DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

[datensicherheit.de, 24.10.2023] Die DriveLock SE hat die Ergebnisse der gemeinsamen Studie mit der techconsult GmbH zur aktuellen Lage der IT-Sicherheit im deutschen Mittelstand veröffentlicht – als Neuauflage der bisherigen Ausgabe von 2019. Die Antworten der befragten Unternehmen lassen demnach erkennen: „Der Stellenwert von Cybersecurity in den Unternehmen hat an Bedeutung gewonnen und wird entsprechend als wichtig wahrgenommen.“ Doch effektiven IT-Schutz umzusetzen, sei für kleine und mittelständische Unternehmen (KMU) in Teilen noch immer schwierig. Dort stellten fehlende Ressourcen wie Budgets und Fachkräfte erhebliche Hindernisse dar. Security-Lösungen müssten daher gleich in mehrfacher Hinsicht einfach und ressourcenschonend sein – von der Investition und Implementierung bis hin zur täglichen Nutzung und Wartung.

Abbildung: DriveLock SE

Lage der IT-Sicherheit deutscher KMU 2023

Zentrale Erkenntnisse der aktuellen KMU-Studie:

Im Mittelstand sei die Bedeutung von IT-Sicherheit gestiegen – von 55 Prozent vor vier Jahren auf nunmehr 70 Prozent. Dennoch gebe es noch Raum für Verbesserungen: „21 Prozent der befragten Unternehmen setzen Sicherheitsmaßnahmen unregelmäßig und ohne klare Strategie um, während acht Prozent sogar erst nach einem Sicherheitsvorfall reagieren.“ Diese Ergebnisse zeigten die Notwendigkeit einer konsequenten Umsetzung von Sicherheitsmaßnahmen.

Ein zentrales Hindernis für die Umsetzung umfänglicher IT-Sicherheitsmaßnahmen seien die wahrgenommenen Kosten. „Die Hälfte der Unternehmen ohne eine klare Sicherheitsstrategie vermeidet Sicherheitsinvestitionen aufgrund zu hoher Kosten.“ Zeitmangel sei ein weiteres Problem, weshalb 40 Prozent der befragten Unternehmen ohne konkrete Sicherheitsstrategie agierten. „Interessanterweise wiegen sich fast 30 Prozent dieser Unternehmen in falscher Sicherheit und gehen davon aus, nicht Opfer von Cyber-Angriffen zu werden.“ Dieser Leichtsinn könne jedoch zu erheblichen finanziellen und nicht-monetären Schäden führen.

Ferner bildeten die üblichen Security-Klassiker die Grundlage für die Mehrheit der Unternehmen. Unternehmen mit einer etablierten Sicherheitsstrategie setzten zusätzlich auf weitergehende Sicherheitslösungen. „Eine wichtige und richtige Entscheidung.“ Angesichts der zunehmenden Raffinesse von Cyber-Angriffen und Veränderungen in der Unternehmensstruktur, wie der Einführung von „Cloud“-Infrastrukturen und Remote-Arbeit, sei eine Anpassung der Sicherheitsmaßnahmen unerlässlich. Unternehmen sollten ihre Sicherheitsstrategien überdenken und die Bedeutung mehrschichtiger Security-Maßnahmen erkennen, um sich effektiv vor Cyber-Bedrohungen zu schützen.

Mit Blick auf die Betriebsmodelle von IT-Sicherheit in den Unternehmen lasse sich erkennen, dass 79 Prozent der Befragten diese trotz Fachkräftemangels entweder komplett oder größtenteils „in-house“ betrieben. Gefragt nach ihren Wünschen, gäben noch immer knapp 60 Prozent der Befragten an, die gesamte IT-Sicherheit selbst verwalten zu wollen. „Ein Ergebnis mit signifikanter Diskrepanz zu vorhandenen Personalressourcen und entsprechender Fachexpertise in KMU.“

KMU versuchen traditionell, ihre IT-Sicherheit selbst zu regeln

Diese Diskrepanz erläutert Arved Stackelberg, „CEO“ von DriveLock: „Hier kommen mehrere Faktoren ins Spiel. Zum einen haben KMU traditionell versucht, IT-Sicherheit selbst zu regeln – oft ohne das notwendige Experten-Wissen und ausreichende Ressourcen, um sich tatsächlich effektiv schützen zu können.“ Zum anderen gebe es nach wie vor ein gewisses Misstrauen gegenüber „cloud“-basierten Lösungen – Stichwort „Souveränität“.

Dabei bieten „cloud“-basierte Lösungen signifikante Vorteile. Diese seien schnell verfügbar und erforderten weniger Investition in Infrastruktur und personelle Ressourcen. „Und nochmal zum Stichwort ,Souveränität’: Hier gibt es sinnvolle Alternativen in Deutschland und Europa. Unsere DriveLock-Lösungen sind ,cloud’-basiert und ,Made in Germany’. Mit unserer langjährigen Erfahrung im Mittelstand bringen wir Unternehmen in sehr kurzer Zeit auf ein höheres Sicherheitsniveau“, sagt Stackelberg. Dies spare Zeit und Kosten bei gleichzeitig konsequentem Schutz digitaler Arbeitsplätze.

Mehrschichtige KMU-Sicherheitslösungen als Festung gegen Cyber-Kriminelle

Raphael Napieralski, Analyst bei techconsult GmbH, betont: „Die Bedrohungslage im Bereich Cybersecurity ist akuter denn je, und es ist an der Zeit, sich proaktiv zu schützen.“ Von der Priorisierung der IT-Sicherheit bis zur Integration in die Unternehmensstrategie – nur so könne ein flächendeckender Schutz gewährleistet werden.

