IT-Sicherheit im Mittelstand | Tipps für Ihr Unternehmen

Phishing-Mails, Betrugswebsites oder Erpressungssoftware – immer mehr Unternehmen sind von kriminellen Attacken betroffen. Im Durchschnitt dauert es etwa 180 Tage bis ein solcher Vorfall entdeckt wird. Deshalb sollten Sie jetzt vorsorgen.

symbolbild it-sicherheit

Für die deutsche Wirtschaft entstand zuletzt ein Schaden von mehr als 220 Milliarden Euro jährlich. Zum Vergleich: In den Jahren 2018/2019 lag die Schadenssumme noch bei 103 Milliarden Euro. Diese aktuellen Zahlen verdeutlichen, dass IT-Sicherheit stärker in den Fokus rücken muss und für jedes Unternehmen, nicht nur große Konzerne, entscheidende Relevanz hat.

Vielen KMU scheint das Thema IT-Sicherheit sehr aufwendig und kostspielig. Einige Unternehmer erkennen für ihr Unternehmen keinen deutlichen Mehrwert. Gleichzeitig geben jedoch fast 50 Prozent der befragten kleinen und mittelständischen Unternehmen im DsiN-Praxisreport 2020 an, bereits von einem IT-Sicherheitsvorfall betroffen gewesen zu sein.

Für mittelständische Unternehmen kann diese Diskrepanz schwerwiegende Folgen haben. Auch wenn Investitionen in die IT-Sicherheit auf den ersten Blick nicht günstig scheinen, können sie jedoch erheblichen Schaden abwenden. In den letzten Jahren hat sich ein etablierter Markt entwickelt, eine Vielzahl an zuverlässigen Produkten und Lösungen wird angeboten. Es ist ratsam, nicht einfach mit Lösungen zu „experimentieren“: Wo intern Kenntnisse fehlen, empfiehlt es sich, auf die Expertise externer Spezialisten zu setzen.

Sie möchten Ihr Unternehmen vor Cyberangriffen schützen? Die nachfolgenden Tipps zeigen, an welchen Stellen KMU ansetzen können und worauf Sie achten sollten:

1. Sensibilität schaffen

Der Faktor Mensch ist ein zentraler Teil der Sicherheitsarchitektur. Nur wenn Geschäftsführung und Mitarbeiter ausreichend für das Thema sensibilisiert sind und ein Verständnis für IT-Sicherheit entwickeln, können Gefahren erkannt und entsprechende Strategien zum Umgang angewandt werden. In diesem Kontext ist es wichtig, im Unternehmen eine Kultur zu schaffen, in der sich Mitarbeiter nicht scheuen, Fehler zu melden oder sich bei Unsicherheiten an ihre Vorgesetzten zu wenden. Mitarbeiter müssen dem Chef vertrauen, um offen mit ihm reden zu können, damit Sicherheitsvorfälle schnell erkannt werden.

2. Notfallstrategie ausarbeiten

Unternehmen sollten ein Notfallkonzept erstellen, das zentrale Kommunikations- und Meldeketten, Verantwortlichkeiten, Erreichbarkeiten und Hilfekompetenzen für Sicherheitsvorfälle festlegt und aufbaut. Hier ist es wichtig, sich im Voraus über bestehende Risiken klar zu werden und die eigene Datennutzung zu hinterfragen. Wo liegen relevante Daten und wie stark ist das Unternehmen von diesen abhängig? Daten, die von besonderer Bedeutung sind, müssen auch als erstes wieder zum Laufen gebracht werden.

3. Budget für Cybersicherheit einplanen

Cybersicherheit setzt entsprechende monetäre Investitionen voraus. Diese Aufwände gilt es in die Unternehmensausgaben einzuplanen. Wenn Kompetenzen intern fehlen, sollten Mittel für externe Spezialisten aufgewendet werden.

4. IT-Compliance beachten

Auch kleine und mittelständische Unternehmen müssen sich an gesetzliche, unternehmensinterne und vertragliche Regelungen halten. Hierunter fallen neben der Informationssicherheit auch Datenschutz, die Verfügbarkeit und Aufbewahrung von Daten. IT-Compliance bewahrt Unternehmen insbesondere vor wirtschaftlichen Schäden und Imageverlusten in Folge von Rechtsverletzungen. Sie schließt auch immer die Risikoanalyse ein: Wie hoch ist die Wahrscheinlichkeit eines spezifischen Eintrittsrisikos für Ihr Unternehmen? Anhand dieser Analyse kann abgestuft werden, welche technischen Maßnahmen ergriffen werden sollten.

5. Regelmäßige Backups, Softwareupdates und Virenscans durchführen

Auch Backups sind zentral, um wichtige Daten zu retten. Die regelmäßige Sicherung von Daten kann verhindern, dass diese durch Vorfälle unwiederbringlich zerstört werden. Wichtig: Backups dürfen niemals auf dem gleichen Netzwerkspeicher gesichert werden, auf dem auch die normalen Daten liegen.

Neben Backups sollten Unternehmen auch Betriebssysteme, Programme und die Virenschutzsoftware aktualisieren, um das Risiko von Angriffen zu minimieren. Auch regelmäßige Virenscans des gesamten Systems sind essentiell, damit schädliche Programme ausfindig gemacht werden könne.