Peter Meyer, Leiter Cyber Security Services im eco, erklärt im Interview wieso der Mittelstand das neue Lieblingsziel von Cyberkriminellen ist und wie sich kleine und mittelständische Unternehmen (KMU) vor Cyberangriffen schützen können.
Herr Meyer, wie ist die aktuelle Gefährdungslage im Bereich IT-Sicherheit bei KMU in Deutschland?
Die Gefährdungslage nimmt ständig zu, denn immer mehr Unternehmen aus historisch IT-fernen Branchen setzen heute auf die Digitalisierung. Nicht alle dieser Unternehmen sind sich dessen bewusst, dass neben den großen Möglichkeiten auch viele Risiken von außen drohen.
Wieso ist besonders der Mittelstand so gefährdet Opfer von Cyberkriminalität zu werden?
Gerade Deutschland hat einen sehr starken und breit aufgestellten Mittelstand. Große, vor allem börsennotierte Konzerne, oder Betreiber kritischer Infrastrukturen haben schon aus Compliance-Gründen hohe Auflagen für ihre IT-Sicherheit. Dass bei einem Mittelständler eher etwas zu holen ist als bei einem DAX- Konzern, haben inzwischen auch die Kriminellen mitbekommen.
Leider spielt der Bereich IT-Sicherheit bei vielen KMU noch immer eine Nebenrolle. Medienwirksame Vorfälle wie die Locky Erpressungstrojaner-Welle oder die bekanntgewordenen Fälle des CEO-Fraud tragen jedoch dazu bei, dass sich vielleicht auch ein Geschäftsführer eines mittelständischen Unternehmens zu fragen beginnt, ob beim nächsten Mal vielleicht sein eigener Betrieb Opfern eines globalen Cyberangriffs werden kann.
Welche Folgen drohen KMU und deren Kunden, wenn sie Opfer eines Cyberangriffs werden?
Neben dem Reputatationsverlust drohen Unternehmen Umsatzeinbußen, im schlimmsten Fall kann ein Cyberangriff bis hin zur Insolvenz führen.
Wenn ein Erpressungstrojaner mehrere Tage oder Wochen die gesamte Produktionslinie lahmlegt, oder sämtliche Kundendaten inklusive der Backups zerstört, hat dies sicherlich am Ende des Jahres Auswirkungen auf die Unternehmensbilanz. Im schlimmsten Fall verlieren vielleicht Menschen ihren Arbeitsplatz nur weil es versäumt wurde ein Software-Update zeitnah einzuspielen – welches die Sicherheitslücke, zum Beispiel. im Content Management System gestopft hätte, über die die Angreifer eindringen konnten.
Wie können sich KMU schützen?
IT-Sicherheit sollte im Unternehmen Chefsache sein und man sollte nicht an der falschen Stelle sparen. Viele Angriffsvektoren lassen sich bereits durch einfache Maßnahmen abfedern, zum Beispiel durch eine ordentliche Backup-Strategie, ein vernünftiges Update-und Patch-Management oder der regelmäßigen Sensibilisierung und Schulung der eigenen Mitarbeiter zur IT-Sicherheit. Zudem gibt es auch zahlreiche kostenlose Dienste im Internet, die zum Beispiel wie SIWECOS kostenlos die Webseite auf Schwachstellen überprüfen oder wie das Hasso Plattner Institut, welches mit seinem Identity Leak Checker über gestohlene Passwörter informiert.
Welche besonderen Herausforderungen hat die Entwicklung einer solchen Anwendung speziell für kleine und mittelständische Unternehmen?
Eine besondere Herausforderung ist es eine Lösung zu entwickeln, die sich einfach und unkompliziert bei einem Unternehmen einsetzen lässt – ohne großen technischen Aufwand oder komplexes Fachwissen seitens des Anwenders. Außerdem ist es wichtig, hier bei Projekten wie bei SIWECOS auf eine einfache Sprache gesetzt wird. Denn für die meisten Mittelständler oder gar Handwerker sind Bedrohungen wie Cross-Site Scripting Lücken auch noch in vielen Jahren böhmische Dörfer. Ich denke, dass uns dies nach der Initiative-S und Botfrei mit SIWECOS erneut gelungen ist und wir so die Erwartungen des Projektträgers, des BMWi im Rahmen der Initiative IT-Sicherheit in der Wirtschaft zur vollsten Zufriedenheit erfüllen und in Zukunft möglichst viele Unternehmen vor Cyberangriffen schützen können.
Das Projekt Siwecos stellen die Projektpartner im Rahmen der Internet Security Days (ISDs) 2017 der Presse vor: Am 28. und 29. September 2017 treffen sich im Phantasialand in Brühl bei Köln namhafte Cyber-Security-Experten – heise Events und der eco Verband veranstalten die ISDs gemeinsam.
Über Siwecos
(www.siwecos.de) Siwecos ist ein Gemeinschaftsprojekt von eco – Verband der Internetwirtschaft e. V. und der Ruhr-Universität Bochum mit Unterstützung des CMS Garden e.V. und des Bochumer IT-Security Startups Hackmanit und steht für „Sichere Webseiten und Content Management Systeme“. Das Projekt wird gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWI) und hat zum Ziel die Webseitensicherheit für kleine und mittelständische Unternehmen langfristig zu erhöhen. Siwecos bietet einen Webseitenscanner, der Sicherheitslücken zuverlässig aufdeckt, Filterregeln für Hosting Anbieter, das Webangriffe frühzeitig identifiziert, sowie Aufklärungs- und Hilfsangebote für kleine und mittelständische Unternehmen beim Betrieb von Webseiten mit Content Management Systemen.
Initiative „IT-Sicherheit in der Wirtschaft“
Die Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie will vor allem kleine und mittelständische Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um die Bewusstseinsbildung in der digitalen Wirtschaft beim Thema IT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre IT-Sicherheit zu verbessern. Weitere Informationen zur Initiative und ihren Angeboten sind unter: www.it-sicherheit-in-der-wirtschaft.de abrufbar.