Datenschutz und Informationssicherheit gewinnen in der öffentlichen Wahrnehmung zunehmend an Bedeutung. Immer häufiger berichten Medien über Unternehmen, die Opfer von Cyberattacken oder Datenlecks wurden oder durch Systemausfälle für sich und ihre Kunden wirtschaftlichen Schaden erlitten haben. Laut einer Studie des IT-Branchenverbands Bitkom verursachen Daten-Diebstahl, Spionage und Sabotage jährlich einen Gesamtschaden von mehr als 220 Milliarden Euro. Betroffen sind dabei, auch wenn die mediale Berichterstattung dies nahelegen mag, nicht ausschließlich Großunternehmen und Konzerne. Im Gegenteil legt die Studie der Bitkom nahe, dass gerade kleine und mittelständische Unternehmen involviert sind. Nach eigenen Angaben wurden im Jahr 2021 neun von zehn Unternehmen Opfer von Cyberattacken. Stellt man dem den Anteil kleiner und mittelständischer Unternehmen an der deutschen Gesamtwirtschaft entgegen – laut Institut für Mittelstandsforschung 99,6 % – ist die Erkenntnis unausweichlich, dass KMU zu den zahlenmäßig am stärksten betroffenen Unternehmen zählen müssen.

„Der gesamte Themenkomplex Informationssicherheit und IT-Security ist für viele kleine und mittelständische Unternehmen nach wie vor ein Buch mit sieben Siegeln“, weiß Hermann Banse, Inhaber des Beratungsunternehmens Genesis Consulting. „Während große Unternehmen und Konzerne überwiegend aktiv in diese Bereiche investieren und eigene personelle Ressourcen und Know how nutzen, um Systeme abzusichern und Prozesse zu etablieren, beruhigen sich viele Mittelständler mit der irrigen Annahme, ihnen könne kaum etwas passieren.“

Eine Möglichkeit, ein Informationssicherheitsmanagementsystem (ISMS) im Unternehmen zu etablieren, bietet der Prozess der Zertifizierung nach ISO 27001. Die internationale Norm beschreibt die Merkmale eines Systems, das Informationsprozesse innerhalb eines Unternehmens absichert, Sicherheitsrisiken minimiert und im Falle einer Krisensituation Strategien bereitstellt, mit ihnen adäquat umzugehen und den Betrieb, zum Beispiel im Falle eines Systemausfalls, aufrechtzuerhalten (Business Continuity).

„Die ISO 27001 beinhaltet einen umfassenden Maßnahmenkatalog“, erklärt Banse. „Mit 10 Hauptkapiteln und 14 Katalogen mit 114 detaillierten Maßnahmen von der Zutrittskontrolle bis zum allgemeinen Betriebs- und Kommunikationsmanagement werden die Bedingungen in kleine und mittelständische Unternehmen jedoch nicht wirklich realistisch abgebildet.“

In deutscher Fassung existiert die ISO 27001 seit 2014. Die Tatsache, dass laut Angaben des Online-Portals Statista im Jahr 2020 branchenübergreifend 1.281 Unternehmen zertifiziert waren, kann als Beleg dafür betrachtet werden, dass sie bis heute für die rund 3,5 Mio. KMU in Deutschland keine große Bedeutung hat.

„Mit dem von IT-Sicherheitscluster e. V. entwickelten Modell CISIS12 steht auch kleinen und mittelständischen Unternehmen ein Leitfaden zur Verfügung, anhand dessen ihnen die Einführung eines für sie angemessenen Informationssicherheitsmanagementsystems gelingt“, beschreibt Banse die Grundlagen seiner Arbeit als Performance Consultant im Bereich Informationssicherheit.

Die 12 Schritte des Compliance-Informations-SIcherheits-Management-Systems leiten Unternehmen durch alle erforderlichen Maßnahmen, von der Herstellung eines unternehmensübergreifenden Mindsets, über Schaffung erforderlicher technischer Rahmenbedingungen, die Analyse kritischer Unternehmensprozesse und eine Risikobetrachtung bis hin zur Planung und Umsetzung geeigneter Maßnahmen und der kontinuierlichen Überwachung und Weiterentwicklung des etablierten Systems.

