Achim Gebhardt, Partner CIMA Beratung + Management GmbH sowie Leiter cima.digital, und Verena Birkmann, Beraterin cima.digital, erklären die Ergebnisse einer Studie, bei der mehr als 1.000 Unternehmen mitgemacht haben. Kernergebnis: Noch wird zu wenig für den Schutz der eigenen Daten und Systeme getan.
Das Weltwirtschaftsforums (WEF) gibt einen Global Risks Report heraus. In diesem spielt auch Cybersicherheit eine Rolle. Ist dieses Thema noch nicht im Alltag der Gesellschaft angekommen?
Verena Birkmann: Tatsächlich häufen sich die prominenten Pressemeldungen über erfolgreiche Cyberattacken wahrnehmbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zuletzt 116,6 Millionen neue Schadprogramm-Varianten gezählt. Die Dunkelziffer dürfte noch um einiges höher liegen. Fraglich ist allerdings, ob daraus bereits eine entsprechende Achtsamkeit beziehungsweise ein erhöhter Handlungsdruck entsteht. Aus unserer Sicht ist das leider noch nicht im notwendigen Maß der Fall.
Das Thema Cybersicherheit wird von vielen Unternehmen vernachlässigt
CIMA und Mastercard haben gemeinsam eine Studie gemacht – mit mehr als 1.000 Unternehmen. Wie bewusst ist denen das Thema und wie planen sie die weitere Arbeit daran?
Achim Gebhardt: Die CIMA Beratung + Management GmbH (CIMA) hat zusammen mit Mastercard im Rahmen eines gemeinsamen Pilotprojektes die Cybersicherheit von mehr als 1.000 kleinen und mittleren Unternehmen untersucht. Im Ergebnis konnte aufgedeckt werden, dass nur ein Bruchteil der analysierten Unternehmen über umfassende Sicherheitsleistungen verfügt, während hingegen bei rund einem Viertel deutliche Schwachstellen in ihren internetbasierten Systemen und Netzwerkdiensten identifiziert wurden. Die Erkenntnisse und Ergebnisse sind in die Entwicklung des praxisorientierten Monitoring-Tools „MyCyberRisk“ eingegangen, dass bei der alltäglichen Optimierung der Cybersicherheit unterstützt.
Was sind die wichtigsten Erkenntnisse der Studie?
Achim Gebhardt: Wir können knapp feststellen: Es gibt Licht, aber leider auch viel Schatten. Denn über 25 Prozent der analysierten Unternehmen haben große Sicherheitslücken. Zum Beispiel können wir festhalten, dass sechs Prozent der Organisationen eine äußerst schlechte Cybersecurity-Leistung haben und in den allermeisten untersuchten Sicherheitsbereichen erhebliche Sicherheitslücken aufweisen. Zehn Prozent der Organisationen haben dabei mindestens eine Software-Schwachstelle in ihren internetbasierten Systemen, die ausgenutzt werden könnte, um unbefugten System- und Netzwerkzugang zu erlangen. Ebenfalls zehn Prozent der Organisationen haben einen oder mehrere unsichere Netzwerkdienste, die mit dem Internet verbunden sind, was für Kriminelle ein leichtes und häufig genutztes Mittel ist, um sich unbefugten Zugang zum Netzwerk zu verschaffen.
Spam und Pishing kennt man auch von seinen Privataccounts. Was bedroht aber kleine und mittlere Unternehmen (KMUs) noch?
Achim Gebhardt: Spam und Phishing-Attacken gehören mittlerweile zu den Klassikern, Malware, Ransomware oder DDoS-Attacken reihen sich zunehmend auf der Tagesordnung ein.
- Malware-Angriffe: Malware, einschließlich Viren, Trojanern und Ransomware, kann in KMU-Netzwerke eindringen und erheblichen Schaden anrichten, indem sie Daten stiehlt, Systeme beeinträchtigt oder Dateien verschlüsselt.
- Datendiebstahl: Die unbefugte Entwendung sensibler Unternehmensdaten, Kundendaten oder Mitarbeiterinformationen kann zu Identitätsdiebstahl und finanziellen Verlusten führen.
- DDoS-Angriffe (Distributed Denial of Service): Diese Angriffe zielen darauf ab, Online-Dienste und Websites durch Überlastung der Server lahmzulegen, was zu erheblichen Betriebsunterbrechungen und Umsatzverlusten führen kann.
