[datensicherheit.de, 27.03.2025] Laut der aktuellen Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, Statista und „brand eins“ halten 43 Prozent der Angestellten in Deutschland ihr Unternehmen für kein attraktives Angriffsziel. Indes: Cyber-Kriminalität kann jedes Unternehmen treffen – vom kleinen Handwerksbetrieb bis zum internationalen Konzern. Diese Umfrage zeigt demnach außerdem, dass das Bewusstsein der Mitarbeiter für Cyber-Risiken mit der Unternehmensgröße steigt – „insbesondere in KMU wird die Gefahr aber unterschätzt“.

Foto: G DATA CyberDefense

Andreas Lüning rät Unternehmen, auf eine über die Technik hinausgehende, die Menschen umfassende Cyber-Sicherheitsstrategie zu setzen

Mehr als die Hälfte der KMU-Belegschaften schätzen ihren Betrieb als uninteressantes Ziel für Cyber-Kriminelle ein

Für Cyber-Kriminelle zählt offenbar nicht, wie groß oder bekannt eine Firma ist, sondern wie leicht sie in deren IT-Systeme eindringen können. Im Kontrast dazu steht laut G Data die weitverbreitete Einschätzung, „kein interessantes Ziel für Angreifer“ zu sein, – diese Meinung werde von zwei von fünf deutschen Arbeitnehmern vertreten.

Besonders ausgeprägt sei diese gefährliche Fehleinschätzung in Unternehmen mit 100 bis 249 Mitarbeitern: „Mehr als die Hälfte der Belegschaft von KMU schätzen ihre Firma als uninteressantes Ziel für Cyber-Kriminelle ein“, so eine Erkenntnis aus der aktuellen Studie „Cybersicherheit in Zahlen“.

„Angreifer wählen ihre Ziele nicht nach Branche oder Größe, sondern nach Schwachstellen aus“, kommentiert Andreas Lüning, Gründer und Vorstand bei der G DATA CyberDefense AG. Dazu zählten verwundbare Strukturen, mangelhaft gesicherte Systeme und unaufmerksame Mitarbeiter. Er rät: „In jedem Unternehmen ist eine Sicherheitsstrategie sinnvoll, die nicht nur auf Technik setzt, sondern auch das Risikobewusstsein des gesamten Teams stärkt!“

Cyber-Gefahrenbewusstsein der Angestellten nimmt mit der Unternehmensgröße zu

Je größer das Unternehmen ist, desto eher werde es von den Mitarbeitern als Ziel für Cyber-Angriffe wahrgenommen. „In Firmen mit 250 bis 999 Beschäftigten hält gut die Hälfte der Befragten ihren Arbeitgeber für ein potenzielles Angriffsziel.“ In großen Unternehmen mit mehr als 1.000 Mitarbeitern sei das Bewusstsein für das Angriffsrisiko bei fast 70 Prozent der Beschäftigten vorhanden.

Dies sei darauf zurückzuführen, dass Konzerne häufig über regulierte Prozesse oder verpflichtende Sicherheitsmaßnahmen verfügten. „Dennoch ist auch hier noch Luft nach oben: Im Umkehrschluss bedeutet es nämlich, dass fast jeder dritte Beschäftigte in großen Firmen die Cyber-Bedrohung falsch einschätzt.“

Eine wirksame IT-Sicherheitsstrategie berücksichtige nicht nur technische Schutzmaßnahmen, sondern beziehe auch die Mitarbeiter mit ein. Informationssicherheit sei eine Teamaufgabe – alle Beschäftigten, vom Auszubildenden bis zur Geschäftsführung, sollten potenzielle Gefahren kennen und wissen, wie sie verantwortungsvoll handeln.

Weitere Informationen zum Thema:

G Data Cyber Defense
Cybersicherheit in Zahlen – das IT-Magazin / Wir machen Komplexes verständlich. Auf 104 Magazinseiten.

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

datensicherheit.de, 10.03.2022
Schutz statt Nachlässigkeit: 5 einfache Tipps zur Stärkung der KMU-Cybersecurity / Bewusstsein, wie wichtig auch der KMU-Schutz vor Cyber-Attacken ist, noch lange nicht geschärft

[datensicherheit.de, 23.03.2025] Der Verein Deutschland sicher im Netz e.V. (DsiN) spricht sich in einem neuen Positionspapier anlässlich der aktuellen Koalitionsverhandlungen klar für eine nachhaltige Förderung digitaler Bildung und Sicherheit aus. Als zivilgesellschaftlicher Akteur setzt sich DsiN demnach seit seiner Gründung 2006 unter der Schirmherrschaft des Bundesministeriums des Innern und für Heimat für die Vermittlung digitaler Kompetenzen und den Schutz der Verbraucher sowie kleiner und mittlerer Unternehmen (KMU) im Netz ein.

DsiN-Engagement für gezielte Vermittlung produktneutraler digitale Kompetenzen

DsiN und seine beide Geschäftsführer, Isabelle Rosière und Joachim Schulte, geben folgende übergeordnete Empfehlung: „Die Digital- und Cyber-Sicherheitsstrategie der Bundesregierung sollte die nachhaltige Förderung zivilgesellschaftlicher Akteure wie Deutschland sicher im Netz e.V. vorsehen, bei denen gezielt und produktneutral digitale Kompetenzen vermittelt werden und somit der digitale Verbraucherschutz gestärkt wird!“ Nachfolgend werden im Einzelnen DsiN-Empfehlung aufgeführt:

1. DsiN-Empfehlung: Systematische Vermittlung digitaler Kompetenzen

Die gezielte Förderung digitaler Kompetenzen sollte ein fester Bestandteil der Cyber- und Sicherheitsstrategie der Bundesregierung werden.

2. DsiN-Empfehlung: Stärkung bewährter und vertrauenswürdiger Akteure

Projekte wie der „DsiN-Digitalführerschein“, der „Digitale Engel“ und der „Digital-Kompass“ böten niedrigschwellige und praxisnahe Angebote zur Stärkung digitaler Sicherheit und Teilhabe. Diese Ansätze sollten gezielt gefördert und weiterentwickelt werden.

3. DsiN-Empfehlung: Unterstützung von Engagierten in Politik und Ehrenamt

Angebote wie „Politiker:innen sicher im Netz“, die „Digitale Nachbarschaft“, sowie „digital verein(t)“ böten wichtige Schulungen für den sicheren Umgang mit digitalen Werkzeugen und den Schutz vor Desinformation. Dies seien zentrale Bausteine für die gesellschaftliche Resilienz.

