Wie KMU besser vor Cyberangriffen geschützt werden können

Von Sandrine Kergroach, Stefan Becker und Laurent Bernat

Ursprünglich auf COGITO erschienen.

Als im Februar ein Toyota-Zulieferer von Cyberkriminellen angegriffen wurde, sah sich der Autobauer gezwungen, in Japan die Produktion von fast 13 000 Fahrzeugen auszusetzen. Jedes Jahr verursachen solche Cyberattacken weltweit Kosten von bis zu 6 Billionen US-Dollar, Tendenz steigend. Ein Überfall aus dem Cyberspace kann für jedes Unternehmen katastrophale Folgen haben, ganz besonders aber für kleinere Firmen. Ein Ransomware-Angriff verursacht im Mittel einen Schaden von bis zu 1,2 Millonen US-Dollar (Medianwert), ein digitales Datenleck sogar bis zu 1,6 Millionen. Kleine und mittlere Unternehmen (KMU) brauchen deshalb dringend Unterstützung, um sich besser gegen digitale Sicherheitsbedrohungen wappnen und zur Wehr setzen zu können.

Digital – und sicher?

Während der Pandemie haben sich bis zu 70 Prozent der KMU umgestellt – auf E-Commerce, Telearbeit oder Smart-Working-Konzepte. Doch viele der neuen internetfähigen Anwendungen, Geräte und Systeme wurden mit heißer Nadel gestrickt. Sie hatten Schwachstellen, die Kriminelle gnadenlos ausnutzten. Das FBI verzeichnete 2020 eine Rekordzahl von Beschwerden – 69 Prozent mehr als im Vorjahr. 60 Prozent aller Firmen in Österreich gaben an, 2021 Opfer eines Cyberangriffs geworden zu sein. In Deutschland richteten Cyberkriminelle im selben Jahr einen wirtschaftlichen Schaden von 220 Milliarden Euro an – 2019 war die Summe nicht einmal halb so hoch.

Finanzstarke Konzerne wie Toyota, die mit großen Datenmengen arbeiten, sind zweifellos attraktive Ziele. Demgegenüber möchte man meinen, dass mittelständische Betriebe angesichts ihres niedrigeren Digitalisierungsgrads und ihres geringeren Datenvolumens eine kleinere Angriffsfläche bieten und deshalb von unliebsamer Aufmerksamkeit verschont bleiben.

Indem aber auch KMU immer mehr digitale Tools einführen, schaffen sie neue Einfallstore für Hacker:innen. Hinzu kommt, dass die Überwindung des ausgefeilten und maßgeschneiderten Abwehrsystems eines Großkonzerns mit hoher Digitalkompetenz teurer und mühseliger ist als eine Attacke auf ein KMU. Dafür genügt nicht selten ein simpler und günstiger Standardangriff. Außerdem können sich inzwischen auch Laien als Cyberkriminelle versuchen. Sie kaufen sich Ransomware als „as a Service“-Produkt im Netz und erpressen mit geringerem Risiko kleinere Summen von KMU.

Ehrgeizigere Hacker:innen werden zunehmend auf KMU aufmerksam, da diese als Hintertür zu den Systemen größerer Firmen dienen können, weil sie Schwachstellen in Lieferketten darstellen. Besonders anfällig ist der Automobilsektor wegen seiner langen, komplexen und miteinander vernetzten Lieferketten mit verschiedenen Schutzniveaus und Sicherheitslücken. Im Oktober 2021 legte ein Angriff die IT-Systeme des deutschen Automobilzulieferers Eberspächer für mehrere Tage lahm. Auch bei Pilz und Schmersal, zwei Automatisierungsspezialisten aus derselben Branche, standen wegen einer Cyberattacke vorübergehend alle Räder still. Angreifer nehmen auch zunehmend kleinere Lieferanten von Spezialbauteilen ins Visier, um über sie Produktionsstörungen zu verursachen.