Mehrschichtige Sicherheitslösungen seien die Festung gegen Cyber-Kriminelle. „Die Stärkung der IT-Sicherheit reicht jedoch über Technologie hinaus, denn der Mensch bleibt das schwächste Glied in der Kette“, stellt Napieralski abschließend klar – Schulungen und Sensibilisierung seien daher der „Schlüssel zur Gefahrenminimierung“.

Weitere Informationen zum Thema:

DriveLock
Cybersecurity im deutschen Mittelstand / Warum brauchen KMU eine robuste Cybersicherheit?

[datensicherheit.de, 17.06.2022] Der Deutsche Mittelstands-Bund (DMB) blickt nach eigenen Angaben „skeptisch auf die Regelungen“: Demnach wird nun „Kompetenzgerangel statt Tempo“ befürchtet – denn die „Ampel-Regierung“ habe die Zuständigkeiten im Bereich Digitalisierung neu aufgeteilt. Die Erwartungen an die Digitalstrategie der Bundesregierung seien indes „hoch“.

Deutscher Mittelstands-Bund hatte sich unter beschworenem Aufbruch etwas Anderes vorgestellt

„Die ,Ampel‘-Regierung ist im vergangenen Herbst mit einem ambitionierten Koalitionsvertrag angetreten und wollte einen umfassenden digitalen Aufbruch wagen“, so Marc S. Tenbieg, Geschäftsführender Vorstand des DMB, zurückblickend. Er kritisiert: „Nun haben wir sieben lange Monate darauf warten müssen, um zu erfahren, wie die Regierung intern die Zuständigkeiten verteilt. Unter ,Aufbruch‘ haben wir uns etwas Anderes vorgestellt.“

Deutschland habe in den vergangenen Jahren im internationalen Vergleich „bei der Digitalisierung an Boden verloren“. Laut Tenbieg braucht es deshalb „dringender denn je und vor allem zügig“ eine durchgängige Digitalstrategie. Eine solche habe die Bundesregierung für Juli 2022 angekündigt.

DMB sieht Wettbewerbsfähigkeit des Mittelstands in Gefahr

Der DMB habe in der Vergangenheit stets die Dringlichkeit einer schnellen Digitalen Transformation betont und auf notwendige Anpassungen der Rahmenbedingungen hingewiesen. Tenbieg erläutert: „Die schleppende Digitalisierung gefährdet in einer Zeit des Wandels die Wettbewerbsfähigkeit des deutschen Mittelstandes! Deswegen brauchen wir dringend eine zeitgemäße und in sich schlüssige Digitalstrategie mit einem klaren Zielsystem. Das funktioniert nur mit gebündelten Zuständigkeiten und kurzen Entscheidungswegen.“

Darum fordert Tenbieg eine „zentrale Digitalpolitik mit wirtschaftlichem Sachverstand, eindeutigen politischen Zuständigkeiten und Entscheidungskompetenzen“. Abschließend betont er: „Ein so wichtiges Thema wie die Digitalisierung braucht einen durchsetzungsstarken Taktgeber. Nur wenn die Digitalpolitik ,aus einem Guss‘ kommt und alle Entscheidungswege zusammenlaufen, sind optimale Voraussetzungen für eine schnelle und effiziente digitale Transformation im Mittelstand vorhanden.“

Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum 18. Mai 2022 ein

[datensicherheit.de, 17.05.2022] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zu einem Online-Seminar ein, welches KI-Einsatzszenarien Voice-Cloning, E-Mail-Filter, Malware- sowie Angriffserkennung und Netzwerkanalysen behandeln soll:

Abbildung: it’s.BB e.V.

Vorab-Registrierung erforderlich!

IT-Sicherheitsexperte Daniel Kant führt durch die Veranstaltung

„Die Veranstaltung wird von unserem Netzwerkmitglied, der Technischen Hochschule Brandenburg, in Kooperation mit dem Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft organisiert.“

Die Veranstaltung werde in einer interaktiven Form angeboten. Der IT-Experte Daniel Kant wird demnach als Referent in das Thema einführen und anschließend für gezielte Fragen zur Verfügung stehen.

Künstliche Intelligenz – Potentiale und Risiken für die IT-Sicherheit

Mittwoch, 18. Mai 2022, 16.00 bis 17.00 Uhr
Online-Veranstaltung via „ClickMeeting“-Plattform

Agenda (ohne Gewähr):

16.00-16.10 Uhr Begrüßung: Daniel Kant, TH-Brandenburg, und Andreas Polzer, IHK Berlin

16.10-16.45 Uhr Daniel Kant, TH-Brandenburg

• Einführung
• Vorstellung des Kompetenzzentrums IT-Wirtschaft (KIW)
• Fähigkeiten und Potenziale von KI
• Aktive vs. passive KI
• Die Chancen der KI-Nutzung im Mittelstand
• Die Chancen / Risiken der KI-Nutzung für die IT-Sicherheit
• KI-Einsatz-Szenarien
– Beispiel „Voice Clone“ und CEO-Fraud
– Beispiel E-Mail-Filter
– Beispiel Malware-Erkennung
– Beispiel Angriffserkennung und Netzwerkanalyse
• Grenzen/Risiken/Manipulation von KI

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft
Künstliche Intelligenz / Jetzt registrieren

Verstärkt wird auf Cyber-Kompetenzen der Internetnutzer gesetzt

[datensicherheit.de, 08.09.2021] Der Deutschland sicher im Netz e.V. (DsiN)-Pressestatement meldet, dass am 8. September 2021 das Bundeskabinett „die neue Cybersicherheitsstrategie des Bundes“ beschlossen hat. DsiN-Geschäftsführer Dr. Michael Littger führt in seinem Kommentar aus, dass diese verstärkt auf Cyber-Kompetenzen der Internetnutzer setze – tatsächlich seien Menschen die größte Schwachstelle in der heutigen IT-Sicherheitsarchitektur.