4. DsiN-Empfehlung: Cyber-Sicherheit für Verbraucher und KMU

Gerade kleine und mittlere Unternehmen sowie Verbraucher benötigten gezielte Unterstützung bei der Bewältigung digitaler Herausforderungen. „Unser neuer ,FiTNIS2-Navigator’ bietet hier einen wichtigen Ansatz zur Sensibilisierung und zur Einhaltung der NIS-2-Richtlinie.“

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz, 21.03.2025
Positionspapier: Digitale Kompetenzen als Voraussetzung für Cybersicherheit und Teilhabe / Digitalen Verbraucherschutz stärken

Deutschland sicher im Netz e.V. & Universität Paderborn
Hier entsteht der FitNIS2-Navigator

datensicherheit.de, 01.02.2023
Neuer DsiN-Ratgeber für einfachen und sicheren Login

[datensicherheit.de, 21.02.2025] Kleine und mittlere Unternehmen (KMU) sind offenbar noch immer zu oft durch ungeschützte Systeme, mangelndes Risikobewusstsein und fehlende IT-Expertise geprägt – so werden sie für Cyber-Kriminelle geradezu ein „gefundenes Fressen“. Denn Schwachstellen bleiben demnach zu lange unbemerkt, Sicherheitslücken werden nicht geschlossen und viele Verantwortliche unterschätzen noch immer die Gefahr durch Hacker-Angriffe. Anouck Teiller, „Chief Strategy Officer“ bei HarfangLab, stellt in ihrer aktuellen Stellungnahme fünf Maßnahmen vor, mit denen Mittelständler ihre Cyber-Sicherheit stärken könnten: Sie erörtert die Frage, wie sich KMU effektiv schützen, ihre sensiblen Daten absichern und verhindern können, dass ein Cyber-Angriff zur existenziellen Bedrohung wird:

Foto: HarfangLab

Anouck Teiller: Cyber-Sicherheit ist ein kontinuierlicher Prozess!

Mittelständische Unternehmen rücken zunehmend ins Visier Cyber-Krimineller

Teiller warnt eindringlich: „Cyber-Angriffe nehmen weiterhin zu und rücken zunehmend auch mittelständische Unternehmen ins Visier von Hackern. Und doch sind viele Betriebe immer noch unzureichend geschützt – oft, weil sie die digitale Bedrohungslage unterschätzen.“

Die Digitalisierung biete indes viele Chancen, erhöhe aber zugleich die Anfälligkeit von Unternehmen für Cyber-Angriffe. „Zuletzt gaben in einer Bitkom-Umfrage 81 Prozent der befragten deutschen Unternehmen an, im Vorjahr Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden zu sein – darunter auch zahlreiche kleine und mittlere Unternehmen (KMU).“

Die Mehrheit der betroffenen Unternehmen sei sich zwar über das drohende Ausmaß eines Cyber-Angriffes bewusst, trotzdem fehle es vielen an ausreichender Vorbereitung. Dabei hätten die gezielten Cyber-Angriffe besonders für KMU meist verheerende und existenzgefährdende Folgen. „Wer jedoch frühzeitig in wirksame Schutzmaßnahmen investiert, kann das Risiko erheblich reduzieren und seine digitale Sicherheit stärken“, so Teiller.

1. Cyber-Sicherheitsmaßnahme – IT-Inventur: „Wissen, was geschützt werden muss“

„Ohne eine klare Übersicht über die eigene IT-Infrastruktur bleibt Sicherheit Stückwerk!“ Unternehmen sollten daher regelmäßig ihre Systeme, Zugriffsrechte und Netzwerkschnittstellen analysieren.

Besonders sensible Daten – etwa Kundeninformationen oder Finanzdaten – müssten mit höchsten Standards gesichert werden. Ein geordnetes IT-Management reduziere Schwachstellen und ermögliche gezielte Schutzmaßnahmen.

2. Cyber-Sicherheitsmaßnahme – Simulationen durchführen: „Übung macht den Meister“

Ein Cyber-Angriff sei keine Frage des „Ob“, sondern des „Wann“. Deshalb sollten Unternehmen Notfallpläne in realitätsnahen Szenarien testen. „Denn wer den Ernstfall durchspielt, kann schneller und gezielter reagieren – und damit den Schaden bestmöglich minimieren.“ Dazu gehörten Penetrationstests, „die in der IT-Infrastruktur gezielt nach Schwachstellen suchen, sowie kontinuierliche Schwachstellen-Scans“.

Besonders kritisch: „Viele Cyber-Angriffe entstehen durch Phishing und menschliche Fehler, was sie zu einem großen Risikofaktor für KMUs macht.“ Nicht nur die IT-Teams sollten sich also vorbereiten, sondern auch Mitarbeiter müssten aktiv geschult und getestet werden. „Phishing-Simulationen und interaktive Sicherheits-Trainings helfen, gefährliche E-Mails zu erkennen und richtig zu reagieren.“

3. Cyber-Sicherheitsmaßnahme – Alternative Strategien einbeziehen: „Externe Unterstützung und Automatisierung nutzen“

„KMUs stehen vor einer doppelten Herausforderung: Während Cyber-Angriffe immer ausgefeilter werden, fehlt es oft an qualifizierten Cyber-Spezialisten, um angemessen darauf zu reagieren.“ Doch die IT-Sicherheit könne nicht darauf warten, bis offene Stellen besetzt sind.

Unternehmen müssten alternative Strategien nutzen, um ihre IT-Abwehr trotz Personalmangels zu stärken. Dazu gehörten automatisierte Sicherheitslösungen, der Einsatz externer Experten oder „Managed Security Service Provider“ (MSSPs) sowie gezielte Schulungen für bestehende Teams. „KMUs sollten ihre Cyber-Strategie so aufstellen, dass sie auch mit begrenzten personellen Ressourcen widerstandsfähig bleiben!“

4. Cyber-Sicherheitsmaßnahme – Über den Tellerrand hinaus: „Lieferkette als Sicherheitsrisiko“

„Cyber-Angriffe treffen nicht nur das eigene Unternehmen – auch unsichere Partner und Lieferanten können zur Schwachstelle werden“, unterstricht Teiller. Ransomware-Angriffe oder Datenlecks bei Zulieferern könnten auch KMUs infizieren und zu erheblichen Schäden führen.

Unternehmen sollten daher Mindestanforderungen an die IT-Sicherheit ihrer Partner stellen, beispielsweise Multi-Faktor-Authentifizierung (MFA), regelmäßige Audits oder Sicherheitszertifizierungen. Eine einfache Sicherheits-Checkliste könne helfen, Risiken frühzeitig zu erkennen und Schwachstellen zu minimieren. „Denn Cyber-Sicherheit ist eine Gemeinschaftsaufgabe – der Schutz der eigenen IT reicht nicht aus, wenn Zulieferer zur Schwachstelle werden!“

5. Cyber-Sicherheitsmaßnahme – Cyber-Versicherung: „Der Rettungsanker in der Krise“

Ein Cyber-Angriff könne immense Kosten verursachen. Ob Betriebsunterbrechung, Datenverlust oder Erpressung durch Ransomware – eine Cyber-Versicherung können helfen, finanzielle Schäden abzufedern.

Viele Policen böten zudem Unterstützung durch IT-Forensiker, Rechtsberatung und Krisenkommunikation. Unternehmen sollten prüfen, welche Risiken für sie besonders relevant sind, und sich entsprechend absichern.

Proaktiver Ansatz zum Schutz vor Cyber-Angriffen empfohlen

Ein proaktiver Ansatz mit IT-Inventur, regelmäßige Tests und die Expertise von beispielsweise MSSPs könne Unternehmen wirksam vor Cyber-Angriffen schützen. Cyber-Versicherungen, Schulungen und Simulationen stärkten außerdem die Abwehrfähigkeit.

