Was viele kleine und mittlere Unternehmen nicht wissen, ist, dass die Unterschätzung ihrer Cyber-Resilienz sie zu einem leichten Ziel für Angreifer macht. Cyberkriminelle haben es nicht nur auf große Unternehmen abgesehen – sie haben es oft auf kleinere Firmen abgesehen, die nicht über ausreichend robuste Sicherheitsmaßnahmen verfügen. Wir haben uns an Vertreter von drei Unternehmen gewandt, die verantwortungsvoll mit der Cybersicherheit umgehen, und sie gefragt: Warum glauben sie, dass Unternehmen dem Schutz vor Bedrohungen immer noch keine hohe Priorität einräumen? Und was könnte sie dazu bewegen, dies zu ändern?
Matej Krempaský, IT-Administrator, Sicherheitsmanager, KÚPELE LÚČKY a. s.
Das Top-Management von KMUs ist sich der Auswirkungen, die ein fataler Fehler in der Cybersicherheit haben kann, überhaupt nicht bewusst. Sie glauben blindlings, dass ihr Unternehmen nicht gefährdet ist oder dass sie sich schnell von einem möglichen Vorfall erholen werden. IT ist in der Regel nicht ihr Hauptanliegen, auch nicht Fragen wie Cyber-Bedrohungen. Ihr Interesse gilt vielmehr den Vorteilen – wie viel Geld durch den Einsatz von IT-Lösungen eingespart oder verdient werden kann.
Die Größe des Unternehmens und die Qualität des Managements spielen dabei eine wichtige Rolle. Je kleiner oder weniger profitabel ein Unternehmen ist, desto weniger muss es in die IT-Sicherheit investieren und desto schwieriger ist es, gute Leute oder relevante Informationen zu bekommen. In solchen Fällen lässt sich das Management in der Regel nicht so leicht zu Lösungen für die Cyber-Resilienz überreden und betrachtet das Thema hauptsächlich aus der geschäftlichen Perspektive.
Milan Ševčík, IT Manager Tauris Gruppe, TAURIS, a. s.
Für Unternehmen ist es wichtig, die Kardinalregel zu kennen: ‚Cybersecurity Is Business Issue‘ – Cybersecurity ist ein Geschäftsthema. IT und CISOs werden oft als reine Kostenfaktoren (sogenannte Capex- und Opex-Fresser) betrachtet und nur von der Geschäftsleitung als Notwendigkeit angesehen. Es mangelt an Aufklärung darüber, dass sowohl die IT- als auch die CISO-Positionen für das Funktionieren des Unternehmens genauso wichtig sind wie die des CFO oder COO.
Jozef Donoval, Leiter der IT-Abteilung, ELBA a. s.
Kleine und mittlere Unternehmen leben in einem falschen Gefühl der Sicherheit. Sie glauben, dass sie ausreichend geschützt sind, wenn sie ein gut konfiguriertes Netzwerk und Sicherheitssysteme haben, die Hunderttausende von Euro kosten. Ein weiteres Problem ist die Unterbesetzung – in kleineren Unternehmen gibt es nur ein bis drei IT-Spezialisten, die sich neben ihren regulären Aufgaben nicht aktiv um die Cybersicherheit kümmern oder sie überwachen. Auch die Zurückhaltung und das Desinteresse der Geschäftsleitung spielt eine Rolle, die diese Kosten oft für unnötig hält oder glaubt, dass ihr Unternehmen nicht Ziel eines Angriffs sein wird.
Reale Angriffe und Datenverluste, hohe Geldstrafen von Regulierungsbehörden, die Einführung einfacher und erschwinglicher Lösungen (z.B. sichere Open-Source-Software, Anwendungen und Dienste zu einem erschwinglichen Preis) oder Subventionen für Cybersicherheit könnten wirksame Motivatoren sein.