Foto: DsiN e.V.

Dr. Michael Littger: Deutschland kann zum Vorbild bei digitaler Kompetenzvermittlung werden…

Über 90 Prozent der Cyber-Schadensvorfälle durch einfache Schutzvorkehrungen vermeidbar

Dr. Michael Littger begründet seine Aussage zum Menschen als größter Schwachstelle in der heutigen IT-Sicherheitsarchitektur: „Über 90 Prozent der Sicherheitsvorfälle im privaten und beruflichen Umfeld sind durch einfache Schutzvorkehrungen vermeidbar. Wenn es gelingt, die neuentstandenen Transfer-Infrastrukturen der vergangenen Jahre kraftvoll weiterzuentwickeln, kann Deutschland zum Vorbild bei digitaler Kompetenzvermittlung werden.“

Cybersicherheitsstrategie 2021“ benennt konkrete DsiN-Engagements

Die „Cybersicherheitsstrategie 2021“ benennt demnach konkrete Engagements des DsiN – so. u.a. die „Digitale Nachbarschaft fürs Ehrenamt“, den „Digital-Kompass für ältere Menschen“, den „DsiN-Digitalführerschein“. Aber auch TISiM, die „Transferstelle IT-Sicherheit im Mittelstand“ vermittele bundesweit schon heute an 80 regionalen Anlaufstellen konkrete Hilfestellungen für Berufstätige und Unternehmen. Dr. Littger betont: „Insbesondere den digitalen Mittelstand gilt es mit der neuen Bundesregierung dauerhaft zu stärken.“

Weitere Informationen zum Thema:

datensicherheit.de, 05.05.2021
DsiN-Jahreskongress 2021: Gemeinsam für ein sicheres Netz der Vielfalt und Verantwortung

Bundesregierung
Im Kabinett / Ziele für die Cybersicherheit beschlossen

Umfrage von G DATA zeigt Probleme auf und stellt Nutzen von Security Awareness dar

[datensicherheit.de, 21.04.2021] Jedes zweite Unternehmen im deutschen Mittelstand kenne die Situation, wenn ein Cyber-Angriff erfolgreich war: Ungeschulte Mitarbeiter spielten dabei häufig eine wichtige Rolle. E-Mails seien der Angriffsweg Nummer 1 in IT-Systeme, weil Angestellte schnell auf gefälschte Rechnungen oder Bewerbungen reinfielen. G DATA CyberDefense stellt in einer Meldung dar, welche Fallstricke laut einer aktuellen Umfrage beim Thema „Security Awareness“ lauerten. Für die zugrundeliegende „Security Awareness Trainings“-Umfrage hat OmniQuest demnach im Auftrag von G DATA CyberDefense AG im Herbst 2020 insgesamt 200 mittelständische Unternehmen befragt: „Die befragten deutschen Firmen hatten zwischen 50 und 1.000 Mitarbeiter. Die Branchenzugehörigkeit und das Tätigkeitsfeld spielten dabei keine Rolle.“

Abbildung: G DATA

Umfrageergebnisse: „Security Awareness Trainings im deutschen Mittelstand – Sind Mitarbeiter Teil der Cyberabwehr?“

Viele Mitarbeiter unsicher im Umgang mit der IT und anfällig für Fehler, warnt G DATA

IT-Sicherheit sei bei den meisten Mitarbeitern nicht das Kerngeschäft – insbesondere, wenn diese nicht aus dem IT-Umfeld stammen. Das habe Folgen: „Bei der Hälfte der befragten Mittelständler war eine Cyber-Attacke durch den Fehler eines Angestellten erfolgreich. Das wird teuer und kann schnell existenzbedrohlich werden.“
Nikolas Schran, „Product Owner Cyber Defense Academy“ bei G DATA CyberDefense, erläutert: „Viele Mitarbeiter sind unsicher im Umgang mit der IT und anfällig für Fehler. Cyber-Kriminelle nutzen das konsequent aus und greifen über die Mitarbeiter an.“ Er betont: „Wer IT-Sicherheit ganzheitlich denkt, kann nicht allein auf technische Lösungen setzen, sondern sollte seine Angestellten zum integralen Teil seines Sicherheitskonzeptes machen.“

G DATA rät zur Analyse der Opportunitätskosten, wenn das Budget zum Problem wird

Das Potenzial zu einer signifikanten Verbesserung der IT-Sicherheit sei da. Viele Mittelständler nutzten diese Chance aber nicht. Gerade kleinere Unternehmen dächten bei „Security Awareness Trainings“ nicht an umfassende Schulungen über einen längeren Zeitraum, sondern führten nur einmalige Veranstaltungen durch. Alternativ würden hin und wieder E-Mails über aktuelle Bedrohungen versendet oder Informationen über das firmeneigene Intranet bereitgestellt. „Dies ist weder zielführend noch nachhaltig!“
Durch eine solche Vorgehensweise könnten zwar im Vergleich zur Anschaffung einer E-Learning-Umgebung Gelder eingespart werden. Eine nachhaltige Verhaltensänderung und wirkliche Sensibilisierung fänden jedoch nicht statt. Um die Opportunitätskosten von „Security Awareness Trainings“ zu berechnen, sollten Verantwortliche die Kosten eines mehrtägigen Betriebsausfalls auf Grund eines Cyber-Vorfalls den Investitionen gegenüberstellen.

