10 Mythen zur Cyber-Security bei KMU

Es herrscht die Meinung vor, dass Medien nur über massive Verletzungen bei der Datensicherheit in Großunternehmen oder öffentlichen Institutionen berichten. Kleine Unternehmen könnten dadurch dem Irrglauben verfallen, dass sie bei einem Cyberangriff nicht so strengen Kontrollen ausgesetzt sind. Die Befragung zeigt jedoch, dass kleinere Unternehmen (50 Prozent) für nahezu gleich viel öffentliches Aufsehen durch einen Sicherheitsvorfall gesorgt haben wie Großunternehmen (51 Prozent). KMU nehmen dabei ihre Verpflichtungen gegenüber Kunden und Partnern ziemlich ernst: 59 % der KMU haben ihre größte Datensicherheitsverletzung freiwillig bekanntgegeben.

Es wird angenommen, dass KMU nach einen Cyberangriff, der zu Ausfallzeiten führt, wegen fehlender Ressourcen nicht wieder so schnell auf die Beine kommen. Die Realität sieht anders aus:  Während 31 Prozent der größeren Unternehmen nach ihrer schwerwiegendsten Sicherheitsverletzung eine Ausfallzeit von mehr als acht Stunden zu verkraften hatten, waren es bei den KMU nur 24 Prozent. Cisco hat außerdem mit Daten verglichen, die zwei Jahre zuvor erhoben wurden.

Dabei wurde festgestellt, dass es eine signifikante Verbesserung bei kleineren Unternehmen gegeben hat. Damals waren 40 Prozent der KMU von einer Ausfallzeit über acht Stunden betroffen. Eine Maßnahme, um Ausfallzeiten zu minimieren, kann sein, die Automatisierung in den Sicherheitsnetzwerken zu erhöhen und so eine frühzeitige Warnung und schnelle Wiederherstellung zu ermöglichen.

KMU haben angeblich nur wenige oder gar keine dedizierten Ressourcen für die Cybersicherheit. Dabei gaben weniger als 1 Prozent der KMU an, dass sie niemanden für die Sicherheit haben. Was vielleicht überraschender ist: 60 Prozent berichteten, dass sich mehr als 20 Personen mit der IT-Sicherheit befassen. Unklar ist jedoch, in welchem Ausmaß sich diese der Aufgabe widmen müssen oder ob sie an einen Managed Security Service Provider (MSSP) ausgelagert wurde. Das musste von den Unternehmen nicht angegeben werden.

Auch wenn KMU über mehr Ressourcen für die Cybersicherheit verfügen als angenommen: Das bedeutet nicht, dass kleinere Unternehmen nicht mit einem Fachkräftemangel zu kämpfen haben. Auf der Liste der größten Herausforderungen beim Thema IT-Sicherheit rangiert er an dritter Stelle. Als größte Herausforderung werden finanzielle Engpässe gesehen, gefolgt von der Kompatibilität mit älteren Systemen.

Die Vermutung liegt nahe, dass die Sicherheitsinfrastruktur bei KMU nicht ständig auf dem neuesten Stand ist, da sich bei ihnen diese wiederkehrenden Investitionen stärker auf das jährliche IT-Budget auswirken. Zu einem gewissen Grad stimmt das auch. 54 Prozent der Großunternehmen beschreiben ihre Sicherheitsinfrastruktur als sehr aktuell, bei KMU sind es nur 42 Prozent. Dies bedeutet aber nicht, dass kleinere Unternehmen überwiegend an veralteten und unsicheren Systemen festhalten. Denn 94 Prozent führen regelmäßig oder kontinuierlich Aktualisierungen durch.

Cisco hat die Cyberangriffe auf KMU und Großunternehmen verglichen – und ein paar Unterschiede festgestellt. Betrachtet wurden die Bedrohungen, die den größten Schaden anrichten. Dabei stellte sich heraus, dass Ransomware sowohl für KMU als auch Großunternehmen die Bedrohung ist, die mit der größten Wahrscheinlichkeit eine Ausfallzeit von mehr als 24 Stunden verursacht. DDoS-Angriffe haben bei KMU selten große Auswirkungen, bei Großunternehmen zählen sie hingegen zu den schädlichsten Angriffsarten. Phishing jedoch wird von kleineren Unternehmen als großes Problem gesehen, Großunternehmen sind davon weniger betroffen.

Nicht nur Großunternehmen, auch KMU haben den Wert eines proaktiven Ansatzes für Cybersicherheit erkannt. Denn 72 Prozent der befragten KMU haben Mitarbeiter speziell für die Bedrohungssuche, bei Großunternehmen liegt der Prozentsatz nur unwesentlich höher.

Jedes Unternehmen sollte einen Plan haben, wie es auf einen IT-Sicherheitsvorfall reagiert – und dieser sollte auch anhand entsprechender Übungen getestet werden. Nur 1 Prozent der KMU stellen ihren Plan niemals auf die Probe, 45 Prozent führen Übungen und Testläufe alle 6 Monate, 36 Prozent jährlich durch. Die Ergebnisse bei größeren Unternehmen sind ähnlich.

87 Prozent der Führungskräfte in KMU stimmen darin überein, dass IT-Sicherheit eine hohe Priorität hat. Das sind 3 Prozentpunkte weniger als bei den Chefs größerer Unternehmen. Auch das Vorurteil, dass in kleinen Unternehmen keine Sicherheits- und Datenschutzkultur aufgebaut wird, ist falsch. So schreiben 84 Prozent der KMU Schulungen zum Thema Sicherheit vor, bei Großunternehmen sind es nur unwesentlich mehr.

Patches – das Schließen von Sicherheitslücken – sind als erste Verteidigung entscheidend. Hier zeigt die Cisco-Befragung, dass der Ansatz für regelmäßige Patch-Abläufe bei Unternehmen jeder Größenordnung gleich ist.

KMU wird unterstellt, dass sie bei der Cybersicherheit eher einen "Spray-and-Pray"-Ansatz (so Cicsco) wählen. Dabei geben 86 Prozent an, dass sie eindeutige Kennzahlen für die Bewertung der Effektivität ihrer Sicherheitsmaßnahmen haben. Bei den größeren Unternehmen sind es 90 Prozent.