Anfang November hat das BSI seinen Lagebericht für 2023 veröffentlicht.
Naturgemäß konzentriert sich der Bericht vor allem auf große Unternehmen, insbesondere im Bereich kritische Infrastruktur sowie auf die öffentliche Verwaltung. Aber auch für kleine und mittlere Unternehmen (KMU) enthält der Lagebericht interessante und teils überraschende Informationen.
KMU werden überproportional angegriffen
So schreibt das BSI in der Zusammenfassung der Bedrohungslage:
Kleine und mittlere Unternehmen (KMU) sowie besonders Kommunalverwaltungen und kommunale Betriebe wurden überproportional häufig angegriffen.
…
Nicht mehr die Maximierung des potenziellen Lösegelds stand im Vordergrund, sondern das rationale Kosten-Nutzen-Kalkül. So wurden vermehrt kleine und mittlere Unternehmen sowie Behörden der Landes- und Kommunalverwaltungen, wissenschaftliche Einrichtungen sowie Schulen und Hochschulen Opfer von Ransomware-Angriffen. Cyberresilienz ist daher das Gebot der Stunde.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.pdf?__blob=publicationFile&v=4
KMU sind sich oftmals des Risikos nicht bewusst
Diese besondere Bedrohungslage von KMU steht oftmals im Gegensatz zur Selbsteinschätzung ihres eigenen Risikos durch die Unternehmen selbst. Häufig gehen kleine und mittlere Unternehmen fälschlicherweise davon aus, dass Cyberkriminelle kein Interesse an ihrem Unternehmen haben würden, frei nach dem Motto „Was gibt es bei mir schon zu holen“.
Auch das BSI stellt fest:
Viele Unternehmen besitzen auch im Jahr 2023 weder eine ausreichende Kenntnis über die allgemeine Cyberbedrohungslage noch über das eigene Risikoprofil. Sie kommen daher überhaupt nicht auf die Idee, dass sie mehr in ihre Sicherheit investieren müssen. Selbst elementare und oftmals kostenfrei umsetzbare Präventionsmaßnahmen werden daher häufig nicht ergriffen.
So installieren nur 62 Prozent der Kleinstunternehmen regelmäßig Sicherheitsupdates. Noch weniger (46 %) überlassen ihre IT-Sicherheit einem externen Dienstleister. Und einen Notfallplan besitzen gar nur 18 Prozent der Kleinstunternehmen15. Etwas mehr als die Hälfte der kleinen und der mittleren Unternehmen (51 %) geben als dominierende „IT-Sicherheitsbremse“ den Aufwand und die Kosten für den laufenden technischen Betrieb, Anpassungen und Aktualisierungen an. Nur für 28 Prozent ist der initiale Aufwand ein Hindernis. Dies deckt sich mit den Rückmeldungen von IT-Dienstleistern an das BSI.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.pdf?__blob=publicationFile&v=4
Qualifiziertes Personal und IT-Dienstleister sind Mangelware
Aber auch für KMU, die sich des Risikos bewusst sind, ist die Lage alles andere als einfach. Sie kämpfen nicht nur mit der Finanzierung von Cybersicherheitsmaßnahmen wie andere Unternehmen auch. KMU haben es auch besonders schwer, geeignetes Personal mit IT-Kenntnissen geschweige denn Kenntnissen in IT-Sicherheit bzw. alternativ einen geeigneten IT-Dienstleister zu finden:
Gerade die Kleinst- (weniger als zehn Mitarbeitende) und die kleinen Unternehmen verfügen oftmals nicht über
das erforderliche Personal für den Betrieb und die Absicherung der Informationstechnik des Unternehmens.
