LastPass-Report: Cybersicherheit: Wie KMU die Kluft zwischen Anspruch und Wirklichkeit schließen

98 % der Cyberangriffe auf KMU sind finanziell motiviert, bei 54 % spielen kompromittierte Zugangsdaten eine Rolle. – Verizon DBIR 2023

Was sind die Hintergründe zu dem aktuellen Trend? LastPass hat dazu kürzlich 600 Unternehmensleiter und IT-Sicherheitsleiter aus Betrieben mit unter 3.000 Mitarbeitern befragt.

Das Umfrageergebnis stimmt nicht nur positiv: Zwar gehen KMU das Thema Cybersicherheit inzwischen proaktiver an – die Sensibilität dafür wächst, es wird stärker investiert. Doch die Antworten zeigen auch, dass der Faktor Mensch immer noch die Achillesferse der Cybersicherheit ist.

Wie können KMU Sicherheitslücken schließen und ihr Risiko minimieren? Lesen Sie hier in Kurzform die Ergebnisse der Umfrage und welche Tipps das LastPass-Threat-Intelligence-Team für KMU hat.

Anspruch und Wirklichkeit

Eines machte die Umfrage besonders deutlich: Zwischen den Vorstellungen und Maßnahmen der Unternehmensleitung und dem Verhalten der Mitarbeiter besteht eine Kluft.

Die Unternehmensleitung hebt Cybersicherheit immer stärker auf die Agenda und investiert entsprechend. 90 % der IT-Leiter und 80 % der Leiter anderer Unternehmensabteilungen geben an, dass ihr Unternehmen über das letzte Jahr hinweg seine Sicherheitsmaßnahmen verstärkt hat. 82 % der Unternehmen haben ihr Budget für Cybersicherheit entsprechend aufgestockt.

92 % der Unternehmensleiter und 93 % der IT-Leiter gehen davon aus, dass ihren Mitarbeitern klar ist, was in puncto Sicherheit von ihnen erwartet wird. Die Mehrheit dieser Befragten halten ihre Maßnahmen für zielführend; nur 30 % schätzen das eigene Risiko, angegriffen zu werden, als hoch ein.

KMU gehen Cybersicherheit immer proaktiver an. Doch der Faktor Mensch bleibt weiterhin die Achillesferse von Sicherheitskonzepten.

Dass Anspruch und Wirklichkeit nicht ganz deckungsgleich sind, zeigt die Umfrage aber eben auch: 

●      Nur 78 % der Nicht-IT-Bereichsleiter glauben, dass den Mitarbeitern klar ist, welche Sicherheitsregeln am Arbeitsplatz für sie gelten.

●      Einer von fünf Unternehmensleitern umgeht Sicherheitsrichtlinien.

●      Einer von zehn IT-Sicherheitsleitern umgeht Sicherheitsrichtlinien.

●      Einer von vier jüngeren Arbeitnehmern hält sich nicht immer unbedingt strikt an Sicherheitsrichtlinien.

●      36 % der Gen-Z-Mitarbeiter notieren sich Passwörter.

 

Fazit: Für Cybersicherheit wird immer mehr Geld in die Hand genommen. Doch mindestens genauso wichtig ist es, in eine gute Umsetzung der Konzepte zu investieren.

Die Kluft schließen: Tipps und Best Practices

Die Ergebnisse legen nahe, wie KMU-Leiter ihre Cybersicherheitsstrategie ergänzen können: durch gezielte Optimierung ihrer Richtlinien, Aufklärung der Mitarbeiter und Schaffung einer Sicherheitskultur.

Tipp 1: Aufklären und schulen

Nicht-IT-Bereichsleiter nennen Kenntnismangel, ein fehlendes Gespür für die Wichtigkeit von Maßnahmen und den oft hektischen Betriebsalltag als Haupthürden für ein sicherheitskonformes Verhalten und halten die gezielte Aufklärung zu diesen Punkten für wichtig.

Um die Kluft zwischen Anspruch und Wirklichkeit zu schließen, sollten KMU Maßnahmen und Ziele klar kommunizieren und alle Unternehmensebenen regelmäßig schulen. So lässt sich jedem und jeder im Unternehmen vermitteln, welche Rolle er oder sie bei der Aufrechterhaltung der Cybersicherheit spielt. Wer seine Zuständigkeit erkennt, der kann auch sein Verhalten ändern: In diesen Prozess werden alle einbezogen.

Dabei geht es nicht um simple Wissensvermittlung von oben herab. Erst mit einem gut durchdachten Kommunikationskonzept können alle auf denselben Stand gelangen und die Regeln richtig einhalten. Abteilungsübergreifende Meetings können dafür sorgen, dass alle Unternehmensfunktionen die Sicherheitsrichtlinien verstehen und sich für ihre Einhaltung einsetzen. Über regelmäßige Audits und Feedback-Runden lässt sich ermitteln, wo es noch an Wissen hapert.