Zudem sollten Schwachstellen frühzeitig erkannt und behoben werden. Teiller gibt abschließend zu bedenken: „Cyber-Sicherheit ist ein kontinuierlicher Prozess – nur wer sich rechtzeitig vorbereitet, kann im Ernstfall schnell und effektiv handeln.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 19.03.2024
Datensicherheit: Wie auch KMU die Digitale Transformation meistern können / Lothar Geuenich erörtert KMU-Strategien zur erfolgreichen und sicheren Digitalisierung und Vernetzung

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

datensicherheit.de, 21.04.2021
Mitarbeiter im deutschen Mittelstand: G DATA sieht Belastungsprobe für IT-Sicherheit / Umfrage von G DATA zeigt Probleme auf und stellt Nutzen von Security Awareness dar

[datensicherheit.de, 14.10.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., weist in einer Meldung auf eine Partner-Präsenzveranstaltung in Berlin hin: Im Fraunhofer FOKUS findet der Informationstag „ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU«“ am 16. Oktober 2024 von 8.00 bis 18.00 Uhr statt.

Abbildung: Fraunhofer-Institut für Offene Kommunikationssysteme

Einladung zum „ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU« am 16. Oktober 2024

„ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU«“

Mittwoch, 16. Oktober 2024 von 9.00 bis 18.00 Uhr
Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS
Kaiserin-Augusta-Allee 31 in 10589 Berlin
Teilnahme für KMU-Vertreter kostenlos, Online-Anmeldung (s.u.) erforderlich.

Für kleine und mittlere Unternehmen (KMU) werde es zunehmend wichtiger, das Thema IT-Sicherheit weiter aufzufassen und auch für die Bereiche der Operation Technology (OT) zu berücksichtigen. Mit „Live Hackings“ und Fachvorträgen sollen demnach Einblicke in Compliance-Regeln und weitere wichtige Aspekte für KMU gegeben werden, welche besonders im Zusammenhang mit der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) relevant sind.

Mitarbeiter-Sensibilisierung muss auch für OT berücksichtigt werden

Vor dem Hintergrund der EU-Richtlinie NIS-2 wird es offensichtlich gerade für KMU aus dem produzierenden Gewerbe und mit KRITIS-Charakter zunehmend wichtiger, das Thema der Mitarbeiter-Sensibilisierung auch für die Bereiche der Operation Technology (OT) zu berücksichtigen und im Auge zu behalten. Dies sei eine wahrlich komplexe Herausforderung, weil dafür zahlreiche Aspekte der Industriellen Sicherheit (IT-Security, OT-Security, Sicherheit der Lieferkette und physische Sicherheit) betrachtet und verstanden werden müssten. Hierzu gebe es bisher vergleichsweise wenig Informationen und Angebote.

Um dies zu ändern und „Awareness“ zu schaffen, sei unter anderem das Projekt „ELITE 2.0“ ins Leben gerufen worden. Im Rahmen dieses Vorhabens sollen durch die Fraunhofer-Institute IAO und FOKUS „niederschwellige Erlebnisinstrumente“ erreichtet und bereitgestellt werden, mit deren Hilfe KMU an das komplexe Thema OT-Security herangeführt werden könnten.

Weitere Informationen zum Thema und Anmeldung:

Fraunhofer FOKUS
ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU« Veranstaltung am 16. Oktober 2024

[datensicherheit.de, 18.07.2024] Cyber-Angriffe haben in den letzten Jahren offensichtlich drastisch zugenommen. Diese können Betriebe jeglicher Größe treffen – egal, ob Großunternehmen oder kleine und mittelständische Unternehmen (KMU). Aus dieser Erkenntnis erwächst umso dringlicher die Notwendigkeit gezielt zu handeln und die eigenen Cyber-Sicherheitsmaßnahmen so anzupassen, dass sie auch künftig Cyber-Angriffen standhalten können. Nils Gerhardt, „CTO“ von Utimaco, gibt in seiner aktuellen Stellungnahme vier Tipps, wie sich insbesondere KMU mit innovativen Angeboten schützen können, auch wenn sie eben nicht über IT-Security-Experten in den eigenen Reihen verfügen.

Foto: Utimaco

Nils Gerhardt gibt Tipps, wie sich KMU mit innovativen Angeboten schützen können – auch ohne über IT-Security-Experten im Hause zu verfügen

Utimaco-CTO rät Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen

„Cyber-Angriffe betreffen nur Großunternehmen, Soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken.“ Doch gerade dort fehlten oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten.

Allein in den Jahren 2018 bis 2020 seien laut einer Auswertung der KfW knapp 30 Prozent der deutschen Mittelständler Opfer von Cyber-Kriminalität geworden. Gerhardt betont: „Es handelt sich also um eine konkrete Bedrohung, die zu enormer Geschäftsschädigung führen kann. Gleichzeitig sehen EU-weite Verordnungen wie NIS-2 und DORA vor, dass Manager in bestimmten Branchen auch persönlich für IT-Sicherheitsverstöße haftbar gemacht werden können, was die Dringlichkeit dieses Themas natürlich noch erhöht.“ Es sei daher höchste Zeit für Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen.

1. Utimaco-Tipp: Auf die Cloud setzen!

Gerhardt führt hierzu aus: „Lange Zeit gab es Vorbehalte gegen Datenhaltung in der ,Cloud’. Unternehmen fühlten sich nicht sicher dabei, Daten aus der Hand zu geben. Das eigene Rechenzentrum, der eigene Server schienen die sicherere und kontrollierbarere Infrastruktur zu sein. Doch der Schein trügt. Ein kleineres Unternehmen, das eigene Infrastrukturen betreibt, kann niemals die Ressourcen zur Cyber-Abwehr aufbieten wie ein großer ,Cloud’-Provider.“

Ein solches werde auch kaum eine 24-Stundenbereitschaft abstellen können, um jederzeit Patches einspielen zu können, damit Systeme stets aktuell sind. Die Situation lasse sich mit Bargeld unter der Matratze vergleichen: „Dass dieses dort wesentlich unsicherer verwahrt ist, als in einem Banksafe, der vielfach gesichert und rund um die Uhr bewacht ist, leuchtet schnell ein. Warum nicht auch beim Thema ,Cloud’ umdenken?“

Um Datensicherheit und Datenschutz gleichzeitig zu gewährleisten, gebe es allerdings auch dort einiges zu beachten: Die Großen der ,Cloud’-Branche verfügten natürlich über enorme Ressourcen im Sicherheitsbereich. Allerdings handele es sich bei ihnen um US-amerikanische Unternehmen mit anderen Datenschutzvorgaben als ihre europäischen Kunden. „Nutzer aus der EU sollten also sicherstellen und vertraglich vereinbaren, dass die ,Hyperscaler’ ihre Daten ausschließlich in Rechenzentren innerhalb der Union hosten!“ Inzwischen böten sie sogar auch eine eigene Datenverschlüsselung an. Doch ein gewisser Grad der Abhängigkeit bleibe. Gerhardts Empfehlung: „Unternehmen, die sich doppelt absichern wollen und sich nicht ausschließlich auf den ,Cloud’-Provider verlassen möchten, können ihre Daten selbst verschlüsseln, bevor diese in eine ,Cloud’ gelangen.“

2. Utimaco-Tipp: Kryptographie nutzen!

„Kryptographie und Datenverschlüsselung“ klinge hochkomplex und das sei es auch. Gerhardt betont: „Doch das sollte KMU nicht verunsichern!“ Inzwischen existierten auch auf diesem Gebiet leistungsfähige „As-a-Service“-Lösungen zertifizierter europäischer Partner.

