In den letzten Jahren hat sich die Zahl der Angriffe auf IT-Infrastrukturen von Unternehmen weiter erhöht. Das bekannteste kriminelle Geschäftsmodell in diesem Bereich ist sicherlich, Daten von Unternehmen zu verschlüsseln und gegen Bezahlung eines Lösegelds (hoffentlich) wieder freizugeben. Hinzugekommen sind Attacken, die nicht auf Lösegelderpressung ausgelegt sind, sondern aus übergeordneten Gründen auf die Zerstörung der Funktionsfähigkeit zielen, beispielsweise aus Russland, um kritische Infrastruktur zu stören, oder die Arbeits- oder Lieferfähigkeit von Herstellern militärischer Güter zu unterminieren.
KMU überdurchschnittlich betroffen
Meldungen dieser Art gibt es beinahe jede Woche, meist geht es um große Unternehmen oder Behörden, die attackiert wurden. Nur ganz selten hört man von Angriffen auf kleine und mittlere Unternehmen (KMU). Gleichwohl stehen Unternehmen dieser Größe sogar in einem viel höheren Risiko, weil sie in aller Regel am schlechtesten geschützt sind.
Allein aufgrund beschränkter Ressourcen gibt es bei KMU üblicherweise keine Person und schon gar keine Informationssicherheitsteams, die sich dieser Themen annehmen. Oft existiert nicht einmal ein dedizierter IT-Verantwortlicher. Diese Funktion wird dann von einer anderen Funktion – zum Beispiel dem Einkauf – mitgemacht. Entsprechend sind die Ergebnisse.
BSI adressiert nun auch KMU
Wer sich jemals mit dem vom BSI (Bundesamt für Sicherheit in der Informationstechnik) entwickelten IT-Grundschutz befasst hat, weiß, dass die dort festgelegten Standards für KMU kaum realistisch umsetzbar sind – trotz aller Guidelines, Vorlagen und Bearbeitungsratschläge. Hierzu bedarf es IT-kompetenter Teams, die sich innerhalb der Unternehmen damit auseinandersetzen.
Das BSI als Cybersicherheitsbehörde hat nun in 2024 eine Broschüre veröffentlicht, mit deren Hilfe sich KMU in einer ersten Aktion orientieren können. Der Aufbau besteht aus 14 Fragenkomplexen, die zu beantworten sind. Der Aufbau ist sehr praxisorientiert und soll das Thema Cyber-Resilienz auch dieser Zielgruppe erschließen: Die Lektüre setzt kein vertieftes IT- oder Security-Know-how voraus.
Basis für Vertiefung
Aufbauend auf dieser ersten Evaluation lässt sich das Thema Cyber-Resilienz im Unternehmen den Anforderungen entsprechend in die Tiefe weiterentwickeln. Das BSI formuliert hier drei Säulen:
- Business Continuity Management
- Informationssicherheitsmanagement
- Krisenmanagement
Wir als IT Works AG wollen unsere Kunden beim Aufbau einer höheren Resilienz gegen Angriffe, aber auch gegen Naturereignisse unterstützen. Daher werden wir weiterhin aufbereitete Informationen für KMU liefern – und ihnen tatkräftig bei der Umsetzung zur Seite stehen.
Das gemeinsame Ziel lautet letztlich, Angriffe erfolgreich abzuwehren, im Ernstfall besonnen zu reagieren und die Risiken zu minimieren – um nicht selbst Teil der Cyber-Schadenstatistik zu werden.