Tipp 2: Gutes Verhalten belohnen, Verstöße ahnden

Die Umfrageergebnisse zeigen, dass insbesondere bei jüngeren Mitarbeitern und in bestimmten Führungsrollen die Regeln zuweilen umgangen werden. Hier kann es helfen, Anreize für gewünschtes Verhalten und Konsequenzen bei Regelverstößen zu kombinieren. Eine Whistleblower-freundliche Kultur kann fördern, dass Mitarbeiter die Sache ernst nehmen und mit der Zeit zu „Sicherheitsprofis“ werden.

Gestandenen Sicherheitsexperten ist außerdem eines klar: So manche Regel ist bei der täglichen Arbeitsausführung im Weg und wird schlicht deshalb umgangen. Die Möglichkeit zur unkomplizierten Einrichtung von Ausnahmen kann dem abhelfen. Wenn ein Mitarbeiter weiß, wie er für einen bestimmten Arbeitsschritt eine Richtlinie ausnahmsweise (und sicherheitskonform) umgehen kann, so erspart ihm dies den Verstoß gegen die Regeln.

Tipp 3: Bedrohungsdaten als Basis nutzen

Dass KMU-Leiter das Thema Sicherheit optimistisch betrachten, ist erfreulich. Allerdings kann Optimismus auch träge machen. Was sind die „Kronjuwelen“ des Unternehmens? Wer könnte es darauf abgesehen haben? Wie sehen die wahrscheinlichsten Bedrohungsszenarien aus? Dazu brauchen KMU ein klares Bild. Mit einem Threat-Intelligence-basierten Sicherheitsprogramm stochern sie nicht mehr im Nebel, sondern sehen klar, wo ihre Risiken liegen.

Durch regelmäßige Risikoanalysen und Bedrohungsüberwachung sind KMU zum eigenen Sicherheitsstatus stets im Bild. Eine proaktive Gefahrenerkennung und kluge Reaktionsstrategien unterstützen sie dabei, Risiken zu erkennen und im Ernstfall rechtzeitig gegenzusteuern.

Tipp 4: Einen Passwort-Manager verwenden

Die Verwaltung von Passwörtern ist ein durchaus kritischer Punkt, wie die Umfrage zeigte. Ein positives Signal ist es, dass Passwort-Manager in KMU inzwischen Einzug halten. Dennoch spielen bei fast der Hälfte der gemeldeten Angriffe kompromittierte Zugangsdaten eine Rolle.

KMU sollten also tunlichst fordern, dass alle im Unternehmen einen Passwort-Manager nutzen. Genauso wichtig ist aber auch eine kontinuierliche Aufklärung zur Passwortsicherheit. Mitarbeiter müssen Wissenslücken schließen und verstehen, dass Passwortrichtlinien kein lästiger Firlefanz, sondern eine Notwendigkeit sind.

Tipp 5: KI-basierten Bedrohungen die Stirn bieten

Phishing, Schlupflöcher in Cloudsystemen, Verlust von Geschäftsdaten durch Ransomware oder Malware: Unternehmen, die eine sichere Zukunft anstreben, müssen wachsam bleiben. Die künstliche Intelligenz ist auch im Cybercrime angekommen; ein besonderes Augenmerk erfordern beispielsweise KI-generierte Phishing-Angriffe.

Um mit den rasanten Entwicklungen Schritt zu halten, empfiehlt sich die Investition in KI-gestützte Sicherheitstools, die Unternehmen ausgefeilte Bedrohungserkennung und Reaktionsmöglichkeiten bieten können. Ebenso entscheidend ist es, Mitarbeiter zu neuen Phishing-Methoden aufzuklären, insbesondere den KI-gestützten.

Wie gut ihre Sicherheitsressourcen auch sein mögen, Großunternehmen haben täglich ein hohes Angriffsrisiko. Warum sollte ausgerechnet für KMU etwas anderes gelten?

Schritt für Schritt in eine sichere Zukunft

Der Aufbau einer tragfähigen Cybersicherheit ist ein kontinuierliches Unterfangen für KMU. Der Ansatz „Vertrauen und verifizieren“ bewährt sich dabei nach wie vor. Einerseits muss sich das Unternehmen auf seine Mitarbeiter und Systeme verlassen können, andererseits sollte es kontinuierlich dafür sorgen, dass seine Sicherheitsrichtlinien immer aktuell sind, funktionieren und auch eingehalten werden.

 

Mehr Sensibilität für Sicherheit, wachsende Investitionen: Diese Umfrageergebnisse sind ein gutes Signal. Um die Sicherheitskultur und Richtlinien übereinzubringen und die Kluft zwischen Anspruch und Wirklichkeit zu schließen, bleibt in KMU dennoch viel zu tun. Sie können sich noch stärker wappnen und ihre Zukunft noch besser absichern – durch umfassende Aufklärung, Durchsetzung von Richtlinien und innovative Technik.