Beispielsweise könnten Unternehmen so eine Datei- und Ordnerverschlüsselung umsetzen, die unabhängig vom Speicherort funktioniere und vollständig vom Anbieter gemanagt werde.

„Unternehmen, die bereits eigene kryptographische Dienste betreiben, dafür aber kein eigenes Hardware-Sicherheitsmodul ,On-Prem’ bereitstellen wollen oder können, können auf Angebote wie ,HSM-as-a-Service’ zurückgreifen.“ Dabei werde das Modul in einer hochsicheren Umgebung des Anbieters betrieben, stehe aber unter der alleinigen Fernkontrolle des Nutzers.

3. Utimaco-Tipp: Phishing-Fallen ausweichen!

Phishing, also das Abgreifen von Zugangsdaten mit gefälschten digitalen Inhalten, bilde den häufigsten Angriffsvektor. „Die Inhalte der Betrüger werden dabei immer ausgefeilter und sind wesentlich schwerer zu erkennen als noch vor wenigen Jahren“, erläutert Gerhardt. Besonders gefährlich werde es, „wenn Phishing noch mit ,Social Engineering’ kombiniert wird, wobei gezielt einzelne Personen ins Visier genommen und unter Druck gesetzt werden“. Angreifer recherchierten hierzu im Vorfeld ausgiebig und verschafften sich möglichst detaillierte Informationen zur Firma und zum Opfer. „Meist geben sie akute Notfälle vor, was Mitarbeiter immer wieder wider besseren Wissens zu gefährlichen Aktionen verleitet.“

Gerhardt rät: „Neben Aufklärung und Schulung von Mitarbeitern sollten also immer auch technische Lösungen implementiert werden, die im Ernstfall greifen.“ Setzen Unternehmen konsequent auf Multifaktor-Authentifizierung (MFA), würden erbeutete Zugangsdaten allein einem Angreifer nicht viel nützen. Eine Anmeldung müsste über einen weiteren Faktor, in der Regel das Mobiltelefon des Mitarbeiters, bestätigt werden.

Gegen gefälschte digitale Inhalte könnten Unternehmen vorgehen, indem sie Dokumente oder E-Mails elektronisch signierten. Dadurch könne sichergestellt werden, „dass diese authentisch und unverändert sind, sowie wirklich vom angegebenen Absender stammen“. Elektronische Signaturen könnten von Integratoren sehr leicht in bestehende Prozesse eingebunden werden, so dass dadurch kaum zusätzliche Komplexität entstehe.

4. Utimaco-Tipp: Verifizierung und Zertifizierung statt blindem Vertrauen!

Der Zugang zum Betriebsgelände sei in der Regel reglementiert und der Pförtner überwache am Eingang, wer hineinkommt. Dazu prüfe er die Identitäten von ihm unbekannten Personen und verifiziere im Zweifelsfall, ob diese tatsächlich eine Zugangsberechtigung haben. „Ähnlich verhielt sich dies lange Zeit auch mit den IT-Umgebungen von Unternehmen. Mittels Firewall konnten die Systeme ziemlich gut gegen die Außenwelt abgeschottet werden. Seit dem massiven Wachstum der Drahtlosnetzwerke – von WLAN bis 5G – und in Zeiten von IoT ergeben sich allerdings ganz neue Herausforderungen.“

Auch Mitarbeiter im sogenannten Home-Office benötigten Zugriff auf Daten und Dienste des Unternehmens. „Werden in der Industrie ,Smart Factories’ aufgebaut, kommen dort unzählige weiter vernetzte Geräte und Maschinen hinzu. Um Agile Prozesse zu gewährleisten, müssen mitunter auch Kunden, Lieferanten oder Partner mit ihren Geräten auf Unternehmensnetzwerke zugreifen.“

Die Überwachung und Verwaltung der Geräte im eigenen Netzwerk sei also heute oberste Pflicht. „Während traditionelles ,Identity and Access Management’ auf ,Accounts’ und rollenbasierte Zugriffmodelle setzt, stellen sich beim Thema IoT ganz neue Fragen. Hinter einem vernetzen Gerät steht kein Mensch mit einem persönlichen ,Account’, der sich bei Bedarf mit Multi-Faktor-Authentifizierung verifizieren kann. Dennoch ist es von immenser Bedeutung, den Zugriff von IoT-Devices reglementieren zu können.“ Dafür benötigten diese allerdings erst einmal eine eindeutige, fälschungssichere Identität. Dafür könne wiederum Kryptograpgie genutzt werden – „indem ein sicherer Schlüssel als Erkennungsmerkmal in die Geräte eingebracht wird“. Sogar solche komplexen Techniken seien mittlerweile als Service zu beziehen.

Weitere Informationen zum Thema:

KfW, KfW Research, 23.02.2023
KfW-Mittelstandspanel: Cyberkriminalität betrifft insbesondere die Vorreiter der Digitalisierung

[datensicherheit.de, 05.06.2024] Nach aktuellen Erkenntnissen von DIGITAL.SICHER.NRW, dem Kompetenzzentrum für Cyber-Sicherheit in der Wirtschaft in Nordrhein-Westfalen (NRW) nehmen die meisten Unternehmen in NRW das Thema Cyber-Sicherheit laut eigenen Angaben ernst. Über die letzten Jahre gesehen habe die Bedeutung des Themas bei ebendiesen sogar noch weiter zugenommen. Indes fühlten sich viele Angestellte besonders in kleinen und mittleren Unternehmen (KMU) häufig nicht dafür zuständig, Sicherheitsmaßnahmen zum Schutz zu ergreifen. Die Erkenntnisse beruhen laut DIGITAL.SICHER.NRW auf neu ausgewerteten Zahlen aus der Befragung von „Cybersicherheit in Zahlen – Lernen. Wissen. Handeln.“ des IT-Sicherheitsunternehmens G DATA CyberDefense. Im Rahmen einer großflächig angelegten und repräsentativen Studie zum Thema IT-Sicherheit seien über 5.000 Arbeitnehmer aus ganz Deutschland befragt worden – untersucht worden seien Erfahrungen, Einstellungen und das Verhalten zur Cyber-Sicherheit in Deutschland. Bei der Neuauswertung dieser Zahlen habe ein besonderer Fokus auf NRW gelegen.

