Kleine und mittelständische Unternehmen sind einem größeren Cyber-Risiko ausgesetzt
Cyber-Bedrohungen nehmen zu, und die Ausgaben für Cybersicherheit sind bei vielen kleinen und mittelständischen Unternehmen rückläufig, was ihre Anfälligkeit noch verstärkt. Integrierte Cloud-Sicherheit kann helfen.
Wichtige Punkte
- Cyberkriminelle haben es zunehmend auf kleine und mittelständische Unternehmen (KMU) abgesehen.
- Die zunehmende Nutzung von Cloud-Lösungen durch kleine und mittlere Unternehmen (KMU) kann es böswilligen Akteuren erleichtern, diese kleineren Fische in großem Stil zu fangen.
- Einige KMUs kürzen auch ihre Budgets für die Cybersicherheit, was ihre Anfälligkeit erhöht.
- Cybersicherheitslösungen, die sich in gängige Cloud-Software integrieren lassen, können dabei helfen.
Kleine und mittlere Unternehmen (KMU) befinden sich in Bezug auf die Cybersicherheit in einer Zwickmühle. Einerseits richten Cyberkriminelle ihre Aufmerksamkeit auf kleinere Firmen, da größere, höherwertige Unternehmen ihre Cyberabwehr verbessert haben. Andererseits stehen viele KMUs unter dem Druck, ihregTechnologieausgaben zu reaktivieren, was zu Kürzungen oder Begrenzungen ihrer Cybersicherheitsbudgets führt.
Wachsende Bedrohungen für SMB-Ressourcen
Das Nettoergebnis ist ein dramatischer Anstieg des Cyberrisikos für Unternehmen am unteren Ende des Spektrums. Der jüngste Cyber Readiness Report des Versicherungsanbieters Hiscox warnte davor, dass "Unternehmen mit einem Umsatz von 100.000 bis 500.000 Dollar inzwischen mit ebenso vielen Cyberangriffen rechnen müssen wie Unternehmen mit einem Jahresumsatz von 1 bis 9 Millionen Dollar."[1]
Die zunehmenden Bedrohungen für kleine und mittlere Unternehmen haben ernste finanzielle Auswirkungen. Laut dem jährlichen IBM-Bericht "Cost of a Data Breach" aus dem Jahr 2021 (dem letzten Jahr, in dem der Bericht die Kosten nach Mitarbeiterzahl aufgeschlüsselt hat) wurden die durchschnittlichen Kosten einer Datenschutzverletzung für ein Unternehmen mit weniger als 500 Mitarbeitern auf 2,98 Millionen US-Dollar geschätzt.[2] Manche Kleinunternehmer glauben jedoch fälschlicherweise, sie könnten unter dem Radar fliegen. Eine Umfrage aus dem Jahr 2022 unter Unternehmen mit bis zu 500 Mitarbeitern ergab, dass nur 42 % der Befragten angaben, einige Maßnahmen zur Cybersicherheit getroffen zu haben.[3] Von den Unternehmen, die keinen Cyberschutz haben, gaben 59 % an, sie seien zu klein, um ins Visier genommen zu werden.
In der Zwischenzeit nutzen KMUEverstärkt Cloud-basierte Lösungen für Funktionen wie E-Mail und Zusammenarbeit, die erhebliche Kosten- und Effizienzvorteile sowie eine gewisse integrierte Sicherheit bieten können. Doch die massive Verbreitung von Cloud-Software bietet auch Cyber-Angreifern Vorteile, da sie ihre Angriffe auf zentralisierte Infrastrukturen und allgemeine Schwachstellen von weit verbreiteten E-Mail-Diensten konzentrieren können.
Cybersicherheit ist für alle Organisationen immer komplexer geworden, aber es sind die kleineren und mittleren Unternehmen, die vor allem im heutigen wirtschaftlichen Umfeld unter Druck stehen, was die Ressourcen angeht", erklärte Peter Bauer, CEO von Mimecast, kürzlich in in einem Interview mit der Information Security Media Group (ISMG) auf der RSA-Konferenz 2023. Es gibt jedoch einige neue integrierte Sicherheitsoptionen, die kleinen und mittelständischen Unternehmen helfen können, ihre Umgebungen besser zu schützen.
