Der deutsche Mittelstand ist das Rückgrat und international stark aufgestellt. Viele der Unternehmen agieren nicht nur hierzulande. Entsprechend hoch sind auch die Anforderungen an die IT-Abteilungen der Unternehmen. Im internationalen Datenverkehr müssen nicht nur Standards und Normen beachtet, sondern auch die Zuverlässigkeit und Sicherheit der Daten garantiert werden.
Dementsprechend muss das Thema Cybersicherheit für den deutschen Mittelstand von enormer Bedeutung sein, um auch zukünftig und nachhaltig wettbewerbsfähig zu bleiben. Immer wieder zeigen Bericht auf, eine stiefmütterliche Behandlung der Cybersicherheit kann im Ernstfall den Unternehmenserfolg gefährden. Erfolgreiche Ransomware-Angriffe und Phishing-Attacken treiben viele Unternehmer um. Der Gesamtverband der Versicherer in Deutschland legt mit Verweis auf eine Forsa-Studie nahe, dass viele Unternehmen sich zu oft in trügerischer Sicherheit wähnen.
Seit einigen Jahren weisen verschiedene Studien auf die Notwendigkeit einer strategischen und nachhaltigen zur Cybersicherheit hin und die Investitionen der Unternehmen steigen an. Die Angemessenheit der Investitionen muss sich dabei auch nach der Bedrohungslage am Markt richten. Studien weisen immer wieder auf die Bedeutung menschlichen Handelns für die Cybersicherheit hin. In mehr als 80 Prozent aller Sicherheitsvorfälle hätte entscheidendes Handeln eines Mitarbeitenden den Angriff abwehren können. Eine rein technische Abwehr reicht nicht aus. Angemessene Investitionen in technische Maßnahmen sind notwendig, aber Investitionen zur Befähigung der Mitarbeitenden dürfen deshalb nicht vernachlässigt werden.
Viele mittelständische Unternehmen verfügen nicht über die notwendigen Mittel, sich effektiv gegen Cyber-Angriffe zu schützen. Ein Bericht des Cybersecurity-Anbieters Huntress, mit dem Titel „The State of Cybersecurity for Mid-Sized Businesses in 2023“ zeigt die Situation in den USA auf. Viele dieser Unternehmen stecken dadurch in Schwierigkeiten, da sie auf viele mögliche Angriffe nicht vorbereitet sind. Von der Gesamtheit dieser befragten Unternehmen haben mehr als die Hälfte keinen eigenen Cyber-Sicherheitsexperten. Fast die gleiche Anzahl hat keine Ahnung, wie sie auf Zwischenfälle reagieren soll, weil kein Incident Response-Plan vorliegt.
Mittelständische Unternehmen verfügen also nicht über die internen Ressourcen, um sicherzustellen, dass die Organisation ihren Cyber-Sicherheitsstatus von Tag zu Tag verbessert. Daher können nur Cybersicherheitslösungen und die Benutzer selbst die Sicherheit der Organisation gewährleisten. Da bereits bekannt ist, dass zehn Prozent der Bedrohungen die bestehenden Sicherheitsvorkehrungen umgehen, bleibt also nur die Aufklärung der Benutzer, um Angriffe zu verhindern.
Und trotz dessen, dass viele Mitarbeiter bereits ein Security Awareness-Training abgeschlossen haben, absolvieren sie solche nicht regelmäßig genug und oft erst nach einem Sicherheitsvorfall. Dies ist ein ernst zu nehmendes Problem, da diese Sicherheitsschulungen am besten kontinuierlich durchgeführt werden. Benutzer müssen beim Umgang mit potenziell bösartigen E-Mails und Webinhalten immer aufmerksam und auf dem neuesten Wissensstand bleiben. Darüber hinaus sollten auch simulierte Phishing-Tests durchgeführt und an die IT-Abteilung weitergeleitet werden, sodass erkannt werden kann, wo das größte Risiko besteht. Dieses Risiko kann dann mit zusätzlichen Schulungen angegangen werden.
In Deutschland fördert das BMWK mit verschiedenen Programmen und Initiativen die Cybersicherheit im Mittelstand. Unterstützung gewährt eines der Programme unter anderem für das ISMS nach ISO 27001. Awareness ist in diesem Rahmenwerk bei Punkt 7.1 vermerkt, es soll sichergestellt werden, dass Mitarbeiter und Auftragnehmer ihre Verantwortung verstehen und für die Aufgaben, für die sie in Frage kommen, geeignet sind.