Abbildung: CYBERSEC-NRW gGmbH

CYBERSICHERHEIT IN NRW 2024: Studie zur IT-Sicherheit in Unternehmen

Konkrete Umsetzung von Cyber-Sicherheitsmaßnahmen gehört nicht automatisch zum Arbeitsalltag der Mitarbeiter

KMU fühlten sich im Schnitt weniger zuständig, konkrete Cyber-Sicherheitsmaßnahmen im Berufsalltag zu ergreifen als größere Unternehmen: „Nicht einmal die Hälfte ihrer Angestellten geben an, sichere Passwörter zu verwenden und zwei Drittel prüfen eingehende E-Mails nicht auf Phishing – dabei werden Unternehmen im Digitalen Raum am häufigsten auf diese Art angegriffen.“ Bei großen Unternehmen sehe es zwar besser aus, trotzdem nutzten nur etwas über ein Viertel einen VPN-Zugang und ein Drittel einen zweiten Faktor bei Authentifizierungen. „Das deutet darauf hin, dass die konkrete Umsetzung von Cyber-Sicherheitsmaßnahmen nicht automatisch zum Arbeitsalltag der Mitarbeitenden dazugehört.“

Dies könnte daran liegen, dass Mitarbeiter das Risiko, im Unternehmen von Cyber-Kriminalität betroffen zu sein eher, als gering einschätzten. Im Vergleich zu anderen Bundesländern sinke diese Risikoeinschätzung in NRW über die Jahre sogar noch deutlicher. Durch die Sicherheitsmaßnahmen in ihrem Betrieb fühlten sich Angestellte (sehr) gut geschützt und der Großteil stufe das Verantwortungsbewusstsein der eigenen Geschäftsführung beim Thema IT-Sicherheit als hoch ein.

Die Verantwortung für Cyber-Sicherheit liegt bei der Chefetage

„Digitale Sicherheit muss im Unternehmen von Anfang an mitgedacht und als fortlaufender Prozess betrachtet und gelebt werden“, stellt Sebastian Barchnicki, Sprecher der Geschäftsführung von DIGITAL.SICHER.NRW., in seinem Kommentar klar. Er lässt keinen Zweifel: „Die Verantwortung hierfür liegt bei der Chefetage!“ Erst dann könne sich das Thema „in der DNA des Unternehmens“ verankern, um dieses gegen Cyber-Kriminalität und die daraus entstehenden wirtschaftlichen Schäden bestmöglich zu schützen.

Andreas Lüning, Vorstand und Mitgründer der G DATA CyberDefense AG, führt ergänzend aus: „Die jüngsten Cyber-Angriffe in NRW verdeutlichen, dass jedes Unternehmen, unabhängig von Größe und Branche, ein potenzielles Ziel ist.“ Trotzdem zeige sich in Gesprächen eine Passivität gegenüber Cyber-Sicherheit, mit dem Glauben, technische Lösungen allein seien ausreichend. Abschließend rät Lüning dringend: „Doch Schulungen und Investitionen in Mitarbeiter sind essenziell, wie eine deutschlandweite Umfrage belegt. Es ist an der Zeit zu handeln, wie die Zahlen zeigen.“

Weitere Informationen zum Thema:

DIGITAL SICHER NRW Kompetenzzentrum für Cybersicherheit in der Wirtschaft
CYBERSICHERHEIT IN NRW 2024 / Studie zur IT-Sicherheit in Unternehmen

DIGITAL SICHER NRW
Ihr Kompetenzzentrum für Cybersicherheit in der Wirtschaft

[datensicherheit.de, 24.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte nach eigenen Angaben gemeinsam mit Partnern kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihre Cyber-Resilienz zu erhöhen – hierfür sei der „CyberRisikoCheck“ entwickelt worden: „Er bietet KMU eine standardisierte, bedarfsgerechte Beratung durch IT-Dienstleister.“ Das BSI – als die Cyber-Sicherheitsbehörde des Bundes – habe nun erstmals mehr als 60 IT-Dienstleister für die Anwendung des neuen Verfahrens geschult.

Foto: BSI

CyberRisikoCheck: BSI hat erstmals mehr als 60 IT-Dienstleister für die Anwendung des neuen Verfahrens geschult

KMU-Bedrohungslage im CyberSpace besorgniserregend

Die Bedrohungslage im sogenannten „CyberSpace“ sei besorgniserregend: „Die Anzahl der Angriffe auf Wirtschaftsunternehmen steigt stetig an und kriminelle Attacken verursachen Rekordschäden.“

Auch KMU seien zunehmend von Cyber-Attacken betroffen. Dabei würden sie meist nicht zielgerichtet zum Opfer, sondern von großflächig und automatisiert durchgeführten Angriffen getroffen. Viele KMU würden daher gerne mehr für ihre IT-Sicherheit tun, wüssten aber oftmals nicht wie.

Hinweis für KMU zur Umsetzung bzw. Beauftragung konkreter Maßnahmen

Der „CyberRisikoCheck“ soll demnach einem Unternehmen eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus ermöglichen und aufzeigen, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte.

64 IT-Sicherheitsdienstleister aus ganz Deutschland hätten sich nun für die Durchführung des „CyberRisikoChecks“ in Bonn schulen lassen. Die Teilnahme an der Schulung sei Voraussetzung für die Nutzung einer Software, „die das BSI IT-Dienstleistern für die Durchführung des ,CyberRisikoChecks’ zur Verfügung stellt“. Das BSI gewinne aus dem Verfahren anonymisierte Erhebungsdaten, welche zur Generierung eines Informationssicherheitslagebildes für KMU genutzt würden.

Grundstein für KMU-Cyber-Sicherheitslagebild gelegt

„Der ,CyberRisikoCheck’ ist ein echtes Win-Win-Win-Produkt – für die kleinen Unternehmen, für die IT-Dienstleister und für das BSI“, betont die BSI-Präsidentin, Claudia Plattner. Damit sei nun der Grundstein für ein KMU-Cyber-Sicherheitslagebild gelegt worden – „und das ist ein wichtiger Schritt auf dem Weg zur Cyber-Nation Deutschland“.

Plattner freut sich, dass schon jetzt mehr als 120 weitere IT-Dienstleister ihr Interesse an einer Durchführung es „CyberRisikoChecks“ bekundet hätten. Weitere Schulungstermine seien in Vorbereitung und würden zeitnah durch das BSI veröffentlicht.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
CyberRisikoCheck / Wirkungsvoller Schutz für kleine und Kleinstunternehmen nach DIN SPEC 27076

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2023 / Ransomware ist und bleibt die größte Bedrohung

[datensicherheit.de, 19.03.2024] Die Digitalisierung der Wirtschaftsbereiche biete zwar große Vorteile, bringe aber auch eine Reihe von Herausforderungen mit sich, insbesondere bezüglich der IT-Sicherheit, so Lothar Geuenich, „VP Central Europe/DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Oft werde dann über die großen Unternehmen und Konzerne, vielleicht noch den gehobenen Mittelstand gesprochen. Er wirft nun die Frage auf, wie es aber nun bei den sogenannten kleinen und mittleren Unternehmen (KMU) aussieht, und betont: „Auch sie sind betroffen, sei es eine örtliche (Land-)Bäckerei, die Auto-Werkstatt, oder der Gastwirt mit seinen digitalisierten Bezahl- und Einkaufsprogrammen.“

Foto: Check Point

Lothar Geuenich: Herausforderungen der KMU insbesondere im Bereich der IT-Sicherheit, nicht außer Acht lassen!

Digitale Technologien halten auch Einzug in KMU

Der Wandel hin zur Digitalisierung werde von einer Reihe von Faktoren angetrieben – darunter Kosteneinsparungen, Benutzerfreundlichkeit, Vereinfachung der Prozesse für die Kunden und eine größere Marktreichweite. Geuenich führt aus: „Beispielsweise könnte eine Bäckerei intelligente Öfen installieren, die das Backen optimieren, oder sie könnten einen Online-Shop einrichten, um mehr Kunden zu erreichen und den Umsatz zu steigern.“ Mit dem Internet verbundene Kassensysteme, „Cloud“-Technologien zum Aufsetzen von Websites und die Verwaltung von (Kunden-)Daten gehörten zum Alltag.

