„Gute Sicherheit kostet Geld – schlechte Sicherheit ist unbezahlbar!“, schreibt Datev-Entwicklungschef Stefan Schröder in einem Kommentar zu meinem letzten Blog „Sicherheit wird ein Hygienefaktor“. Will sagen: wer nicht in die Sicherheit seiner Informationstechnik investiert, verliert auf Dauer mehr als nur Geld: Daten, Anwendungen, Handlungsfähigkeit. Doch einer jüngsten Umfrage des Sicherheitsspezialisten Kaspersky zufolge haben gerade kleine und mittlere Unternehmen in Europa zu wenig Geld, um hinreichende Budgets für Sicherheitsmaßnahmen aufzustellen.
Denn bei 47 Prozent der von Kaspersky untersuchten europäischen Unternehmen, die im vergangenen Jahr Umsatz- und Gewinneinbußen zu beklagen hatten, dürften die finanziellen Schwierigkeiten wohl auch weiterhin bestehen bleiben, mutmaßt die Studie. Und angesichts knapper Kassen werden die Prioritäten anders – und eben leider falsch – gesetzt. Das Thema Cybersicherheit fällt in der Budgetplanung dann oftmals hinten runter. Laut Kaspersky haben 51 Prozent der kleinen und mittleren Unternehmen in Europa Schwierigkeiten, ein notwendiges Budget für einen verbesserten Schutz vor Cyberkriminalität aufzustellen. Dabei handeln viele Entscheider oft gegen besseres Wissen: Sie kennen die Bedeutung von Cybersicherheit, handeln aber nicht entsprechend. In Köln würde man sagen: Et hätt noch immer jot jejange.
Es geht aber nicht immer gut. Der Schaden, der auch kleinen Unternehmen durch Cyberangriffe droht, summierte sich nach Schätzungen im vergangenen Jahr weltweit auf 220 Milliarden Euro – und damit etwa doppelt so viel wie noch 2019. Und die Summe der durch Ransomware ergaunerten Lösegeldzahlungen allein in Kryptowährung weltweit belief sich 2020 auf 400 Millionen Euro. Wenn also Geschäftsführer von kleinen Gesellschaften mit beschränkter Haftung davon ausgehen, bei ihnen gäbe es keine Geschäftsgeheimnisse zu holen: Schaden kann jeder Angriff anrichten. Und für den haften die Geschäftsführer dann uneingeschränkt.
Wie groß der Leichtsinn in Sachen Cybersicherheit noch immer ist, macht indirekt eine Handreichung der Sicherheitsexperten von Kaspersky deutlich. In ihrem interaktiven Whitepaper „Kaspersky Cybersecurity On a Budget“ geben die Autoren Tipps für einen besseren Schutz vor Cyberangriffen, die allerdings äußerst trivial sind. Die darin empfohlenen Maßnahmen stellen sozusagen das Mindeste an Selbstverteidigung dar, das Unternehmen in Angriff nehmen sollten. Es lässt aber an der Einstellung der kleinen und mittleren Unternehmer zur Sicherheit zweifeln, wenn unter den empfohlenen Best Practices mehr Awareness für Gefahren aus dem Web zuoberst steht. Und dass offensichtlich eine Nachschulung über die Speicherungen personenbezogener Daten nach den Richtlinien der Datenschutz-Grundverordnung immer noch als notwendig angesehen wird, lässt ebenfalls tief blicken.
Auch der Hightech-Verband Bitkom bedauert in seiner jüngsten Erhebung, dass die Hälfte der mittelständischen Unternehmen den Digitalisierungsschub aus dem Corona-Lockdown nicht zu einem anhaltenden Schwung in die digitale Transformation nutzt. „Es mangelt an Ressourcen, Standards und Datensicherheit“, lautet das vernichtende Urteil. 51 Prozent der befragten Entscheider aus Unternehmen mit weniger als 500 Mitarbeitern sehen sich bei der Digitalisierung der Geschäftsprozesse als Nachzügler.
Dabei spielen die Anforderungen an die IT-Sicherheit (60 Prozent) sowie die Angst vor Datenverlust (59 Prozent) bei mittelständischen Unternehmen eine große Rolle. Dies führt aber nach den Bitkom-Erkenntnissen nicht zu mehr Investitionen in Verteidigungsmaßnahmen, sondern zu geringerer Bereitschaft bei der Digitalisierung schlechthin. Nach dem Motto: Wer nichts tut, macht wenigstens keine Fehler. Das aber wäre der größte Fehler überhaupt. „Nur durch den Einsatz von modernsten digitalen Technologien lassen sich die hohen Anforderungen an Datensicherheit überhaupt erst umsetzen „, warnt der Bitkom.
Übrigens: Von Stefan Schröder gibt es (mindestens) einen weiteren schlauen Spruch: „Früher hieß das Ganze Rechenzentrum, dann ASP und SaaS, heute Cloud.“ Wie wahr – und in jeder Entwicklungsstufe werden die Herausforderungen an die Sicherheit größer. Sollte man deshalb wieder zum guten alten Erdzeitalter des „Prä-Internetiums“ zurückkehren? Wohl kaum: denn auch kleine und mittlere Unternehmen leben in eng vernetzten Supply Chains und in Kommunikationsnetzwerken, die ihnen ihre Wettbewerbsfähigkeit überhaupt erst sichern. Ohne Öffnung müsste jedes Unternehmen schließen.