[datensicherheit.de, 17.12.2024] Das Softwarebüro Krekeler aus Königs Wusterhausen weist in einer aktuellen Stellungnahme darauf hin, dass ab dem 1. Januar 2025 die elektronische Rechnungsstellung in Deutschland für Unternehmen, die untereinander B2B-Umsätze tätigen, zur Pflicht wird. „Diese neue gesetzliche Vorgabe, die im Rahmen des Wachstumschancengesetzes beschlossen wurde, verpflichtet Unternehmen, elektronische Rechnungen gemäß der europäischen Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen.“ Für viele Unternehmen bedeute dies eine umfangreiche Umstellung ihrer Geschäftsprozesse und IT-Systeme.

Foto: Softwarebüro Krekeler

Harald Krekeler: Künftig müssen Rechnungen in einem maschinenlesbaren und strukturierten Format übermittelt werden, das den europäischen Rechnungsstandard CEN 16931 erfüllt!

Für Vorsteuerabzug entscheidend, dass E-Rechnungen vorliegen

Harald Krekeler, Geschäftsführer des Softwarebüros Krekeler, betont: „Künftig müssen diese Rechnungen in einem maschinenlesbaren und strukturierten Format übermittelt werden, das den europäischen Rechnungsstandard CEN 16931 erfüllt. Für Deutschland bedeutet dies, dass die Rechnungserstellung im Format ,XRechnung’ oder ,ZUGFeRD’ erfolgen muss – ein simples ,PDF’ genügt nicht.“

Damit müssten Unternehmen sich darauf einstellen, dass ab 2025 ihre Eingangs- und Ausgangsrechnungen im entsprechenden strukturierten Format vorliegen müssten. „Für den Vorsteuerabzug ist es beispielsweise entscheidend, dass die Rechnungen den neuen Anforderungen entsprechen“, erläutert Krekeler.

Umstellung auf E-Rechnungen als Aufruf zur Digitalen Transformation

Viele Unternehmen sähen sich durch die E-Rechnungspflicht mit einem erheblichen Umstellungsaufwand konfrontiert: „Sie müssen nicht nur ihre Rechnungsstellung anpassen, sondern auch ihre gesamte IT- und Geschäftsprozesslandschaft entsprechend den neuen Anforderungen ausrichten. In den meisten Fällen bedeutet dies, dass bestehende Systeme wie ERP-Software, Dokumentenmanagement-Systeme (DMS) oder Archivierungslösungen aktualisiert oder erweitert werden müssen.“

Der Wechsel zur digitalen Rechnungsstellung bietet laut Krekeler aber auch langfristig Vorteile: „Unternehmen, die sich rechtzeitig mit der E-Rechnungspflicht auseinandersetzen, können durch die Automatisierung und Optimierung von Prozessen langfristig Zeit und Kosten sparen.“

Einführung einer flexiblen und benutzerfreundlichen Lösung fürs E-Rechnungswesen wichtig

Besonders für mittelständische Unternehmen, die oft nicht über umfangreiche IT-Abteilungen verfügten, sei die Einführung einer flexiblen und benutzerfreundlichen Lösung wichtig. Eine solche Lösung sei z.B. der von Krekeler entwickelte „Office Manager“ – ein Dokumentenmanagement-System (DMS), welches Unternehmen eine einfache Möglichkeit biete, ihre Rechnungsprozesse zu digitalisieren und zu automatisieren.

„Mit dem ,Office Manager’ bieten wir eine anwenderfreundliche Lösung, die speziell für mittelständische Unternehmen entwickelt wurde“, sagt Krekeler. Dieses System sei einfach zu implementieren, flexibel und könne nahtlos in bestehende IT-Infrastrukturen integriert werden. „Besonders bei der Einführung der E-Rechnungspflicht hilft der ,Office Manager’, die benötigten digitalen Dokumentenprozesse schnell und effizient zu implementieren.“

Gestaffelte Einführung und Übergangsregelungen zum Umgang mit E-Rechnungen

Für Unternehmen, die sich auf die neue Regelung vorbereiten müssen, gebe es einige Übergangsregelungen, welche die Umstellung erleichterten. So blieben Papierrechnungen für B2B-Umsätze bis Ende 2025 zulässig, allerdings müssten Unternehmen ab Januar 2025 in der Lage sein, elektronische Rechnungen zu empfangen und zu verarbeiten.

Ab 2027 sei dann die Nutzung von Papierrechnungen vollständig unzulässig, und ab 2028 müssten alle Unternehmen die E-Rechnungspflicht ohne Ausnahme erfüllen. Kleinbetragsrechnungen und bestimmte steuerbefreite Umsätze seien von der E-Rechnungspflicht ausgenommen, diese könnten weiterhin in einem anderen Format ausgestellt werden.

