Viele Unternehmen unterschätzen die Bedrohungslage durch Cyber-Angriffe, obwohl diese laut Expert:innenmeinung wächst – zu diesem Ergebnis kam die eco IT-Sicherheitsumfrage 2023. Somit sollte Cybersicherheit in allen Unternehmen höchste Priorität einnehmen. Oliver Dehning ist freier Berater und Leiter der eco Kompetenzgruppe Sicherheit. Im Interview gibt er eine Einschätzung zum Stand der IT-Sicherheit in kleinen und mittelständischen Unternehmen. Darüber wird er außerdem im dritten Webinar der Veranstaltungsreihe mit ITENOS am 25. Mai von 9.00-10.00 Uhr sprechen.
Wie schätzen Sie die Gefahr durch Cyberkriminalität gegenüber mittelständischen Unternehmen ein?
Viele mittelständische Unternehmen haben keine oder nur eine kleine IT-Abteilung. Schon deshalb können sie die nötigen Kompetenzen zur Absicherung ihrer IT kaum selber vorhalten. Daher ist die IT in mittelständischen Unternehmen oft nicht gut gesichert und anfällig gegen Angriffe. Das macht sie zu einem leichten Ziel von Cyberkriminellen, die so mit wenig Aufwand ihr Ziel erreichen und z.B. Ransomware platzieren.
Was sind Grundpfeiler einer guten Cybersicherheits-Strategie?
Es fängt damit an, dass man IT-Sicherheit ernst nimmt. Die Cybersicherheitsstrategie gehört zum Aufgabengebiet der Geschäftsführung, auch wenn Details der Entwicklung und operativen Umsetzung an folgende Ebenen delegiert werden, z.B. an einen IT-Sicherheitsbeauftragten (CISO). Dann muss die Bedeutung von Daten und Systemen geklärt werden: welche Daten und Systeme sind überlebenswichtig, welche sind weniger wichtig? Dazu muss erst einmal transparent sein, welche Daten und Systeme es überhaupt im Unternehmen gibt. Erst dann beginnt die eigentliche Arbeit an der Sicherung dieser Systeme und Daten. Ein „Information Security Management System“ (ISMS) beschreibt diesen Prozess detailliert.
Viele mittelständische Unternehmen sind sich der Gefahren durch Cyberkriminalität häufig nicht bewusst. Wieso ist das Ihrer Meinung nach so?
Ich denke, den meisten sind die Gefahren durchaus bewusst, wenn auch vielleicht nur diffus, nicht konkret. Das Thema IT-Sicherheit erscheint aber sehr komplex und herausfordernd, die Beschäftigung damit ist zeitaufwändig und womöglich teuer. Fundierte Kenntnisse der IT-Sicherheit sind in den Chefetagen auch nicht unbedingt verbreitet. Der Nutzen von IT-Sicherheit wird oft auch erst dann sichtbar, wenn es zu spät ist, d.h. ein Angreifer erfolgreich war. Daher macht sich die Ansicht breit: Bisher ist ja nichts passiert.
Vielen Dank für das Interview, Oliver Dehning!
Mehr Informationen zum ITENOS Webinar und die Anmeldung gibt es hier.