Daten schützen

KMU in allen Branchen müssen mehr tun, um ihren Umgang mit digitalen Sicherheitsrisiken und den Schutz ihrer Daten zu verbessern. In 2019 verfügten in den 28 EU-Mitgliedstaaten durchschnittlich nur 33 Prozent der KMU über Maßnahmen oder Verfahren für IKT-Sicherheit zurück, gegenüber 76 Prozent der großen Unternehmen. Zunächst gilt es, die Datengovernance zu verbessern und das Bewusstsein für Sicherheitsrisiken im Digitalbereich zu schärfen. Besonders wichtig sind Schulungen in den Unternehmen, denn immer häufiger sind Mitarbeitende für Sicherheitsvorfälle verantwortlich. In Großbritannien traf dies 2021 auf 57 Prozent aller Zwischenfälle zu; vorsätzliches Verhalten war dabei die Ausnahme.

Viele Staaten unterstützen ihre KMU im Kampf gegen diese Bedrohung. Die deutsche Transferstelle IT-Sicherheit im Mittelstand fördert den Wissens- und Technologietransfer im Bereich IT-Sicherheit sowie die Umsetzung von Cybersicherheitsmaßnahmen und Kampagnen zur Sensibilisierung. In Costa Rica verfolgen Gemeindezentren zur Förderung der Digitalisierung (Centros Comunitarios Inteligentes – CECI) einen praxisorientierten Ansatz, indem sie KMU Grundkurse zum Thema Cybersicherheit anbieten. Die Zentren veranstalten auch Schulungen zu Statistik, Big Data, künstlicher Intelligenz, dem Internet der Dinge (Internet of Things – IoT) und anderen Datentechnologien.

Regierungen arbeiten darüber hinaus gemeinsam mit Tech-Firmen am Ausbau der digitalen Sicherheit. Dazu gehört auch die Entwicklung von KMU-spezifischen gewerblichen Lösungen sowie Maßnahmen zur Optimierung von Sicherheitsprotokollen für bestehende Produkte und Dienste. Australien investiert im Rahmen der Australian Cyber Security Strategy 2020 insgesamt 1,67 Milliarden Australische Dollar, um Unternehmen bei der Absicherung ihrer Produkte und Dienstleistungen sowie dem Schutz ihrer Kunden vor bekannten Cyberbedrohungen unter die Arme zu greifen. Schweden hat Konsortien Zuschüsse zum Aufbau von Cybersicherheitslösungen für neue schwedische Produkte und Dienstleistungen bewilligt.

Gute Kommunikationskanäle und wirksame Kooperationsstrukturen können einen entscheidenden Beitrag dazu leisten, dass neue Bedrohungen erkannt und entsprechende Gegenmaßnahmen ergriffen werden können. Bei der Bekämpfung von sehr breit angelegten Angriffen gewinnen branchen- und länderübergreifende Netzwerke mit Unternehmen jeder Größe zunehmend an Bedeutung. In Deutschland arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter dem Motto „Netzwerke schützen Netzwerke“ an der Steigerung der Resilienz durch den Wissens- und Erfahrungsaustausch zwischen Unternehmen und IT-Sicherheitsdienstleistern.

Der Kampf gegen Cyberkriminalität verschärft sich. Daten werden immer wichtiger – für die Geschäftsmodelle der KMU (Know-your-Customer-Prinzip) ebenso wie für die Lieferketten (bedarfssynchrone Produktion) oder die fortschreitende Automatisierung in der Produktion. Dieser steigende Wert von Daten ruft immer mehr Kriminelle auf den Plan – und die Werkzeuge, Fertigkeiten und Techniken, die sie für ihre Machenschaften benötigen, werden immer ausgefeilter und günstiger. KMU müssen schnell handeln, um mit der Entwicklung Schritt zu halten, und mit Regierungen und Fachleuten zusammenarbeiten, um sich, ihre Kunden und ihre Lieferketten zu schützen.

***

Die Empfehlung der OECD zum Management von Sicherheitsrisiken im Digitalbereich für den wirtschaftlichen und sozialen Wohlstand (OECD Recommendation of the Council on Digital Security Risk Management for Economic and Social Prosperity) bietet Orientierung auf dem Weg zu einer neuen Generation von Politikmaßnahmen für ein offeneres digitales Umfeld und einen besseren Umgang mit seinen Sicherheitsrisiken. Sie ruft die höchsten staatlichen und privatwirtschaftlichen Führungsebenen dazu auf, die Gesamtrisiken zu reduzieren und insbesondere dem Mittelstand Möglichkeiten an die Hand zu geben, sich der eigenen Sicherheitsrisiken selbst anzunehmen.