Weitere Informationen zum Thema:

Bundesministerium der Finanzen,19.11.2024
Steuern / Fragen und Antworten zur Einführung der obligatorischen (verpflichtenden) E-Rechnung zum 1. Januar 2025

Bundesministerium des Innern und für Heimat
Unterschied zwischen Papier-, PDF- und E‑Rechnung / In diesem Beitrag erklären wir Ihnen anhand einer Gegenüberstellung verschiedener Rechnungsformate, was eine Rechnung zu einer – entsprechend der E‑Rechnungs­verordnung des Bundes konformen – E‑Rechnung macht

[datensicherheit.de, 24.10.2023] Die DriveLock SE hat die Ergebnisse der gemeinsamen Studie mit der techconsult GmbH zur aktuellen Lage der IT-Sicherheit im deutschen Mittelstand veröffentlicht – als Neuauflage der bisherigen Ausgabe von 2019. Die Antworten der befragten Unternehmen lassen demnach erkennen: „Der Stellenwert von Cybersecurity in den Unternehmen hat an Bedeutung gewonnen und wird entsprechend als wichtig wahrgenommen.“ Doch effektiven IT-Schutz umzusetzen, sei für kleine und mittelständische Unternehmen (KMU) in Teilen noch immer schwierig. Dort stellten fehlende Ressourcen wie Budgets und Fachkräfte erhebliche Hindernisse dar. Security-Lösungen müssten daher gleich in mehrfacher Hinsicht einfach und ressourcenschonend sein – von der Investition und Implementierung bis hin zur täglichen Nutzung und Wartung.

Abbildung: DriveLock SE

Lage der IT-Sicherheit deutscher KMU 2023

Zentrale Erkenntnisse der aktuellen KMU-Studie:

Im Mittelstand sei die Bedeutung von IT-Sicherheit gestiegen – von 55 Prozent vor vier Jahren auf nunmehr 70 Prozent. Dennoch gebe es noch Raum für Verbesserungen: „21 Prozent der befragten Unternehmen setzen Sicherheitsmaßnahmen unregelmäßig und ohne klare Strategie um, während acht Prozent sogar erst nach einem Sicherheitsvorfall reagieren.“ Diese Ergebnisse zeigten die Notwendigkeit einer konsequenten Umsetzung von Sicherheitsmaßnahmen.

Ein zentrales Hindernis für die Umsetzung umfänglicher IT-Sicherheitsmaßnahmen seien die wahrgenommenen Kosten. „Die Hälfte der Unternehmen ohne eine klare Sicherheitsstrategie vermeidet Sicherheitsinvestitionen aufgrund zu hoher Kosten.“ Zeitmangel sei ein weiteres Problem, weshalb 40 Prozent der befragten Unternehmen ohne konkrete Sicherheitsstrategie agierten. „Interessanterweise wiegen sich fast 30 Prozent dieser Unternehmen in falscher Sicherheit und gehen davon aus, nicht Opfer von Cyber-Angriffen zu werden.“ Dieser Leichtsinn könne jedoch zu erheblichen finanziellen und nicht-monetären Schäden führen.

Ferner bildeten die üblichen Security-Klassiker die Grundlage für die Mehrheit der Unternehmen. Unternehmen mit einer etablierten Sicherheitsstrategie setzten zusätzlich auf weitergehende Sicherheitslösungen. „Eine wichtige und richtige Entscheidung.“ Angesichts der zunehmenden Raffinesse von Cyber-Angriffen und Veränderungen in der Unternehmensstruktur, wie der Einführung von „Cloud“-Infrastrukturen und Remote-Arbeit, sei eine Anpassung der Sicherheitsmaßnahmen unerlässlich. Unternehmen sollten ihre Sicherheitsstrategien überdenken und die Bedeutung mehrschichtiger Security-Maßnahmen erkennen, um sich effektiv vor Cyber-Bedrohungen zu schützen.

Mit Blick auf die Betriebsmodelle von IT-Sicherheit in den Unternehmen lasse sich erkennen, dass 79 Prozent der Befragten diese trotz Fachkräftemangels entweder komplett oder größtenteils „in-house“ betrieben. Gefragt nach ihren Wünschen, gäben noch immer knapp 60 Prozent der Befragten an, die gesamte IT-Sicherheit selbst verwalten zu wollen. „Ein Ergebnis mit signifikanter Diskrepanz zu vorhandenen Personalressourcen und entsprechender Fachexpertise in KMU.“

KMU versuchen traditionell, ihre IT-Sicherheit selbst zu regeln

Diese Diskrepanz erläutert Arved Stackelberg, „CEO“ von DriveLock: „Hier kommen mehrere Faktoren ins Spiel. Zum einen haben KMU traditionell versucht, IT-Sicherheit selbst zu regeln – oft ohne das notwendige Experten-Wissen und ausreichende Ressourcen, um sich tatsächlich effektiv schützen zu können.“ Zum anderen gebe es nach wie vor ein gewisses Misstrauen gegenüber „cloud“-basierten Lösungen – Stichwort „Souveränität“.

Dabei bieten „cloud“-basierte Lösungen signifikante Vorteile. Diese seien schnell verfügbar und erforderten weniger Investition in Infrastruktur und personelle Ressourcen. „Und nochmal zum Stichwort ,Souveränität’: Hier gibt es sinnvolle Alternativen in Deutschland und Europa. Unsere DriveLock-Lösungen sind ,cloud’-basiert und ,Made in Germany’. Mit unserer langjährigen Erfahrung im Mittelstand bringen wir Unternehmen in sehr kurzer Zeit auf ein höheres Sicherheitsniveau“, sagt Stackelberg. Dies spare Zeit und Kosten bei gleichzeitig konsequentem Schutz digitaler Arbeitsplätze.

Mehrschichtige KMU-Sicherheitslösungen als Festung gegen Cyber-Kriminelle

Raphael Napieralski, Analyst bei techconsult GmbH, betont: „Die Bedrohungslage im Bereich Cybersecurity ist akuter denn je, und es ist an der Zeit, sich proaktiv zu schützen.“ Von der Priorisierung der IT-Sicherheit bis zur Integration in die Unternehmensstrategie – nur so könne ein flächendeckender Schutz gewährleistet werden.

