Die aktuelle geopolitische Situation verschärft auch die Bedrohungslage für die IT-Systeme des deutschen Mittelstands, mittelbar und unmittelbar. Nicht wenige Experten formulieren, dass wir uns schon in einem „Cyberwar“ befinden – nahezu tägliche Angriffe auch auf die Kritische Infrastruktur legen das nahe. Wenn auch eine systemische Destabilisierung von Ländern und Regionen das Ziel von Angreifern ist, muss davon ausgegangen werden, dass diesen die volkswirtschaftliche Bedeutung der mittelständischen Strukturen in Deutschland nicht entgangen ist. Ein Blick auf die Struktur bzw. „Beschäftigungsgrößenklassen“ der deutschen Wirtschaft erstaunt viele: Von den fast 3,4 Millionen Unternehmen in Deutschland haben über 2,9 Millionen laut Statista „nur“ bis zu zehn Mitarbeiter.
Es stellt sich die Frage, ob Aufklärung, Schulung und Förderung zum Thema Cybersecurity der großen Mehrheit der Unternehmen bis zehn Mitarbeiter tatsächlich helfen können, im Schatten globaler Konflikte eine gesicherte, „souveräne“ IT selbst und nachhaltig zu gewährleisten. Obwohl, lassen wir die falsche Zurückhaltung weg, eigentlich stellt sich diese Frage nicht, sie ist beantwortet: Nein.
Awareness, Awareness, Awareness
Es gibt seit Jahren eine zunehmende Anzahl von Projekten, Vereinen und Verbänden, die helfen wollen und die dafür auch öffentliche Unterstützung erhalten, selbst wenn es mitunter nur eine ministerielle Schirmherrschaft ist. Deutschland sicher im Netz (DsiN) macht viel Gutes zum Thema und auch der Deutsche Industrie- und Handelskammertag (DIHK) weiß, wie wichtig dieses Thema ist – es gibt eine lange Liste ambitionierter Akteure, die grundsätzlich alles richtig machen: Aufklärung – Schulung – Förderung.
Die Sicherheitslage bei den kleinen und mittleren Unternehmen (KMU) hat das alles bisher noch nicht wesentlich verbessert, obwohl man natürlich darüber streiten kann, ob die Situation noch kritischer wäre, wenn erwähnte Maßnahmen der letzten Jahre für die KMUs ausgeblieben wären.
Meine These: Mittel- und langfristig werden Aufklärung – Schulung – Förderung die 2,9 Millionen KMUs bis zehn Mitarbeiter nicht vor den immer bedrohlicher werdenden Angriffen aus dem virtuellen Raum schützen können. Stattdessen wird die große Mehrheit der kleinen KMUs in Zukunft auf Plattformen unterwegs sein – sie ist es in vielen Bereichen schon heute – die IT-Sicherheit, Datenschutz und weitere wichtige Compliance-Anforderungen „im Bauch“ haben.
Diese Plattformen werden bei dem Thema Compliance in den nächsten Jahren mit weiteren Anforderungen rechnen müssen, was die KMU-Sicherheit tendenziell weiter erhöht. Ein Fliesenleger, dessen Mailverkehr in einer als hochsicher zertifizierten Cloud eines professionellen Providers läuft, wird von vielen infizierten Mail-Anhängen schon gar nicht mehr erreicht. Und selbst wenn er dann auf einen infizierten Anhang klickt, muss er unter Umständen seinen Rechner wegwerfen, hat aber keine betriebswirtschaftlich relevanten Daten verloren. Neuer Rechner, Log-in und weiter geht`s.
Ressourcen effizient einsetzen
Bei den Großen ist längst klar: Es entwickeln sich Ökosysteme, deren Grundlage Plattformen sind und deren Prozesse beziehungsweise Anwendungsszenarien sich über eIDs verbinden lassen. Warum sollte das bei den 2,9 Millionen „Kleinen“ anders sein? Die Tendenz am Markt ist eindeutig, Enterprise Ressource Planing (ERP)- beziehungsweise Finance-Prozesse laufen auf Plattformen, deren Sicherheitsanforderungen viel leichter aktuell gehalten und zertifiziert werden können. Dazu kann der Anwender in der Prozesslogik zu einem sicherheitsadäquaten Verhalten „gelenkt“ werden: Sicherheitsrelevante Fehler, die nicht möglich sind, finden nicht statt.
Insofern sollte die aktuelle Fokussierung auf Aufklärung – Schulung – Förderung diese absehbare Entwicklung aufnehmen, indem sie Projekte und Maßnahmen forciert, die den Weg auf sichere Plattformen ebnen. Statt so zu tun, als könnten wir endlos (mitunter teure) Selbstverteidigungskonzepte anbieten, die schon bisher die KMU-Sicherheit nicht signifikant erhöhen konnten, sollten sie die Richtung aufzeigen und bis dahin pragmatisch das Zweckmäßigste unterstützen inklusive der Transformation von On-Premise zu Cloud und Plattform.
Das würde uns einen rationaleren Umgang mit den entsprechenden Ressourcen erlauben, der sich im Ergebnis auch in verbesserter IT-Sicherheit äußern würde. KMUs, die den Weg kennen und was an dessen Ende steht, treffen bessere Entscheidungen. Sie resignieren nicht aus der Überforderung heraus, wenn sie die aktuellen IT-Security-Anforderungen betrachten, sondern können diese Bedarfe zeitlich einordnen, weil sie um die Tendenz wissen.
Eigentlich wissen wir doch alle: Ein Fliesenleger mit zehn Mitarbeitern wird kein IT-Sicherheitsprofi und heterogene On-Premise-Prozesse in offenen Netzwerken sind nicht lückenlos zu verteidigen. Solche Wahrheiten sind zumutbar und steuern die Ressourcen zur Verbesserung der Sicherheitssituation effizienter als die bedingungslose Aufrüstung der Kleinen.
Torsten Wunderlich ist Leiter des Informationsbüros Berlin bei der Datev eG. Außerdem leitet er den IKT-Ausschuss des Deutschen Industrie- und Handelskammertags (DIHK).
