E-Mail-Sicherheit

Warum KMUs nicht ausreichend auf Cyberangriffe vorbereitet sind

Kleinere Unternehmen sind auf Cyberangriffe nicht so gut vorbereitet wie größere Unternehmen, was zum Teil auf Budgetbeschränkungen zurückzuführen ist. Cloud-basierte Sicherheitstools und Sensibilisierungsschulungen können helfen.

by Randi Gollin

Juli 21, 2020

Wichtige Punkte

Kleine und mittlere Unternehmen (KMU) sind Ziel von 43 % der Cyberangriffe, aber sie sind weniger gut darauf vorbereitet, sich zu verteidigen als größere Unternehmen.
Datenschutzverletzungen können für kleinere Unternehmen verheerend sein. Eine Umfrage ergab, dass ein Viertel der kleinen Unternehmen, die von einer Datenschutzverletzung betroffen waren, anschließend Konkurs anmeldeten.
Eine Herausforderung für kleine und mittlere Unternehmen besteht darin, dass sie nicht über die Ressourcen verfügen, um die gleichen umfassenden Cybersicherheitsprogramme wie größere Unternehmen zu entwickeln.
Cloud-basierte Sicherheitstools und Awareness-Schulungen können kleineren Unternehmen dabei helfen, auch mit einem begrenzten Budget Cyber-Resilienz aufzubauen.

Ransomware Angriffe, Diebstahl von Zugangsdaten, Wirtschaftsspionage und Datenschutzverletzungen sind Bedrohungen für Unternehmen jeder Größe. Für kleine und mittlere Unternehmen (KMUs) können sie jedoch eine besondere Herausforderung darstellen. Während Großkonzerne über das nötige Budget verfügen, um umfangreiche Cybersicherheitsprogramme zu entwickeln, die die Widerstandsfähigkeit gegenüber Cyberangriffen erhöhen, sind kleinere Unternehmen stärker eingeschränkt. Wie können kleine und mittlere Unternehmen ohne die internen Ressourcen für Cybersecurity-Programme von Großunternehmen Cyber-Risiken mindern?

Große Cyber-Risiken für kleinere Unternehmen

Leviathane wie eBay, Target und Yahoo! sind in den letzten Jahren wegen Sicherheitsverletzungen in die Schlagzeilen geraten. Anfang 2019 war eBay beispielsweise Ziel von Cyberangriffen, die es Hackern ermöglichten, auf die Daten von rund 233 Millionen Kunden zuzugreifen. [1]

Solche Schlagzeilen mögen ein Grund dafür sein, dass es so aussieht, als seien große Unternehmen am meisten gefährdet - schließlich können sie den Forderungen der Cyberkriminellen nach einer hohen Ransomware-Auszahlung nachkommen oder eine wahre Fundgrube an persönlichen Daten liefern.

Aber es stellt sich heraus, dass kleinere Unternehmen häufig Ziel von Cyberangriffen sind - und dass sie oft größere Auswirkungen haben als größere Unternehmen. [2] Eine Studie ergab, dass 43 % der Cyberangriffe auf KMUs abzielen. [3] In einer Umfrage der National Cyber Security Alliance (NCSA) aus dem Jahr 2019 gaben 28 % der kleinen Unternehmen an, dass sie in den letzten 12 Monaten von einer Datenverletzung betroffen waren. Diese Verstöße haben oft verheerende Auswirkungen: Ein Viertel der Unternehmen, die von einem Verstoß betroffen waren, meldeten anschließend Konkurs an, und 10 % gingen ganz aus dem Geschäft. [4]