SMBs werden zu weichen Zielen
Der Hiscox Cyber Readiness Report zeichnet ein düsteres Bild für KMUEs: Während die Angriffe auf größere Unternehmen im Jahr 2021 leicht zurückgingen, nahmen sie für alle anderen zu, da "Hacker ihre Aufmerksamkeit verstärkt auf mittlere und kleine Unternehmen gerichtet haben". Dem Bericht zufolge verzeichneten Unternehmen mit 250 bis 999 Mitarbeitern im Durchschnitt 69 Angriffe, gegenüber 45 im Jahr 2020; Unternehmen mit 10 bis 49 Mitarbeitern verzeichneten im Durchschnitt 56 Angriffe, gegenüber 31; und bei Unternehmen mit weniger als 10 Mitarbeitern stiegen die Angriffe fast um das Vierfache, von 11 auf 40.[4]
FBI Supervisory Special Agent Michael Sohn erläuterte das Phänomen während der virtuellen Veranstaltung Small Business Playbook von CNBC im Dezember 2022: "Die großen Unternehmen investieren weiterhin in ihre Cybersicherheit und verbessern ihre Cybersicherheitslage. Die Cyberkriminellen schwenken also um, entwickeln sich weiter und nehmen die weichen Ziele ins Visier, also die kleinen und mittleren Unternehmen."[5]Sohn stellte fest, dass die Mehrheit der Opfer, die beim Internet Crime Complaint Center (IC3) des FBI Beschwerde einreichten, kleine Unternehmen waren.
Das geht aus dem Bericht The State of Email Security 2023 (SOES) von Mimecast hervor. Sieben von 10 kleineren Unternehmen (mit 250-500 Mitarbeitern) gaben an, dass ein Ransomware-Angriff ihrem Unternehmen geschadet hat, verglichen mit 46 % der befragten Großunternehmen (mit 10.000 oder mehr Mitarbeitern).
SMB-Ausgaben: Mehr Cloud, weniger Cybersecurity
Der Übergang zur Telearbeit hat viele kleinere Unternehmen dazu veranlasst, zum ersten Mal Cloud-Lösungen einzusetzen. Dadurch ist es für Cyberkriminelle kosteneffizienter geworden, diese kleineren Fische zu jagen. Sie können Schwachstellen in Cloud-Anwendungen ausnutzen oder die Cloud-Anbieter selbst angreifen.
Aber selbst wenn KMUs ihre Investitionen in Cloud-Lösungen erhöht haben, haben einige ihre Investitionen in die Cybersicherheit zurückgefahren. Unternehmen mit 1.000 oder mehr Mitarbeitern haben laut Hiscox-Bericht mehr Geld in die Cybersicherheit investiert - 65 % mehr. Unternehmen mit 250 bis 999 Mitarbeitern haben ihre Budgets für Cybersicherheit verdoppelt. Unternehmen mit 10 bis 49 Mitarbeitern haben ihre Cyber-Ausgaben jedoch von durchschnittlich 411.000 Dollar auf 225.000 Dollar halbiert. Und die Unternehmen mit weniger als 10 Mitarbeitern haben ihre Cyber-Kassen fast leer geräumt: Die Ausgaben fielen von 150.000 auf 29.000 Dollar.[6]
Es überrascht daher nicht, dass der diesjährige SOES-Bericht ergab, dass die Befragten aus kleineren Unternehmen bei der Einführung angemessener Abwehrtechnologien hinter ihren Kollegen in größeren Unternehmen zurückbleiben. So gaben beispielsweise nur 36 % der Befragten in kleineren Unternehmen an, dass sie über Systeme zur Überwachung und zum Schutz vor Datenlecks und Exfiltration in ihren ausgehenden E-Mails verfügen, verglichen mit 63 % der Befragten in größeren Unternehmen.