Weitere Überlegungen zur digitalen Sicherheit in KMU, zu neuen Trends und relevanten Politikmaßnahmen finden Sie in einem kürzlich erschienenen Text zur digitalen Transformation von KMU (The Digital Transformation of SME) und dem OECD SME and Entrepreneurship Outlook 2021. Darüber hinaus sollten Sie sich die Veröffentlichung zur ersten Phase des Projekts der EU-Kommission und der OECD zur Freisetzung des Skalierungspotenzials von KMU (Unleashing SME potential to scale up) nicht entgehen lassen, die sich eingehend mit dem Kernthema Datengovernance in KMU befasst.

Über die Autor:innen

Sandrine Kergroach ist Leiterin des Referats SME and Entrepreneurship Performance, Policies and Mainstreaming beim Zentrum für Unternehmertum, KMU, Regionen und Städte (Centre for Entrepreneurship, SMEs, Regions and Cities – CFE) der OECD. Sie verantwortet die Arbeiten zu Innovation, Internationalisierung und Skalierung von KMU und Start-ups sowie zu deren Produktivität und ESG-Performance. Außerdem beaufsichtigt sie die Aktivitäten im Zusammenhang mit der Politiküberwachung, der Entwicklung von Dateninfrastrukturen und dem OECD SME and Entrepreneurship Outlook. Sie leitet auch die Bemühungen zum Mainstreaming der Politikfragen im Bereich KMU und Unternehmertum. Sie hat an der TU Berlin in Wirtschaftswissenschaften promoviert und verfügt über einen Masterabschluss in Strategie und Management (Paris Dauphine-PSL) sowie in moderner Geschichte (Paris Sorbonne) und einen Bachelor in angewandten Wirtschaftswissenschaften und Statistik (Paris Dauphine-PSL).

Stefan Becker ist seit Mai 2017 Leiter des Referats WG 22 „Cyber-Sicherheit für die Wirtschaft“ im Bundesamt für Sicherheit in der Informationstechnik (BSI). Nach dem Abschluss als Diplom-Verwaltungswirt (FH) begann er seine Laufbahn 1994 bei der Kriminalpolizei Bonn. 2011 wechselte er mit der Gründung des Cybercrime-Kompetenzzentrums zum Landeskriminalamt Nordrhein-Westfalen in Düsseldorf. 2009 erwarb er den Master of Business Administration mit Schwerpunkt Risk and Fraud Management.

Laurent Bernat ist als Politikexperte in der Abteilung Digitale Wirtschaftspolitik des OECD-Sekretariats tätig. Er unterstützt die Arbeitsgruppe für Sicherheit in der Digitalwirtschaft (Security in the Digital Economy – SDE) unter dem digitalpolitischen Ausschuss (Committee on Digital Economy Policy – CDEP) sowie das Globale Forum Digitale Sicherheit für Wohlstand (Global Forum on Digital Security for Prosperity). Bernat leitete die Erarbeitung der OECD-Empfehlungen zum Management von Sicherheitsrisiken im Digitalbereich für den wirtschaftlichen und sozialen Wohlstand (Recommendation of the Council on Digital Security Risk Management for Economic and on Social Prosperity, 2015) und zur digitalen Sicherheit kritischer Aktivitäten (Recommendation of the Council on Digital Security of Critical Activities, 2019). Zurzeit koordiniert er die Erarbeitung von Politikmaßnahmen für die digitale Sicherheit von Produkten, den Umgang mit Sicherheitslücken, das verantwortungsvolle Handeln von Privatpersonen und die Sicherheit von Kommunikationsnetzwerken. Er war an der Bearbeitung von vielen vertrauensbezogenen Politikfragen beteiligt, u. a. hinsichtlich nationaler Cybersicherheit, digitalen Identitätsmanagements, RFID-Technologie, Kryptografierichtlinien und des Schutzes von Minderjährigen im Internet. Vor seiner Tätigkeit für die OECD arbeitete er bis 2003 für die französische Datenschutzbehörde CNIL (Commission nationale de l’informatique et des libertés). Davor war er Associate Director bei einem Internet-Beratungsunternehmen. Laurent Bernat verfügt über einen Masterabschluss in Politikwissenschaft und internationale Beziehungen.