Wie kmu besser vor cyberangriffen geschützt werden können

Als im Februar ein Toyota-Zulieferer von Cyberkriminellen angegriffen wurde, sah sich der Autobauer gezwungen, in Japan die Produktion von fast 13 000 Fahrzeugen auszusetzen. Jedes Jahr verursachen solche Cyberattacken weltweit Kosten von bis zu 6 Billionen US-Dollar, Tendenz steigend. Ein Überfall aus dem Cyberspace kann für jedes Unternehmen katastrophale Folgen haben, ganz besonders aber für kleinere Firmen. Ein Ransomware-Angriff verursacht im Mittel einen Schaden von bis zu 1,2 Millonen US-Dollar (Medianwert), ein digitales Datenleck sogar bis zu 1,6 Millionen. Kleine und mittlere Unternehmen (KMU) brauchen deshalb dringend Unterstützung, um sich besser gegen digitale Sicherheitsbedrohungen wappnen und zur Wehr setzen zu können.

Digital – und sicher?

Während der Pandemie haben sich bis zu 70 Prozent der KMU umgestellt – auf E-Commerce, Telearbeit oder Smart-Working-Konzepte. Doch viele der neuen internetfähigen Anwendungen, Geräte und Systeme wurden mit heißer Nadel gestrickt. Sie hatten Schwachstellen, die Kriminelle gnadenlos ausnutzten. Das FBI verzeichnete 2020 eine Rekordzahl von Beschwerden – 69 Prozent mehr als im Vorjahr. 60 Prozent aller Firmen in Österreich gaben an, 2021 Opfer eines Cyberangriffs geworden zu sein. In Deutschland richteten Cyberkriminelle im selben Jahr einen wirtschaftlichen Schaden von 220 Milliarden Euro an – 2019 war die Summe nicht einmal halb so hoch.

KMU modernisieren Sicherungssysteme langsamer als größere Unternehmen

Quelle: The Digital Transformation of SMEs  ©OECD 2021 auf Grundlage von Daten von Eurostat (2020) zur IKT-Nutzung von Unternehmen.

Finanzstarke Konzerne wie Toyota, die mit großen Datenmengen arbeiten, sind zweifellos attraktive Ziele. Demgegenüber möchte man meinen, dass mittelständische Betriebe angesichts ihres niedrigeren Digitalisierungsgrads und ihres geringeren Datenvolumens eine kleinere Angriffsfläche bieten und deshalb von unliebsamer Aufmerksamkeit verschont bleiben.

Indem aber auch KMU immer mehr digitale Tools einführen, schaffen sie neue Einfallstore für Hacker:innen. Hinzu kommt, dass die Überwindung des ausgefeilten und maßgeschneiderten Abwehrsystems eines Großkonzerns mit hoher Digitalkompetenz teurer und mühseliger ist als eine Attacke auf ein KMU. Dafür genügt nicht selten ein simpler und günstiger Standardangriff. Außerdem können sich inzwischen auch Laien als Cyberkriminelle versuchen. Sie kaufen sich Ransomware als „as a Service“-Produkt im Netz und erpressen mit geringerem Risiko kleinere Summen von KMU.

Ehrgeizigere Hacker:innen werden zunehmend auf KMU aufmerksam, da diese als Hintertür zu den Systemen größerer Firmen dienen können, weil sie Schwachstellen in Lieferketten darstellen. Besonders anfällig ist der Automobilsektor wegen seiner langen, komplexen und miteinander vernetzten Lieferketten mit verschiedenen Schutzniveaus und Sicherheitslücken. Im Oktober 2021 legte ein Angriff die IT-Systeme des deutschen Automobilzulieferers Eberspächer für mehrere Tage lahm. Auch bei Pilz und Schmersal, zwei Automatisierungsspezialisten aus derselben Branche, standen wegen einer Cyberattacke vorübergehend alle Räder still. Angreifer nehmen auch zunehmend kleinere Lieferanten von Spezialbauteilen ins Visier, um über sie Produktionsstörungen zu verursachen.