Komplexe Probleme, integrierte Lösungen
Die Bewältigung von Cyberrisiken ist eine komplexe Herausforderung für jedes Unternehmen, unabhängig von seiner Größe. Die Bedrohung ist vielschichtig, da Unternehmen mit einer Reihe von Bedrohungen konfrontiert sind, darunter Phishing, ransomware, Abfangen von Zugangsdaten, Insider-Bedrohungen und mehr. Wirksame Schutzmaßnahmen müssen ebenfalls mehrstufig sein. Dies kann eine besondere Herausforderung für kleinere Unternehmen sein, die nicht über die Cyber-Ressourcen und das Fachwissen ihrer größeren Kollegen verfügen.
Da 90 % der Cyberangriffe mit E-Mails beginnen, ist die E-Mail-Sicherheit ein guter Ausgangspunkt. Aber es gibt eine neue Realität, mit der sich KMUs konfrontiert sehen, die in der Vergangenheit ihre E-Mails vielleicht vor Ort gehostet und in ein sicheres E-Mail-Gateway investiert haben. Jetzt, wo sie eine Cloud-E-Mail-Lösung implementiert haben, besteht möglicherweise weniger Klarheit darüber, wie diese am besten zu sichern ist (oder ob die in die Lösung integrierte Sicherheit ausreicht). "Es ist nicht mehr nur die E-Mail-Filterung Ihres Großvaters", sagte Bauer von Mimecast während des Interviews mit ISMG. "Es handelt sich um ein vielschichtiges Paket von Aktivitäten, das für ein durchschnittliches KMU ziemlich verwirrend sein kann.
Eine Investition, die insbesondere KMUs helfen kann, sind gatewaylose E-Mail-Lösungen, die so konzipiert sind, dass sie sich fast sofort in die Cloud-E-Mail-Umgebung eines Unternehmens integrieren lassen. Diese relativ neuen Angebote können denselben robusten Sicherheitsstack bieten, der auch in lokalen E-Mail-Gateways enthalten ist - nur eben für die Cloud entwickelt. Viele der ersten Anwender des gatewaylosen E-Mail-Schutzes sind kleine und mittlere Unternehmen, die die in ihre E-Mail-Lösungen integrierten Sicherheitsfunktionen ohne zusätzliche Ressourcen oder Komplexität erweitern möchten. Ein E-Mail-Schutz ohne Gateway kann sofort einsetzbare Funktionen wie vorkonfigurierte Einstellungen, Abhilfemaßnahmen per Mausklick und benutzerfreundliche Dashboards für Bedrohungen bieten.
Die Quintessenz
Cyberkriminelle konzentrieren sich zunehmend auf kleine und mittlere Unternehmen (KMU), da die Einführung gängiger Cloud-Lösungen für E-Mail und Collaboration-Tools ihnen einen einfachen Zugang bietet. Neue gatewaylose Angebote wie die Lösung Email Security, Cloud Integrated von Mimecast, die derzeit die Microsoft 365-Umgebung absichert, können KMUs in die Lage versetzen, ihre spezifischen Sicherheitsherausforderungen zu meistern, wie z. B. immer raffiniertere E-Mail-Angriffe, eine erweiterte Cloud-Angriffsfläche und begrenzte Ressourcen.
[1] "The Hiscox Cyber Readiness Report 2022," Hiscox
[2] "Cost of a Data Breach Report 2021," IBM
[3] "51 % der kleinen Unternehmen geben zu, dass sie Kundendaten unsicher lassen", Digital.com
[4] "The Hiscox Cyber Readiness Report 2022," Hiscox
[5] "Das FBI ist besorgt über eine Welle von Internetkriminalität gegen Amerikas kleine Unternehmen," CNBC
[6] "The Hiscox Cyber Readiness Report 2022," Hiscox
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!