Cyberrisiken im Mittelstand: Wie Unternehmen 2024 cybersicher werden

Kleine und mittlere Unternehmen sind unverzichtbar für die deutsche Wirtschaft – und zunehmend im Visier von Cyberkriminellen. Laut der European Union Agency for Cybersecurity entfallen rund 60 Prozent der Cyberangriffe in Deutschland auf den Mittelstand; viele dieser Angriffe stellen eine direkte existenzielle Bedrohung dar. Während die Digitalisierung immer rasanter fortschreitet und Cyberkriminellen ausgefeiltere Angriffstechniken ermöglicht, können mittelständische Unternehmen kaum angemessene Cybersecurity-Maßnahmen durchsetzen. Um in Zukunft gut aufgestellt zu sein, muss der Mittelstand lernen, wie man in einem sich ständig ändernden Ökosystem cyberready wird. 

Mittelständische Unternehmen stehen einigen Herausforderungen in der Cybersicherheit gegenüber, denn viele von ihnen erfüllen nicht einmal die notwendigsten Sicherheitsmaßnahmen wie regelmäßige Software- oder Passwörterupdates. Das macht sie zur Top-Zielscheibe von Cyberkriminellen, da der Zugriff auf Daten oft einfach, die Kundendaten für die Unternehmen aber sehr wertvoll sind. Von der unwiderruflichen Verschlüsselung der Daten, Identitätsdiebstahl, Betrug oder dem Verkauf auf dem Schwarzmarkt – für mittelständische Unternehmen bedeuten die Folgen eines Angriffs im schlimmsten Fall die Insolvenz.

Die Hauptgründe für die schlechten Sicherheitsvorkehrungen sind Ressourcenmangel und fehlendes Cyber-Know-how. Im Vergleich zu Konzernen und sehr großen Unternehmen hat der Mittelstand meist begrenzte finanzielle und personelle Mittel. Er kann nicht in teure Sicherheitssysteme investieren und kaum ausreichend geschulte Fachkräfte für Cybersecurity beschäftigen. Das bedeutet, dass oft das notwendige Fachwissen fehlt oder sich Mitarbeiter der potenziellen Cyberrisiken nicht vollständig bewusst sind. Wichtigen und einfachen Vorkehrungen wird keine besondere Relevanz beigemessen – veraltete oder schlecht gesicherte Systeme und Software, die Verwendung schwacher Passwörter und das Fehlen regelmäßiger Sicherheitsupdates ist der Standard im Mittelstand. Und genau diese Sicherheitslücken kennen und nutzen Cyberkriminelle.

Die Basis für die Cyber-Readiness im Mittelstand

Damit der Mittelstand nicht mehr Top Zielscheibe ist, muss er Veränderungen aktiv vorantreiben und der Cybersicherheit höhere Priorität beimessen. Denn aktuell besteht diese oft nur aus unzureichenden Grundmaßnahmen wie Anti-Viren-Software oder Multi-Faktor-Authentifizierung.   

Verdeutlicht wird das durch die mangelhafte Cyber-Readiness – denn auf einem fortgeschrittenen Niveau der Cyber-Readiness befinden sich laut dem Cisco-Index 2023 nur 11 Prozent der deutschen Unternehmen.  Dabei ist eine starke Cybersicherheitsstrategie essenziell und beruht nicht nur auf der Einführung fortschrittlicher Technologien oder dem Einsatz von Experten, sondern auch auf einer Absicherung im Falle eines Angriffes. Die meisten Unternehmen unterschätzen die Kosten nach einem Angriff und haben gleichzeitig Probleme, eine gute Cyberversicherung zu finden, die im Ernstfall für finanzielle Verluste und Betriebsunterbrechungen aufkommt.

Cyber-Sicherheitsschulungen: Unabdingbar für jedes Team

Eine effektive Cybersicherheitsstrategie beginnt mit gut informierten Mitarbeitern. Jede Person, unabhängig von der Position oder Funktion, muss beispielsweise eine Phishing E-Mail klar erkennen und im Falle einer Cyberattacke oder Unregelmäßigkeit wissen, was zu tun ist. Regelmäßige Schulungen sind daher unerlässlich, um das Bewusstsein für Cybersicherheit zu schärfen. Diese sollten aktuelle Bedrohungen, wie Social Engineering – eine Technik, die Personen dazu bringen soll, vertrauliche Informationen weiterzugeben – und Erkennung von Schadsoftware wie z.B. Ransomware – das Verschlüsseln von Daten mit Forderung nach Lösegeld –, die als legitime Software getarnt ist, umfassen. Auch simulierte Phishing-Tests und praktische Übungen, wie das Reagieren auf verdächtige Systemaktivitäten, sind hilfreiche Schulung-Tools.