Laut G DATA sollten Unternehmen auf umfassende Security Awareness Trainings setzen

Dies gelte insbesondere in der aktuellen Situation, welche besondere Anforderungen an Unternehmer und Mitarbeiter stelle. „Gerade in der aktuellen Home-Office-Situation ist eine gute Security-Awareness wichtiger denn je. Mitarbeiterinnen und Mitarbeiter sind durch die ,Pandemie‘, Home-Schooling und Vereinsamung einem besonderen Druck ausgesetzt. In solchen Situationen sind sie besonders anfällig für ,Social Engineering‘. Wir stärken die Mitarbeiter, damit sie auch in Stresssituationen die richtigen Entscheidungen treffen und steigern damit die IT-Sicherheit im Unternehmen“, so Schran.
Unternehmen sollten auf umfassende „Security Awareness Trainings“ setzen, um ihre Mitarbeiter nachhaltig im Thema IT-Sicherheit zu schulen und sie mit dem nötigen Wissen auszustatten, um Angriffe sicher abzuwehren. Diese Maßnahme sei sehr wirksam und die Investition lohne sich: „78 Prozent der befragten Mittelständler haben hierdurch ihre IT-Sicherheit gesteigert und die Mitarbeiter gehen vorsichtiger mit den IT-Systemen um.“

Weitere Ergebnisse der Umfrage von G DATA:

• Die Hälfte der Unternehmen schule die gesamte Belegschaft in puncto IT-Sicherheit.
• Bei E-Learning-Dienstleistungen erwarte die Hälfte der Unternehmen eine Phishing-Simulation.
• Ziele von „Security Awareness Trainings“ in Unternehmen seien die Verbesserung der IT-Sicherheit und Compliance.
• Das wichtigste Thema für den Mittelstand bei „Security Awareness Trainings“ seien „Sicherheitsvorfälle“ – d.h. Angriffe zu erkennen und im Ernstfall richtig zu handeln.
• Fast die Hälfte der Mittelständler, die keine „Security Awareness Trainings“ durchführten, glaube, bei IT-Sicherheit gut aufgestellt zu sein.

Weitere Informationen zum Thema:

G DATA
Security Awareness Trainings im deutschen Mittelstand – Sind Mitarbeiter Teil der Cyberabwehr?

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

46 Prozent der Unternehmen laut DsiN melden IT-Angriffe

[datensicherheit.de, 05.10.2020] Zum Start des europäischen Aktionsmonats zur Cyber-Sicherheit ist am 5. Oktober 2020 der „Praxisreport Mittelstand 2020“ zur Lage der IT-Sicherheit in kleinen und mittleren Unternehmen (KMU) erschienen. Diese repräsentative Studie unter Schirmherrschaft des Bundeswirtschafsministeriums zeige deutlichen Unterstützungsbedarf beim Digitalschutz, denn zwölf Prozent der Betriebe fürchteten um die eigene Existenz bei Cyber-Angriffen.

Abbildung: DsiN e.V.

„Praxisreport Mittelstand 2020“ wird am 6. Oktober 2020 im Rahmen der „it-sa 365“ erstmalig vorgestellt

DsiN warnt: Ein Viertel der Betriebe verfügt über keinerlei Datensicherungen

Fast die Hälfte aller Unternehmen in Deutschland (46 Prozent) habe in den vergangenen Monaten Cyber-Angriffe auf ihr Unternehmen vermeldet, so ein Ergebnis des „DsiN-Praxisreport Mittelstand 2020“, der am 6. Oktober 2020 im Rahmen der „it-sa 365“ erstmalig vorgestellt werden soll.
In drei von vier Fällen (74 Prozent) hätten die Angriffe zu schädlichen Auswirkungen geführt, in vier Prozent der Fälle sogar zu schweren Belastungen innerhalb des Betriebes. Trotz dieser Ausgangslage reagierten nur wenige Unternehmen aktiv mit einer Verbesserung ihre digitalen Abwehrbereitschaft:
Ein Viertel der Betriebe (25 Prozent) verfüge über keinerlei Datensicherungen, ein Drittel (35 Prozent) habe keine Krisenreaktionspläne und nur jedes fünfte Unternehmen achte auf verschlüsselte E-Mails (22 Prozent).

DsiN sieht zunehmende Digitalisierung im Zuge der Corona-Krisew

Zugleich gewinne die Digitalisierung flächendeckend weiter an Bedeutung. Der Einsatz von Cloud-Lösungen habe im zwölfmonatigen Erhebungszeitraum bis April 2020 weiter zugenommen und liege nun bei 47 Prozent (2018: 41 Prozent).
Auch der Einsatz digitaler Verkaufsplattformen zeige einen Zuwachs gegenüber 2018 um drei Prozent und liege nun bei 44 Prozent. „Wir sehen eine zusätzliche Digitalisierung des Mittelstands, die durch ,Corona‘ nochmal an Fahrt gewinnt“, so DsiN-Geschäftsführer Dr. Michael Littger.
Dadurch entstünden zusätzliche Angriffsflächen, die den Nachholbedarf an sicheren IT-Lösungen und Vorkehrungen weiter steigen lasse.