Mehrschichtige Sicherheitslösungen seien die Festung gegen Cyber-Kriminelle. „Die Stärkung der IT-Sicherheit reicht jedoch über Technologie hinaus, denn der Mensch bleibt das schwächste Glied in der Kette“, stellt Napieralski abschließend klar – Schulungen und Sensibilisierung seien daher der „Schlüssel zur Gefahrenminimierung“.

Weitere Informationen zum Thema:

DriveLock
Cybersecurity im deutschen Mittelstand / Warum brauchen KMU eine robuste Cybersicherheit?

[datensicherheit.de, 17.06.2022] Der Deutsche Mittelstands-Bund (DMB) blickt nach eigenen Angaben „skeptisch auf die Regelungen“: Demnach wird nun „Kompetenzgerangel statt Tempo“ befürchtet – denn die „Ampel-Regierung“ habe die Zuständigkeiten im Bereich Digitalisierung neu aufgeteilt. Die Erwartungen an die Digitalstrategie der Bundesregierung seien indes „hoch“.

Deutscher Mittelstands-Bund hatte sich unter beschworenem Aufbruch etwas Anderes vorgestellt

„Die ,Ampel‘-Regierung ist im vergangenen Herbst mit einem ambitionierten Koalitionsvertrag angetreten und wollte einen umfassenden digitalen Aufbruch wagen“, so Marc S. Tenbieg, Geschäftsführender Vorstand des DMB, zurückblickend. Er kritisiert: „Nun haben wir sieben lange Monate darauf warten müssen, um zu erfahren, wie die Regierung intern die Zuständigkeiten verteilt. Unter ,Aufbruch‘ haben wir uns etwas Anderes vorgestellt.“

Deutschland habe in den vergangenen Jahren im internationalen Vergleich „bei der Digitalisierung an Boden verloren“. Laut Tenbieg braucht es deshalb „dringender denn je und vor allem zügig“ eine durchgängige Digitalstrategie. Eine solche habe die Bundesregierung für Juli 2022 angekündigt.

DMB sieht Wettbewerbsfähigkeit des Mittelstands in Gefahr

Der DMB habe in der Vergangenheit stets die Dringlichkeit einer schnellen Digitalen Transformation betont und auf notwendige Anpassungen der Rahmenbedingungen hingewiesen. Tenbieg erläutert: „Die schleppende Digitalisierung gefährdet in einer Zeit des Wandels die Wettbewerbsfähigkeit des deutschen Mittelstandes! Deswegen brauchen wir dringend eine zeitgemäße und in sich schlüssige Digitalstrategie mit einem klaren Zielsystem. Das funktioniert nur mit gebündelten Zuständigkeiten und kurzen Entscheidungswegen.“

Darum fordert Tenbieg eine „zentrale Digitalpolitik mit wirtschaftlichem Sachverstand, eindeutigen politischen Zuständigkeiten und Entscheidungskompetenzen“. Abschließend betont er: „Ein so wichtiges Thema wie die Digitalisierung braucht einen durchsetzungsstarken Taktgeber. Nur wenn die Digitalpolitik ,aus einem Guss‘ kommt und alle Entscheidungswege zusammenlaufen, sind optimale Voraussetzungen für eine schnelle und effiziente digitale Transformation im Mittelstand vorhanden.“

[datensicherheit.de, 17.05.2022] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zu einem Online-Seminar ein, welches KI-Einsatzszenarien Voice-Cloning, E-Mail-Filter, Malware- sowie Angriffserkennung und Netzwerkanalysen behandeln soll:

Abbildung: it’s.BB e.V.

Vorab-Registrierung erforderlich!

IT-Sicherheitsexperte Daniel Kant führt durch die Veranstaltung

„Die Veranstaltung wird von unserem Netzwerkmitglied, der Technischen Hochschule Brandenburg, in Kooperation mit dem Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft organisiert.“

Die Veranstaltung werde in einer interaktiven Form angeboten. Der IT-Experte Daniel Kant wird demnach als Referent in das Thema einführen und anschließend für gezielte Fragen zur Verfügung stehen.

Künstliche Intelligenz – Potentiale und Risiken für die IT-Sicherheit

Mittwoch, 18. Mai 2022, 16.00 bis 17.00 Uhr
Online-Veranstaltung via „ClickMeeting“-Plattform

Agenda (ohne Gewähr):

16.00-16.10 Uhr Begrüßung: Daniel Kant, TH-Brandenburg, und Andreas Polzer, IHK Berlin

16.10-16.45 Uhr Daniel Kant, TH-Brandenburg

• Einführung
• Vorstellung des Kompetenzzentrums IT-Wirtschaft (KIW)
• Fähigkeiten und Potenziale von KI
• Aktive vs. passive KI
• Die Chancen der KI-Nutzung im Mittelstand
• Die Chancen / Risiken der KI-Nutzung für die IT-Sicherheit
• KI-Einsatz-Szenarien
– Beispiel „Voice Clone“ und CEO-Fraud
– Beispiel E-Mail-Filter
– Beispiel Malware-Erkennung
– Beispiel Angriffserkennung und Netzwerkanalyse
• Grenzen/Risiken/Manipulation von KI

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft
Künstliche Intelligenz / Jetzt registrieren

[datensicherheit.de, 08.09.2021] Der Deutschland sicher im Netz e.V. (DsiN)-Pressestatement meldet, dass am 8. September 2021 das Bundeskabinett „die neue Cybersicherheitsstrategie des Bundes“ beschlossen hat. DsiN-Geschäftsführer Dr. Michael Littger führt in seinem Kommentar aus, dass diese verstärkt auf Cyber-Kompetenzen der Internetnutzer setze – tatsächlich seien Menschen die größte Schwachstelle in der heutigen IT-Sicherheitsarchitektur.