Darüber hinaus sei der Einsatz Künstlicher Intelligenz (KI) und des Internets der Dinge und Dienste (IoT) in kleinen Unternehmen ein wichtiger Schritt in Richtung der Digitalisierung des Betriebs. KI ermögliche personalisierte Werbung und dynamische Preisgestaltung, während vernetzte Geräte – wie sogenannte intelligente Öfen und Klimaanlagen – das Geschäft optimierten und die Kosten senken könnten.

Insbesondere bei KMU könnte die Digitale Transformation die Grenzen zwischen gesicherten und anfälligen Netzwerken verwischen

„Da aber Digitalisierung immer mit dem Sammeln von Daten und der Verknüpfung der Systeme mit dem Internet, oder anderen externen Quellen, einhergeht, rückt die IT-Sicherheit ins Blickfeld“, unterstreicht Geuenich. Die Integration verschiedener Technologien in die Firma, wie „Cloud“-Dienste, SaaS, IoT und KI böte zwar Vorteile, vergrößere aber die Angriffsfläche für Hacker. Besonders bei kleinen Unternehmen mit ihrem geringen Budget verwische die Digitale Transformation die Grenzen zwischen gesicherten und anfälligen Netzwerken schnell.

„Der Spagat für die KMU besteht darin, flexibel und innovativ zu sein, aber gleichzeitig Sicherheit, Wartung und Vorschrifteneinhaltung zu gewährleisten“, betont Geuenich. Digitale Zahlungen böten beispielsweise Komfort, erforderten aber auch strenge Sicherheitsmaßnahmen zum Schutz der Kundendaten gemäß der „Compliance“. Hinzu kämen die Audits, welche eine lückenlose Dokumentation aller Vorgänge erforderten.

Spezifische Herausforderungen der Datensicherheit in KMU

Verschiedene Hürden müssten genommen werden. „Dazu gehört die Gewährleistung des Datenschutzes, die Einhaltung von Vorschriften und sichere Einbindung sowie Verwaltung neuer Technologien, wie ,Cloud’-Anbindung. Dies erfordert eine Schulung der Mitarbeiter und Führungskräfte, um ein Verständnis für IT-Sicherheit zu schaffen.“

Insbesondere angesichts des Fachkräftemangels in der IT und IT-Sicherheit komme es hierbei schon auf die kleinsten Erkenntnisse der anderen Angestellten an, um die IT-Abwehr zu stärken – und sei es nur das Wissen um Phishing-E-Mails.

Ein grundlegendes Verständnis für Datensicherheit als erster Schritt der KMU-Geschäftsführung

Auf den ersten Blick könne die Digitalisierung auf KMU-Geschäftsführer überwältigend, sogar beängstigend wirken. Geuenich kommentiert hierzu: „Doch die Zeiten sind vorbei, da KMU ständig einer guten IT-Abwehr hinterherrennen mussten. Freilich spielt noch immer das Budget die erste Geige und es darf nicht von jedem Unternehmer erwarten werden, dass er ein Experte der IT-Sicherheit werden wird. Ein grundlegendes Verständnis ist jedoch unerlässlich geworden.“

Einfache Regeln würden bereits helfen, wie die Verwendung sicherer Passwörter, die Wachsamkeit gegenüber Phishing, die Trennung des W-Lan-Netzwerks in einen Mitarbeiter-Zugang und eingeschränkten Gast-Zugang, die Führung eines Inventars aller digitalen Vermögenswerte, sämtliche tragbare Geräte auch mit Sicherheitsprogrammen abzusichern (Handys, Laptops, Tablets), die privaten tragbaren Geräte der Mitarbeiter und Gäste aus dem Firmen-Netzwerk herauszuhalten (daher der Gast-Zugang) und die regelmäßige Aktualisierung sämtlicher Software durchzuführen.

KMU sollten ggf. Dienstleister nutzen, um Angriffsfläche zu verringern

Darüber hinaus könnten sich kleine Unternehmen an Dienstleister wenden, um die IT-Sicherheit durch externe Spezialisten und Datenschutzbeauftragte aufrechtzuerhalten, weil sie sich selbst die wichtigen Produkte, wie eine umfassende IT-Sicherheitsarchitektur, nicht leisten könnten – geschweige denn, die Mitarbeiter hätten, um diese zu implementieren und zu bedienen. „Auf diese Weise können die KMU außerdem in den Genuss der Sicherheitsprodukte kommen, die bislang nur den großen Spielern mit den großen Budgets vorbehalten waren.“

Geuenich benennt als Beispiel die KI-basierte Management-Komponente seines Hauses, welche nicht ohne Grund auf den Namen „Copilot“ höre: „Sie ist im Prinzip eine Prozessautomatisierung mit Chat-Bot als Eingabefeld und übernimmt nach der Konfiguration viele Routine-Aufgaben, steuert Sicherheitslösungen selbstständig und kann Fragen beantworten, um die Konfiguration zu verfeinern und den Überblick aufrecht zu erhalten.“ Dies schaffe Transparenz und vereinfache die Verwaltung der IT-Sicherheitsarchitektur stark, „so dass auch KMU mit geringem Personalbestand, die dennoch einige Komponenten selbst steuern wollen, eine Chance haben“. Die Fähigkeit, alles zentral zu steuern, fördere zudem die Konsolidierung der IT-Sicherheit.

Mit passender Unterstützung in Fragen der Datensicherheit können sich KMU-Geschäftsführer auf ihre eigentliche Arbeit konzentrieren

Daneben böten sich fortschrittliche IT-Sicherheitsarchitekturen mit zentraler Plattform als Rund-um-Pakete an. „Das ist günstiger, als einen Wildwuchs verschiedener Lösungen zusammenzutragen und erfordert wesentlich weniger Verwaltungsaufwand.“ Dadurch brauche es weniger Fachkräfte – und die Geschäftsführer der kleinen Betriebe könnten sich auf ihre eigentliche Arbeit konzentrieren, „während die weitgehend automatisierten Sicherheitsplattformen im Hintergrund sehr zuverlässig arbeiten und sich nur melden, wenn menschliches Eingreifen erforderlich ist“.

Diese Konsolidierung der IT-Sicherheit führe außerdem zu einheitlichen und übersichtlichen Oberflächen, was die Konfiguration von Sicherheitsrichtlinien stark erleichtere und eine lückenlose Dokumentation ermögliche, um jedes Audit zu überstehen.

KMU sollten vor allem Bewusstsein und Verständnis für die neuartigen Herausforderungen entwickeln

Geuenichs Fazit: „Während die Geschäftsführer und Inhaber von wirklich kleinen und mittleren Unternehmen die Digitalisierung auch in ihrer Firma vorantreiben, dürfen sie die Herausforderungen, vor denen sie dadurch stehen, insbesondere im Bereich der IT-Sicherheit, nicht außer Acht lassen.“ Jedoch brauchten sie nicht zu verzweifeln, weil eine robuste IT-Sicherheit zum einen längst nicht mehr den großen Konzernen allein vorbehalten sei und zum anderen schon einfache Maßnahmen sowie Verhaltensweisen die üblichen IT-Attacken verhindern könnten.