Daten schützen

KMU in allen Branchen müssen mehr tun, um ihren Umgang mit digitalen Sicherheitsrisiken und den Schutz ihrer Daten zu verbessern. In 2019 verfügten in den 28 EU-Mitgliedstaaten durchschnittlich nur 33 Prozent der KMU über Maßnahmen oder Verfahren für IKT-Sicherheit zurück, gegenüber 76 Prozent der großen Unternehmen. Zunächst gilt es, die Datengovernance zu verbessern und das Bewusstsein für Sicherheitsrisiken im Digitalbereich zu schärfen. Besonders wichtig sind Schulungen in den Unternehmen, denn immer häufiger sind Mitarbeitende für Sicherheitsvorfälle verantwortlich. In Großbritannien traf dies 2021 auf 57 Prozent aller Zwischenfälle zu; vorsätzliches Verhalten war dabei die Ausnahme.

Viele Staaten unterstützen ihre KMU im Kampf gegen diese Bedrohung. Die deutsche Transferstelle IT-Sicherheit im Mittelstand fördert den Wissens- und Technologietransfer im Bereich IT-Sicherheit sowie die Umsetzung von Cybersicherheitsmaßnahmen und Kampagnen zur Sensibilisierung. In Costa Rica verfolgen Gemeindezentren zur Förderung der Digitalisierung (Centros Comunitarios Inteligentes – CECI) einen praxisorientierten Ansatz, indem sie KMU Grundkurse zum Thema Cybersicherheit anbieten. Die Zentren veranstalten auch Schulungen zu Statistik, Big Data, künstlicher Intelligenz, dem Internet der Dinge (Internet of Things – IoT) und anderen Datentechnologien.

Regierungen arbeiten darüber hinaus gemeinsam mit Tech-Firmen am Ausbau der digitalen Sicherheit. Dazu gehört auch die Entwicklung von KMU-spezifischen gewerblichen Lösungen sowie Maßnahmen zur Optimierung von Sicherheitsprotokollen für bestehende Produkte und Dienste. Australien investiert im Rahmen der Australian Cyber Security Strategy 2020 insgesamt 1,67 Milliarden Australische Dollar, um Unternehmen bei der Absicherung ihrer Produkte und Dienstleistungen sowie dem Schutz ihrer Kunden vor bekannten Cyberbedrohungen unter die Arme zu greifen. Schweden hat Konsortien Zuschüsse zum Aufbau von Cybersicherheitslösungen für neue schwedische Produkte und Dienstleistungen bewilligt.

Gute Kommunikationskanäle und wirksame Kooperationsstrukturen können einen entscheidenden Beitrag dazu leisten, dass neue Bedrohungen erkannt und entsprechende Gegenmaßnahmen ergriffen werden können. Bei der Bekämpfung von sehr breit angelegten Angriffen gewinnen branchen- und länderübergreifende Netzwerke mit Unternehmen jeder Größe zunehmend an Bedeutung. In Deutschland arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter dem Motto „Netzwerke schützen Netzwerke“ an der Steigerung der Resilienz durch den Wissens- und Erfahrungsaustausch zwischen Unternehmen und IT-Sicherheitsdienstleistern.

Der Kampf gegen Cyberkriminalität verschärft sich. Daten werden immer wichtiger – für die Geschäftsmodelle der KMU (Know-your-Customer-Prinzip) ebenso wie für die Lieferketten (bedarfssynchrone Produktion) oder die fortschreitende Automatisierung in der Produktion. Dieser steigende Wert von Daten ruft immer mehr Kriminelle auf den Plan – und die Werkzeuge, Fertigkeiten und Techniken, die sie für ihre Machenschaften benötigen, werden immer ausgefeilter und günstiger. KMU müssen schnell handeln, um mit der Entwicklung Schritt zu halten, und mit Regierungen und Fachleuten zusammenarbeiten, um sich, ihre Kunden und ihre Lieferketten zu schützen.