Leider sind kleine und mittlere Unternehmen weitaus weniger gut auf die Prävention und Reaktion auf diese Cyberrisiken vorbereitet als größere Unternehmen. Eine Umfrage des Wall Street Journal ergab, dass weniger als zwei Drittel der Unternehmen mit einem Umsatz von weniger als 50 Millionen US-Dollar über ein Cybersicherheitsprogramm verfügen, verglichen mit 81 % der Unternehmen mit einem Umsatz von mehr als einer Milliarde US-Dollar. [5] Noch besorgniserregender ist vielleicht, dass 15 % der kleineren Unternehmen nicht planen, in Zukunft ein Cybersicherheitsprogramm einzurichten. Unternehmen mit einem Umsatz von weniger als 50 Millionen US-Dollar fühlen sich auch viel häufiger nicht ausreichend auf bestimmte Cyber-Bedrohungen wie Ransomware, andere Malware und den Diebstahl von Zugangsdaten vorbereitet. Im Vergleich zu größeren Unternehmen sind etwa dreimal so viele KMUs der Meinung, dass Ransomware-Bedrohungen ein hohes Risiko darstellen. [6]

Wenn kleine und mittlere Unternehmen einen erfolgreichen Cyberangriff überleben, können sie mit erheblichen Sanierungskosten konfrontiert werden. Einer Schätzung zufolge geben kleine Unternehmen nach einem Cyberangriff durchschnittlich 690.00 US-Dollar für die Bereinigung aus, mittlere Unternehmen sogar über 1 Million US-Dollar. [7]

Anfällige Lieferketten können Verwüstung anrichten

Da KMU oft Teil komplexer Lieferketten für viel größere Unternehmen sind, besteht eine zusätzliche Sorge in der Bedrohung durch Cyberangriffe auf Dritte - und in der Gefahr, dass eine Verletzung der Systeme eines KMU dazu genutzt werden kann, ein größeres Unternehmen anzugreifen. Laut der Umfrage des Wall Street Journal fühlen sich kleinere Unternehmen etwa doppelt so häufig wie größere Unternehmen nicht ausreichend auf Risiken durch Angriffe auf Dritte und ihre Lieferkette vorbereitet.

Böswillige Akteure suchen nach dem einfachsten Weg, um in die Systeme und Daten eines Unternehmens einzudringen, und dringen in der Regel in die schwächeren Glieder der Lieferkette ein, bei denen es sich häufig um kleine und mittlere Unternehmen (KMU) handelt, um so weiter nach oben zu gelangen. Einige aufsehenerregende Sicherheitsverletzungen, wie die bei Home Depot und Target, wurden auf Angriffe auf deren Lieferketten zurückgeführt. [8] Diese Sicherheitsverletzungen können Daten gefährden und vertrauliche Geschäftspläne, persönliche Informationen und E-Mail-Kontakte offenlegen. Die Auswirkungen können jahrelang andauern. [9]

Die Herausforderung, Cyber-Resilienz aufzubauen

Eine Reihe von Faktoren kann kleinere Unternehmen anfälliger für Cyberangriffe machen. Kleine und mittlere Unternehmen verfügen möglicherweise über weniger oder gar kein eigenes IT-Personal. Da sie über geringere Budgets als größere Unternehmen verfügen, sind ihre Verfahren für Computer- und Netzwerksicherheit sowie für die Datensicherung möglicherweise weniger ausgefeilt und es fehlt ihnen ein umfassender Sicherheitsplan. Den Mitarbeitern mangelt es möglicherweise an Sicherheitsbewusstsein, so dass sie Social-Engineering-Angriffe und E-Mail-Phishing-Betrügereien nicht so leicht erkennen können. Zu diesen Betrügereien gehören Imitationsangriffe, bei denen Angreifer offiziell aussehende E-Mail-Nachrichten verschicken, die die Opfer dazu verleiten, sensible finanzielle und persönliche Daten preiszugeben. [10]

Ein Aktionsplan für SMBs

Dennoch gibt es Möglichkeiten für kleinere Unternehmen, die nicht so viel Geld haben, ihre Sicherheitsvorkehrungen zu verbessern. Eine wichtige Strategie ist der Einsatz von Cloud-basierten Sicherheitsprodukten für E-Mail-Sicherheit, Malware-Schutz, Backup und andere Schutzmaßnahmen. Auf diese Weise können Unternehmen Investitionskosten für spezielle Hardware und Software sowie die Notwendigkeit, physischen Platz für Hardware bereitzustellen, vermeiden. Cloud-Sicherheitsprodukte können auch den erforderlichen IT-Verwaltungsaufwand verringern. Es kann auch einfacher sein, Remote-Arbeiten zu unterstützen und sicherzustellen, dass die Daten immer gesichert sind. [11]