Am wichtigsten sei es, ein Bewusstsein und Verständnis für diese neuartigen Herausforderungen zu entwickeln und die Angst vor der Komplexität zu überwinden. „Sie sollte nicht länger ein Hemmnis für den Schutz sensibler Unternehmensdaten sein. Dann können die wirtschaftlichen Vorteile der Digitalisierung ausgeschöpft werden“, so Geuenich abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 04.01.2023
Internetfähige Geräte: Check Point gibt 13 Tipps zur Absicherung / Verwundbarkeit über das Internet sollte Verbrauchern und Unternehmen bekannt sein, um sich vor Cyber-Gefahren zu schützen

datensicherheit.de, 12.12.2022
Ransomware-Realitätscheck zum Schutz für KMU / Trotz wachsender Bedrohung nur wenigen KMU bewusst, dass sie genauso wie größere Unternehmen gefährdet sind – wenn nicht sogar stärker

[datensicherheit.de, 24.10.2023] Die DriveLock SE hat die Ergebnisse der gemeinsamen Studie mit der techconsult GmbH zur aktuellen Lage der IT-Sicherheit im deutschen Mittelstand veröffentlicht – als Neuauflage der bisherigen Ausgabe von 2019. Die Antworten der befragten Unternehmen lassen demnach erkennen: „Der Stellenwert von Cybersecurity in den Unternehmen hat an Bedeutung gewonnen und wird entsprechend als wichtig wahrgenommen.“ Doch effektiven IT-Schutz umzusetzen, sei für kleine und mittelständische Unternehmen (KMU) in Teilen noch immer schwierig. Dort stellten fehlende Ressourcen wie Budgets und Fachkräfte erhebliche Hindernisse dar. Security-Lösungen müssten daher gleich in mehrfacher Hinsicht einfach und ressourcenschonend sein – von der Investition und Implementierung bis hin zur täglichen Nutzung und Wartung.

Abbildung: DriveLock SE

Lage der IT-Sicherheit deutscher KMU 2023

Zentrale Erkenntnisse der aktuellen KMU-Studie:

Im Mittelstand sei die Bedeutung von IT-Sicherheit gestiegen – von 55 Prozent vor vier Jahren auf nunmehr 70 Prozent. Dennoch gebe es noch Raum für Verbesserungen: „21 Prozent der befragten Unternehmen setzen Sicherheitsmaßnahmen unregelmäßig und ohne klare Strategie um, während acht Prozent sogar erst nach einem Sicherheitsvorfall reagieren.“ Diese Ergebnisse zeigten die Notwendigkeit einer konsequenten Umsetzung von Sicherheitsmaßnahmen.

Ein zentrales Hindernis für die Umsetzung umfänglicher IT-Sicherheitsmaßnahmen seien die wahrgenommenen Kosten. „Die Hälfte der Unternehmen ohne eine klare Sicherheitsstrategie vermeidet Sicherheitsinvestitionen aufgrund zu hoher Kosten.“ Zeitmangel sei ein weiteres Problem, weshalb 40 Prozent der befragten Unternehmen ohne konkrete Sicherheitsstrategie agierten. „Interessanterweise wiegen sich fast 30 Prozent dieser Unternehmen in falscher Sicherheit und gehen davon aus, nicht Opfer von Cyber-Angriffen zu werden.“ Dieser Leichtsinn könne jedoch zu erheblichen finanziellen und nicht-monetären Schäden führen.

Ferner bildeten die üblichen Security-Klassiker die Grundlage für die Mehrheit der Unternehmen. Unternehmen mit einer etablierten Sicherheitsstrategie setzten zusätzlich auf weitergehende Sicherheitslösungen. „Eine wichtige und richtige Entscheidung.“ Angesichts der zunehmenden Raffinesse von Cyber-Angriffen und Veränderungen in der Unternehmensstruktur, wie der Einführung von „Cloud“-Infrastrukturen und Remote-Arbeit, sei eine Anpassung der Sicherheitsmaßnahmen unerlässlich. Unternehmen sollten ihre Sicherheitsstrategien überdenken und die Bedeutung mehrschichtiger Security-Maßnahmen erkennen, um sich effektiv vor Cyber-Bedrohungen zu schützen.

Mit Blick auf die Betriebsmodelle von IT-Sicherheit in den Unternehmen lasse sich erkennen, dass 79 Prozent der Befragten diese trotz Fachkräftemangels entweder komplett oder größtenteils „in-house“ betrieben. Gefragt nach ihren Wünschen, gäben noch immer knapp 60 Prozent der Befragten an, die gesamte IT-Sicherheit selbst verwalten zu wollen. „Ein Ergebnis mit signifikanter Diskrepanz zu vorhandenen Personalressourcen und entsprechender Fachexpertise in KMU.“

KMU versuchen traditionell, ihre IT-Sicherheit selbst zu regeln

Diese Diskrepanz erläutert Arved Stackelberg, „CEO“ von DriveLock: „Hier kommen mehrere Faktoren ins Spiel. Zum einen haben KMU traditionell versucht, IT-Sicherheit selbst zu regeln – oft ohne das notwendige Experten-Wissen und ausreichende Ressourcen, um sich tatsächlich effektiv schützen zu können.“ Zum anderen gebe es nach wie vor ein gewisses Misstrauen gegenüber „cloud“-basierten Lösungen – Stichwort „Souveränität“.

Dabei bieten „cloud“-basierte Lösungen signifikante Vorteile. Diese seien schnell verfügbar und erforderten weniger Investition in Infrastruktur und personelle Ressourcen. „Und nochmal zum Stichwort ,Souveränität’: Hier gibt es sinnvolle Alternativen in Deutschland und Europa. Unsere DriveLock-Lösungen sind ,cloud’-basiert und ,Made in Germany’. Mit unserer langjährigen Erfahrung im Mittelstand bringen wir Unternehmen in sehr kurzer Zeit auf ein höheres Sicherheitsniveau“, sagt Stackelberg. Dies spare Zeit und Kosten bei gleichzeitig konsequentem Schutz digitaler Arbeitsplätze.

Mehrschichtige KMU-Sicherheitslösungen als Festung gegen Cyber-Kriminelle

Raphael Napieralski, Analyst bei techconsult GmbH, betont: „Die Bedrohungslage im Bereich Cybersecurity ist akuter denn je, und es ist an der Zeit, sich proaktiv zu schützen.“ Von der Priorisierung der IT-Sicherheit bis zur Integration in die Unternehmensstrategie – nur so könne ein flächendeckender Schutz gewährleistet werden.

Mehrschichtige Sicherheitslösungen seien die Festung gegen Cyber-Kriminelle. „Die Stärkung der IT-Sicherheit reicht jedoch über Technologie hinaus, denn der Mensch bleibt das schwächste Glied in der Kette“, stellt Napieralski abschließend klar – Schulungen und Sensibilisierung seien daher der „Schlüssel zur Gefahrenminimierung“.

Weitere Informationen zum Thema:

DriveLock
Cybersecurity im deutschen Mittelstand / Warum brauchen KMU eine robuste Cybersicherheit?