Foto: DsiN e.V.

Dr. Michael Littger: Deutschland kann zum Vorbild bei digitaler Kompetenzvermittlung werden…

Über 90 Prozent der Cyber-Schadensvorfälle durch einfache Schutzvorkehrungen vermeidbar

Dr. Michael Littger begründet seine Aussage zum Menschen als größter Schwachstelle in der heutigen IT-Sicherheitsarchitektur: „Über 90 Prozent der Sicherheitsvorfälle im privaten und beruflichen Umfeld sind durch einfache Schutzvorkehrungen vermeidbar. Wenn es gelingt, die neuentstandenen Transfer-Infrastrukturen der vergangenen Jahre kraftvoll weiterzuentwickeln, kann Deutschland zum Vorbild bei digitaler Kompetenzvermittlung werden.“

Cybersicherheitsstrategie 2021“ benennt konkrete DsiN-Engagements

Die „Cybersicherheitsstrategie 2021“ benennt demnach konkrete Engagements des DsiN – so. u.a. die „Digitale Nachbarschaft fürs Ehrenamt“, den „Digital-Kompass für ältere Menschen“, den „DsiN-Digitalführerschein“. Aber auch TISiM, die „Transferstelle IT-Sicherheit im Mittelstand“ vermittele bundesweit schon heute an 80 regionalen Anlaufstellen konkrete Hilfestellungen für Berufstätige und Unternehmen. Dr. Littger betont: „Insbesondere den digitalen Mittelstand gilt es mit der neuen Bundesregierung dauerhaft zu stärken.“

Weitere Informationen zum Thema:

datensicherheit.de, 05.05.2021
DsiN-Jahreskongress 2021: Gemeinsam für ein sicheres Netz der Vielfalt und Verantwortung

Bundesregierung
Im Kabinett / Ziele für die Cybersicherheit beschlossen

[datensicherheit.de, 21.04.2021] Jedes zweite Unternehmen im deutschen Mittelstand kenne die Situation, wenn ein Cyber-Angriff erfolgreich war: Ungeschulte Mitarbeiter spielten dabei häufig eine wichtige Rolle. E-Mails seien der Angriffsweg Nummer 1 in IT-Systeme, weil Angestellte schnell auf gefälschte Rechnungen oder Bewerbungen reinfielen. G DATA CyberDefense stellt in einer Meldung dar, welche Fallstricke laut einer aktuellen Umfrage beim Thema „Security Awareness“ lauerten. Für die zugrundeliegende „Security Awareness Trainings“-Umfrage hat OmniQuest demnach im Auftrag von G DATA CyberDefense AG im Herbst 2020 insgesamt 200 mittelständische Unternehmen befragt: „Die befragten deutschen Firmen hatten zwischen 50 und 1.000 Mitarbeiter. Die Branchenzugehörigkeit und das Tätigkeitsfeld spielten dabei keine Rolle.“

Abbildung: G DATA

Umfrageergebnisse: „Security Awareness Trainings im deutschen Mittelstand – Sind Mitarbeiter Teil der Cyberabwehr?“

Viele Mitarbeiter unsicher im Umgang mit der IT und anfällig für Fehler, warnt G DATA

IT-Sicherheit sei bei den meisten Mitarbeitern nicht das Kerngeschäft – insbesondere, wenn diese nicht aus dem IT-Umfeld stammen. Das habe Folgen: „Bei der Hälfte der befragten Mittelständler war eine Cyber-Attacke durch den Fehler eines Angestellten erfolgreich. Das wird teuer und kann schnell existenzbedrohlich werden.“
Nikolas Schran, „Product Owner Cyber Defense Academy“ bei G DATA CyberDefense, erläutert: „Viele Mitarbeiter sind unsicher im Umgang mit der IT und anfällig für Fehler. Cyber-Kriminelle nutzen das konsequent aus und greifen über die Mitarbeiter an.“ Er betont: „Wer IT-Sicherheit ganzheitlich denkt, kann nicht allein auf technische Lösungen setzen, sondern sollte seine Angestellten zum integralen Teil seines Sicherheitskonzeptes machen.“

G DATA rät zur Analyse der Opportunitätskosten, wenn das Budget zum Problem wird

Das Potenzial zu einer signifikanten Verbesserung der IT-Sicherheit sei da. Viele Mittelständler nutzten diese Chance aber nicht. Gerade kleinere Unternehmen dächten bei „Security Awareness Trainings“ nicht an umfassende Schulungen über einen längeren Zeitraum, sondern führten nur einmalige Veranstaltungen durch. Alternativ würden hin und wieder E-Mails über aktuelle Bedrohungen versendet oder Informationen über das firmeneigene Intranet bereitgestellt. „Dies ist weder zielführend noch nachhaltig!“
Durch eine solche Vorgehensweise könnten zwar im Vergleich zur Anschaffung einer E-Learning-Umgebung Gelder eingespart werden. Eine nachhaltige Verhaltensänderung und wirkliche Sensibilisierung fänden jedoch nicht statt. Um die Opportunitätskosten von „Security Awareness Trainings“ zu berechnen, sollten Verantwortliche die Kosten eines mehrtägigen Betriebsausfalls auf Grund eines Cyber-Vorfalls den Investitionen gegenüberstellen.