Auffällige Schwachstellen der digitalen Abwehrbereitschaft laut DsiN auch in der Schulungspraxis von Mitarbeitern

Auffällige Schwachstellen der digitalen Abwehrbereitschaft zeige der Report auch in der Schulungspraxis von Mitarbeitern: Fast die Hälfte der Betriebe (47 Prozent) verzichte auf sämtliche Hinweise und Informationen über sicheres Verhalten am Arbeitsplatz.
Bei kleinen und kleinsten Betrieben komme hinzu, dass eigene Zuständige für IT-Sicherheitsfragen fehlten. In jedem zweiten Betrieb unter zehn Mitarbeitern kümmere sich die Geschäftsleitung (49 Prozent) selbst um die IT-Absicherung.
Bei Unternehmen von 201 bis 500 Mitarbeitern liege die IT-Sicherheit nur noch bei fünf Prozent der Betriebe in der unmittelbaren Hand der Geschäftsleitung.

TISiM: Pilotphase für mehr Cyber-Sicherheit im Mittelstand

Aus Sicht des Bundeswirtschaftsministeriums verdeutliche diese Entwicklung, dass Angebote für mehr IT-Sicherheit stärker nachgefragt und angewendet werden müssten:
„Mit der neuen ,Transferstelle IT-Sicherheit im Mittelstand‘, TISiM, sorgt das Bundeswirtschaftsministerium dafür, dass gerade kleine Betriebe, Selbstständige, das Handwerk sowie Freiberufler darin unterstützt werden, IT-Sicherheit in Betrieben umzusetzen“, erläutert Thomas Jarzombek, Beauftragter des Bundesministeriums für Wirtschaft und Energie für Digitale Wirtschaft und Start-Ups.
Die Transferstelle TISiM sei Anfang 2020 vom Bundeswirtschaftsministerium ins Leben gerufen worden. Am 6. Oktober 2020 zur „it-sa 365“ starte sie mit ihrer Pilotphase für mehr Cyber-Sicherheit im Mittelstand.

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz, 05.10.2020
DsiN-Praxisreport 2020 Mittelstand @ IT-Sicherheit

datensicherheit.de, 25.06.2020
Trotz Verunsicherung: DsiN-Sicherheitsindex 2020 bei 62,8 Punkten

[datensicherheit.de, 03.06.2020] Mit der Digitalisierung steigt für kleine und mittelständische Unternehmen (KMU) die Komplexität der IT-Infrastruktur, und somit auch die Gefahr, durch Cyberangriffe Schaden zu erleiden. Cybersicherheit ist dabei eng mit dem Ruf des Unternehmens, dem Vertrauen seiner Kunden, aber auch mit finanziellen Schadensrisiken verbunden. Entsprechend sind die Investitionen in Lösungen zum Schutz vor Cyberangriffen in den vergangenen Jahren auch im Mittelstand gestiegen. Ein 100%iger Schutz vor Angriffen kann allerdings nicht gewährleistet werden, vor allem da eine große Gefahr durch die Unachtsamkeit von den eigenen Mitarbeitern ausgeht. Zu den aktuell akutesten Bedrohungen für die IT- und Datensicherheit in KMUs gehören heutzutage Phishing-Attacken durch gefälschte Emails oder Web-Seiten. Es ist daher für Unternehmen ratsam sich auch auf einen Ernstfall vorzubereiten. Ein Aspekt hierbei ist der Abschluss einer Cyber-Versicherung, um im Schadensfall die finanziellen Risiken abzumindern. Veronym, Deutschlands erster Cloud Security Service Provider (CSSP), erläutert die zentralen Aspekte von Cyberversicherungen für mittelständische Unternehmen.

Cyberversicherungen in Deutschland noch relativ neu

Cyberversicherungen sind in Deutschland noch relativ neu im Vergleich zu schon lange bestehenden Versicherungen, wie Unfallschutz oder Betriebshaftpflicht. Bei Cyber-Versicherungen ist das Cyber-Risiko des Unternehmens die Grundlage für die Vertragskonditionen. Es ist allerdings nicht einfach, das Cyber-Risiko eines Unternehmens zu ermitteln, da dieses sehr von dem Grad der Digitalisierung und auch dem Reifegrad der Cyber-Schutz Maßnahmen abhängt.

„Daher treffen die Anbieter von Cyberversicherungen bei kleinen und mittelständischen Unternehmen häufig auf eine Reihe von Vorbehalten“, erläutert Dr. Michael Teschner von Veronym. Das Unternehmen arbeitet als Cloud Security Service Provider mit verschiedenen Anbietern von Cyber-Versicherungen zusammen, um speziell kleine und mittelständische Unternehmen in Sachen Cybersicherheit zu unterstützen.

„Eine Cyberversicherung ist wie ein Airbag im PKW – man möchte sich damit eigentlich am liebsten gar nicht beschäftigen und vermutet, dass man ihn eh nie benötigt. Und dennoch würde wohl kaum ein Kunde heute noch einen PKW ohne Airbag kaufen“, erklärt Michael Teschner. „Da Cyberversicherungen für den Kunden jedoch einiges komplexer sind als ein Airbag, sind viele Unternehmen noch zögerlich. Es wäre aber dringend anzuraten, sich mit diesem Thema zu beschäftigen und einige Vorbehalte einer ernsthaften Prüfung zu unterziehen.“

Skepsis wegen Kosten und Leistungsumfang

Für viele Entscheider in kleinen und mittelständischen Unternehmen ist der Begriff der Cyberversicherung noch sehr abstrakt. Dabei sind die verschiedenen Leistungen sehr plausibel und konkret: Cyber-Haftpflicht, Cyber-Betriebsunterbrechung und Cyber-Eigenschaden. Dazu kommen häufig eine Soforthilfe im Notfall sowie die die Übernahmen von Kosten für Dienstleister, die während einer akuten Krise hinzugezogen werden. Um das Niveau der Cybersicherheit vorab zu erhöhen bieten manche Versicherungen kostenfreie Cybersicherheitstrainings an. Werden diese von der Mehrheit der Belegschaft erfolgreich absolviert kann beispielsweise der Selbstbehalt reduziert werden. Außerdem unterstützen einige Anbieter ihre Kunden auch bei der regelmäßigen Aktualisierung von Krisenmanagement-Plänen.