[datenicherheit.de, 11.07.2023] Laut einer aktuellen Mitteilung des Europäischen Parlaments soll das verabschiedete „Chip-Gesetz“ der EU „Europas strategische Autonomie und Sicherheit stärken“. Vorgesehen sei in diesem Zusammenhang auch ein Krisenreaktionsmechanismus zur Bewältigung von möglichen Engpässen. Demnach werden 3,3 Milliarden Euro für Forschung und Innovation im Bereich „Chips“ bereitgestellt – als verstärkte Unterstützung auch gerade für kleine und mittlere Unternehmen (KMU).

Abbildung: BMWK

Mikroelektronik in Deutschland: 31 Chip-Projekte aus 11 Bundesländern verteilen sich auf insgesamt 54 Standorte

Am 11. Juli 2023 in Straßburg Pläne zur Sicherung der Chip-Versorgung in der EU gebilligt

Nach eigenen Angaben hat das Europäische Parlament am 11. Juli 2023 in Straßburg Pläne zur Sicherung der Chip-Versorgung in der EU gebilligt: „Produktion und Innovation sollen finanziell gefördert werden. Bei Lieferengpässen können Notfallmaßnahmen eingeführt werden. Dies soll auch Berlin zugutekommen.“

Das neue Gesetz, auf das sich Europäisches Parlament und Rat bereits informell im sogenannten Trilog geeinigt hätten, solle ein günstiges Umfeld für Chip-Investitionen in Europa schaffen. Genehmigungsverfahren würden beschleunigt und erhielten den „Status der höchstmöglichen nationalen Bedeutung“. Um Innovationen zu fördern, würden KMU ebenfalls stärker unterstützt, insbesondere auf dem Gebiet des Chip-Designs.

„Unterstützt werden sollen vor allem Projekte, die die Versorgungssicherheit der EU erhöhen.“ Während der Gespräche mit den Vertretern des Rates hätten die Europa-Abgeordneten 3,3 Milliarden Euro für Forschung und Innovation im Bereich „Chips“ bewilligt. Ein Netzwerk von Kompetenzzentren werde eingerichtet, um den Fachkräftemangel in der EU zu beheben und neue Talente für Forschung, Design und Produktion zu gewinnen.

Jüngste Investitionen in die Chip-Industrie der EU – ein milliardenschweres Beihilfeprogramm für Mikroelektronik

Zu den jüngsten Investitionen in die Chip-Industrie in der EU zähle ein milliardenschweres Beihilfeprogramm für Mikroelektronik. Die EU-Kommission habe das sogenannte IPCEI (Important Project of Common European Interest) „Mikroelektronik und Kommunikationstechnologien“ genehmigt und damit den Weg freigemacht für die Förderung von rund 100 Projekten in Europa.

In Deutschland ebnet dies nach Angaben des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) den Weg für vier Milliarden Euro Förderung für 31 Projekte aus elf Bundesländern.

Die Projekte verteilten sich auf insgesamt 54 Standorte, drei davon in Berlin. Bayern stehe im bundesweiten Vergleich mit 17 Standorten an oberster Stelle, gefolgt von Baden-Württemberg und Sachsen, auf die jeweils neun Standorte entfielen.

Europäische Chip-Produktion: Krisenreaktionsmechanismus zur Bewältigung von Versorgungsproblemen

Teil dieses neuen Gesetzes sei auch ein Krisenreaktionsmechanismus: „Die Kommission bewertet dabei die Risiken für die Versorgung der EU mit Halbleitern. Ein Engpass-Alarm wird ausgelöst, sobald Frühwarnindikatoren in den Mitgliedstaaten auf Lieferprobleme hinweisen.“

Dieser Mechanismus werde der Kommission ermöglichen, Notfallmaßnahmen zu ergreifen, wie z.B. die vorrangige Versorgung mit Produkten, „die von einer Verknappung besonders betroffen sind, oder die gemeinsame Beschaffung von Halbleitern für die Mitgliedstaaten“.

Die Abgeordneten hätten das System weiter verbessert, „indem sie ein Kartierungsinstrument eingeführt haben, das helfen wird, mögliche Versorgungsengpässe zu identifizieren“. Diese Maßnahmen sollten als letztes Mittel im Falle einer Krise im Halbleiter-Sektor eingesetzt werden.

Zusammenarbeit mit strategischen Partnern für Wettbewerbsvorteile und Schutz des Chip-Sektors der EU

Das Parlament habe auch eine stärkere internationale Zusammenarbeit mit strategischen Partnern unterstützt, um Wettbewerbsvorteile und Schutz für den EU-Sektor zu gewährleisten.

„Mit dem ,European Chips Act’ wollen wir die Position der EU in der Halbleiter-Landschaft weltweit stärken und die durch die ,Pandemie’ aufgedeckten Schwachstellen in den Lieferketten beheben. Wir wollen mehr Einfluss bekommen und führend sein, deshalb haben wir 3,3 Milliarden Euro für Forschung und Innovation bereitgestellt“, kommentiert Berichterstatter Dan Nica („S&D“, MEP aus Rumänien).

Laut Nica sollen die technologischen Kapazitäten ausgebaut und Maßnahmen zur Bekämpfung potenzieller Engpässe ergriffen werden. Europa sei auf die künftigen Herausforderungen in der Halbleiter-Iindustrie vorbereitet und lege dabei den Schwerpunkt auf „strategische Autonomie, Sicherheit und ein günstiges Geschäftsumfeld“.

Chip-Versorgung – bisher beispielloser Mangel an Halbleitern

Die Gesetzgebung sei mit 587 zu zehn Stimmen angenommen worden, bei 38 Enthaltungen. Die Initiative müsse nun vom Ministerrat gebilligt werden, um in Kraft zu treten.

Eine Studie des Parlaments zeige, dass der Anteil Europas an der weltweiten Produktionskapazität von Halbleitern unter zehn Prozent liege. Der Legislativ-Vorschlag ziele darauf ab, diesen Anteil auf 20 Prozent zu erhöhen. Eine weitere Analyse des Parlaments aus dem Jahr 2022 habe gezeigt, dass die „Pandemie“ seit Langem bestehende Schwachstellen in den globalen Lieferketten aufgedeckt habe, wofür der „beispiellose Mangel an Halbleitern“ in besonderer Weise exemplarisch sei.

Letztere Analyse zeige, was in den kommenden Jahren auf uns zukommen könnte: „Diese Engpässe haben u.a. zu steigenden Kosten für die Industrie und höheren Preisen für die Verbraucher geführt und das Tempo des Aufschwungs in Europa verlangsamt.“

Weitere Informationen zum Thema:

Europäisches Parlament, 11.07.2023
Legislative Entschließung des Europäischen Parlaments vom 11. Juli 2023 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Schaffung eines Rahmens für Maßnahmen zur Stärkung des europäischen Halbleiter-Ökosystems (Chip-Gesetz)

European Parliament
Legislative Observatory: 2022/0032(COD) / Chips Act

Bundesministerium für Wirtschaft und Klimaschutz, 08.06.2023
Habeck: „Wichtiger industriepolitischer Meilenstein: EU-Kommission genehmigt 31 Mikroelektronik Projekte aus 11 Bundesländern. Mikroelektronik-Standort Deutschland wird in der Breite gestärkt.“