Kleine und mittlere Unternehmen (KMU) hätten oftmals Defizite in Sachen IT-Sicherheitskultur. So würden zwar zwei Drittel der KMU das Thema Cybersicherheit als Teil ihrer Unternehmenskultur betrachte, aber nur vier von zehn Unternehmen würden das Thema auch regelmäßig adressieren. Die Zahlen stammen aus einer Studie von Sage, einem international tätigen Anbieter von spezifischen KMU-Lösungen in den Bereichen Buchhaltung, Finanzen, Personal und Gehaltsabrechnung.
„Wirksamen Schutz gegen Cyberbedrohungen erreicht man nicht allein durch den Einsatz entsprechender Produkte“, betonte denn auch Ben Aung, EVP Chief Risk Officer bei Sage. IT-Sicherheit sei vielmehr „ein kontinuierlicher Prozess, der fest in der Unternehmenskultur verankert sein muss und die Belegschaft mit einbezieht. Es gehört zur Pflege dieser Kultur, die Cybersicherheit der eigenen Organisation regelmäßig zu überprüfen“, sagte Aung, der auf nationale Unterschiede verweist: „Leider bilden deutsche KMU bei diesen Kontrollen das Schlusslicht. Nur 68 Prozent führen regelmäßig eine Überprüfung durch.“ Wie drängend das Thema ist, zeigt eine andere Zahl von Sage: So beklagten in Deutschlandland 55 Prozent der KMU im vergangenen Jahr einen Cybersicherheitsvorfall.
Laut der Studie setzen 46 Prozent der KMU keine Firewall ein, obwohl 84 Prozent behaupten, damit vertraut zu sein. Weltweit vernachlässigen 42 Prozent der KMU die Sicherung kritischer Daten. Schon die entsprechende Terminologie überfordere viele Entscheidungsträger in KMU. So wüssten viele nicht, was sich hinter Begriffen wie „Ende-zu-Ende-Verschlüsselung“, „Ransomware“, „Bring Your Own Device (BYOD)“ oder „Endpoint Detection“ verbirgt.
Kleine und mittlere Unternehmen verfügten häufig nur über begrenzte IT-Ressourcen. Ohne eine entsprechende Beratung und Unterstützung sei es für sie wesentlich schwieriger, „fundierte Risikomanagement-Entscheidungen darüber zu treffen, wo sie investieren und welche Risiken sie angesichts ihrer Branche und ihres Geschäftsumfelds tragen können, so Sage. So würden sich 19 Prozent der KMU ausschließlich auf da verlassen, was sie als „grundlegende Kontrollen“ betrachten. Grundlegende Aspekte der Cybersicherheit – wie das Patchen von Systemen, die Datensicherung, Zugriffskontrollen, Zwei-Faktor-Authentifizierung, die Inventarisierung aller Geräte und das Monitoring – würden aber nach wie vor „spezielle Fähigkeiten und Tools für Implementierung und Betrieb erfordern“, so der IT-Spezialist.
Der aktuelle Mangel an Beratung und Leitfäden für KMU erschwert es den Unternehmen, sich „zu schützen, Mitarbeiter zu schulen und auf die richtigen Tools zuzugreifen, um sich in der ständig wandelnden Welt der Cybersicherheit zurechtzufinden“, so ein Fazit der Studie.