„Zahlreiche KMUs fragen sich, ob sie sich eine Cyberversicherung überhaupt leisten können. Dabei sollte man sich eher fragen, ob man es sich leisten kann, nicht gegen entsprechende Vorfälle abgesichert zu sein“, meint  Teschner. „Rund ein Drittel aller KMUs wurden bereits Opfer eines Cyberangriffs. Knapp 22.000 Euro Schaden verursacht ein Cyberangriff im Schnitt in Kleinunternehmen. Allerdings können auch deutlich höhere Kosten im sechsstelligen Bereich entstehen.“

Klare Kriterien und Zuständigkeiten

Zunächst gilt es im Vorfeld den aktuellen Status der Cybersicherheit zu erheben. „Diese Phase kann für das Unternehmen schon sehr hilfreich sein, denn oft werden hierbei bestehende Schwachstellen erkannt“, erklärt Teschner. „Manche Versicherungen arbeiten eng mit Sicherheitsanbietern zusammen und können so Unternehmen Komplettpakete anbieten, die neben dem Schutz und dem Erkennen von Angriffen auch eine Krisen Reaktion beinhaltet.“

Im Schadensfall greift der Versicherungsschutz allerding nur wenn die bestehenden Obliegenheiten aus dem Vertrag, sprich die Pflichten des Versicherungsnehmers auch erfüllt sind. Das bedeutet, dass im laufenden Betrieb regelmäßig geprüft werden muss, ob die eingesetzten technischen Maßnahmen zum Schutz gegen Cyber-Angriffe auch immer auf dem neusten Stand sind. Wesentliche vereinfacht wird ein solcher Nachweis bei dem Einsatz von einem Security-Service. Hierbei ist der Betreiber in der Verantwortung die Anforderungen zu gewährleisten und das Unternehmen kann sich auf seine Kernkompetenzen fokussieren.

Neben dem Preis-/Leistungsverhältnis in Bezug auf eine Schadensregulierung sollten Unternehmen auch darauf achten, welche zusätzlichen Leistungen die Versicherung umfasst. So können regelmäßige Informationen rund das Thema Cybersicherheit Unternehmen dabei helfen die Gefahr eines erfolgreichen Angriffs zu minimieren.

Grundsätzlich rät Veronym kleinen und mittelständischen Unternehmen dazu, vor dem Abschluss einer Cyberversicherung zusammen mit kompetenten Beratern der Versicherung die eigenen IT-Sicherheitsvorkehrungen gründlich unter die Lupe zu nehmen. „In den USA und UK sind sehr viele Unternehmen mit diesem Thema schon vertraut und nutzen eine entsprechende Versicherung. In Deutschland hingegen stehen wir hier noch am Anfang“, fasst Michael Teschner abschließend zusammen. „Den Unternehmen, die den Wert einer Cyberversicherung erkannt haben, möchte ich dringend raten, bei ihrer Entscheidung das ganze Bild zu betrachten. Technische Maßnahmen, Krisenvorsorge und Cyberversicherung sollte man nicht als voneinander unabhängige Inseln betrachten, sondern vielmehr als Einheit, bei der die drei Elemente aufeinander abgestimmt sein müssen, um den bestmöglichen Effekt zu erzielen.“

Weitere Informationen zum Thema:

Veronym
Unternehmenswebsite

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

„1. Transferstellenkongress“ – Digitalkonferenz am 28. Mai 2020

[datensicherheit.de, 25.05.2020] Die Transferstelle IT-Sicherheit im Mittelstand (TISiM) soll nach eigenen Angaben „passgenaue Informationen aus einer Hand“ bieten – hierzu werden demnach Angebote zum Thema IT-Sicherheit gebündelt, praxisnah aufbereitet und vermittelt: Gerade die sog. kleinen und mittleren Unternehmen (KMU), aber auch Handwerksbetriebe und Selbstständige sollen bei deren Umsetzung unterstützt werden. Am 28. Mai 2020 findet nun der „1. Transferstellenkongress – für IT-Sicherheit im Mittelstand“ statt.

TISiM seit Ende April 2020 erreichbar, Abbildung: DsiN e.V.

Gemeinsame Lösungsperspektiven für mehr IT-Sicherheit im Mittelstand

Das TISiM-Betreiberkonsortium, bestehend aus DIHK, Fraunhofer IAO und Fokus, Hochschule Mannheim und DsiN, lädt ein, erste Einblicke in die künftige Arbeit zu erhalten und „gemeinsame Lösungsperspektiven für mehr IT-Sicherheit im Mittelstand zu entwickeln“.

Online-live aus der Transferstelle im DsiN-Forum

„1. Transferstellenkongress 2020“ – Digitalkonferenz
live aus der Transferstelle im DsiN-Forum
am Donnerstag, dem 28. Mai 2020, 10.30 bis 12.00 Uhr
Anmeldung erforderlich

Kongresseröffnung durch Dr. Michael Littger

Den Willkommensgruß unter dem Motto „Starke IT-Sicherheit für einen starken Mittelstand“ übernehmen Dr. Michael Littger, Geschäftsführer DsiN und Moderator des Tages, sowie die Leiterin der TISiM-Geschäftsstelle, Sandra Balz. Im Anschluss wird zur Vorstellung „Das ist TISiM“, ein Erklärvideo zu den Zielen und Aufgaben der Transferstelle, präsentiert.

