Cybersicherheit für KMU: Vorbereitung vs. echter Schutz
Um Unternehmen in Fragen rund um Cybersicherheit noch effektiver zu unterstützen, haben wir einen genauen Blick auf die Diskrepanz zwischen der aktuellen Cyberbedrohungslage und den Sicherheitsvorkehrungen von europäischen KMU geworfen.
Cybersicherheitsrisiken in der heutigen Arbeitswelt
In der heutigen Arbeitswelt sind Teams in Unternehmen zunehmend standortunabhängig tätig. Projekte werden größtenteils papierlos abgewickelt, Patientendaten werden direkt über Apps verwaltet und selbst Unterrichtsmaterialien werden immer digitaler. Diese Fortschritte bringen jedoch neue Herausforderungen im Bereich der Cybersicherheit mit sich.
Die Verwaltung von mehreren Netzwerken und Geräten sowie die Vorbereitung auf verschiedene Arten von Cybersicherheitsbedrohungen gehören mittlerweile zum Alltag kleiner und mittlerer Unternehmen (KMU). Doch wie sicher können sie sich sein, diesen Risiken tatsächlich gewachsen zu sein und Angriffe zuverlässig abwehren zu können? Um Antworten auf diese Fragen zu erhalten, hat Sharp eine Umfrage unter 5.770 IT-Entscheidern in KMU aus elf europäischen Ländern durchgeführt. Die befragten Unternehmen sind in unterschiedlichsten Branchen tätig, darunter Industrie, Bildung, Gesundheitswesen, Bau, Rechtswesen und Marketing.
Laut den Umfrageergebnissen fühlen sich viele Unternehmen, die bereits auf Online-Systeme, hybride Arbeitsmodelle und Apps umgestellt haben, in der Theorie gut vorbereitet1. Gleichzeitig gaben sie jedoch an, kein großes Vertrauen in ihre tatsächlichen IT-Sicherheitsmaßnahmen zu haben. Hinzu kommt, dass trotz der ständig wachsenden Risiken ein erheblicher Anteil der befragten KMU ihr IT-Sicherheitsbudget nicht erhöhen kann oder will.
Diese Diskrepanz zwischen dem Gefühl, gut vorbereitet zu sein, und dem tatsächlichen Schutz vor Cyberbedrohungen schafft eine gefährliche Lücke, die Cyberkriminelle für sich nutzen können.
Die Bedrohungslage verstehen
Völlig unabhängig vom Unternehmensziel, der Branche oder dem Angebot an Produkten und Dienstleistungen eines Unternehmens, stellen Cybersicherheitslücken einen kritischen Aspekt der heutigen Arbeitswelt dar. Ohne Frage: Faktoren wie die Nutzung von mobilen Endgeräten, die standortunabhängige Zusammenarbeit und die Automatisierung von Arbeitsabläufen führen zu erheblichen Effizienzgewinnen. Gleichzeitig geraten Unternehmen jedoch verstärkt ins Visier von Angreifern, je mehr ihrer Geräte und Systeme online miteinander vernetzt sind.
Aus betrieblicher Sicht hat Cloud Computing beispielsweise die Verwaltung von Daten für Unternehmen und Organisationen erheblich vereinfacht. Dank Cloud-Lösungen können Unternehmen nun Patientenakten auf Knopfdruck einsehen, Prüfungs- und Testergebnisse über Apps abrufen und Mitarbeiterbefragungen digital am Arbeitsplatz durchführen.
Allerdings birgt die Nutzung der Cloud und verschiedener Dienste das Potenzial, dass diese Daten auch für Unbefugte zugänglich sind. Unternehmen müssen deshalb geeignete Maßnahmen ergreifen, um sicherzustellen, dass Cyberkriminelle und andere böswillige Akteure keinen Zugriff auf ihre Netzwerke erlangen können. Zudem ist es essenziell, die eignen Mitarbeiter in Bezug auf potenzielle Bedrohungen zu sensibilisieren und sie darauf zu schulen, wie sie im Falle eines Angriffs angemessen reagieren können.
