Resilienz – dieser Begriff aus der Psychologie bezeichnet die Fähigkeit, Lebenskrisen und Rückschläge zu meistern. Immer häufiger wird das Konzept auch auf Cybersicherheit angewendet. Wie widerstandsfähig sind kleine und mittlere Unternehmen (KMU) gegenüber Cyberbedrohungen? Und wie können KMU ihre Cyberresilienz steigern? Darüber sprach Ulrich Parthier, Publisher it management, mit Waldemar Bergstreiser, Head of B2B Germany bei Kaspersky.
Herr Bergstreiser, die Corona-Pandemie hat KMU in den letzten Jahren auf eine harte Bewährungsprobe gestellt. Wenn es überall brennt, fällt es schwer zu entscheiden, wo man zuerst löschen soll. Wo sehen Sie das Thema Cybersicherheit inmitten vieler konkurrierender Prioritäten angesiedelt?
Waldemar Bergstreiser: Leider gehen KMU ihre Cybersicherheit häufig per Vogel-Strauß-Taktik an. Einerseits ist ihnen bewusst, dass ein Cyberangriff eine ernstzunehmende Krise für ihr Unternehmen darstellen würde. Laut dem aktuellen Cyberresilienz-Report von Kaspersky rangieren Cybervorfälle gleich auf Platz zwei der härtesten Krisen, vor denen sich KMU in Deutschland fürchten – direkt hinter Umsatzverlusten. 13 Prozent der Befragten in Deutschland gaben sogar an, dass sie einen Cyberangriff als die bedrohlichste Art von Krise für den eigenen Betrieb sehen würden.
Andererseits haben nur wenige Unternehmen (38 Prozent) eine Strategie für den Fall einer Cyberattacke in petto; 17 Prozent denken, sie brauchen keinen IT-Notfallplan, weil sie davon ausgehen, dass sie im Falle eines Angriffs auf einer ad-hoc-Basis entscheiden können. Bei einer Cyberattacke ist es jedoch extrem wichtig, vorbereitet zu sein. Nur so ist es möglich, schnell und vor allem wirksam zu reagieren, um den Schaden zu minimieren.
Wie erklären Sie sich diese Kluft zwischen Fühlen und Handeln?
Waldemar Bergstreiser: Häufig denken KMU, dass sie durch ihre geringe Größe weniger gefährdet sind, weil sie meinen sie befänden sich noch quasi unter der Aufmerksamkeitsschwelle der Cyberkriminellen.
Und das stimmt nicht?
Waldemar Bergstreiser: Das stimmt immer weniger, je mehr die Angreifer ihre Methoden perfektionieren. Zum Beispiel lassen sich Unternehmenszugänge im Darknet schon ab wenigen Hundert Euro kaufen. Der Preis hängt oft vom Umsatz des Unternehmens ab. Sind die Kosten eines Cyberangriffs niedriger als der erwartete Gewinn, lohnt sich ein Angriff für die Täter. Das ist eine simple Kosten-Nutzen-Rechnung.
Der Schaden für das betroffene Unternehmen ist dagegen viel dramatischer. Neben direkten finanziellen Kosten entstehen weitere schwer messbare Verluste – zum Beispiel durch die Rufschädigung und daraus resultierende Wettbewerbsnachteile.
Häufig gehen KMU ihre Cybersicherheit per Vogel-Strauß-Technik an. Bei einer Cyberattacke ist es jedoch extrem wichtig vorbereitet zu sein.
Waldemar Bergstreiser
Welche Empfehlung leiten Sie aus dieser Erkenntnis für Entscheider in kleinen und mittelständischen Unternehmen ab?
Waldemar Bergstreiser: Machen Sie den Angreifern das Leben schwer, schließen Sie offenkundige Sicherheitslücken. Ein vermeidbares Risiko ist veraltete Software. Updates von Software- und Geräteherstellern sollten schnellstmöglich installiert werden. Meist enthalten diese nicht nur neue Features, sondern beheben auch bereits erkannte Schwachstellen. Und erstellen Sie regelmäßige Backups Ihrer wichtigsten Daten. Dann können Sie einfach auf die Sicherungskopie zugreifen, wenn ihre Daten durch einen Angriff per Ransomware, also Erpressersoftware, verschlüsselt wurden.
Können Sie weitere Beispiele für einfache, aber wirksame Sicherheitsmaßnahmen nennen?