So ist ein kleiner Handwerksbetrieb, eine mittlere Steuerberatungs- oder Rechtsanwaltskanzlei, ein metallverarbeitender Betrieb oder ein Pflegedienst oft nicht in der Lage, dediziertes IT-Personal einzustellen. Im Rahmen der Entscheidung zwischen selber machen oder ein- kaufen („make or buy“) wird dabei häufig nach dem Ansatz gehandelt: „Das bekommen wir schon irgendwie selbst hin.“ Dem steht eine wachsende Bedrohungslage gegenüber.…
Diejenigen KMU hingegen, die ein Problembewusstsein entwickelt haben und Personal einstellen möchten, erleben häufig, dass sie in einem Angebotsmarkt als potenzieller Arbeitgeber nicht gegen die Gehälter bei Großunternehmen oder IT-Dienstleistern bestehen können. Und diejenigen, die den Bereich IT/IT-Sicherheit an einen Dienstleister auslagern möchten, müssen häufig feststellen, dass es in ihrer Region entweder zu wenig qualifizierte Dienstleister gibt oder nur solche, die nicht zu ihrer eigenen Unternehmensgröße passen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.pdf?__blob=publicationFile&v=4
Nach einen Angriff herrscht Ratlosigkeit
Da kleine und mittlere Unternehmen bereits im Tagesgeschäft durch ihre IT-Herausforderungen an oder über ihre Grenzen gebracht werden, überrascht es nicht, dass im Schadensfall oft Ratlosigkeit herrscht. Die Situation überfordert die Verantwortlichen in KMU. Dies überrascht auch nicht, selbst gut aufgestellte Großunternehmen können durch einen schwerwiegenden Cybersicherheitsvorfall ohne zusätzliche externe Hilfe überfordert werden.
Schuldgefühle, das Gefühl der Überforderung und fehlende Unterstützung führt dann oft dazu, dass Cyberangriffe und -schäden von KMU nicht an die Behörden gemeldet werden.
Dies alles führt dazu, dass KMU häufig zum Opfer Cyberkrimineller werden – und dann nicht wissen, was sie tun sollen. Eine im Auftrag des Bundesministeriums für Wirtschaft und Energie (jetzt Bundesministerium für Wirtschaft und Klimaschutz) im Jahr 2021 veröffentlichte Studie kam zu dem Ergebnis: „Im Ereignisfall wissen KMU oftmals nicht, an wen sie sich wenden können, um fachlich versierte Hilfe zu erhalten. Im Gegensatz zu Einbrüchen in der analogen Welt ist der digitale Schaden für viele KMU nicht immer und nicht unmittelbar ersichtlich. Die Hemmschwelle, Vorfälle und Angriffe an die Polizei, die Landeskriminalämter oder andere behördliche Stellen zu melden, ist hoch.“
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.pdf?__blob=publicationFile&v=4
Hohe Dunkelziffer bei Cyber-Angriffen auf KMU
Die obigen Gründe führen dazu, dass das BSI vor einer unklaren Datenlage warnt:
Dementsprechend ist der Bereich Cyberkriminalität gegen KMU von einem großen Dunkelfeld geprägt, was es schwer macht, verlässliche Zahlen zu gewinnen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.pdf?__blob=publicationFile&v=4
Angebote des BSI: Notfall-Hotline und CyberRisikoCheck
Für akut betroffene Unternehmen betreibt das BSI ein Service-Center, welches unter der Rufnummer 0800 2741000 erreichbar ist. Unternehmen können hier Informationen zu regionaler Unterstützung unterhalten oder die Kontaktdaten von auf Cybersicherheitsvorfälle spezialisierten Unternehmen erhalten.
Ein weiteres Angebot ist der CyberRisikoCheck nach DIN SPEC 27076. Mit dem CyberRiskoCheck können sich kleinste und kleine Unternehmen mit bis zu 50 Mitarbeitern eine Ersteinschätzung zu ihrem Entwicklungsstand im Bereich Cybersecurity sowie konkrete Maßnahmenvorschläge zur Verbesserung erhalten. Sowohl der CyberRisikoCheck als auch weitere Maßnahmen können dabei ggf. anteilig bezuschusst werden. Weitere Informationen zum CyberRisikoCheck finden sich auf der Webseite https://mit-standard-sicher.de
Du brauchst Unterstützung beim Schutz deines Unternehmens? Sprich uns an!
Stehst du auch vor Herausforderungen beim Schutz deines Unternehmens? Nimm Kontakt zu uns auf und wir klären in einem kostenlosen Gespräch, wie wir dein Unternehmen unterstützen können.