Laut G DATA sollten Unternehmen auf umfassende Security Awareness Trainings setzen

Dies gelte insbesondere in der aktuellen Situation, welche besondere Anforderungen an Unternehmer und Mitarbeiter stelle. „Gerade in der aktuellen Home-Office-Situation ist eine gute Security-Awareness wichtiger denn je. Mitarbeiterinnen und Mitarbeiter sind durch die ,Pandemie‘, Home-Schooling und Vereinsamung einem besonderen Druck ausgesetzt. In solchen Situationen sind sie besonders anfällig für ,Social Engineering‘. Wir stärken die Mitarbeiter, damit sie auch in Stresssituationen die richtigen Entscheidungen treffen und steigern damit die IT-Sicherheit im Unternehmen“, so Schran.
Unternehmen sollten auf umfassende „Security Awareness Trainings“ setzen, um ihre Mitarbeiter nachhaltig im Thema IT-Sicherheit zu schulen und sie mit dem nötigen Wissen auszustatten, um Angriffe sicher abzuwehren. Diese Maßnahme sei sehr wirksam und die Investition lohne sich: „78 Prozent der befragten Mittelständler haben hierdurch ihre IT-Sicherheit gesteigert und die Mitarbeiter gehen vorsichtiger mit den IT-Systemen um.“

Weitere Ergebnisse der Umfrage von G DATA:

• Die Hälfte der Unternehmen schule die gesamte Belegschaft in puncto IT-Sicherheit.
• Bei E-Learning-Dienstleistungen erwarte die Hälfte der Unternehmen eine Phishing-Simulation.
• Ziele von „Security Awareness Trainings“ in Unternehmen seien die Verbesserung der IT-Sicherheit und Compliance.
• Das wichtigste Thema für den Mittelstand bei „Security Awareness Trainings“ seien „Sicherheitsvorfälle“ – d.h. Angriffe zu erkennen und im Ernstfall richtig zu handeln.
• Fast die Hälfte der Mittelständler, die keine „Security Awareness Trainings“ durchführten, glaube, bei IT-Sicherheit gut aufgestellt zu sein.

Weitere Informationen zum Thema:

G DATA
Security Awareness Trainings im deutschen Mittelstand – Sind Mitarbeiter Teil der Cyberabwehr?

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

[datensicherheit.de, 05.10.2020] Zum Start des europäischen Aktionsmonats zur Cyber-Sicherheit ist am 5. Oktober 2020 der „Praxisreport Mittelstand 2020“ zur Lage der IT-Sicherheit in kleinen und mittleren Unternehmen (KMU) erschienen. Diese repräsentative Studie unter Schirmherrschaft des Bundeswirtschafsministeriums zeige deutlichen Unterstützungsbedarf beim Digitalschutz, denn zwölf Prozent der Betriebe fürchteten um die eigene Existenz bei Cyber-Angriffen.

Abbildung: DsiN e.V.

„Praxisreport Mittelstand 2020“ wird am 6. Oktober 2020 im Rahmen der „it-sa 365“ erstmalig vorgestellt

DsiN warnt: Ein Viertel der Betriebe verfügt über keinerlei Datensicherungen

Fast die Hälfte aller Unternehmen in Deutschland (46 Prozent) habe in den vergangenen Monaten Cyber-Angriffe auf ihr Unternehmen vermeldet, so ein Ergebnis des „DsiN-Praxisreport Mittelstand 2020“, der am 6. Oktober 2020 im Rahmen der „it-sa 365“ erstmalig vorgestellt werden soll.
In drei von vier Fällen (74 Prozent) hätten die Angriffe zu schädlichen Auswirkungen geführt, in vier Prozent der Fälle sogar zu schweren Belastungen innerhalb des Betriebes. Trotz dieser Ausgangslage reagierten nur wenige Unternehmen aktiv mit einer Verbesserung ihre digitalen Abwehrbereitschaft:
Ein Viertel der Betriebe (25 Prozent) verfüge über keinerlei Datensicherungen, ein Drittel (35 Prozent) habe keine Krisenreaktionspläne und nur jedes fünfte Unternehmen achte auf verschlüsselte E-Mails (22 Prozent).

DsiN sieht zunehmende Digitalisierung im Zuge der Corona-Krisew

Zugleich gewinne die Digitalisierung flächendeckend weiter an Bedeutung. Der Einsatz von Cloud-Lösungen habe im zwölfmonatigen Erhebungszeitraum bis April 2020 weiter zugenommen und liege nun bei 47 Prozent (2018: 41 Prozent).
Auch der Einsatz digitaler Verkaufsplattformen zeige einen Zuwachs gegenüber 2018 um drei Prozent und liege nun bei 44 Prozent. „Wir sehen eine zusätzliche Digitalisierung des Mittelstands, die durch ,Corona‘ nochmal an Fahrt gewinnt“, so DsiN-Geschäftsführer Dr. Michael Littger.
Dadurch entstünden zusätzliche Angriffsflächen, die den Nachholbedarf an sicheren IT-Lösungen und Vorkehrungen weiter steigen lasse.