Zielstellung: sicherer und innovativer Mittelstand

Die Impulsrede und das Grußwort von Thomas Jarzombek, MdB, Beauftragter für Digitalisierung und Startups des Bundeswirtschaftsministers, steht unter der Zielstellung „Für einen sicheren und innovativen Mittelstand“. An der sich anschließenden moderierten Podiumsdiskussion nehmen laut TISiM teil (ohne Gewähr):

• Prof. Dr. Manfred Hauswirth – Institutsleiter Fraunhofer FOKUS
• Sofie Geisel – Mitglied der DIHK-Hauptgeschäftsführung
• Thomas Jarzombek, MdB – Digital- und Startup-Beauftragter des Bundeswirtschaftsministers
• Dr. Constantin Terton – Leiter „Wirtschaft“ Handwerkskammer Berlin

Vorstellung der „Suchmaschine für IT-Sicherheit“

Zum Abschluss ist ein Interview mit einem Kleinunternehmer über Erwartungen an IT-Sicherheit sowie die Vorstellung des „Sec-O-Mats“, der neuen „Suchmaschine für IT-Sicherheit“ von TISiM, durch Fraunhofer IAO vorgesehen. Am Ende der Veranstaltung wird ein gemeinsamer Appell zum Mitmachen bei TISiM stehen.

Weitere Informationen zum Thema:

Transferstelle IT-Sicherheit im Mittelstand
Einfach. Sicher. Machen.

Transferstelle IT-Sicherheit im Mittelstand
1. Transferstellenkongress – für IT-Sicherheit im Mittelstand am 28.05.2020

datensicherheit.de, 20.09.2019
Digitale Aufklärung: DsiN-Forum in Berlin-Mitte eröffnet

datensicherheit.de, 05.11.2013
DsiN: Dr. Michael Littger wird neuer Geschäftsführer

[datensicherheit.de, 29.04.2020] Die aktuelle Corona-Krise veranlasst viele Unternehmen, ihren Mitarbeitern Remote-Arbeit im Home-Office zu ermöglichen. Hierbei werden häufig Sicherheitsaspekte außer Acht gelassen. Dies wird zunehmend von Cyberkriminellen für sogenannte Phishing-Attacken ausgenutzt. Mittels „Social Engineering“ werden die im Home-Office isolierten Mitarbeiter ausgespäht und dann per E-Mail, SMS oder Anruf angegriffen.

Eine der erfolgreichsten Phishing-Attacken ist der so genannte „CEO-Fraud“, der auch unter dem Begriff Chefbetrug bekannt ist. Die aktuelle Studie „Wirtschaftskriminalität“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers zeigt deutlich, dass diese Betrugsmasche sich zu einer relevanten Bedrohung für den deutschen Mittelstand entwickelt hat. So berichteten 40 Prozent der befragten Firmen, sie seien innerhalb der vergangenen 24 Monate zumindest einmal Ziel einer „CEO-Fraud“-Attacke geworden. In fünf Prozent der Fälle waren die Kriminellen erfolgreich.

Präventive Maßnahmen empfohlen

Unternehmen wird daher dringend empfohlen, präventive Maßnahmen zu ergreifen, um sich gegen diese Art der Bedrohung schützen zu können. Wichtige Bausteine eines erfolgreichen Sicherheitskonzepts sind die Analyse interner Zahlungs- und Abstimmungsprozesse und die Einführung eines Vier-Augen-Prinzips auch für Remote-Arbeit. Weiterhin sollten Mitarbeiter gezielt sensibilisiert und geschult werden, um betrügerische Kontaktaufnahmen direkt zu erkennen.

Die Beratungsboutique für Cybersicherheit carmasec sichert Unternehmen im Rahmen der Implementierung von Managementsystemen zur Informationssicherheit (ISMS) auch gegen „CEO-Fraud“. Aufgrund der aktuellen Bedrohungslage hat das Unternehmen ein Whitepaper mit dem Titel „CEO-Fraud: So erkennen und vermeiden Sie den gezielten Unternehmensbetrug“ veröffentlicht, welches kostenfrei bereitgestellt wird. In diesem wird die Vorgehensweise der Cyberkriminellen ausführlich erläutert. Weiterhin werden präventive Schutzmaßnahmen aufgezeigt, um Cyberangriffe frühzeitig zu erkennen und Schäden zu vermeiden.

Weitere Informationen zum Thema:

carmasec
Whitepaper „CEO-Fraud: So erkennen und vermeiden Sie den gezielten Unternehmensbetrug“

datensicherheit.de, 15.10.2018
CEO-Fraud: Mittelstand unterschätzt Gefahr des Cheftricks

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe

datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden

Cyberangriffe nehmen nicht nur zahlenmäßig, sondern auch in ihrer Raffinesse zu

[datensicherheit.de, 23.04.2020] Cyberangriffe nehmen nicht nur zahlenmäßig, sondern auch in ihrer Raffinesse zu. Allerdings beeinträchtigt der IT-Fachkräftemangel viele Unternehmen bei der Umsetzung von IT-Sicherheitsmaßnahmen. Diese und weitere Erkenntnisse zum aktuellen Stand der IT-Sicherheit haben wir in einer Studie herausgefunden.

