Mittelstand und Digitalisierung: Das 1x1 der IT-Sicherheit

Jan Bindig |
Bei der Digitalisierung hat der deutsche Mittelstand – rund 2,5 Millionen Unternehmen – noch viel Luft nach oben. Im weltweiten Vergleich ist der durchschnittliche Digitalisierungsgrad deutscher Mittelständler daher auch nur mittelprächtig. Doch durchwachsen ist nicht nur der Stand der Technologie und der Grad der Innovationen, sondern auch die IT-Sicherheit.

Jedem sechsten Unternehmen geht Umsatz verloren, weil es aus Angst vor IT-Sicherheitsvorfällen seine Digitalisierungsprojekte nicht genügend vorantreibt. Tatsächlich sind gut geschützte IT-Systeme die Voraussetzung dafür, dass kleine und mittelständische Unternehmen (KMUs) die Chancen der Digitalisierung stärker nutzen. Und im Zweifel hängt hiervon auch die Existenz des gesamten Unternehmens ab. Anders als Großunternehmen und Konzerne sind die wenigsten KMUs ausreichend auf IT-Sicherheitsthemen vorbereitet. Zwar nutzen alle Unternehmen Basis-Schutzmaßnahmen, eine durchgängige Sicherheitsarchitektur findet sich aber selten.

Nun hat gerade die digitale Vernetzung unserer Wirtschaft mit dazu geführt, dass immer mehr Daten überhaupt existieren und verknüpft werden – auch mit immer mehr internetfähigen und unsicheren Geräten. Dies wiederum weckt Begehrlichkeiten bei Hackern und anderen Angreifern, die die gestiegenen technischen Möglichkeiten für sich nutzen können. 2017 verloren 37 Prozent der mittelständischen Firmen Geschäftsdaten durch Cyberkriminalität, menschliches Versagen oder Hardware-Ausfälle. Der wirtschaftliche Schaden belief sich pro Fall auf rund 560.000 Euro.

Trotz oder wegen der Gegenmaßnahmen ist es ein Wettrüsten. Fatal ist dabei die immer stärkere Verschränkung von Privatleben und Dienst, die sich auch auf die Technik und die Datensicherheit auswirkt. Auf dem privaten Handy kommuniziert man per Whatsapp mit Kollegen, auf dem Dienstrechner ruft man seine persönlichen E-Mails ab und vom heimischen PC aus hat man Zugriff auf das Firmennetzwerk. All dies erleichtert die Arbeit und die Kommunikation – aber, bei leichtsinnigem Umgang, auch die Machenschaften von Unbefugten. Gleichzeitig liegt bei den Anwendern selbst, also bei den Mitarbeitern, das wohl größte Einfallstor für Kriminelle.

Studien zeigen: Zwar haben 64 Prozent der KMUs die Bedeutung von IT-Sicherheit erkannt, die meisten fühlen sich jedoch schlecht darüber informiert. Dabei sind Informationen und Beratungsangebote reichlich vorhanden – offenbar zu viele: Tausende Publikationen und Leitfäden zum Thema IT-Sicherheit werden von Ministerien und (halb-)staatlichen Institutionen angeboten.

Was zu fehlen scheint, sind praxistaugliche, eingängige und leicht umzusetzende Hilfestellungen. In meinem Buch „ Das IT-Security-Mindset “ habe ich deshalb versucht darzustellen, was Mittelständler zunächst tun können, um ihr Unternehmen gegen Angriffe zu sichern. Hier die Kernpunkte:

Die mit Abstand wichtigste Regel kommt natürlich am Anfang und wird Sie womöglich überraschen: Bei all diesen Aufgaben sind erst einmal nicht IT-Fachleute gefordert, sondern der Chef. Er muss alles anschieben, initiieren und vor allem vorleben. Für die Details und die Umsetzung sind freilich die Experten zuständig. In den allermeisten Fällen weiß der Firmenchef jedoch nicht, was seine IT-Abteilung genau macht. Er denkt, es würde bereits alles richtig laufen – technisch, rechtlich, organisatorisch. Und die IT denkt, dass der Chef denkt, zu wissen, wie er die Leitplanken aufstellt. Mit anderen Worten: Jeder arbeitet vor sich hin – bis etwas passiert. Insofern müssen Chef und IT dringender denn je zusammenkommen, ihr Wissen, ihre Erwartungen und Vorstellungen abgleichen.