Auffällige Schwachstellen der digitalen Abwehrbereitschaft laut DsiN auch in der Schulungspraxis von Mitarbeitern

Auffällige Schwachstellen der digitalen Abwehrbereitschaft zeige der Report auch in der Schulungspraxis von Mitarbeitern: Fast die Hälfte der Betriebe (47 Prozent) verzichte auf sämtliche Hinweise und Informationen über sicheres Verhalten am Arbeitsplatz.
Bei kleinen und kleinsten Betrieben komme hinzu, dass eigene Zuständige für IT-Sicherheitsfragen fehlten. In jedem zweiten Betrieb unter zehn Mitarbeitern kümmere sich die Geschäftsleitung (49 Prozent) selbst um die IT-Absicherung.
Bei Unternehmen von 201 bis 500 Mitarbeitern liege die IT-Sicherheit nur noch bei fünf Prozent der Betriebe in der unmittelbaren Hand der Geschäftsleitung.

TISiM: Pilotphase für mehr Cyber-Sicherheit im Mittelstand

Aus Sicht des Bundeswirtschaftsministeriums verdeutliche diese Entwicklung, dass Angebote für mehr IT-Sicherheit stärker nachgefragt und angewendet werden müssten:
„Mit der neuen ,Transferstelle IT-Sicherheit im Mittelstand‘, TISiM, sorgt das Bundeswirtschaftsministerium dafür, dass gerade kleine Betriebe, Selbstständige, das Handwerk sowie Freiberufler darin unterstützt werden, IT-Sicherheit in Betrieben umzusetzen“, erläutert Thomas Jarzombek, Beauftragter des Bundesministeriums für Wirtschaft und Energie für Digitale Wirtschaft und Start-Ups.
Die Transferstelle TISiM sei Anfang 2020 vom Bundeswirtschaftsministerium ins Leben gerufen worden. Am 6. Oktober 2020 zur „it-sa 365“ starte sie mit ihrer Pilotphase für mehr Cyber-Sicherheit im Mittelstand.

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz, 05.10.2020
DsiN-Praxisreport 2020 Mittelstand @ IT-Sicherheit

datensicherheit.de, 25.06.2020
Trotz Verunsicherung: DsiN-Sicherheitsindex 2020 bei 62,8 Punkten

[datensicherheit.de, 03.06.2020] Mit der Digitalisierung steigt für kleine und mittelständische Unternehmen (KMU) die Komplexität der IT-Infrastruktur, und somit auch die Gefahr, durch Cyberangriffe Schaden zu erleiden. Cybersicherheit ist dabei eng mit dem Ruf des Unternehmens, dem Vertrauen seiner Kunden, aber auch mit finanziellen Schadensrisiken verbunden. Entsprechend sind die Investitionen in Lösungen zum Schutz vor Cyberangriffen in den vergangenen Jahren auch im Mittelstand gestiegen. Ein 100%iger Schutz vor Angriffen kann allerdings nicht gewährleistet werden, vor allem da eine große Gefahr durch die Unachtsamkeit von den eigenen Mitarbeitern ausgeht. Zu den aktuell akutesten Bedrohungen für die IT- und Datensicherheit in KMUs gehören heutzutage Phishing-Attacken durch gefälschte Emails oder Web-Seiten. Es ist daher für Unternehmen ratsam sich auch auf einen Ernstfall vorzubereiten. Ein Aspekt hierbei ist der Abschluss einer Cyber-Versicherung, um im Schadensfall die finanziellen Risiken abzumindern. Veronym, Deutschlands erster Cloud Security Service Provider (CSSP), erläutert die zentralen Aspekte von Cyberversicherungen für mittelständische Unternehmen.

Cyberversicherungen in Deutschland noch relativ neu

Cyberversicherungen sind in Deutschland noch relativ neu im Vergleich zu schon lange bestehenden Versicherungen, wie Unfallschutz oder Betriebshaftpflicht. Bei Cyber-Versicherungen ist das Cyber-Risiko des Unternehmens die Grundlage für die Vertragskonditionen. Es ist allerdings nicht einfach, das Cyber-Risiko eines Unternehmens zu ermitteln, da dieses sehr von dem Grad der Digitalisierung und auch dem Reifegrad der Cyber-Schutz Maßnahmen abhängt.

„Daher treffen die Anbieter von Cyberversicherungen bei kleinen und mittelständischen Unternehmen häufig auf eine Reihe von Vorbehalten“, erläutert Dr. Michael Teschner von Veronym. Das Unternehmen arbeitet als Cloud Security Service Provider mit verschiedenen Anbietern von Cyber-Versicherungen zusammen, um speziell kleine und mittelständische Unternehmen in Sachen Cybersicherheit zu unterstützen.