Mangel an Fachkräften und mitarbeiterzentrierten Maßnahmen

Die überwältigende Mehrheit (79 %) der Befragten ist sich des Risikos bewusst, jederzeit Opfer eines Cyberangriffs werden zu können. Allerdings wurden in der Studie verschiedene Probleme bei der Umsetzung der IT-Sicherheit deutlich. Knapp ein Drittel (32 %) ist der Ansicht, dass ihren Mitarbeitern die notwendige Qualifikation fehlt, um die IT-Sicherheit im eigenen Unternehmen problemlos umzusetzen. 28 % beklagen zudem einen Personalmangel. In Deutschland ist der IT-Fachkräftemangel aktuell besonders akut: Erstmals gibt es laut Bitkom mehr als 100.000 offene Stellen.

Bild: Drivelock

Betrieb der IT-Sicherheit im Unternehmen

Ob Cyberattacken abgewehrt oder vermieden werden können, hängt maßgeblich vom Handeln der eigenen Mitarbeiter ab. Durch entsprechende IT-Sicherheitsschulungen, Trainings oder Informationsveranstaltungen können Organisationen die Risiken und Schäden von Cyberangriffen deutlich reduzieren. Es erscheint wenig verwunderlich, dass sich die Zahl der mitarbeiterzentrierten Maßnahmen mit steigender Unternehmensgröße erhöht. 58 % der Großunternehmen veranstalten Sensibilisierungskampagnen, während dies nur 30 % der kleinen Unternehmen mit 10-50 Mitarbeitern tun. Zwei Drittel der Letzteren setzen überhaupt keine mitarbeiterzentrierten Maßnahmen um. Obwohl die Mehrheit der befragten Unternehmen diese als besonders relevant betrachtet, ist mehr als ein Drittel mit der Umsetzung von Sensibilisierungskampagnen (38 %) und IT-Sicherheitsschulungen (35 %) unzufrieden.

Der Preis der IT-Sicherheit

Das IT-Sicherheitsbudget macht 27 % der Gesamtausgaben für IT aus, wobei der größte Teil (25 %) des Security-Budgets für Personal verwendet wird. Um ihre IT vor Cyberangriffen zu sichern, setzen Unternehmen auch auf Unterstützung von außen. Alleine 15 % des Sicherheitsbudgets fließen in externe Services und Know-how. Die Zufriedenheit der Befragten ist durchwachsen:

Bild: Drivelock

IT-Sicherheitsbudgets prozentual an den Gesamtausgaben für IT

Weniger als ein Drittel (31 %) ist mit dem Budget für neue Mitarbeiter zufrieden. Dies erscheint vor dem Hintergrund des IT-Fachkräftemangels besonders problematisch. Aufgrund der vielen unbesetzten Stellen steigt der Marktpreis für IT-Spezialisten stark an. Am häufigsten sind die Studienteilnehmer mit den Budgets für Lizenzen (44 %) und neuen Lösungen (41 %) zufrieden.

Finanzsektor für Cyberkriminelle besonders attraktiv

In den meisten Fällen wird die IT-Sicherheit im eigenen Unternehmen betrieben. Externe Dienstleister werden größtenteils (47 %) für spezielle Bereiche punktuell hinzugezogen. Eine komplette Auslagerung an externe Dienstleister findet nur sehr selten (6 %) statt. Im Banken- und Versicherungswesen lagern Unternehmen die IT-Sicherheit am häufigsten aus: Insgesamt 82 % lassen ihre IT-Security teilweise, größtenteils oder ganz von Experten betreiben. Der Grund: Der Finanzsektor erscheint Cyberkriminellen aufgrund seiner hohen Digitalisierung und seines Stroms an Millionen von Finanz- und Kundendaten besonders lukrativ.

Bild: Drivelock

Umsetzung der IT-Sicherheit

Ob die IT-Sicherheit intern verwaltet oder extern gemanagt wird, hängt zudem auch von der Unternehmensgröße ab. Je größer das Unternehmen, umso häufiger geht die IT-Sicherheit in den eigenen Verantwortungsbereich über. Kleinere Unternehmen beziehen häufiger externe Dienstleister ein, wie das Studienergebnis zeigt: Über ein Drittel (35 %) der Unternehmen mit 10-50 Mitarbeitern lagern ihre IT-Sicherheit größtenteils oder komplett an externe Dienstleister aus, während dies nur 13 % der Großunternehmen tun.

Die Eckdaten: Für die Studie wurden über 200 Unternehmen mit maximal 999 Mitarbeitern aus unterschiedlichen Sektoren befragt: 33 % aus der Dienstleistungsbranche, 27 % aus der Industrie, 13 % aus dem Handel, 10 % aus dem öffentlichen- sowie 8 % aus dem Finanzsektor. Am häufigsten wurden Unternehmen mit 50-249 Mitarbeitern befragt, gefolgt von Unternehmen mit 250-499 (24 %) und 10-49 Mitarbeitern (23 %). 15 % der Studienteilnehmer waren Großunternehmen mit 500-999 Arbeitnehmern. Befragt wurden zur Hälfte IT-Leiter, CIOs wie auch IT-Mitarbeiter, -Administratoren und -Spezialisten. Die andere Hälfte machten C-Level-Positionen -darunter CISOs-, Compliance-Spezialisten sowie Sicherheits- und Datenschutzbeauftragte aus.

Weitere Informationen zum Thema:

Drivelock
Studie „IT-Sicherheit im Mittelstand“

datensicherheit.de, 17.03.2020
eco IT-Sicherheitsstudie 2020: Unternehmen bereiten sich auf den Ernstfall vor

datensicherheit.de, 17.02.2020
Industrie 4.0 braucht ganzheitliche IT-Sicherheit im Wertschöpfungsprozess