Viele Unternehmen sind sich zudem nicht bewusst, welchen Arten von Angriffen sie überhaupt ausgesetzt, geschweige denn, wie ernst die Bedrohungen wirklich sind. Denn wie viele Mitarbeiter verstehen wirklich, wie Malware, Ransomware oder Phishing tatsächlich funktionieren?
Gefühlte Sicherheit trifft auf harte Realität
Statistiken zum Thema Cyberkriminalität zeigen, dass die Anzahl an Angriffen exponentiell zunimmt. Für Unternehmen kann es schwierig sein, mit den immer komplexeren neuen, aber auch bereits bekannten Cyberrisiken Schritt zu halten – zumal die Methoden und Ansätze der Cyberkriminellen immer ausgefeilter werden. Gerade für kleinere Unternehmen können selbst geringfügige Sicherheitslücken bereits dazu führen, dass sie Opfer eines Angriffs werden. Schwache Gerätepasswörter oder unverschlüsselte Daten können in manchen Fällen bereits ausreichen, um Angreifern Tür und Tor zu öffnen.
Laut einer Umfrage von Sharp fühlen sich 79 Prozent aller KMU in Europa gut auf den Umgang mit Cybersicherheitsbedrohungen vorbereitet – an sich eine positive Nachricht. Andererseits geben 68 Prozent der Befragten an, kein Vertrauen in die Fähigkeiten ihres Unternehmens zu haben, potenzielle Cybersicherheitsrisiken effektiv zu bewältigen.
Trotz stetig wachsendem Risiko: Seit der Einführung hybrider Arbeitsmodelle in ihrem Unternehmen haben nur 41 Prozent der Befragten die Anzahl der Cybersicherheitsschulungen erhöht6. Eine bedenkliche Entwicklung, da hybride Arbeitsmodelle in der Regel voraussetzen, dass Mitarbeiter über verschiedene Standorte hinweg zusammenarbeiten – möglicherweise sogar über getrennte und im schlimmsten Fall über ungesicherte Netzwerke.
Das Gefühl, auf Cybersicherheitsbedrohungen gut vorbereitet zu sein, variiert zudem von Land zu Land. Der Prozentsatz an Unternehmen, die sich gut vorbereitet fühlen liegt je nach Land zwischen 67 und 86 Prozent
Sind Sie gut vorbereitet?
Mit Blick auf die wachsende Bedrohungslage und die aktuellen Forschungsergebnisse fragen wir Sie: Ist Ihr Unternehmen tatsächlich gut vorbereitet? Und können sich die Cybersicherheitsstrategien in Ihrem Unternehmen schnell und effizient genug weiterentwickeln, um auch in Zukunft den unterschiedlichsten Risiken zu begegnen und mit der dynamischen Bedrohungslandschaft Schritt zu halten?
Was sagen europäische KMU?
Ein Blick auf einige weitere Zahlen aus der Befragung:
Cybersicherheitsbedrohungen umfassen heute deutlich mehr Faktoren als nur böswillige Spam-E-Mails oder die versehentliche Eingabe von Passwörtern auf fragwürdigen Websites. Trotzdem bleiben solche klassischen Bedrohungen natürlich weiterhin relevant. Die Tatsache, dass 32 Prozent der befragten KMU bereits von Phishing-Angriffen und 31 Prozent von Malware betroffen waren, legt nahe, dass die Kenntnisse ihrer Mitarbeiter in Bezug auf potenzielle Gefahren möglicherweise doch nicht so umfassend waren, wie zunächst angenommen.
Gerade für kleinere Unternehmen ohne dedizierte IT-Sicherheitsteams sollte ein wesentlicher Bestandteil ihrer Cybersicherheitsstrategie darin bestehen, sämtliche Mitarbeiter, unabhängig von ihrer Position, umfassend zu schulen. Es muss sichergestellt sein, dass alle – vom Lieferanten über den Mitarbeiter vor Ort bis hin zur Geschäftsführung – über die erforderlichen Kompetenzen im Bereich Cybersicherheit verfügen.