Waldemar Bergstreiser: Unternehmen brauchen eine solide Passwortpolitik: Mitarbeiter sollten für jeden Dienst ein eigenes starkes Passwort verwenden. Eine Sicherheitslösung mit einem integrierten Passwort Manager erleichtert dies. Sehr wichtig ist auch, dass Berechtigungen jederzeit up-to-date sind. Mitarbeiter sollten immer nur Zugriff auf diejenigen Systeme und Bereiche haben, die sie wirklich auch benötigen. Wenn Mitarbeiter das Unternehmen verlassen, muss ihr Zugang sofort gesperrt werden. Unsere Umfrage hat jedoch gezeigt, dass Systemzugänge in KMU häufig eine Blackbox sind. Nur 46 Prozent, weniger als die Hälfte der Befragten in Deutschland, konnten ausschließen, dass Ex-Mitarbeiter noch auf ihre Unternehmensaccounts zugreifen können.
Würden Sie sagen, dass der Mensch der größte Risikofaktor für Cybersicherheit ist?
Waldemar Bergstreiser: Über 80 Prozent aller Cybersicherheitsvorfälle gehen auf menschliche Fehler zurück. Deshalb ist es wichtig, Cybersicherheit im Unternehmen zum Thema zu machen. Es sollten regelmäßig praxisnahe Security Awareness-Schulungen in den Arbeitsalltag integriert werden. Eine interaktive Online-Trainingsplattform wie Kaspersky Automated Security Awareness Platform bietet den Mitarbeitern Gelegenheit, sich mit typischen Angriffsszenarien auseinanderzusetzen. So können sie – zum Beispiel anhand von simulierten Phishing-Mails – ihr Sicherheitsbewusstsein schärfen.
Cyberhygiene funktioniert aber nicht wirklich, solange sie im Unternehmen nicht als Chefsache angekommen ist. Eine besorgniserregende Erkenntnis aus dem aktuellen Report: Immerhin 12 Prozent der Entscheider in KMU würden sogar raubkopierte Software kaufen, wenn sie ihr IT-Budget reduzieren müssten. Vermutlich ist denjenigen nicht bewusst, wie hoch das Risiko ist, dass sie sich mit Software von dubiosen Quellen nicht nur eine, sondern verschiedenste Arten von Schadsoftware einfangen können.
Damit kommen wir wieder zum Thema Ressourcenknappheit! Diese trifft KMU doch auf allen Ebenen. Oft haben sie wenig Geld, wenig Fachkräfte, wenig Zeit…
Waldemar Bergstreiser: Umso wichtiger ist es, dass sie eine zuverlässige umfassende Sicherheitslösung einsetzen, die ihnen manuelle Tätigkeiten abnimmt. Zum Funktionsumfang sollte die Erkennung und Blockierung unbekannter Malware gehören, bevor diese ausgeführt wird, sowie das Anlegen automatischer Backup-Kopien. Kaspersky Endpoint Security Cloud schützt vor einer Vielzahl an Bedrohungen, auch zu 100 Prozent vor Ransomware – das bestätigt AV-TEST. Entwickelt sich das Unternehmen weiter, sollte auch die Sicherheitsstufe erhöht werden. Wir bieten eine skalierbare Produktpalette, die mit den Anforderungen wächst.
Wie könnte ein Upgrade für Cybersecurity aussehen?
Waldemar Bergstreiser: Es wird immer wichtiger, Cyberangriffe so früh wie möglich zu erkennen und zu neutralisieren. Dafür ist menschliche Expertise gefragt. Gibt es dieses Fachwissen im Unternehmen nicht oder sind die Ressourcen knapp, können externe Sicherheitsexperten unterstützen. Der Managed Detection und Response (MDR) Service von Kaspersky bietet vielseitige Funktionen – fortschrittliche Schutzmechanismen, proaktives Threat Hunting oder Automated and Guided Response. Durch die Kombination aus einer automatisierten Sicherheitslösung (Endpoint Detection and Response) mit MDR erreichen Unternehmen ein hohes Sicherheitslevel. Gerade für agile Kleinunternehmen in Zeiten hoher Unsicherheit ist es ein großer Vorteil, ihre Cybersicherheit zu erhöhen ohne die internen Ressourcen dafür erweitern zu müssen.
Herr Bergstreiser, wir danken für dieses Gespräch.
Cyberresilienz-Report Den neuen Cyberresilienz-Report von Kaspersky mit vielen Tipps, wie KMU ihre Widerstandsfähigkeit gegen Cyberangriffe steigern können, gibt es hier kostenfrei zum Download. |