- Insider-Bedrohungen: Mitarbeiter*innen oder ehemalige Mitarbeiter*innen können absichtlich oder unbeabsichtigt Sicherheitsverletzungen verursachen, indem sie vertrauliche Informationen preisgeben oder auf kritische Systeme zugreifen.
- Schwachstellen in Software und Systemen: Nicht gepatchte oder veraltete Software kann Schwachstellen aufweisen, die von Angreifern ausgenutzt werden können, um Zugang zu erhalten oder Schaden zu verursachen.
- Social Engineering: Manipulationstechniken, bei denen Angreifer versuchen, Mitarbeiter*innen durch Täuschung oder Manipulation dazu zu bringen, vertrauliche Informationen preiszugeben oder auf bösartige Links zu klicken.
- Verlust oder Diebstahl von Endgeräten: Der Verlust von mobilen Geräten oder Laptops kann zu einem Datenleck führen, wenn diese nicht ausreichend geschützt oder verschlüsselt sind.
- Unsichere Passwörter und Zugangsdaten: Schwache oder leicht zu erratende Passwörter erhöhen das Risiko unautorisierten Zugriffs auf Systeme und Konten.
Digitale Sicherheit für kleine und mittlere Unternehmen
Bei dem Thema Datenschutz gab es vor Jahren sehr strenge Auflagen, Firmen investierten sehr viel Geld – mit bis heute überschaubarem Nutzen und Erfolg. Welche Investitionen kommen beim Thema Cybersicherheit auf die Wirtschaft zu?
Verena Birkmann: Der Rahmen besteht nach wie vor. Das Nutzen und Erfolg in dem Zusammenhang überschaubar waren, lässt sich nicht uneingeschränkt behaupten. Der wichtigste Effekt war sicherlich, dass damit eine flächendeckende Befassung mit der Thematik stattfand. Die wichtigste anstehende Investition ist aus unserer Sicht die Investition in spezifisches Wissen zum Thema. Erst dann sind kompetente Entscheidungen möglich, wie das individuelle Ökosystem rund um die digitale Sicherheit des Unternehmens aussehen muss.
Wie definieren Sie digitale Sicherheit für KMUs?
Achim Gebhardt: Digitale Sicherheit für KMUs lässt sich zunächst einmal definieren als den Schutz von digitalen Assets, Daten, Netzwerken und Systemen vor unbefugtem Zugriff, Datenverlust, Cyberangriffen sowie vor Betrug oder Manipulation. Dies umfasst Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von digitalen Ressourcen. Digitale Sicherheit für KMU beinhaltet die Implementierung von technischen Lösungen, Sicherheitsrichtlinien, Schulungen des Teams und die Schaffung einer Sicherheitskultur innerhalb des Unternehmens. Hierbei sollen Schwachstellen identifiziert und behoben, Zugriffsrechte sorgfältig kontrolliert und Daten verschlüsselt werden.
Zudem ist die regelmäßige Aktualisierung von Software und Sicherheitssystemen essenziell, um auf aktuelle Bedrohungen reagieren zu können. Wie schon erwähnt, sollten alle darauf bedacht sein, dass die Unternehmen mit den neuesten Entwicklungen und Bedrohungen im Bereich der Cybersecurity auf dem Laufenden bleiben. Dies erfordert eine kontinuierliche Weiterbildung und ein proaktives Sicherheitsmanagement, um Risiken zu minimieren und einen robusten digitalen Sicherheitsansatz zu gewährleisten.
Im Facility Management spielen Daten ebenfalls eine große Rolle. Hier geht es nicht nur um Zahlen zu den Gebäuden, sondern auch um Zahlen rund um die Nutzer. Was muss in diesem Bereich passieren?
Verena Birkmann: Mit Blick auf den zunehmenden Einsatz von Sensorik in verschiedenen Bereichen der Immobilienwirtschaft – Stichwort Smart Buildings und Smart Homes – sowie deren zunehmender digitalen Vernetzung auf digitalen Datenplattformen und digitalen Zwillingen, kommt auch dem souveränen und sicheren Umgang mit diesen Informationen eine maßgebliche Bedeutung zu. Dementsprechend muss sich modernes Building Information Modelling selbstverständlich mit der Frage von Cybersicherheit befassen. Dem Thema bedarf es aus unserer Sicht unbedingt einem höheren Maß an Aufmerksamkeit, als es momentan zu beobachten ist.