Knapp vier Fünftel der befragten KMU sind der Meinung, dass sie ausreichend Budget in Cybersicherheit investieren. Demgegenüber steht die Tatsache, dass ein Drittel der befragten Unternehmen bereits von einem Virenangriff betroffen war. Hinzu kommt, dass bei vielen von ihnen teilweise entscheidende Komponenten eines Cybersicherheitskonzepts fehlen, sodass die Einschätzung zum ausreichenden Cybersicherheitsbudget vermutlich zu optimistisch ausfällt. Die negativen Auswirkungen eines Angriffs, sowohl auf die finanzielle Stabilität eines Unternehmens als auch auf Reputation und Kundenbeziehungen, sollten keinesfalls unterschätzt werden.
Nur 44 Prozent der Unternehmen geben an, dass sie im Jahr 2023 beabsichtigen, ihre Investitionen in die Cybersicherheit zu erhöhen. Diese Zurückhaltung lässt sich vor allem auf die gegenwärtige wirtschaftliche Lage zurückführen. Dennoch ist eine Investition in Cybersicherheitslösungen immer lohnend und bedeutet nicht zwangsläufig höhere Kosten. Oftmals genügt es, die bereits vorhandenen Mittel effizienter einzusetzen. Die richtige Lösung zur richtigen Zeit kann umfassenden Schutz bieten, ohne das Budget zu sprengen.
Cyberbedrohungen nehmen teilweise unerwartete Formen an, und Hacker schlagen in der Regel immer dann zu, wenn man es am Wenigsten erwartet. Obwohl fast vier Fünftel der befragten KMU der Meinung sind, dass ihre Mitarbeiter in Sachen Cybersicherheit adäquat geschult sind, offenbaren sich nach wie vor zum Teil gravierende Schwachstellen.
Zum Beispiel waren fast ein Fünftel (20 Prozent) der befragten Unternehmen von einem Sicherheitsvorfall im Zusammenhang mit ihrem Bürodrucker betroffen. Damit stellen ungesicherte MFPs einen Bedrohungsvektor dar, den viele Unternehmen nicht auf dem Schirm haben – im Rahmen der Umfrage erwähnten lediglich fünf Prozent der Befragten dieses Thema. Ein Drittel von ihnen gab an, für diesen Bereich überhaupt keine dedizierten Sicherheitsmaßnahmen getroffen zu haben. Diese Sicherheitslücke verdeutlicht, dass Unternehmen und ihre Mitarbeiter durchaus besser auf Cyberrisiken vorbereitet sein könnten, als es derzeit der Fall ist.
Nicht nur gut vorbereitet, sondern auch wirklich geschützt
Damit ein KMU optimal auf Cyberangriffe vorbereitet und geschützt ist, bedarf es einer sorgfältigen Abstimmung von Vorbereitungsmaßnahmen, Prozessen und Investitionen im Bereich Cybersicherheit. Angesichts der hohen Risiken ist es unerlässlich, einen strategischen und ganzheitlichen Ansatz zu verfolgen, um die negativen Auswirkungen eines Angriffs zu minimieren. Dies erfordert eine breite Abdeckung aller relevanten Bereiche, angefangen bei der Schulung der Mitarbeiter bis hin zu einer kontinuierlichen, rund um die Uhr erfolgenden Überwachung von Netzwerken und Systemen.
Dabei müssen diese Schutzmaßnahmen nicht zwangsläufig den laufenden Geschäftsbetrieb beeinträchtigen oder hohe Kosten verursachen. Sharp bietet ein umfassendes Portfolio an Standard- und erweiterten Sicherheitslösungen, die Unternehmen dabei unterstützen, ihre Cybersicherheit nachhaltig zu verbessern – mit all dem Fachwissen sowie der Technologie und den Prozessen, die erforderlich sind, um tatsächlich geschützt zu sein.