Es gibt zwar kein Patentrezept, aber es gibt andere Möglichkeiten, wie kleinere Unternehmen auch mit einem knappen Budget für Sicherheit sorgen können, z. B:

Eine interaktive Online-Schulung für Mitarbeiter zum Thema Sicherheit kann das Risiko erheblich verringern. Die meisten Sicherheitsverletzungen gehen auf menschliches Versagen zurück.
Klären Sie Ihre Mitarbeiter über die Cyberrisiken auf Reisen auf und entfernen Sie nach Möglichkeit sensible Daten vor einer Geschäftsreise von den Geräten. Integrieren Sie die Sicherheit mobiler Geräte in Ihre Pläne.
Überwachen Sie die Verbindungen zu Drittanbietern, um die Bedrohungen durch Ihre Lieferkette und andere Geschäftspartner zu bewerten.
Beauftragen Sie einen externen Berater mit der Bewertung und Aufdeckung von Risiken und Schwachstellen, einschließlich der Prüfung von Systemen, die einen externen Zugriff ermöglichen, wie Websites und Cloud-Laufwerke.
Erstellen Sie einen Reaktionsplan, damit Ihre Mitarbeiter wissen, wie sie mit Cyber-Bedrohungen umgehen sollen.
Richten Sie Cybersicherheitsrichtlinien ein, einschließlich bewährter Verfahren, von der Verwendung eindeutiger Passwörter über die Meldung verdächtiger E-Mails bis hin zur Implementierung der Zwei-Faktor-Authentifizierung.
Aktualisieren Sie Ihre Software rechtzeitig, um Online-Bedrohungen zu bekämpfen.
Vergewissern Sie sich, dass Remote-Mitarbeiter durch eine Firewall geschützt sind.

Die Quintessenz

Unternehmen sind einer Vielzahl von Cyberrisiken ausgesetzt, die von Datendiebstahl bis zu Ransomware-Angriffen reichen. Besonders gefährlich sind die Bedrohungen für kleinere Unternehmen, die nicht über das nötige Kleingeld verfügen, um ressourcenintensive Cybersicherheitsprogramme aufzubauen. Es gibt jedoch Möglichkeiten, wie kleinere Unternehmen auch mit einem knappen Budget Cyber-Resilienz aufbauen können, z. B. durch den Einsatz von Cloud-basierten Sicherheitstools und Schulungen zum Sicherheitsbewusstsein.

[1] " 10 Unternehmen, die von Cyberangriffen betroffen sind ," Villanova University

[2] " Kleine und mittelständische Unternehmen müssen sich auf Cybersicherheit konzentrieren ," Security Magazine

[3] " 43 % der Cyberangriffe zielen immer noch auf kleine Unternehmen ab, während Ransomware weiter auf dem Vormarsch ist ," Small Business Trends

[4] " Umfragedaten zu Cyberkriminellen in kleinen Unternehmen," National Cybersecurity Alliance

[5] " Welche Branchen sind nicht auf einen Cyberangriff vorbereitet ?" Wall Street Journal

[6] " Welche Branchen sind nicht auf einen Cyberangriff vorbereitet ?" Wall Street Journal

[7] " Kleine und mittelständische Unternehmen müssen sich auf Cybersicherheit konzentrieren ," Security Magazine

[8] " Blockchain wird völlig überschätzt; die Cybersicherheit der Lieferkette wird völlig unterschätzt ," SupplyChain24/7

[9] " Was ist ein Angriff auf die Lieferkette? Warum Sie sich vor Drittanbietern in Acht nehmen sollten ," CSO

[10] " Was kleine Unternehmen über Cybersicherheit wissen müssen ," Microsoft 365

[11] " Cloud Computing und seine Vorteile für kleine Unternehmen ," Cleverismus