Patch-Management: Die Verteidigungslinie stärken

Regelmäßige Softwareupdates und Backups der Daten sind entscheidend für die Cybersicherheit – auch ein strukturierter Prozess für Patch-Management ist unerlässlich. Darüber werden alle Software-Anwendungen und Betriebssysteme aktuell gehalten, indem Sicherheitspatches und Updates zeitnah installiert werden. Ein gut strukturiertes Patch-Management-Programm beinhaltet eine regelmäßige Überprüfung verfügbarer Updates, die Bewertung potenzieller Risiken und daran anknüpfend die Beseitigung der Sicherheitslücke. Veraltete Software bietet massive Angriffsmöglichkeiten für Cyberkriminelle, während regelmäßige Backups vor Datenverlust schützen. Besonders bei Ransomware-Attacken sollten Backups gegen Verschlüsselung gesichert werden, beispielsweise durch Speicherung in einem unveränderbaren Zustand oder physische Auslagerung.

Incident Response: Bereit sein, wenn der Ernstfall eintritt

Jedes mittelständische Unternehmen sollte einen detaillierten Incident Response Plan haben. Dieser Plan muss klare Anweisungen für die sofortige Reaktion im Falle eines Cyberangriffs enthalten. Dazu zählen eine Beschreibung der erforderlichen Kommunikationskanäle und der Aufgaben der verschiedenen Mitarbeiter, die Inventarisierung der wichtigsten Systeme, die erforderlichen Personen/Rollen für die Eindämmung des Schadens, die Benachrichtigung der geschädigten Parteien und die Wiederherstellung der betroffenen Systeme. Regelmäßige Trainings und Simulationen eines Cyberangriffs helfen dabei, den Plan zu testen und sicherzustellen, dass alle Mitarbeiter ihre Rolle im Falle eines Vorfalls verstehen. Hier bietet sich die Möglichkeit zur Zusammenarbeit mit Fachexperten an, die dedizierte Teams für Notfälle bereitstellen. Notfallteams aus Experten können durchschnittlich in wenigen Minuten auf Vorfälle reagieren. Dadurch können diese schnell analysiert und deren Auswirkungen minimiert werden. Ein effektives externes Notfallteam zeichnet sich durch rund um die Uhr persönliche Erreichbarkeit und schnelle Reaktionszeiten.

Noch besser ist es aber, eine 24/7 Überwachung des Netzes mit einem externen professionellen Dienstleister sicherzustellen. So entsteht keine kritische Pause zwischen dem Vorfall und einer Reaktion. Experten bewerten einen Alarm direkt und bieten unmittelbare Incident Response, um die Auswirkung eines Vorfalls zu beschränken.

Schrittweise Implementierung einer effektiven Cybersecurity-Strategie 

Im dynamischen Umfeld der Cybersicherheit ist es für mittelständische Unternehmen entscheidend, eine kluge und strukturierte Herangehensweise an ihre Sicherheitsstrategie zu wählen. Die Einführung von Sicherheitsmaßnahmen kann in kurz-, mittel- und langfristige Schritte unterteilt werden, um einen ganzheitlichen Schutz zu gewährleisten.

Kurzfristige Maßnahmen: Sofortige Verbesserungen

Jedes Unternehmen sollte als erstes eine Software-Überprüfung durchführen, um sicherzustellen, dass alle Systeme auf dem neuesten Stand sind. Ein kleinerer Hersteller könnte beispielsweise alle Arbeitsstationen und Server mit dem neuesten Antivirus-Programm ausstatten und automatische Updates aktivieren. Die Einrichtung einer starken Firewall und die Nutzung sicherer VPNs für Remote-Mitarbeiter sind ebenfalls essentiell, um den Zugriff auf das Unternehmensnetzwerk sicher zu gestalten.