Die Empfehlung der OECD zum Management von Sicherheitsrisiken im Digitalbereich für den wirtschaftlichen und sozialen Wohlstand (OECD Recommendation of the Council on Digital Security Risk Management for Economic and Social Prosperity) bietet Orientierung auf dem Weg zu einer neuen Generation von Politikmaßnahmen für ein offeneres digitales Umfeld und einen besseren Umgang mit seinen Sicherheitsrisiken. Sie ruft die höchsten staatlichen und privatwirtschaftlichen Führungsebenen dazu auf, die Gesamtrisiken zu reduzieren und insbesondere dem Mittelstand Möglichkeiten an die Hand zu geben, sich der eigenen Sicherheitsrisiken selbst anzunehmen.

Weitere Überlegungen zur digitalen Sicherheit in KMU, zu neuen Trends und relevanten Politikmaßnahmen finden Sie in einem kürzlich erschienenen Text zur digitalen Transformation von KMU (The Digital Transformation of SMEs) und dem OECD SME and Entrepreneurship Outlook 2021. Darüber hinaus sollten Sie sich die Veröffentlichung zur ersten Phase des Projekts der EU-Kommission und der OECD zur Freisetzung des Skalierungspotenzials von KMU (Unleashing SME potential to scale up) nicht entgehen lassen, die sich eingehend mit dem Kernthema Datengovernance in KMU befasst.


Read article in this language:

Sandrine Kergroach
Head of SME and Entrepreneurship Performance, Policies and Mainstreaming unit at | Website | + posts

Sandrine Kergroach is Head of SME and Entrepreneurship Performance, Policies and Mainstreaming unit at the OECD Centre for Entrepreneurship, SMEs, Regions and Cities (CFE). She leads the work on innovation, internationalisation and the scaling up of SMEs and start-ups, their productivity and ESG performance. She supervises activities related to policy monitoring, the development of data infrastructure and the OECD SME and Entrepreneurship Outlook. She also leads efforts for mainstreaming SME&E policy considerations. Sandrine holds a Doctorate in Economics (TU Berlin), a Master in Strategy and Management (Paris Dauphine-PSL), a Master in Modern History (Paris Sorbonne) and a Bachelor in Applied Economics and Statistics (Paris Dauphine-PSL).

Stefan Becker
Head of Section, Cyber Security for the Private Sector at Federal Office for Information (BSI) | + posts

Stefan Becker joined the Federal Office for Infomation Security (BSI) as Head of Section, Cyber Security for the Private Sector in May 2017. He started his career at the criminal police in Bonn in 1994. With the creation of the Cybercrime Competence Centre he moved on to the Landeskriminalamt Nordrhein-Westfalen in 2011. Stefan Becker holds a degree in public administration as well as an MBA with a specialisation in Risk and Fraud Management.

Laurent Bernat
Policy Analyst, OECD Digital Economy Policy Division at | Website | + posts

Laurent Bernat is a policy analyst at the OECD Secretariat in the Digital Economy Policy Division. He supports the Working Party on Security in the Digital Economy (SDE), under the Committee on Digital Economy Policy (CDEP), as well as the OECD Global Forum on Digital Security for Prosperity. He led the development of the OECD Recommendations on Digital Security Risk Management for Economic and on Social Prosperity (2015) and on Digital Security of Critical Activities (2019). Currently, he coordinates policy work on the digital security of products, vulnerability treatment, “responsible response” by private actors, and the security of communication networks. Laurent worked on many different trust-related policy issues including national cybersecurity strategies, digital identity management, RFID, cryptography policy and the protection of children online. Prior to joining the OECD in 2003, he worked at the French data protection agency, the Commission nationale de l'informatique et des libertés (CNIL) and was associate director in an Internet consulting firm. Laurent BERNAT has a master in political science and international relations.