

 

Herr Bittner, laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung durch Cyberangriffe auch auf mittelständische Unternehmen im letzten Jahr bedrohlich gestiegen. Was sind aktuell die konkreten Entwicklungen?

Bittner: Ransomware- und DDoS-Angriffe haben leider einen rasanten Anstieg hingelegt. Das hatte sich über Jahre schon angedeutet und wurde vor allem in den beiden letzten Jahren sichtbar und spürbar. Das zeigt unter anderem auch der BSI-Bericht zur Lage der IT-Sicherheit in Deutschland aus dem Jahr 2021. Immer häufiger werden demzufolge auch mittelständische Unternehmen erpresst. Aktuell geht das BSI von einem jährlichen Schaden durch Ransomware, DDoS-Attacken und weiteren Cyberangriffen von über 200 Milliarden Euro aus. Nur bei deutschen Unternehmen. Tendenz steigend.

 

Was genau bedeutet das IT-Sicherheitsgesetz 2.0 für mittelständische Unternehmen?

Bittner: Zuerst einmal muss man festhalten, dass dieses Gesetz primär Betreiber kritischer Infrastrukturen betrifft. Allerdings wurde der Kreis dieser Firmen erweitert. So sind beispielsweise Unternehmen der Abfallentsorgung nun auch betroffen. Was das genau bedeutet? Grundsätzlich wurden Pflichten verstärkt, die die IT-Sicherheit betreffen. So muss jedes betroffene Unternehmen verpflichtend Systeme zur Angriffserkennung einführen. Darüber hinaus sind professionelle Reaktions- und Präventionsmaßnahmen in Form von Desaster-Recovery-Szenarien bei massiven Versorgungsstörungen regelmäßig nachzuweisen. Alles Maßnahmen, die die Unternehmen schützen sollen und somit auch die Gesellschaft.

 

Die IT-Sicherheit bei mittelständischen Unternehmen weist vielerorts noch große Lücken auf. (Bild: Caterina Bernardi / Tetra images / Getty Images)

 

Was sind die gröbsten Fehler, die aktuell in mittelständischen Unternehmen in puncto IT-Sicherheit gemacht werden?

Bittner: Im Bereich IT-Sicherheit werden leider noch sehr viele Fehler gemacht. Zum Beispiel existieren bei nur sehr wenigen Unternehmen gute Konzepte für die Systemwiederherstellung bei einem Ransomware-Befall. Das bedeutet, dass Unternehmen völlig aufgeschmissen sind, sobald Cyberkriminelle Daten stehlen oder den Zugriff auf Daten oder Netzwerke unterbinden. Wäre eine Datenkopie an einem externen Ort gespeichert, könnte man der Erpressung gelassen entgegensehen. Gerade für kritische Systeme wie Firewalls ist ein sicherer Betrieb entscheidend. Dazu gehören regelmäßiges Patchen, Dokumentationen und die Sicherung der Konfigurationen. Das wird leider noch häufig vernachlässigt. Und was noch hinzukommt: nur die wenigsten Unternehmen betreiben ein Schwachstellenmanagement wirklich ernsthaft. Mit Hilfe des Schwachstellenmanagements können Schwachstellen in der IT-Infrastruktur strukturiert ermittelt werden. Das ist sehr wichtig für Firmen. Denn erst wenn man weiß, dass eine Schwachstelle existiert, kann diese auch geschlossen werden. Aber die wirklich größte Gefahr geht weiterhin von den Mitarbeitenden aus. Bei etwa 90 Prozent aller erfolgreicher Cyberattacken war das Einfallstor der Mensch. Es fehlt vielerorts an Sensibilisierung.

 

Gibt es noch weitere Fehler?

Bittner: Fehler ist da aus meiner Sicht das falsche Wort. Ich denke, Sorglosigkeit trifft es schon besser. Schließlich ist nicht jeder Entscheider in einem mittelständischen Unternehmen auch gleichzeitig ein IT-Spezialist. Es fehlt schlicht die Fachkenntnis. Ich führe das mal anhand eines konkreten Beispiels aus: Während der Corona Pandemie wurden reihenweise ungepatchte, schwach abgesicherte Exchange Server direkt ans Internet angebunden. Das hat man gemacht, um den Mitarbeitenden im Homeoffice Zugang zu den eigenen Mails zu verschaffen. Die Grundidee war also richtig. Dass das ganze Unternehmen dadurch aber leicht gekapert werden kann und sich dadurch existentielle Schäden ergeben könnten, dass hatten viele Unternehmen leider nicht auf dem Schirm!

 

Ist es richtig, dass auf Seiten der Mittelständler das Thema IT-Sicherheit meistens noch Chefsache ist? Wenn nein: Wer kümmert sich am häufigsten darum?

Bittner: IT-Sicherheit wird immer mehr zur Chefsache. Und das ist auch gut so. Die Ansprechpartner sind aktuell sehr unterschiedlich – vom einfachen Mitarbeiter über IT-Leiter bis zum Geschäftsführer. Aber IT-Sicherheit muss von der Spitze her vorgelebt werden. Und vorangetrieben. Wir merken aber, dass dem Thema vor allen in den letzten Monaten grundsätzlich mehr Aufmerksamkeit gewidmet wird.

 

Kommen wir zu unserer letzten Frage: Worauf sollten mittelständische Unternehmen in puncto IT-Sicherheit unbedingt achten?

Bittner: Da fallen mir drei Dinge ein, auf die man besonders Wert legen sollte. Erstens: Gerade im Bereich IT-Security ist es wichtig, qualifiziertes und zertifiziertes Personal einzusetzen. Und wenn man dieses nicht hat, sollte man mit externen Partnern arbeiten, die die gängigsten Zertifikate vorweisen können. Beispielsweise die Qualifizierung als DDoS-Schutz-Dienstleister durch das BSI. Zweitens: Man sollte IT-Sicherheit auf jeden Fall ganzheitlich denken. Von der Redundanz der Datenleitung über die Firewall und Angriffserkennungssysteme bis hin zur Patch- und Backupstrategie. Und als letzten Punkt sollten auf jeden Fall die Mitarbeiterinnen und Mitarbeiter regelmäßig geschult werden. Und wenn ich von geschult spreche, meine ich nicht, dass man einmal im Jahr ein kurzes Video herumschickt und hofft, dass es angeschaut wird. Bei der User Awareness geht es darum, reale Situationen im Berufsalltag nachzustellen. So echt wie möglich. Nur dann ist die Wahrscheinlichkeit hoch, dass die Mitarbeitenden im Ernstfall richtig reagieren.

Welche Lösungen zur IT-Sicherheit bietet EWE für den Mittelstand?

Erfahren Sie mehr über unsere Produkte und Dienstleistungen und lassen sich gerne von uns beraten.

Ein Mann sitzt vor seinem Computer und kümmert sich um die IT-Sicherheit.

IT-Sicherheit

Verlassen Sie sich mit EWE auf die höchsten IT-Sicherheitsstandards.

Person beobachtet DDoS-Angriff auf Laptop-Bildschirm

DDoS-Schutz

Wir wehren Attacken ab noch bevor diese bei Ihnen ankommen.

Ein Mann im Büro prüft etwas auf seinem Handy, im Hintergrund eine Frau bei der Arbeit

Direktanbindung

Profitieren Sie von einer sicheren und exklusiven Datenleitung für Ihren Standort.

Interessante Artikel aus dem EWE business Magazin

Beitrag teilen

Mehr Datenschutz: Erst bei Klick auf einen Link werden Daten an Dritte übermittelt.