Außerdem kann mit dem sogenannten Attack Surface Management (ASM) das Sicherheitsniveau mittelständischer Unternehmen schnell verbessern. Das ASM scannt fortlaufend nach potenziellen Angriffsflächen in den Systemen. Im weiteren Verlauf wird durch Dashboards und Sicherheitsberichte eine umfassende Darstellung der aktuellen Sicherheitslage sowie relevanter Sicherheitsfaktoren geboten. Dabei werden wichtige Kennzahlen wie die Abdeckung von Endpunkten und die Nutzung der 2-Faktor-Authentifizierung berücksichtigt und konkrete Vorschläge zur Verbesserung der Cyberresilienz direkt bereitgestellt.

Mittelfristige Maßnahmen: Strukturelle Sicherheitsverbesserungen

Für den mittelfristigen Zeitraum sollten Unternehmen ihre Sicherheitsinfrastruktur strategisch erweitern. Der Übergang zu Cloud-basierten Sicherheitslösungen bietet verbesserte Übersicht und Kontrolle über die Sicherheitslage. Ein praktisches Beispiel ist die Implementierung eines Cloud-basierten Sicherheitssystems für zentrale Überwachung und Reaktion auf Bedrohungen. Die Entwicklung eines umfassenden Incident Response Plans ist im weiteren Verlauf ebenso wichtig, um im Falle eines Cyberangriffs effektiv vorzugehen.

Langfristige Maßnahmen: Aufbau einer zukunftssicheren Cyber-Strategie nach NIS2 Standard

Langfristig sollte sich KMU auf die Umsetzung der neuen NIS2-Richtlinie vorbereiten. Die NIS2-Richtlinie ist eine Erweiterung und Aktualisierung der ursprünglichen NIS-Richtlinie und zielt darauf ab, das allgemeine Niveau der Cybersicherheit innerhalb der EU zu erhöhen.  Für Unternehmen gelten mit NIS2 strenge Fristen für die Meldung von Sicherheitsverletzungen an ihre jeweilige Regierungsbehörde und EU-Mitgliedsstaaten müssen sie bis zum 17. Oktober 2024 in die nationale Cybersicherheitsgesetzgebung ihres Landes umsetzen. Die Nichteinhaltung kann zu Geldstrafen von bis zu 10 Millionen Euro oder zirka 2 Prozent des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr führen. Um die kommenden Anforderungen für die neuen Standards zu erfüllen, muss der Mittelstand in seine Sicherheitsüberwachung investieren. Dazu gehören regelmäßige Sicherheitsbewertungen, wie Penetrationstests, die Einführung einer Identitäts- und Zugriffsverwaltung, die Verschlüsselung von Daten im Ruhezustand und bei der Übertragung und weitere Vorkehrungen. Hier ist es hilfreich, sich von einem professionellen, erfahrenen Dienstleister unterstützen zu lassen, um gemäß der Richtlinie aufgestellt zu sein.

Absicherung im Notfall: Cyberversicherungen

Cyberkriminelle passen ihre Taktiken immer schneller an, weshalb kein Unternehmen, auch mit der besten Cyberstrategie, vollständig sicher ist. Trotz aller präventiven Maßnahmen bleibt also ein Restrisiko. Cyberversicherungen sollten deshalb in jeder Gesamtstrategie zur Unternehmenssicherheit enthalten sein. Diese Versicherungen bieten einen finanziellen Schutzschirm im Falle eines Cyberangriffs, der weit über die unmittelbaren Schäden hinausgeht. Sie decken neben den direkten Kosten zur Behebung des Vorfalls auch indirekte Folgekosten ab, wie Betriebsunterbrechungen, entgangene Umsätze und möglicherweise Schadensersatzforderungen von betroffenen Kunden oder Partnern.

Die Entscheidung für eine Cyberversicherung sollte daher als integraler Bestandteil der Cyber-Resilienz-Strategie eines jeden mittelständischen Unternehmens betrachtet werden.

Wer nicht jetzt cyberready wird, scheitert in Zukunft

Mittelständische Unternehmen sollten spätestens 2024 in eine umfassende Cyberstrategie investieren, um für die Zukunft bestmöglich abgesichert zu sein. Die zunehmende Digitalisierung in Kombination mit neuen Angriffstechniken und unzureichendem Cyberschutz wird mittelfristig zu hohen Kosten, die in der Insolvenz enden können, führen. Neben regelmäßigen Updates, Cyberschulungen für Mitarbeiter und einem regelmäßigen Scan nach potenziellen Angriffsflächen sollte in jeder Strategie ein Notfallplan und eine Cyberversicherung berücksichtigt werden.