IT-Sicherheit im Mittelstand

Cyberkriminelle nehmen zunehmend mittelständische Unternehmen ins Visier. Warum? Weil es weiterhin noch viele Unternehmen gibt, die die Gefahren aus dem Netz unterschätzen und dementsprechend die eigene IT-Sicherheit vernachlässigen. Und das, obwohl in den Medien immer häufiger von erfolgreichen Cyberattacken berichtet wird. Warum das so ist und welche Auswirkungen das haben kann, darüber haben wir mit Markus Bittner von EWE gesprochen. Er ist IT-Security-Experte und bei EWE verantwortlich für die Implementierung und den Betrieb sämtlicher Security-Produkte.

Herr Bittner, laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung durch Cyberangriffe auch auf mittelständische Unternehmen im letzten Jahr bedrohlich gestiegen. Was sind aktuell die konkreten Entwicklungen?

Bittner: Ransomware- und DDoS-Angriffe haben leider einen rasanten Anstieg hingelegt. Das hatte sich über Jahre schon angedeutet und wurde vor allem in den beiden letzten Jahren sichtbar und spürbar. Das zeigt unter anderem auch der BSI-Bericht zur Lage der IT-Sicherheit in Deutschland aus dem Jahr 2021. Immer häufiger werden demzufolge auch mittelständische Unternehmen erpresst. Aktuell geht das BSI von einem jährlichen Schaden durch Ransomware, DDoS-Attacken und weiteren Cyberangriffen von über 200 Milliarden Euro aus. Nur bei deutschen Unternehmen. Tendenz steigend.

Was genau bedeutet das IT-Sicherheitsgesetz 2.0 für mittelständische Unternehmen?

Bittner: Zuerst einmal muss man festhalten, dass dieses Gesetz primär Betreiber kritischer Infrastrukturen betrifft. Allerdings wurde der Kreis dieser Firmen erweitert. So sind beispielsweise Unternehmen der Abfallentsorgung nun auch betroffen. Was das genau bedeutet? Grundsätzlich wurden Pflichten verstärkt, die die IT-Sicherheit betreffen. So muss jedes betroffene Unternehmen verpflichtend Systeme zur Angriffserkennung einführen. Darüber hinaus sind professionelle Reaktions- und Präventionsmaßnahmen in Form von Desaster-Recovery-Szenarien bei massiven Versorgungsstörungen regelmäßig nachzuweisen. Alles Maßnahmen, die die Unternehmen schützen sollen und somit auch die Gesellschaft.

Was sind die gröbsten Fehler, die aktuell in mittelständischen Unternehmen in puncto IT-Sicherheit gemacht werden?

Bittner: Im Bereich IT-Sicherheit werden leider noch sehr viele Fehler gemacht. Zum Beispiel existieren bei nur sehr wenigen Unternehmen gute Konzepte für die Systemwiederherstellung bei einem Ransomware-Befall. Das bedeutet, dass Unternehmen völlig aufgeschmissen sind, sobald Cyberkriminelle Daten stehlen oder den Zugriff auf Daten oder Netzwerke unterbinden. Wäre eine Datenkopie an einem externen Ort gespeichert, könnte man der Erpressung gelassen entgegensehen. Gerade für kritische Systeme wie Firewalls ist ein sicherer Betrieb entscheidend. Dazu gehören regelmäßiges Patchen, Dokumentationen und die Sicherung der Konfigurationen. Das wird leider noch häufig vernachlässigt. Und was noch hinzukommt: nur die wenigsten Unternehmen betreiben ein Schwachstellenmanagement wirklich ernsthaft. Mit Hilfe des Schwachstellenmanagements können Schwachstellen in der IT-Infrastruktur strukturiert ermittelt werden. Das ist sehr wichtig für Firmen. Denn erst wenn man weiß, dass eine Schwachstelle existiert, kann diese auch geschlossen werden. Aber die wirklich größte Gefahr geht weiterhin von den Mitarbeitenden aus. Bei etwa 90 Prozent aller erfolgreicher Cyberattacken war das Einfallstor der Mensch. Es fehlt vielerorts an Sensibilisierung.

Gibt es noch weitere Fehler?

Bittner: Fehler ist da aus meiner Sicht das falsche Wort. Ich denke, Sorglosigkeit trifft es schon besser. Schließlich ist nicht jeder Entscheider in einem mittelständischen Unternehmen auch gleichzeitig ein IT-Spezialist. Es fehlt schlicht die Fachkenntnis. Ich führe das mal anhand eines konkreten Beispiels aus: Während der Corona Pandemie wurden reihenweise ungepatchte, schwach abgesicherte Exchange Server direkt ans Internet angebunden. Das hat man gemacht, um den Mitarbeitenden im Homeoffice Zugang zu den eigenen Mails zu verschaffen. Die Grundidee war also richtig. Dass das ganze Unternehmen dadurch aber leicht gekapert werden kann und sich dadurch existentielle Schäden ergeben könnten, dass hatten viele Unternehmen leider nicht auf dem Schirm!

Ist es richtig, dass auf Seiten der Mittelständler das Thema IT-Sicherheit meistens noch Chefsache ist? Wenn nein: Wer kümmert sich am häufigsten darum?

Bittner: IT-Sicherheit wird immer mehr zur Chefsache. Und das ist auch gut so. Die Ansprechpartner sind aktuell sehr unterschiedlich – vom einfachen Mitarbeiter über IT-Leiter bis zum Geschäftsführer. Aber IT-Sicherheit muss von der Spitze her vorgelebt werden. Und vorangetrieben. Wir merken aber, dass dem Thema vor allen in den letzten Monaten grundsätzlich mehr Aufmerksamkeit gewidmet wird.

Kommen wir zu unserer letzten Frage: Worauf sollten mittelständische Unternehmen in puncto IT-Sicherheit unbedingt achten?

Bittner: Da fallen mir drei Dinge ein, auf die man besonders Wert legen sollte. Erstens: Gerade im Bereich IT-Security ist es wichtig, qualifiziertes und zertifiziertes Personal einzusetzen. Und wenn man dieses nicht hat, sollte man mit externen Partnern arbeiten, die die gängigsten Zertifikate vorweisen können. Beispielsweise die Qualifizierung als DDoS-Schutz-Dienstleister durch das BSI. Zweitens: Man sollte IT-Sicherheit auf jeden Fall ganzheitlich denken. Von der Redundanz der Datenleitung über die Firewall und Angriffserkennungssysteme bis hin zur Patch- und Backupstrategie. Und als letzten Punkt sollten auf jeden Fall die Mitarbeiterinnen und Mitarbeiter regelmäßig geschult werden. Und wenn ich von geschult spreche, meine ich nicht, dass man einmal im Jahr ein kurzes Video herumschickt und hofft, dass es angeschaut wird. Bei der User Awareness geht es darum, reale Situationen im Berufsalltag nachzustellen. So echt wie möglich. Nur dann ist die Wahrscheinlichkeit hoch, dass die Mitarbeitenden im Ernstfall richtig reagieren.