Sie sollten bei allem die (realistische) Erwartungshaltung einnehmen, dass Sie jederzeit Opfer eines Hackerangriffs werden können. Diese Alarmbereitschaft kann vor allem weniger technikaffinen Chefs helfen, sich besser auf Bedrohungsszenarien einzustellen und sich für das Thema zu sensibilisieren.

Vor allem auch folgende Punkte sollten Sie sich vornehmen:

  • Haben Sie anspruchsvolle Lösungen in Ihrer Organisationen installiert, um Angriffe zu erkennen, so müssen Sie diese auch richtig umsetzen. Das mag banal klingen, wird aber meiner Erfahrung nach oft vernachlässigt.

  • Setzen Sie Mehrfaktor-Authentifizierungsverfahren mit Smart-Cards, USB-Tokens oder sogar eine biometrische Authentifizierung ein

  • IT-Sicherheitslösungen funktionieren nur so gut, wie auch Ihre Mitarbeiter darüber informiert sind und diese befolgen

Mit einem IT-Sicherheitskonzept priorisieren Sie die Maßnahmen beim Ernstfall – und Sie müssen daraufhin die Voraussetzungen für ein professionelles Reagieren schaffen, gerade auch finanziell und personell gesehen. Dabei sollten Sie aber nicht in Aktionismus versinken. Viele Unternehmen sind zwar inzwischen allgemein alarmiert und sorgen für die gewünschten Budgets, Menschen und Material. Doch ersetzt dies noch keinen runden Plan. Nötig ist vielmehr eine durchdachte, beispielsweise dreiteilige Sicherheitsstrategie, die nach strategischer, taktischer und operationeller Sicherheit unterscheidet.

Dazu gehört auch der Desaster-und-Recovery-Plan mit einer Vorbereitung für einen Datenrettungsfall. Hierzu sollten Sie einen Rahmenvertrag mit einem Datenrettungsunternehmen abschließen. Dies beschleunigt eine etwaige Rettungsaktion enorm.

Zudem sollten Sie IT-Sicherheits-Zertifizierungen absolvieren, etwa nach ISO 27001. Ich empfehle generell die Einführung eines Information Security Management Systems (ISMS), selbst wenn gar keine ISO-Zertifizierung besteht. Daneben sollten Sie aktiv Sicherheitsaudits, Penetrationstests und Hacker-Simulation durchführen; natürlich nur, wenn es zur Größe und Ausrichtung des Unternehmens passt.

Bei allem müssen Sie auch die Gebäudesicherheit mit einbeziehen und sich nicht nur auf die Geräte und die Software konzentrieren. Viele Datenpannen und -verluste geschehen rein physisch, also durch Diebstahl der Geräte oder durch Feuer- und Wasserschäden. Sie müssen also für äußere und innere Zutrittskontrollen sorgen, die Zutritte dokumentieren und Routinen dafür schaffen, wenn es einen Alarm gibt.

Sie sollten eine systematische Verwaltung aller mobilen Geräte einrichten, ein sogenanntes Mobile Device Management. Schließlich haben viele Mitarbeiter ein Notebook, ein Smartphone und vielleicht noch ein spezielles Firmengerät, sagen wir mal ein Messgerät, einen Barcodescanner oder ein Gerät für den Außendienst-Mitarbeiter, der damit seine Arbeitsleistungen nachweist.

All diese Geräte sind einerseits „normale Einfallstore“, andererseits ist hier die Gefahr von Wildwuchs und Eigenleben besonders groß, zumal die Gegenstände naturgemäß mit nach Hause und möglicherweise dort auch verwendet werden. Daher müssen all diese Gerätschaften zentral verwaltet und registriert sein. Allein das ist zwar kein spezieller oder zusätzlicher Schutz. Doch kann man so im Ernstfall besser nachvollziehen, von wo ein Angriff kam.

Um die IT-Systeme nachhaltig zu sichern, reichen Insellösungen nicht aus. Gefordert sind ganzheitliche Sicherheitskonzepte, die neben vorsorglichen auch reaktive Maßnahmen umfassen. IT und Datensicherheit sind nicht unterstützende Aspekte wie eine Immobilie oder Strom, die „irgendwie auch“ zur Firma gehören und nur eine Kostenstelle darstellen, sondern sie sind existenziell.

Mehr Sicherheit muss zudem effizient und praktikabel gleichzeitig sein. Schließlich muss Ihre Organisation arbeitsfähig bleiben – und die Mitarbeiter müssen die Vorgaben auch akzeptieren und leben. Der Boss muss Vorbild sein – und alle Informationen müssen auch den letzten Mitarbeiter erreichen. Denn sie sind unterm Strich das größte Schutzschild.