Wer Opfer von Cybercrime wird und wer nicht, hängt letztlich auch von jedem selbst ab. Daher ist es für ein Unternehmen von entscheidender Bedeutung, wie es seine digitalen Sicherheitsvorkehrungen einschätzt. Konservative Firmen folgen oftmals dem Mainstream und implementieren ein notwendiges Minimum, um Sicherheit der Form halber zu gewährleisten. Wenn die finanziellen Mittel limitiert sind oder der Geschäftsbetrieb kein überdimensioniertes Sicherheitsbudget benötigt, ist das möglicherweise sogar die richtige Entscheidung. Vielleicht hat die Digitalisierung ihr Geschäftsfeld oder ihre Prozesse bislang einfach geschont oder verschont.
Bei anderen Unternehmen, die stetig wachsen und eine hohe Kundennachfrage bedienen müssen, sieht das schon ganz anders aus. Sie profitieren oftmals von der Digitalisierung und haben die IT-Sicherheit als Gamechanger identifiziert. Dabei verwundert nicht, dass sie ihr einzigartiges geistiges Eigentum oder eine branchenweit führende Dienstleistung keinem internetbasierten Risiko aussetzen möchten. Genau diese Security-Vorbilder investieren in Cyber-Resilienz, um ihre Marktchancen optimal ausnutzen zu können. Sie greifen bereits auf Endpoint Detection and Response (EDR) Lösungen zurück oder gehen schon den Schritt weiter zu einem Security Operations Center (SOC).
Beide Pole in der KMU stehen vor identischen Herausforderungen: hybride Arbeitsformen, der Krieg in der Ukraine mit den sozialen, politischen und wirtschaftlichen Auswirkungen und ein stetiges Wachstum an Internetbedrohungen. Doch wie ist die Stimmung in der Breite bei den kleinen und mittleren Unternehmen in puncto IT-Sicherheit und wo drückt der Security-Schuh wirklich? Dieser Frage geht eine Studie von ESET mit über 1.200 befragten Firmen weltweit nach.
ESET Cybersicherheits-Umfrage KMU 2022
Wie das Kaninchen vor der Schlange
Man kann es drehen und wenden, wie man will: IT-Sicherheit ist eine Pflichtaufgabe für jedes Unternehmen. Die meisten Befragten sind sich dessen völlig bewusst, finden aber keinen Weg aus der Misere. Fachkräftemangel, hohe Kosten für IT-Sicherheit und der Mitarbeiter als Gefahrenquelle: Wo soll man anfangen, wer soll das bezahlen? Und so sitzen viele Unternehmen buchstäblich wie das Kaninchen vor der Schlange. Manche befinden sich sogar in einer Schockstarre.
Und dabei gäbe es genug Lösungen am Markt, die genau diese typischen Probleme berücksichtigen – man muss sie „nur“ bewusst und geplant angehen. Insbesondere Endpoint Detection and Response zeigt seine Stärken im täglichen IT-Alltag – neben den klassischen Endpoint-Sicherungen plus Cloud-Sandboxing. Wer dazu nicht die notwendigen personellen bzw. finanziellen Möglichkeiten besitzt, kann diese Aufgabe auch von externen Dienstleistern wie Systemhäusern und Managed Service Providern (MSP) durchführen lassen. Diese sogenannten Managed Detection and Response Services (MDR) halten aktuell im Mittelstand raschen Einzug.
Ohne Frage darf man die Kosten nicht außer Acht lassen. Die Arbeit von Managed Security Service Providern (MSSPs), mit oder ohne Managed Detection and Response (MDR), hat seinen Preis. Aber auch das do-it-yourself hat seine Tücken. Denn der Fachkräftemangel erschwert das Finden sowie die Einstellung erfahrener Sicherheitsadministratoren - und treibt gleichzeitig deren Gehälter in die Höhe. Unternehmen müssen sich für eine Variante entscheiden. Klar ist: Jede Sicherheitsverletzung/jeder Vorfall fügt Unternehmen durchschnittlich einen Schaden von 220.000 Euro zu. Dabei sind Geldbußen, falls die EU-Datenschutzgrundverordnung nicht eingehalten wurde, noch gar nicht eingerechnet. KMUs müssen sich den Herausforderungen einer sich rasch verändernden Sicherheitslandschaft jetzt stellen, die Zeit drängt.
Viele, wenn nicht sogar die meisten, haben in den letzten zwei Jahren umfangreiche Technologien eingeführt und Prozesse geändert, um hybrides Arbeiten zu ermöglichen. Auf dem Weg dorthin eröffneten sich viele Bedrohungsvektoren durch die zunehmende Nutzung des Remote Desktop Protocol (RDP) und von Cloud-Speichern und -Rechnern, während Bedrohungen, die auf große Service- und Kollaborationsplattformen wie SolarWinds Orion, Kaseya VSA und Microsoft 365 abzielen, fortbestehen.
Auf zusätzliche Bedrohungen durch Ransomware und Angriffe auf die Lieferkette, die das Business noch schwieriger machen, haben KMUs erst zögernd reagiert. Erst 32 Prozent der Befragten haben eine EDR-Lösung in Betrieb. Zumindest sind weitere 33 Prozent ernsthaft daran interessiert, in den nächsten 12 Monaten eine solche Lösung zu betreiben. Inzwischen haben 76 Prozent Vertrauen in die künftige Nutzung und Wirksamkeit dieses fortschrittlichen Tools. Preise und Produktangebote spiegeln diese Bereitschaft zum Ausprobieren wider, aber sind die Unternehmen auch bereit, sich jetzt zu entscheiden?
Die Angst schwingt mit
Die Erkennung von Bedrohungen ist im Vergleich zum Vorjahr um 20 Prozent gestiegen. Insbesondere die Gefahren aus dem Internet wuchsen um 28 Prozent und die Zahl von Phishing-E-Mails, um an die Credentials von Outlook-Logins zu kommen, sogar um 68 Prozent. In diesem Zusammenhang sind KMUs zu Recht besorgt. Während das Vertrauen in die Wirksamkeit von Erkennungs- und Reaktionstechnologien groß ist, fühlt sich nur ein Drittel der KMUs sicher, was die Kenntnisse ihres IT-Teams im Bereich Cybersicherheit angeht. Und noch weniger fühlen sich sicher, was die Fähigkeit zur effizienten Durchführung von Bedrohungsforensik angeht.
Und letztlich: Warum klafft eine Vertrauenslücke zwischen der Technologie und der Belegschaft? Die ESET Cybersicherheits-Umfrage 2022 geht der Sache auf den Grund und liefert eine Reihe von überraschenden Erkenntnissen. Lesen Sie mehr und finden Sie heraus, wo Sie bei diesen kritischen Themen stehen.