„Eine Cyberversicherung ist wie ein Airbag im PKW – man möchte sich damit eigentlich am liebsten gar nicht beschäftigen und vermutet, dass man ihn eh nie benötigt. Und dennoch würde wohl kaum ein Kunde heute noch einen PKW ohne Airbag kaufen“, erklärt Michael Teschner. „Da Cyberversicherungen für den Kunden jedoch einiges komplexer sind als ein Airbag, sind viele Unternehmen noch zögerlich. Es wäre aber dringend anzuraten, sich mit diesem Thema zu beschäftigen und einige Vorbehalte einer ernsthaften Prüfung zu unterziehen.“

Skepsis wegen Kosten und Leistungsumfang

Für viele Entscheider in kleinen und mittelständischen Unternehmen ist der Begriff der Cyberversicherung noch sehr abstrakt. Dabei sind die verschiedenen Leistungen sehr plausibel und konkret: Cyber-Haftpflicht, Cyber-Betriebsunterbrechung und Cyber-Eigenschaden. Dazu kommen häufig eine Soforthilfe im Notfall sowie die die Übernahmen von Kosten für Dienstleister, die während einer akuten Krise hinzugezogen werden. Um das Niveau der Cybersicherheit vorab zu erhöhen bieten manche Versicherungen kostenfreie Cybersicherheitstrainings an. Werden diese von der Mehrheit der Belegschaft erfolgreich absolviert kann beispielsweise der Selbstbehalt reduziert werden. Außerdem unterstützen einige Anbieter ihre Kunden auch bei der regelmäßigen Aktualisierung von Krisenmanagement-Plänen.

„Zahlreiche KMUs fragen sich, ob sie sich eine Cyberversicherung überhaupt leisten können. Dabei sollte man sich eher fragen, ob man es sich leisten kann, nicht gegen entsprechende Vorfälle abgesichert zu sein“, meint  Teschner. „Rund ein Drittel aller KMUs wurden bereits Opfer eines Cyberangriffs. Knapp 22.000 Euro Schaden verursacht ein Cyberangriff im Schnitt in Kleinunternehmen. Allerdings können auch deutlich höhere Kosten im sechsstelligen Bereich entstehen.“

Klare Kriterien und Zuständigkeiten

Zunächst gilt es im Vorfeld den aktuellen Status der Cybersicherheit zu erheben. „Diese Phase kann für das Unternehmen schon sehr hilfreich sein, denn oft werden hierbei bestehende Schwachstellen erkannt“, erklärt Teschner. „Manche Versicherungen arbeiten eng mit Sicherheitsanbietern zusammen und können so Unternehmen Komplettpakete anbieten, die neben dem Schutz und dem Erkennen von Angriffen auch eine Krisen Reaktion beinhaltet.“

Im Schadensfall greift der Versicherungsschutz allerding nur wenn die bestehenden Obliegenheiten aus dem Vertrag, sprich die Pflichten des Versicherungsnehmers auch erfüllt sind. Das bedeutet, dass im laufenden Betrieb regelmäßig geprüft werden muss, ob die eingesetzten technischen Maßnahmen zum Schutz gegen Cyber-Angriffe auch immer auf dem neusten Stand sind. Wesentliche vereinfacht wird ein solcher Nachweis bei dem Einsatz von einem Security-Service. Hierbei ist der Betreiber in der Verantwortung die Anforderungen zu gewährleisten und das Unternehmen kann sich auf seine Kernkompetenzen fokussieren.

Neben dem Preis-/Leistungsverhältnis in Bezug auf eine Schadensregulierung sollten Unternehmen auch darauf achten, welche zusätzlichen Leistungen die Versicherung umfasst. So können regelmäßige Informationen rund das Thema Cybersicherheit Unternehmen dabei helfen die Gefahr eines erfolgreichen Angriffs zu minimieren.

Grundsätzlich rät Veronym kleinen und mittelständischen Unternehmen dazu, vor dem Abschluss einer Cyberversicherung zusammen mit kompetenten Beratern der Versicherung die eigenen IT-Sicherheitsvorkehrungen gründlich unter die Lupe zu nehmen. „In den USA und UK sind sehr viele Unternehmen mit diesem Thema schon vertraut und nutzen eine entsprechende Versicherung. In Deutschland hingegen stehen wir hier noch am Anfang“, fasst Michael Teschner abschließend zusammen. „Den Unternehmen, die den Wert einer Cyberversicherung erkannt haben, möchte ich dringend raten, bei ihrer Entscheidung das ganze Bild zu betrachten. Technische Maßnahmen, Krisenvorsorge und Cyberversicherung sollte man nicht als voneinander unabhängige Inseln betrachten, sondern vielmehr als Einheit, bei der die drei Elemente aufeinander abgestimmt sein müssen, um den bestmöglichen Effekt zu erzielen.“

Weitere Informationen zum Thema:

Veronym
Unternehmenswebsite

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

[datensicherheit.de, 25.05.2020] Die Transferstelle IT-Sicherheit im Mittelstand (TISiM) soll nach eigenen Angaben „passgenaue Informationen aus einer Hand“ bieten – hierzu werden demnach Angebote zum Thema IT-Sicherheit gebündelt, praxisnah aufbereitet und vermittelt: Gerade die sog. kleinen und mittleren Unternehmen (KMU), aber auch Handwerksbetriebe und Selbstständige sollen bei deren Umsetzung unterstützt werden. Am 28. Mai 2020 findet nun der „1. Transferstellenkongress – für IT-Sicherheit im Mittelstand“ statt.

TISiM seit Ende April 2020 erreichbar, Abbildung: DsiN e.V.

Gemeinsame Lösungsperspektiven für mehr IT-Sicherheit im Mittelstand

Das TISiM-Betreiberkonsortium, bestehend aus DIHK, Fraunhofer IAO und Fokus, Hochschule Mannheim und DsiN, lädt ein, erste Einblicke in die künftige Arbeit zu erhalten und „gemeinsame Lösungsperspektiven für mehr IT-Sicherheit im Mittelstand zu entwickeln“.