„Eine Grundlage des Erfolges des deutschen Mittelstands ist seine Konzentration auf fachliche Kernkompetenzen“, weiß Banse. „Damit einher geht jedoch oftmals ein Mangel an Kompetenz in Bereichen wie der Informationssicherheit. Mit professioneller Unterstützung ist es jedoch möglich, innerhalb von 6 bis 12 Monaten mit CISIS12 ein ISMS aufzubauen, das sich auch für eine Zertifizierung qualifiziert.“

Als CISIS12-Berater (Information Security Officer) berät und begleitet Hermann Banse mittelständische Unternehmen aller Branchen im Raum Nordrhein-Westfalen.

„Die Risiken, die durch unzureichende Informationssicherheit entstehen, bestehen branchenübergreifend und unabhängig von der Unternehmensgröße“, betont Banse. „Ob mittelständisches Industrieunternehmen. Dienstleister oder Klinikbetrieb – überall wo mit halbwegs sensiblen Daten gearbeitet wird kann ein Zwischenfall schweren wirtschaftlichen und nicht zuletzt irreparablen Imageschaden verursachen. Mit CISIS12 gelingt es auch KMU sich gegen die wachsende Gefahr zu rüsten.“

‚Sehr geehrter Kunde,

anbei Ihre Monatsrechnung für das Website-Hosting mit der Bitte um Ausgleich…..‘

usw.

Reinhold B. hat den kurzen Gedanken ‚Haben wir überhaupt was bei denen…?‘

08:36: Weiterleitung der Email an die Buchhaltung mit der Anmerkung ‚bitte mal prüfen!‘

Die Buchhaltungsleiterin Regina M. öffnet die angehängte Datei ‚Rechnung12345XYZ.doc‘, um sie zu prüfen.

Kurze Zeit später werden alle Bildschirme in Büros und Produktion dunkel und es erscheint die Aufforderung zur Überweisung von etwas Bitcoin für die Freigabe der verschlüsselten Dateien.

Die gute Nachricht: es wurde kein Lösegeld bezahlt und die IT-Landschaft war mit Unterstützung der externen Dienstleister am Ende der Woche wieder lauffähig.

Die weniger gute Nachricht: drei verlorene Aufträge und ein verlorener Kunde.

Warum schreibe ich das auf?

Kurze Zeit nach dem Vorfall wurde ich eingeladen, einen Awareness-Workshop zum Thema Phishing, Trojaner, Viren etc. zu halten.

Regina M. hat sich an diesem Tag krank gemeldet. Wie ich erfuhr, hat sie wochenlang keine Emails mit Anhang mehr geöffnet.

Immer noch stand unausgesprochen die Frage nach der Schuld im Raum…

Wer war denn nun der oder die Schuldige? Der Chef mit ‚bitte mal prüfen!‘, die Buchhaltung durch Befolgen der Anweisung oder die Administration mit den unglücklichen Makro-Einstellungen in der Software?

Ich sage: die Frage nach der Schuld oder die Suche nach einem Schuldigen ist müßig und kontraproduktiv!

Solche und ähnliche Vorgänge spielen sich vielfach und täglich in Unternehmen und Organisationen jeder Größe ab und nur wenige kapitale gelangen in die Öffentlichkeit.

Jeder von uns hat zum Teil gut gemachte und personalisierte Emails im Postfach und, Hand aufs Herz, niemand kann sich von der Gefahr eines möglicherweise verhängnisvollen Klicks freisprechen.
Wirklich wichtig ist:

1. Alle Mitarbeiterinnen und Mitarbeiter verstehen sich als Team und sind zusammen achtsam und kritisch im Umgang mit den elektronischen Medien. Nachfragen und sich Vergewissern ist kein Makel, sondern gelebter Schutz.

2. Es gibt viele gute Angebote auf dem Markt, die dabei helfen, das Bewusstsein aller Beteiligten für die Gefahren in der Internetwelt zu schärfen. Auch wenn diese Workshops und Online-Trainings etwas Geld und Zeit kosten: Alles ist billiger als der Totalausfall.

3. Die Nachbetrachtung des Vorfalls: Alle technischen und organisatorischen Maßnahmen gehören auf den Prüfstand. An welchen Stellen gibt es Optimierungspotential? Wo müssen wir ansetzen, um die Sicherheit des Unternehmens weiter zu verbessern?

In diesen Tagen las ich, dass das Aufkommen von Spam- und Fishing-Mails seit Anfang 2000 in der Homeoffice-Phase um 600 Prozent gestiegen ist. Und eines ist sicher: das wird nicht besser. Bleiben sie wachsam!