Ein überwältigender Teil der Unternehmen in Deutschland gehört der mittelständischen Wirtschaft an. Diese Gruppe der kleinen und mittleren Unternehmen ist beim Thema Cybersicherheit oft besonders verwundbar. Fast 9 von 10 Betrieben gaben im DsiN-Praxisreport an, dass der Erfolg ihres Unternehmens von der Informationssicherheit abhängig ist (Background berichtete). Gleichzeitig verzichten jedoch zwei Drittel der Mittelständler auf eine Risikoermittlung, die eine Voraussetzung für angemessene Maßnahmen wäre – eine Lücke, die enormes Gefahrenpotenzial birgt.
Doch was steckt dahinter und wie lässt sich das IT-Sicherheitsniveau in kleinen und mittleren Unternehmen nachhaltig erhöhen? Hier lohnt es sich, konkret zu werden: Blicken wir also exemplarisch auf ein metallverarbeitendes Familienunternehmen in Brandenburg mit fünfzehn Mitarbeitenden. Über eine eigene IT-Abteilung verfügt der Betrieb wie viele andere nicht, IT-Fachkräfte anzuwerben ist gerade im ländlichen Raum zudem eine große Herausforderung. Vermutlich hat die Geschäftsführerin in den vergangenen Jahren vereinzelte Digitalisierungsprojekte umgesetzt. Eine Gesamtstrategie für Digitalisierung und IT-Sicherheit zu entwickeln, war jedoch in Anbetracht der verfügbaren Ressourcen vollkommen unrealistisch. Da sie immer wieder von aufkommenden Ransomware-Attacken gegen Unternehmen hört, hat sie sogar schon verschiedene IT-Dienstleister angefragt. Doch die bestehenden Angebote und Zertifizierungen stellten sich als viel zu zeit- und kostenintensiv für ein Unternehmen dieser Größe und Struktur heraus.
So wie unserem Beispielunternehmen geht es vielen Mittelständlern: Das für mehr Cybersicherheit notwendige Know-How kann nicht im eigenen Unternehmen generiert werden, wodurch insbesondere Unternehmen mit bis zu 50 Mitarbeitenden auf externe Beratungsdienstleister angewiesen sind.
Standards für die Kooperation
Genau hier setzt das vom Bundeswirtschaftsministerium (BMWK) geförderte Projekt „mIT Standard sicher“ an: Der Mittelstand. BVMW entwickelt in Kooperation mit DIN e.V. einen Standard für die IT-Sicherheitsberatung von Klein- und Kleinstunternehmen. Dieser soll garantieren, dass kleine Betriebe nach dem ersten Schritt über eine neutrale Bewertung ihrer IT-Sicherheitsrisiken verfügen.
Sie erhalten im zweiten Schritt einen Ergebnisbericht mit empfohlenen Maßnahmen, die finanziell und personell angemessen sind. Das kann natürlich nur funktionieren, wenn auf die akademische Vollständigkeit von Ansätzen wie dem IT-Grundschutz-Kompendiums verzichtet, und eine priorisierte Auswahl der Bausteine der Cybersicherheit getroffen wird. Schließlich geht es darum, vor allem die Unternehmen zu ersten Schritten zu bewegen, die bisher noch gar keine oder nur sehr wenige Maßnahmen getroffen haben.
Verantwortliche in diesen Firmen nehmen die Bedrohungslage verstärkt wahr – eine gute Entwicklung. Doch das Thema reiht sich für sie oft in zahlreiche kurz- und langfristige Herausforderungen ein. Unterstützungsangebote zur Erhöhung der Cybersicherheit müssen daher besonders wirtschaftlich sowie zeit- und ressourcenschonend sein und dabei für Unternehmer:innen ohne IT-Expertise so verständlich wie möglich bleiben. Nur so kann es gelingen, dass die Nachfrage nach qualifizierter IT-Sicherheitsberatung steigt und die entsprechenden Unternehmen in der immer digitaler werdenden Wertschöpfung so wenig wie möglich verwundbar sind.
Welche Faktoren über mehr Cybersicherheit im Mittelstand entscheiden
Mit diesen Zielen vor Augen hat sich ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem BVMW geleitetes Konsortium aus Beratungsdienstleistern und Transferstellen zusammengetan, um bis Anfang nächsten Jahres den fertigen Standard vorzustellen.
Doch für eine nachhaltig höhere Cybersicherheit im Mittelstand kommen weitere Faktoren ins Spiel. Letztlich muss auch die Entscheidungskompetenz in den Unternehmen selbst gefördert werden. Das Projekt „mIT-Sicherheit ausbilden“ will das Thema bereits von Anfang an in der Ausbildungspraxis verankern und setzt hierfür bei den Ausbildungsverantwortlichen in den Betrieben an. Diese sollen an zahlreichen Standorten in ganz Deutschland geschult werden.
Nicht zuletzt sind auch niedrigschwellige und neutrale Informationsangebote wie etwa die des Mittelstand-Digital Zentrums Berlin bzw. der Initiative Mittelstand-Digital nötig. In kompakten Formaten wie Webinaren, Erklärvideos oder Checklisten erhalten mittelständische Unternehmen hier praxisnahe Handlungsanweisungen. Es gilt stets, die Relevanz für das einzelne Unternehmen zu verdeutlichen und erste Schritte zum Durchstarten mit an die Hand zu geben.
Die Botschaft: Mehr IT-Sicherheit setzt nicht unbedingt riesige Investitionen voraus. Auch kleine Unternehmen, die damit beginnen, ihr Team für Phishing-Mails zu sensibilisieren, ihre Software regelmäßig updaten und Backups anlegen, haben schon viel gewonnen. Bei diesen kleinschrittigen Zielen können beispielweise auch Online-Lernpfade wie etwa von dem EU-Förderprojekt Dataskills4SMEs unterstützen.
Die Nachfrage nach diesen Informationsangebote ist da. Und die Erfahrungen all dieser Praxisprojekte verdeutlichen: Mehr Cybersicherheit in kleinen und mittleren Unternehmen ist möglich – doch es braucht Unterstützungsangebote, welche die konkreten Bedürfnisse der Betriebe im Blick haben und die Sprache des Mittelstands sprechen.
Marc Dönges ist Projektleiter von mIT Standard sicher und stellvertretender Leiter des Mittelstand-Digital Zentrums Berlin beim Bundesverband mittelständische Wirtschaft (Der Mittelstand. BVMW)