Online-live aus der Transferstelle im DsiN-Forum

„1. Transferstellenkongress 2020“ – Digitalkonferenz
live aus der Transferstelle im DsiN-Forum
am Donnerstag, dem 28. Mai 2020, 10.30 bis 12.00 Uhr
Anmeldung erforderlich

Kongresseröffnung durch Dr. Michael Littger

Den Willkommensgruß unter dem Motto „Starke IT-Sicherheit für einen starken Mittelstand“ übernehmen Dr. Michael Littger, Geschäftsführer DsiN und Moderator des Tages, sowie die Leiterin der TISiM-Geschäftsstelle, Sandra Balz. Im Anschluss wird zur Vorstellung „Das ist TISiM“, ein Erklärvideo zu den Zielen und Aufgaben der Transferstelle, präsentiert.

Zielstellung: sicherer und innovativer Mittelstand

Die Impulsrede und das Grußwort von Thomas Jarzombek, MdB, Beauftragter für Digitalisierung und Startups des Bundeswirtschaftsministers, steht unter der Zielstellung „Für einen sicheren und innovativen Mittelstand“. An der sich anschließenden moderierten Podiumsdiskussion nehmen laut TISiM teil (ohne Gewähr):

• Prof. Dr. Manfred Hauswirth – Institutsleiter Fraunhofer FOKUS
• Sofie Geisel – Mitglied der DIHK-Hauptgeschäftsführung
• Thomas Jarzombek, MdB – Digital- und Startup-Beauftragter des Bundeswirtschaftsministers
• Dr. Constantin Terton – Leiter „Wirtschaft“ Handwerkskammer Berlin

Vorstellung der „Suchmaschine für IT-Sicherheit“

Zum Abschluss ist ein Interview mit einem Kleinunternehmer über Erwartungen an IT-Sicherheit sowie die Vorstellung des „Sec-O-Mats“, der neuen „Suchmaschine für IT-Sicherheit“ von TISiM, durch Fraunhofer IAO vorgesehen. Am Ende der Veranstaltung wird ein gemeinsamer Appell zum Mitmachen bei TISiM stehen.

Weitere Informationen zum Thema:

Transferstelle IT-Sicherheit im Mittelstand
Einfach. Sicher. Machen.

Transferstelle IT-Sicherheit im Mittelstand
1. Transferstellenkongress – für IT-Sicherheit im Mittelstand am 28.05.2020

datensicherheit.de, 20.09.2019
Digitale Aufklärung: DsiN-Forum in Berlin-Mitte eröffnet

datensicherheit.de, 05.11.2013
DsiN: Dr. Michael Littger wird neuer Geschäftsführer

[datensicherheit.de, 29.04.2020] Die aktuelle Corona-Krise veranlasst viele Unternehmen, ihren Mitarbeitern Remote-Arbeit im Home-Office zu ermöglichen. Hierbei werden häufig Sicherheitsaspekte außer Acht gelassen. Dies wird zunehmend von Cyberkriminellen für sogenannte Phishing-Attacken ausgenutzt. Mittels „Social Engineering“ werden die im Home-Office isolierten Mitarbeiter ausgespäht und dann per E-Mail, SMS oder Anruf angegriffen.

Eine der erfolgreichsten Phishing-Attacken ist der so genannte „CEO-Fraud“, der auch unter dem Begriff Chefbetrug bekannt ist. Die aktuelle Studie „Wirtschaftskriminalität“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers zeigt deutlich, dass diese Betrugsmasche sich zu einer relevanten Bedrohung für den deutschen Mittelstand entwickelt hat. So berichteten 40 Prozent der befragten Firmen, sie seien innerhalb der vergangenen 24 Monate zumindest einmal Ziel einer „CEO-Fraud“-Attacke geworden. In fünf Prozent der Fälle waren die Kriminellen erfolgreich.

Präventive Maßnahmen empfohlen

Unternehmen wird daher dringend empfohlen, präventive Maßnahmen zu ergreifen, um sich gegen diese Art der Bedrohung schützen zu können. Wichtige Bausteine eines erfolgreichen Sicherheitskonzepts sind die Analyse interner Zahlungs- und Abstimmungsprozesse und die Einführung eines Vier-Augen-Prinzips auch für Remote-Arbeit. Weiterhin sollten Mitarbeiter gezielt sensibilisiert und geschult werden, um betrügerische Kontaktaufnahmen direkt zu erkennen.

Die Beratungsboutique für Cybersicherheit carmasec sichert Unternehmen im Rahmen der Implementierung von Managementsystemen zur Informationssicherheit (ISMS) auch gegen „CEO-Fraud“. Aufgrund der aktuellen Bedrohungslage hat das Unternehmen ein Whitepaper mit dem Titel „CEO-Fraud: So erkennen und vermeiden Sie den gezielten Unternehmensbetrug“ veröffentlicht, welches kostenfrei bereitgestellt wird. In diesem wird die Vorgehensweise der Cyberkriminellen ausführlich erläutert. Weiterhin werden präventive Schutzmaßnahmen aufgezeigt, um Cyberangriffe frühzeitig zu erkennen und Schäden zu vermeiden.

Weitere Informationen zum Thema:

carmasec
Whitepaper „CEO-Fraud: So erkennen und vermeiden Sie den gezielten Unternehmensbetrug“

datensicherheit.de, 15.10.2018
CEO-Fraud: Mittelstand unterschätzt Gefahr des Cheftricks

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe

datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden